新的TISAX保密性和可用性标签

背景

虽然保密性是信息安全的一个重要角度，但信息安全还包括保护信息的完整性和可用性。在过去，TISAX主要应用于处理机密信息的组织和地点。

最近，另一个重要的威胁由于其影响而受到关注 -- 勒索软件攻击。虽然这也是对保密性的威胁，但从对组织提供产品或服务的能力的影响来看，可用性可能更糟糕。例如，一个关键供应商的生产中断会在汽车供应链中造成严重的损失。在许多情况下，TISAX正是你需要解决的风险。

评估目标和相关的附加要求

TISAX 使用评估目标和 TISAX 标签，根据组织的风险状况配置评估和评估结果。

自 2022 年起，新的 VDA ISA 目录 5.1 适用于所有新的 TISAX® 评估。ISA已经验证了所有的基线要求（"必须 "和 "应该"）在保密性、完整性和可用性方面都同样有效。在ISA 5.1版本中出现在每个附加要求末尾的字母C、I和A的组合，其中 "C "代表保密性，"I "代表完整性，"A "代表可用性。

拆分TISAX的评估目标

目前的 "处理有高度保护需求的信息"（"Info High"）标签将被拆分为

• "保密性 "和
• "高可用性"。

相应地，目前的 "处理具有非常高保护需求的信息"（"信息非常高"）将被分割为

• "高度保密 "和
• "非常高的可用性"。

这些目标的新设置如下。

• "机密 "涵盖所有基线要求，以及所有标有C的高保护需求的额外要求。
• "高可用性 "包括所有基线要求，以及所有标有A的高保护需求的额外要求。
• "高度保密 "包括所有基线要求，以及所有标有C的高和非常高的保护需求的额外要求。
• "非常高的可用性 "包括所有基线要求，以及所有标有A的高和非常高的保护需求的额外要求。

请注意，新的 TISAX 标签是原来的 "信息高 "和 "信息非常高 "标签的一个子集。这一拆分并没有引入任何新的要求或改变TISAX评估等级。

由于 "保密性 "标签与旧的 "信息 "标签几乎相同，ENX将保留这些标签的原名，并在第二步完成拆分。一旦这一变更准备好，ENX 将提供另一个更新。

新TISAX标签的过渡

• 拥有 "高信息量 "标签的组织将自动在ENX门户网站上为其评估结果分配新的 "高可用性"。
• 一旦 "保密性 "标签可用，预计也会同样处理。
• 作为TISAX审核服务提供者，DQS正准备在2023年根据新的TISAX评估目标提供评估服务。
• 如果您作为参与者，正在注册一个新的范围并计划在2023年进行评估，您已经可以选择新的评审目标。
• 新的标签已经在 ENX 门户网站上准备好，可供选择，并从2023年开始进行评估。
• 在过渡期结束之前（即保密标签的实施），您仍然可以使用 "信息高 "和 "信息非常高 "的TISAX评估目标。

什么是TISAX？

TISAX®是针对 "VDA信息安全评估"（VDA ISA）要求的评估程序，汽车行业的供应商或服务提供商可以用它来确保提供给他们的信息的安全性。TISAX®是Trusted Information Security Assessment eXchange的缩写，用于对处理客户委托给他们的敏感信息的供应商和服务提供商进行审核。

除了典型的一级供应商，TISAX®审核也越来越多地被要求对其他次级供应商--以及数据处理或广告领域的服务供应商进行审核。

DQS - TISAX审核的正确合作伙伴

DQS是经ENX批准的TISAX审核供应商，因此可以在全球范围内进行TISAX®评估。DQS的所有TISAX®审核员也是ISO 27001的认可审核员。

保持信息畅通，订阅DQS的新闻通讯。

参考来源：www.enx.com。