TISAX ISA6の要求事項の概要

TISAXの規格の要求事項は、ISA6のエクセルファイルにまとまめられています。要求事項(基準カタログという)には、information security, protptype protection, data protectionの3つのセクションがあります。具体的にはTISAXを要求する客先が基準カタログのどの項目を要求するかにより、対策を講じる必要があります。

ここでは、最も一般的と思われる「情報セキュリティ」(information security)の要求事項の概観を説明します。

 

ISA6information securityには1.1.1から7.1.2まで46の要求事項があります。

各々の要求事項は、「質問」「目的」と共に、mustとshouldの二つの要求レベルがあります。また、保護ニーズの非常に高い情報の取扱が客先から要求された場合、要求事項が追加される項目もあります。

 

各々の要求事項は、他の規格を参照しています。引用規格は、ISO27001:2022(2013)(情報セキュリティマネジメントシステム)、ISO27017(クラウドセキュリティ)、ISA/IEC 62443(産業用オートメーション及び制御システムのセキュリティ-)、NIST CSF 1.1(米国国立標準技術研究所Cybersecurity Framework Version 1.1)などです

策14,技術的管理策34の合計93の管理策を列挙しています。

 

このうち、ISA6のinformation securityカタログが参照しているのは、ISO27001の組織的管理策を中心に37項目のみです。したがって、ISO27001:2022の管理策をすべて適用したISO27001認証を取得している場合、基本的にはISA6を満足していることになります。