可信任資訊安全評估交易機構 (TISAX®) 是汽車行業通用的評估和交換機制,被認為是行業特定資訊安全標準的燈塔。透過統一且具可比性的評估機制,各種 TISAX ®標籤構成了 OEM 與其廣泛的供應商網路之間信任和高效能業務關係的基礎。
然而,面對日益增長的網路威脅,IT 和生產環境不斷增長的數位化和網路化帶來了新的安全挑戰。更新後的 ISA 目錄 6.0 已解決這些問題,該目錄自 2024 年 4 月起生效。
日益增加的威脅需要調整 ISA 目錄
鑑於供應鏈的重要性和複雜性,端到端資訊和網路安全在汽車產業中發揮關鍵作用。畢竟,供應商密切參與開發和生產過程。這意味著他們經常能夠存取高度敏感、敏感的訊息,並且必須具有高水準的恢復能力。地緣政治緊張局勢以及供應鏈日益數位化和網路化導致資訊安全風險不斷增加。
由於這些動態,現有的VDA ISA 目錄 5.1已經升級。 6.0 版於 2023 年 10 月 16 日發布英文版並可供下載。
新的 ISA 問題目錄 6.0 標誌著一個重要的里程碑蒂薩克斯® 。這導致 TISAX 中對審計提供者的要求進行調整® ACAR 2.2 規定。 ISA 6.0 目錄改用英語作為主要語言,凸顯了全球視角以及全球工作小組進一步開發需求目錄的共同努力。
新標籤取代了熟悉的「資訊安全」標籤
資訊安全評估 (ISA) 目錄 6.0 的主要變更涉及「資訊安全」模組和 TISAX 的相關標籤系統® 。未來,人們所熟悉的「資訊安全」標籤將完全被「可用性」和「保密性」兩個標籤所取代。
ISA 目錄 6.0 中的「可用性」標籤:擴展到生產設施
在新的 ISA 目錄中,「可用性高」和「可用性非常高」的標籤變得更加具體。因此,OT(營運技術)系統將成為未來審計的更多重點。
生產環境(即工業自動化控制系統(IACS)及其網路)日益網路化,為資訊安全帶來了許多新的挑戰。生產設施跨越極其廣泛的網絡,具有多種專業技術和協議。
在許多方面,它們與IT系統有根本的不同:生產環境通常被設計為運行多年,一旦平穩運行,除了定期維護和維修工作外,它們會盡可能不受干擾。這意味著許多元件仍在使用過時的作業系統、通訊協定或加密演算法等。
很長一段時間以來,自動補丁和更新過程都是不受歡迎的,或者至少受到批評。人們非常擔心複雜的生產過程可能會不同步並造成相當大的經濟損失。許多員工可以存取的大規模分散式系統和通訊網路也提供了多個實體攻擊點。
自動化生產系統的可靠性和可用性不僅從業務角度來看極為重要,而且因為流程中的偏差可能會造成相當大的損害和財務損失。
為了將所有這些特定於 OT 的方面整合到 ISA 目錄 6.0 中,ENX 和 VDA 已將自己定位於國際有效的 IEC 62443 系列標準,特別是第 2-1 小節。
IEC 62443 :工業自動化系統的 IT 安全;第 2-1 部分:IACS 營運商 IT 安全計畫的要求
「保密」標籤:保護敏感資訊
如果一家公司被委託保管敏感資訊,它必須證明它能夠適當地保護這些資訊。 「機密性高」或「機密性嚴格」標籤用於選擇 ISA Catalog 6.0 有助於實現此保護目標的要求。
這對於未來的 TISAX 意味著什麼®審計?
新標籤允許根據供應商在供應鏈中可能扮演的角色進行審核。如果供應商被確定為對供應鏈特別重要,則可以使用「可用性」標籤來證明其可靠性。如果供應商被委託處理特別敏感的訊息,則可以使用「保密」標籤來證明其已採取適當的預防措施來保護該資訊。如果供應商承擔這兩個角色的責任,則可以對這兩個標籤進行審核。
兩個標籤必須滿足相同的基本要求。此外,每個標籤都有高和極高保護需求的具體要求。這意味著審核是根據標籤進行的。
標籤系統也將在 TISAX 中進行轉換®資料庫.未來,「資訊安全高」標籤將被「可用性高」和「機密性高」兩個組合標籤所取代。 「資訊安全性非常高」標籤也是如此,未來將被「可用性非常高」和「保密性嚴格」標籤所取代。對於已在 TISAX 中擁有「資訊安全」標籤的所有參與者,這將自動發生®平台。
上述選擇性審核的主要目的是確保公司只需滿足與其相關的 ISA 問卷 6.0 的要求。同時,製造業企業也面臨新的挑戰,因為 OT 系統現在必須以與通常要求的管理方式類似的方式進行管理。蒂薩克斯® IT系統。
因此,根據具體情況,公司必須預期需要在資訊安全管理系統 (ISMS) 中加強的額外要求,並可能導致更大的費用。
6.0版本新要求
- 安全性和營運連續性:OT 在生產設施中發揮至關重要的作用,其中 IACS 等自動化系統至關重要。確保這些系統的可用性不僅關係到生產力,還關係到安全。員工經常在這些自動化系統附近工作,任何類型的故障都可能造成嚴重的安全風險。例如,錯誤校準的 OT 感測器或控制可能會使人員和貴重設備面臨風險。
- 風險管理:隨著 OT 納入範圍,公司需要考慮與這些系統相關的特定風險。應對 OT 系統進行監管、分類和監控,以便有效應對新出現的風險。必須指定負責人來執行這些任務。
- 存取控制:服務提供者出於維護目的存取 OT 網路是一個關鍵問題。適當的存取控制和詳細的協定對於維護 OT 系統的安全性和完整性至關重要。
