TISAX® ISA 6.0新版实施指南

汽车行业数字化转型迅猛发展，各类制造供应商和服务提供商的涌入构成了极其复杂的上下游供应链，其中任何一家组织发生信息安全问题都可能会对整个供应链造成巨大影响。在此背景下，TISAX®（Trusted Information Security Assessment Exchange可信信息安全评估交换）应运而生，旨在建立一个专门服务于汽车行业的信息安全评估框架，确保汽车行业内信息安全的一致性和高标准。

TISAX® 为汽车行业提供了一个全面、高效的信息安全管理框架。通过实施TISAX® 认证，组织不仅能够提高其信息安全水平，还能在竞争激烈的市场中获得优势。随着VDA ISA 6.0的发布，TISAX® 的标准被进一步提高，更好地反映了当前的安全威胁和技术发展趋势，也为整个汽车行业的数据安全和合作提供了更坚实的基础。

延伸阅读

1、企航顾问TISAX®可信信息安全评估交换机制服务介绍

2、TISAX®与ISO/IEC27001的比较研究
3、TISAX®（可信信息安全评估及交换机制）合规体系建设方案

TISAX® ISA 6.0新版过渡期要求

2023年10月16日，VDA ISA 6.0发布，将于2024年4月1日生效。这意味着在此之后注册的新TISAX评估将使用VDA ISA 6.0版本进行。不过，如果组织在2023年3月31日前完成ENX注册、选择TISAX审核机构并预约审核，则仍可在一定期限内采用VDA ISA 5.1版本进行审核。若企业近期希望获取TISAX标签或标签即将失效，可根据实际需求选择审核版本，并尽早为新版本审核做准备。

TISAX® ISA 6.0新版标签的变更

较之前的5.1版本，VDA ISA 6.0将信息安全目录下的“Info High（处理保护需求较高的信息）”和“Info Very High（处理保护需求极高的信息）”标签更改为“Confidential（访问保密信息）”和“Strictly Confidential（访问严格保密的信息）”标签，并引入了全新的“High Availability（信息高可用性）”、“Very High Availability（信息的极高可用性）”标签。该目录下的标签重组，说明了汽车制造供应商和服务提供商除了可以确保传递的敏感信息保密，也能证明其具备一定的弹性，以应对网络威胁和突发事件造成的业务中断。

已经按照旧版本完成的审核仍将保留其有效性。如果组织的 TISAX标签未过期，其已经拥有的“Info High”或“Info Very High”标签将自动转换为“Confidential”或“Strictly Confidential”标签，原有的 “Info High” 或 “Info Very High” 标签仍将继续保持有效。

TISAX® ISA 6.0新版换版要点

VDA ISA 6.0强调信息技术（IT）和运营技术（OT）的可用性，防范网络领域和物理安全方面的中断，其关键变化点具体如下：

1、信息安全模块

VDA ISA 6.0对多个控制描述做了调整，并新增了5个控制点，涉及话题有软件安全、事件与危机管理、备份与恢复。

2、实施参考指南

VDA ISA 6.0索引至德国联邦信息安全办公室IT基本保护汇编（BSI IT-Grundschutz-Compendium）、信息系统和组织的安全和隐私控制（NIST SP800-53r5）等标准，为控制要求如何落地实施提供方向。

3、实施参考标准

除了新版ISO/IEC 27001:2022外，VDA ISA 6.0还参考了工业自动化和控制系统信息安全（ISA/IEC 62443-2）和美国国家标准与技术研究所网络安全框架（NIST Cyber Security Framework Version 1.1）等标准，确保TISAX符合国际公认的信息安全最佳实践。

4、简化集团评估 (Simplified Group Assessments)

当大型组织具有足够成熟的信息安全体制时，可以选择接受简化集团评估。VDA ISA 6.0说明了可选择简化集团评估的前提条件。

5、原型保护模块

VDA ISA 6.0明确原型保护模块的保护对象为“物理原型”，这意味着图纸、程序、照片等将不再是该模块的关注重点。

6、数据保护模块

VDA ISA 6.0重塑了数据保护模块的架构，细化了每个控制点的要求，方便组织理解控制目标及要求。