聚焦汽车行业信息安全标准灯塔：TISAX VDA ISA 6.0 解读

安永EY

2024.03.2919:57

关注

引言

面对日益增长的网络威胁，信息技术和生产环境下的数字化和网络化进程给汽车行业带来了全新的安全挑战。可信信息安全评估交换（TISAX®）是汽车行业通用的信息安全标签机制，被认为是汽车行业信息安全标准的灯塔。通过统一的评估机制，各种TISAX®标签为主机厂与其庞大的供应商网络之间建立互信、高效的业务关系奠定了基础。2023年10月16日，ENX协会（以下简称“ENX”）在其官网上正式发布了VDA ISA第六版（6.0）。2024年4月1日起，审核方将使用新版VDA ISA 6.0进行审核工作。本文将从变更进程、变化概括、关键变化点和企业应对等方面介绍VDA ISA第六版的更新。

VDA ISA标准变更进程

TISAX®是“Trusted Information Security Assessment Exchange”的简称，直译为可信信息安全评估交换，是汽车行业专用的信息安全标签机制，由VDA（德国汽车工业协会）开发，由ENX实际管理，TISAX®标签的审核遵循VDA ISA评估标准。由于汽车行业涉及大量敏感数据，包括客户信息、设计数据和车辆信息等，通过TISAX®标签，企业能够确保其信息安全措施达到行业标准，有效保护这些数据的安全性。此外，拥有TISAX®标签可以提高企业在汽车行业的竞争力，因为TISAX®标签证明了企业具备了满足行业标准的信息安全能力，增强了合作伙伴和客户对企业的信任。

VDA ISA标准变更从2012年起，陆续进行更新。2023年10月16日，ENX在其官网上正式发布了VDA ISA第六版（6.0）及其要求并在2024年4月1日起开始实施。在2024年3月31日之前开展的TISAX®评估工作仍以VDA ISA第五版为依据，正在开展的评估活动，如纠正行动计划评估（CAPA）、跟进评估（FUA）或范围扩展，仍以首次评估（IA）的VDA ISA版本为依据。从2024年4月1日起实施的新TISAX®评估程序将使用VDA ISA第六版进行。

VDA ISA 6.0的变化总结

VDA ISA 6.0在之前版本的基础上，在不同模块里分别进行了对应增加和调整，具体内容如下：

表1：VDA ISA6.0变化点

安永解读——TISAX合规体系建设要点

在VDA ISA 6.0发布之际，企业应将新版的变化视为加强安全实践和提高抵御网络威胁能力的良好契机，响应并建立信息安全管理体系，以确保满足VDA ISA 6.0的合规要求。

企业的信息安全管理体系建设应按照以下各阶段展开，并在每个阶段的工作中重点关注VDA ISA 6.0的变化点。

阶段一：内部启动

1确定审核级别和标签

VDA ISA 6.0对信息安全模块的标签进行了变更重组。

► 旧版的Info High(信息安全性高)标签将被Confidential（保密）和High Availability（可用性高）标签替代。

► 旧版的Info Very High（信息安全性极高）标签将被Strictly Confidential（严格保密）和Very High Availability（可用性极高）标签替代。

基于VDA ISA 6.0的标签变化，企业应首先明确审核级别和适用的标签。

2确定评估模式

VDA ISA 6.0更新了Simplified Group Assessment（即简化集团评估模式）的评估规则，新版的简化集团评估模式减少了附加评估要求的数量,较之旧版本中复杂的集团评估更为清晰便捷。具有高成熟度的信息安全体系的大型公司可以选择该简化评估模式，将集团内部的多个地点作为一个整体的评估对象进行审核，从而减少整体审核工作量，帮助企业更快地取得评估结果。

3组建项目团队

在明确了TISAX的审核级别、审核范围、评估模式后，需要向管理层汇报获取TISAX标签的合规需求，在得到管理层的支持后，应当拉通各个信息安全相关的部门，组建TISAX合规体系建设项目组。项目组一般包含以下部门。

► 业务部门：包括对车机、样车等进行项目管理、开发、测试和运维的所有职能，每个职能需指定一名同事作为对应TISAX要求的负责人。

► 技术部门：包括服务器、网络、信息安全、工业控制技术(OT)负责部门等，作为基础设施和信息安全控制的接口。

► 内部支持性部门：主要包括采购、人力资源、安保、法务、合规等部门，作为人力资源、物理安全等控制域的接口。

值得注意的是在VDA ISA 6.0中，除了考虑原先信息技术（IT）系统合规情况外，工业控制技术（OT）的合规要求也纳入了评估考量的范围，因此在项目启动阶段，应同时拉通工业控制技术（OT）负责部门以配合后续的审核工作。

阶段二：现状摸排

在确定TISAX合规体系建设项目组的部门组成后，项目负责人应召集一个内部启动会议，邀请各部门派遣代表理解项目背景、实施周期、各个部门的职责分工，并最好建立一个以周为单位的沟通机制，定期更新项目进展。

