TISAX(Trusted Information Security Assessment Exchange)是由德国汽车工业协会(VDA)发起的一项信息安全评估标准,专门用于汽车行业的数据交换安全。TISAX ISA 6.0是该标准的最新版本,旨在确保汽车行业内外部合作伙伴之间的信息交换能够在高安全性的框架下进行。
TISAX ISA 6.0标准对信息安全的各个方面进行了全面的覆盖,包括数据保护、访问控制、数据完整性和保密性等内容。它要求企业在信息安全管理体系(ISMS)的基础上,采用更加严格的措施和流程,以应对日益复杂的安全威胁。通过TISAX ISA 6.0认证的企业,能够证明其具备高水平的信息安全管理能力,符合国际汽车行业的严苛要求。
这个版本还特别强调了对供应链安全的管理,确保整个汽车制造及供应链过程中的信息交换和数据处理都符合最新的安全标准。这对于汽车行业中的供应商、制造商及合作伙伴来说,都是一项重要的安全保障和合规要求。让擎标带着大家一起学习下TISAX® ISA 6.0具体更新了哪些,新版本的申请又需要注意点什么呢?
一、主要功能和更新
ISA 6.0 的发布标志着TISAX® 标准的一个重要里程碑,加强了汽车行业对信息安全的承诺。通过采用最新的标准和实践,企业可以增强抵御网络威胁的能力,确保敏感信息得到保护。 ISA 6.0 注重IT 和OT 可用性、实施指导、修订数据保护目录、与国际标准接轨,并强调持续改进,为建立更安全的汽车生态系统铺平了道路。
l IT 和OT 可用性: ISA 6.0 认识到IT 和OT 系统在汽车制造中的关键作用,因此更加重视确保其可用性。新标准提供了全面的指南和要求,以确保这些系统的稳健性和可靠性,降低生产过程中断的风险。
l 领先的语言和翻译:为了促进更好的全球合作和理解,ISA 6.0 现在采用英语作为主导语言。这种标准化旨在促进不同地区之间的沟通并确保清晰度。此外,还计划提供标准的翻译版本,以适应不同的语言需求。
l 实施指南:为帮助各组织有效遵守标准要求,《国际审计准则》6.0 还包括额外的实施指南。该指南为审计人员、被审计人员和员工提供了实用的见解、最佳实践和建议,使他们能够更有效地实施必要的控制和措施。
l 修订后的数据保护目录: ISA 6.0 全面修订了数据保护目录。这个全面的目录涉及数据保护的各个方面,包括数据隐私、保密性、完整性和可用性。通过与现行数据保护法规和行业最佳实践保持一致,修订后的目录为保护敏感信息设定了高标准。
l 与国际标准接轨:为了统一实践并加强整体安全措施,ISA 6.0 引用了ISO/IEC 27001:2022 和NIST 网络安全框架1.1 版等国际标准。这一调整可确保实施TISAX® 的组织遵守全球公认的做法,并随时更新最新的安全协议。
l 强调持续改进: ISA 6.0 强调持续改进和维护信息与数据安全措施的重要性。我们鼓励各组织定期评估和改进其安全措施,以适应不断变化的威胁和技术进步,确保积极稳健的安全态势。
二、TISAX® ISA 6.0新版标签的变更
较之前的5.1版本,VDA ISA 6.0将信息安全目录下的“Info High(处理保护需求较高的信息)”和“Info Very High(处理保护需求极高的信息)”标签更改为“Confidential(访问保密信息)”和“Strictly Confidential(访问严格保密的信息)”标签,并引入了全新的“High Availability(信息高可用性)”、“Very High Availability(信息的极高可用性)”标签。该目录下的标签重组,说明了汽车制造供应商和服务提供商除了可以确保传递的敏感信息保密,也能证明其具备一定的弹性,以应对网络威胁和突发事件造成的业务中断。
已经按照旧版本完成的审核仍将保留其有效性。如果组织的 TISAX标签未过期,其已经拥有的“Info High”或“Info Very High”标签将自动转换为“Confidential”或“Strictly Confidential”标签,原有的 “Info High” 或 “Info Very High” 标签仍将继续保持有效。
三、过渡和生效日期
TISAX® 中ISA 6.0 的生效日期为2024 年4 月1 日。为确保平稳过渡,以下规则适用:
l 根据旧标准进行的评估仍然有效。
l 如果TISAX® 标签未过期,则无需重新评估。
l 在2024 年3 月31 日之前订购的新TISAX® 评估程序将使用ISA 5.1 版。
l 自2024 年4 月1 日起订购的新TISAX® 评估程序将使用ISA 6.0 版。
l 与现有评估相关的评估活动,如纠正行动计划评估、后续行动或范围扩展,将使用与原始评估相同的版本进行。
四、TISAX 认证的流程
TISAX认证过程主要包括以下几个步骤:
l 准备阶段: 企业首先需要进行自我评估,根据TISAX ISA 6.0标准的要求,识别和评估现有的信息安全管理体系中的不足之处,并制定改进计划。
l 正式评估: 企业可以选择由ENX协会认可的评估机构进行正式评估。评估过程涉及对企业的信息安全管理体系的全面检查,包括文件审查、实地考察和员工访谈等。
l 认证与交换: 通过评估后,企业将获得TISAX标签和报告,该报告可以在TISAX平台上进行共享,以证明其符合信息安全标准。这使得企业在与其他合作伙伴进行数据交换时能够更容易建立信任关系。
l 持续改进: TISAX认证并非一劳永逸,企业需要定期进行复评,以确保其信息安全管理体系持续符合最新的标准要求。
五、对企业的作用
作为汽车行业的服务提供商或供应商,您需要向您的客户证明您遵守了信息安全要求。到目前为止,这些评估主要是由制造商自己进行的。TISAX®网络的注册参与者现在可以通过一个共同的在线平台选择一个审计服务提供商,并要求进行评估。这对公司来说是利大于弊的。
l 可以避免不同客户的重复和多次评估
l 对TISAX®参与者的信息安全评估进行跨公司认可
l 由于采用了统一的VDA ISA测试目录,结果具有可靠性
l 加强对带有TISAX®标签的受审核公司的信任
以上就是擎标为大家整理的TISAX® ISA 6.0相关内容,想要学习更多或者办理相关资质认证的,欢迎咨询!