- 員工能力:負責操作 OT 系統的員工必須經過充分訓練、有能力並了解操作的潛在風險。由於這些系統的重要性,人員考慮(包括敏感職位的背景調查)至關重要。
- 生命週期管理:對 OT 系統的整個生命週期(包括維修、運輸和處置)進行有效管理對於最大限度地降低與本地設備資料和存取相關的風險至關重要。
- 安防措施:必須透過強大的安全解決方案(例如防毒軟體、防火牆或減少開放介面和服務)來保護 OT 免受潛在攻擊。
- 審計和漏洞評估:需要定期進行技術系統審核,以根據製造商的規格檢查 OT 系統的強化情況並識別已知漏洞。
- 網路分段:網路應根據目的和風險進行適當分段,同時保護 IT 和 OT 環境免受彼此影響。
- 備份與復原:全面的備份和復原計畫對於確保 OT 系統的業務連續性至關重要。
- 服務水準和監控:必須制定適當的服務等級和可用性定義,並持續監控 OT 網路服務。
- 外部提供者:如果外部服務提供者使用 OT 設備,則必須為外部提供者規範存取和設備上儲存的其他資訊的資訊安全等級。
ISO 27001 和 IEC 62443 奠定堅實的基礎
ISMS 符合ISO 27001已經是一些受監管行業的法律要求。在許多行業中,這也是簽訂服務或類似協議的正式或非正式的基本合規要求。
由於ISA問卷6.0也是基於此標準,經過認證的資訊安全管理系統已經為資訊安全管理系統奠定了良好的基礎。蒂薩克斯®審計。然而,TISAX ®需要具體實施 ISMS,其中包含詳細的「應」和「應該」要求,以及高或極高保護等級的附加要求。
除了 ISMS 之外,IEC 62443 標準以及 ISA 目錄中由此產生的新要求也提供了堅實的基礎。該標準的第 2 款描述了工業網路安全管理系統的結構。 2-1 小節涵蓋了工業自動化和控制系統安全計畫的建立等內容。
在起草這些領域時,IEC(國際電工委員會)再次以 ISO 27001 標準為指導,其中許多流程和機制也可以應用於控制系統。這意味著工業通訊網路以及自動化和控制系統(IACS)都包含在審核範圍內。
ISA Catalog 6.0:使用者適用的截止日期是什麼?
ISA 審計目錄 6.0 的轉換將於 2024 年 4 月 1 日進行。 TISAX® 評估截至 3 月 31 日(含),仍可依據舊 ISA 目錄 5.1 進行審核。明年4月1日起的評估只能依照新版ISA目錄6.0進行。
一方面,這意味著從 2024 年 4 月開始評估將更加複雜,但另一方面,提高的安全等級對您的公司來說是值得的。重要的是,您要儘早準備新要求並認真執行,以便受益於對新 TISAX 增強的信心®標籤。
所有依賴現有評估的審核活動,例如糾正行動計劃評估、後續行動、範圍擴展評估或簡化小組評估,將繼續根據執行原始評估的 ISA 版本進行。
2024 年 ISA 目錄 6.0 修正案:結論
ISA Catalog 6.0 的發布是不斷發展的汽車標準和合規性領域的一個重大事件。此次更新代表了對卓越、精確性的持續承諾以及日益重要的資訊安全在汽車產業。隨著更改後的機密性和可用性標籤的引入以及涵蓋操作技術 (OT) 系統的更廣泛範圍,汽車行業不斷向更高的品質和安全標準發展。
數據品質管理系統被ENX批准為評估服務提供者,因此可以進行蒂薩克斯®評估全世界。我們有 TISAX ®也獲得資訊安全國際標準批准的審核員ISO 27001 。這意味著 DQS 可以同時評估這兩個標準,並且只需要較少的額外工作。我們期待與您交談。
筆記:訪問 TISAX ®是透過參與者註冊,必須在網路上進行ENX 入口網站。這是能夠委託 DQS 等經認可的評估服務提供者的先決條件。
Loading...
蒂薩克斯® 6.0-背景資訊
蒂薩克斯®基於德國汽車工業協會制定的 VDA ISA 目錄(德國汽車工業協會),這是一份全面的調查問卷,主要基於所謂的“控制”,即資訊安全標準 ISO 27001 附件 A 中的參考措施,並適應其他汽車特定要求。
資訊安全標準現已修訂並發佈為新 ISO/IEC 27001:2022 2022 年 10 月 25 日。 ISA 6.0 版也對新控制進行了相應的調整。
蒂薩克斯®主要針對那些希望或需要展示一定程度的資訊安全性和可用性以與(參與的)汽車製造商合作的公司。這ENX協會總部位於美因河畔法蘭克福和巴黎,負責實施和監督程序。 ENX 是一個由歐洲汽車製造商、供應商和四個國家汽車協會組成的協會,其中包括德國 ENX 創始人 VDA。
信任和專業知識
我們的文本和手冊由我們的標準專家或長期審核員專門撰寫。如果您對文字內容或我們為作者提供的服務有任何疑問,請與我們聯絡。
DQS 電子報
隨時了解並訂閱我們的電子報!
作者
Holger Schmeken
擔任 TISAX 與 VCS 稽核產品經理與 ISO 27001 資深稽核員多年,且擁有超過30年的軟體工程及資安總監背景,Holger Schmeken 在後期還攻讀了商業資訊學系碩士學位,擁有在德國 Critical Infrastructue 的稽核資格 (KRITIS),目前擔任 DQS 資訊安全內容專欄作家。
Loading...