如条件允许，项目负责人可组织核心团队成员参加外部的TISAX培训，了解TISAX的标准要求与审核流程，然后依据TISAX的审核标准，共同进行一轮内部摸底；根据各个部门的职责，勾选对应的TISAX控制域，填写当前的安全控制成熟度，充分了解当前差距，评估后续需要开展的工作，例如，是否引入其他内部资源、外部的辅导机构，购买新的软硬件设备等；基于初步评估的结果，向管理层汇报后续的工作计划、人员安排和资金投入。

阶段三：引入外援

TISAX的合规要求，通常关联着与主机厂相关的业务合作准入，时间短，任务急。是否获得标签关系到企业业务的生存与发展，企业必须在有限的时间内集结到所需的资源满足合规要求。许多企业的信息安全部门受限于当前的组织架构，往往只负责IT相关的系统安全，或甚至仅负责日常的桌面运维安全。VDA ISA 6.0将工业控制技术（OT）的安全性也纳入评估范围，因此会涉及企业更多的业务部门（包括工业控制技术负责部门），而这些部门平日未必开展或参与信息安全工作，缺乏相关知识经验。外部咨询公司往往有多年的体系建设与应审辅导经验，可以帮助企业快速查缺补漏，因此聘请咨询公司开展体系建设辅导工作，成为很多企业的选择。

阶段四：体系建立

1全面“诊断”

根据现状摸底中各个控制域的职责分工，企业可在辅导机构的帮助下，通过对内部各部门的多轮访谈，充分了解自身的业务需求和安全现状，逐条对应已有的制度流程或执行记录；同时，需要辅导机构对各个不符合项的控制要求进行解读，制定详细的整改计划，明确整改责任人、整改完成时间、整改审批人等。

2制度和流程加固

在制度和流程加固过程中，企业应依据VDA ISA 6.0的要求和当前文档的差距，进行文档体系建设。大多数企业都面临的一个常见风险是，业务流程中已经有部分安全管控措施，但是缺少固化流程和方案。因此，企业需要协同辅导机构一起制定制度化、规范化、标准化的业务流程，使其能满足信息安全要求、避免信息安全风险的发生。

在体系文档建设的过程中，企业应着重关注VDA ISA 6.0中新增的控制要求。

表2：VDA ISA 6.0体系建设要点

体系编写完毕后，项目负责人应进行内部评审，确保制度流程与当前的业务相契合。经过多轮评审后，进行正式的制度规范发布。

体系发布后，项目负责人应通过培训在企业内部介绍制度体系并进行信息安全意识贯宣，为后续的信息安全体系落实到日常业务工作中奠定基础。

体系运行后，企业需要进行内部审核、管理评审，针对信息安全体系文档适用性、有效性进行验证，保证信息安全体系的持续有效运行。

3技术和工具加固

► TISAX对于数据、系统和网络等都有较高的技术保护要求，数据传输存储的加密、应用系统的高可用性、网络的冗余及带外管理等安全要求，都需要结合企业自身情况，通过技术手段或者工具进行加固。

► TISAX对于样件保护的物理环境、访问控制有许多安全要求，因此，涉及样件生产的企业应特别关注门窗安全设计，监控设备、报警装置、门禁/门锁等设施的现场部署情况。往往没有涉及样件生产（含有工厂）的企业，如开展车联网业务的企业，在这方面差距较大，需要结合审核条款，进行实施改造，准备专门的样件保护空间，设立门禁并对门窗做好封闭防盗处理。

► 涉及工业控制技术的企业除了在制度层面完善工业控制技术管理流程，还应部署工业控制技术安全措施，如部署工控防火墙、网闸等防护设备。

阶段五：应审准备

针对审核条款对应的文档记录，项目组应制作清晰的目录结构，提前准备好记录，指定各领域的负责人，在应审前进行培训和演练；互相挑战和提问，考虑各种可能遇到的问题；同时，在计划时间周期，与选定的外审机构进行审计计划、待准备材料的沟通。

结语

TISAX为汽车行业相关企业提供了一个全面的信息安全管理框架。通过获得TISAX标签，能够使企业自身的管理水平与产品质量得到质的提升，从而在行业内获得竞争力。VDA ISA 6.0的推出，使企业聚焦信息安全领域最新的合规要点，了解信息安全技术的发展趋势，为汽车行业的信息安全保驾护航。

安永德国作为全球首批获得ENX官方正式授权开展TISAX审核业务的机构之一，有幸见证了TISAX从初见雏形到被众多主机厂广泛认可的发展历程。通过和德国团队之间的高效衔接，安永中国1自2017年起在中国开展TISAX审核服务，支持中国汽车行业相关企业获得TISAX三年正式标签，最大程度上降低了中国企业与海外机构之间的沟通成本，并能根据企业的实际需求定制审核相关的体系培训和预审核工作。

同时，凭借在汽车行业的丰富经验，安永中国为各大主机厂和供应商提供符合VDA ISA标准的信息安全管理体系建设咨询服务，筹划TISAX合规路径，分析现状差距，辅导信息安全管理体系建设，开展关键人员培训，支持TISAX审核流程，助力汽车企业构建符合企业业务发展的信息安全管理体系。

注：

1. 安永（中国）企业咨询有限公司

如需了解更多信息，欢迎联系我们：