大数跨境
首页
>
TISAX VDA/ISA 第六版更新说明
>
0
0

TISAX VDA/ISA 第六版更新说明

TISAX VDA/ISA 第六版更新说明 必维BureauVeritas
2023-11-20
2


NEW
必维集团
TISAX
VDA/ISA
关于
第六版更新的说明


01
Number
改版目的



TISAX VDA/ISA 第六版 ,自 2024 年 4 月 1 日起生效。随着数字化经济的发展,信息和网络安全比以往任何时候都更加重要,尤其对于汽车行业来说如此,对于在供应链的重要性方面也如此。


越来越多的制造供应商和服务提供商深入参与到产品开发和生产过程,作为产品开发的一部分,制造供应商和服务提供商会收到主机厂敏感和机密信息,因此,他们必须证明其管理过程符合信息安全要求,特别是在保密性方面。


另外,作为生产材料和系列化零部件的供应商,整车的顺利生产取决于您,这些制造供应商和服务提供商必须具备适当的弹性,以应对网络领域和物理安全方面的中断。


来自汽车制造商以及制造供应商和服务提供商的专家在VDA和ENX内部一起合作,共同制定了具有充分保护措施的标准。此次合作的两个重要成果是信息安全评估的行业标准、VDA 信息安全评估 (VDA-ISA) 目录,以及 ENX 审计和可信信息安全评估交换机制(ENX TISAX)。


02
Number
主要变化



目前,汽车行业价值链的公司根据当前的 VDA-ISA 目录建立信息安全管理体系只是汽车行业信息安全管理系统 (ISMS) 的基础。未来,汽车行业的制造供应商和服务提供商除了保密标签外,还可以在可用性领域证明其管理过程符合网络安全和信息安全要求。VDA-ISA 目录 6.0版 中新增了“可用性”(availability)标签,该目录已经修订,将于 2024 年 4 月 1 日生效。


凭借VDA-ISA和ENX TISAX这两个标准,汽车行业已经获得了公认的先进标准。在此次第6.0版修订中,引入了部分IEC 62443-2-1:2010 标准要求,它定义了为工业自动化和控制系统 (IACS) 建立网络安全管理系统 (CSMS) 所需的要素,并就如何开发这些要素提供了指导,也引入了部分NIST SP 800-53标准要求,它定义了信息系统和组织的安全和隐私控制 ,吸收了NIST CSF标准要求-网络安全框架,从而使VDA-ISA和ENX TISAX两个标准成为该行业遵守法律法规的重要基础。


众所周知,ISO27001:2022版已经生效,VDA-ISA 标准新版6.0 也相应更新了对应条款要求。


有关 VDA-ISA 6 和 ENX TISAX 标签变化的详细技术信息,以及对 TISAX 审核的具体影响,可访问 VDA官网:

https://www.vda.de/en/topics/digitization/data/information-security。


03
Number
换版要求


1

ENX已于2023年10月17日在其官网正式发布了VDA ISA 第六版及其升版要求,并给出了评估准备和实施的建议。

2

若在2024年4月1日后实施评估,则原则上必须依据新版本(第6.0版)进行评估。

3

对于新注册的TISAX项目,若在2024年3月31日前实施,仍可使用旧版本(第5版)。这里的“实施”,建议至少完成启动会(Kick-off Meeting),同时确保TISAX官网中本项目的状态被更新为 “Ordered”。

4

若注册申请时是旧版本(第5版),但申请组织认为第6版更为适合于自身需求,可以选择切换至2024年4月1日后依据新版本(第6版)实施评估。

5

对于已完成评估的项目,只要TISAX标签没有过期(无论是临时标签或是正式标签),都无需重新按新版要求进行评估。

6

对于已获得 “Info High ”或 “Info Very High” 标签的场所,将自动获得 “Confidential”或 “Strictly Confidential” 标签。原有的 “Info High” 或 “Info Very High” 标签将会保持有效,无需采取进一步行动。

7

若基于已有评估结果进行新的评估活动,如纠正措施计划评估、整改证据验证或范围扩展,则可继续依据原评估的相同版本予以实施。

8

在 2024 年 4 月 1 日之前评估状态为“ordered”的新 TISAX 评估程序仍将使用“Info” TISAX 评估目标。一旦评估符合 TISAX 标签的条件,所有地点都将自动获得 “Confidential”标签,并且对于“Info Very High”, “strictly confidential”标签作为附加标签。

9

2024年4月1日之后注册的新TISAX评估不能再使用 “Info High” 或 “Info Very High” TISAX 评估目标。已经注册TIAX范围内的 “Info High” 或 “Info Very High” 评估目标将分别自动转换为 “Confidential” 和 “High Availability” 或 “Strictly Confidential” 和 “Very High Availability”。如果您只需要两个TISAX标签中的一个,请联系必维认证联系人,我们将协助您删除不必要的TISAX评估目标。

10

Transition 路线图仅供参考:



  

总   结
01


ENX定义了新旧版本要求的切换时间点,申请组织可以依据自身的准备完成情况,以及OEM的要求,来策划相应的TISAX评估实施进度和计划。

02


本次实施标准版本升级,并不会影响已持有TISAX标签的客户,有效期亦不会因此而改变。


扫描二维码 咨询更多业务




如需相关业务咨询,请点击“阅读原文”

【声明】内容源于网络
0
0
必维BureauVeritas
必维集团成立于1828年,是全球知名的国际检验、认证集团,其服务领域集中在质量、健康、安全和环境管理以及社会责任评估领域
内容 1308
粉丝 0
必维BureauVeritas 必维集团成立于1828年,是全球知名的国际检验、认证集团,其服务领域集中在质量、健康、安全和环境管理以及社会责任评估领域
总阅读23
粉丝0
内容1.3k