TISAX®是针对 "VDA信息安全评估"(VDA-ISA)要求的评估程序,汽车行业的供应商或服务提供商可以用它来确保提供给他们的信息的安全性。组织TISAX®信息和网络安全评估的基础是ISA目录。ISA的最新版本ISA 6已于北京时间2023年10月17日正式发布。2024年3月31日前,可以使用现版本进行审核,2024年4月1日开始,需全部按新版要求执行。由国际专家开发的ISA 6是ISA目录的最新主要修订版。它从汽车行业的角度定义了组织信息和网络安全的基线和最新技术。 ISA 6主要变化点:ISA 6附带了大量更改和改进,本文对此进行了详细介绍。尤其是1、更加关注生产供应商的IT和OT可用性的变化,Changes with more focus on IT- and OT availability of production suppliers,2、主要语言现在是英语,计划多种语言的翻译,Leading language is now English, multiple translations planned,3、增加进一步的实施指南,Addition of further implementation guidance,4、完全修订的数据保护目录,Completely revised data protection catalogue,5、对 ISO/IEC 27001:2022 和 NIST 网络安全框架版本 1.1 的新引用,以及New references to ISO/IEC 27001:2022 and NIST Cyber Security framework Version 1.1, and6、进一步持续改进和维护。Further continuous improvement and maintenance. ISA 6过渡时间节点:TISAX提供了 ISA 的红线版本,其中包含详细的更改日志并以红色突出显示所有更改。此外,鉴于熟悉的过程可能需要一些时间,特别是如果新版本已帮助组织确定现在需要弥补的差距。TISAX 中 ISA 6 的生效日期定为2024年4月1日。围绕该生效日期定义的转换规则与之前的更改相同:1、已经按照旧标准完成的评估将完全保留其有效性。如果您的 TISAX 标签未过期,则无需重新评估。Assessments already completed according to older standards will fully retain their validity. If your TISAX labels do not expire, there is no reassessment necessary.2、在2024年3月31日之前实施的新TISAX评估程序将使用ISA 5进行。New TISAX Assessment Proceedings ordereduntil March 31st, 2024, will be conducted using ISA version 5.3、从2024年4月1日起实施的新TISAX评估程序将使用ISA 6进行。New TISAX Assessment Proceedings orderedfrom April 1st, 2024, will be conducted using ISA version 6.4、与现有评估相关的评估活动,如纠正行动计划评估、跟进或范围扩展,将使用与原始评估相同的版本进行。Assessment activities related to an existing assessment such as corrective action plan assessments, follow-ups or scope extensions will be conducted using the same version as the original assessment.5、如果您已经采用了 ISA 5,但认为 ISA 6 更适合您的组织和需求,您可以选择切换到 ISA 6 并于2024 年 4 月 1 日之后实施的评估。要了解是否可以切换以及适用哪些条件,请与您的评估机构联系。If you ordered in time for ISA 5 butbut think ISA 6 fits better to your organization and needs, you may be able to optionally switch to ISA 6 for assessment activities executed after April 1st, 2024. To find out if a switch is possible and what conditions apply, please get in touch with your audit provider. ISA 6 版本随附的 TISAX 标签变更:随着ISA 6的生效,对TISAX评估目标和相应的TISAX标签进行一些更改。这会影响现有的“信息安全高保护”和“信息安全非常高保护”标签以及“原型保护”标签。“信息安全”标签的更改遵循新 TISAX 标签中已列出的路径,以实现可用性。在 2023 年初,ENX 引入了新的标签,以便 TISAX 可用。这是“信息安全”(“信息安全高”和“信息安全非常高”)标签拆分的开始。之所以进行拆分,是因为承认提供生产零件或生产关键基础设施的安全要求配置文件与适当处理客户的商业机密有很大不同。由于 ISA 6 附带了旨在降低可用性风险的额外要求,因此针对的是那些生产部件和基础设施提供商,现在将结束拆分,并引入“机密”和“严格机密”作为对现有“可用性”标签的合理补充。由于这些更改与 ISA 6 版本密切相关,将 2024 年 4 月 1 日设置为新标签的生效日期。这与ISA 6的发布完全一致。围绕该生效日期定义的转换规则与之前的更改相同:1、已具有“信息高”或“信息非常高”标签的营业地点将自动获得“机密”标签,对于“非常高”,还会自动获得“严格机密”标签作为附加标签。原始的“信息高”和“信息非常高”标签将保持有效。无需进一步操作。2、在 2024 年 4 月 1日之前订购的新 TISAX 评估程序仍将使用“信息”TISAX 评估目标进行。一旦评估符合 TISAX 标签的条件,所有地点将自动获得机密标签,对于非常高的严格机密标签,也将自动获得附加标签。3、2024 年 4 月 1日之后发布的新 TISAX 评估程序不能再使用“信息高”或“信息非常高”的 TISAX 评估目标。已注册的TISAX范围中所有剩余的“信息高”和“信息非常高”目标将分别自动转换为“机密”和“高可用性”或“严格保密”和“非常高的可用性”。如果您只需要两个 TISAX 标签中的一个,请告知您的审核提供商,他将删除不必要的 TISAX 评估目标。4、与现有评估相关的评估活动,例如纠正行动计划评估、跟进或范围扩展,将不受影响,它们将使用与原始评估相同的评估目标进行。5、如果您认为新标签更适合您的组织和需求,则可以选择切换到 2024 年 4 月 1 日之后执行的评估活动的新标签。要了解是否可以切换以及适用哪些条件,请与您的审核提供商联系。