Projděte si proces hodnocení TISAX a sdílejte výsledek hodnocení se svým partnerem
Vydal:
ENX Association
sdružení podle francouzského zákona z roku 1901,
zapsané pod č. w923004198 u Sous-préfecture Boulogne-Billancourt, Francie.
Adresy
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francie
Bockenheimer Landstraße 97-99, 60325 Frankfurt nad Mohanem, Německo
Autor
Florian Gleich
Kontakt
Verze
Datum: |
06.03.2024 |
Verze: |
2.7.1 |
Klasifikace: |
Public |
ENX doc ID: |
602-CZ |
Upozornění na autorská práva
Všechna práva jsou vyhrazena asociací ENX Association.
ENX, TISAX a jejich příslušná loga jsou registrované ochranné známky sdružení ENX.
Uvedené ochranné známky třetích stran jsou majetkem jejich příslušných vlastníků.
1. Přehled
1.1. Účel
Vítejte na stránkách TISAX určených k výměně hodnocení zabezpečení důvěrných informací.
Jeden z vašich partnerů vás požádal, abyste prokázali, že vaše správa zabezpečení informací odpovídá definované úrovni podle požadavků „Hodnocení zabezpečení informací“ (ISA). A vy teď chcete vědět, jak tomuto požadavku vyhovět.
Účelem této příručky je umožnit vám splnit požadavek vašeho partnera — nebo získat výhodu tím, že jej předejdete dříve, než o něj partner požádá.
Tato příručka popisuje kroky, které je třeba učinit, abyste mohli absolvovat hodnocení TISAX, a výsledek tohoto hodnocení sdílet s partnerem.
Zavedení a udržování systému správy zabezpečení informací (ISMS) je už tak složitý úkol. Prokázat partnerovi, že vaše správa zabezpečení informací je na úrovni, tuto náročnost ještě zvyšuje. Tato příručka vám s procesem správy zabezpečení informací nepomůže. Jejím cílem je však co nejvíce vám usnadnit práci při dokazování vaší snahy partnerovi.
1.2. Oblast působnosti
Tato příručka se vztahuje na všechny postupy TISAX, kterých se případně účastníte.
Obsahuje vše, co potřebujete vědět, abyste procesy TISAX mohli absolvovat.
Příručka nabízí několik rad, jak se vypořádat s požadavky na zabezpečení informací, které jsou podstatou hodnocení. Jejím cílem však není poskytnout obecné informace o tom, co je třeba udělat, abyste hodnocením zabezpečení informací prošli.
1.3. Publikum
Hlavním publikem této příručky jsou společnosti, které potřebují nebo chtějí doložit definovanou úroveň správy zabezpečení informací podle požadavků uvedených v dokumentu Hodnocení zabezpečení informací (ISA).
Jakmile se aktivně zapojíte do procesů TISAX, budou pro vás informace uvedené v této příručce přínosem.
Přínosem budou také pro společnosti, které od svých dodavatelů vyžadují doložení definované úrovně správy zabezpečení informací. Tato příručka jim umožní pochopit, jaké kroky musí učinit jejich dodavatelé, aby splnili jejich požadavek.
1.4. Struktura
Začneme stručným představením systému TISAX a poté hned přejdeme k pokynům, JAK na to. Najdete zde vše, co potřebujete k projití procesu — v pořadí, které je potřeba znát.
Odhadovaná doba na přečtení dokumentu je 75–90 minut.
1.5. Jak tento dokument používat
Dříve nebo později budete zřejmě chtít porozumět většině toho, co tento dokument obsahuje. Chcete-li být řádně připraveni, doporučujeme přečíst si celou příručku.
Strukturovali jsme příručku podle tří hlavních kroků postupu TISAX, takže můžete přejít k části, kterou potřebujete, a zbytek dočíst později.
V příručce jsou použity ilustrace, které vám pomohou k lepšímu porozumění. Barvy ilustrací mají často další význam. Proto doporučujeme číst dokument na obrazovce počítače nebo v barevné tištěné podobě.
Vážíme si vaší zpětné vazby. Pokud se domníváte, že v této příručce některá informace chybí nebo není srozumitelná, neváhejte nám to sdělit. Za vaše připomínky budeme vděčni jak my, tak všichni budoucí čtenáři této příručky.
Pokud jste již předchozí verzi příručky pro účastníky TISAX již používali, na konci dokumentu lze nalézt užitečné poznámky v Část 8, “Historie dokumentů”.
1.6. Kontaktujte nás
Jsme zde, abychom vás procesem TISAX provedli a zodpověděli všechny vaše případné dotazy.
Pošlete nám e-mail na: |
|
Nebo nám zavolejte na: |
V Německu nás můžete zastihnout v běžné pracovní době (UTC+01:00).
Všichni hovoříme anglicky a německy. Jeden z kolegů je rodilý mluvčí italštiny.
Upozorňujeme na Část 7.13, “Příloha: Řízení stížností”.
1.7. Příručka pro účastníky TISAX je k dispozici v dalších jazycích a formátech
Příručka pro účastníky TISAX je k dispozici v následujících jazycích a formátech:
Jazyk | Verze | Formát | Odkaz |
---|---|---|---|
angličtina |
2.7.1 |
online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
němčina |
2.7.1 |
online |
|
offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
francouzština |
2.7 |
online |
|
offline |
|||
čínština |
2.7 |
online |
|
offline |
|||
španělština |
2.7 |
online |
|
offline |
|||
japonština |
2.7 |
online |
|
offline |
|||
brazilská portugalština |
2.7 |
online |
|
offline |
|||
italština |
2.7.1 |
online |
|
offline |
|||
korejština |
2.7 |
online |
|
offline |
|||
čeština |
2.7.1 |
online |
|
offline |
|||
polština |
2.7.1 |
online |
|
offline |
|||
|
Důležité upozornění: Anglická verze je tou hlavní. |
1.7.1. O českém překladu
Tato příručka pro účastníky TISAX je překladem anglické verze.
Všechny dokumenty, z nichž TISAX vychází, byly připraveny v angličtině (např. všechny smlouvy a požadavky na poskytovatele auditorských služeb TISAX). Proto váš partner nebo poskytovatel auditu může používat některé pojmy specifické pro systém TISAX v angličtině.
Ve snaze umožnit vám mapování jsme v překladu příručky pro účastníky TISAX buď ponechali původní anglický termín TISAX, nebo jsme jej uvedli v závorce hned za překladem.
1.7.2. O formátu online
Každý oddíl má své unikátní ID (formát: ID1234).
Tento identifikátor odkazuje na konkrétní oddíl bez ohledu na jazyk.
Pokud chcete odkázat na konkrétní oddíl, je možné:
-
kliknout pravým tlačítkem myši na název oddílu a odkaz zkopírovat,
-
nebo kliknout na název oddílu a zkopírovat odkaz z adresního řádku prohlížeče.
Většina obrázků je ve výchozím nastavení k dispozici ve větší velikosti, než se ukazuje zde. Kliknutím na obrázek otevřete jeho větší verzi.
1.7.3. O formátu offline
Formát offline zachovává většinu funkcí formátu online. Především jsou obrázky vloženy do souboru HTML. K použití formátu offline potřebujete pouze jeden soubor.
Ve srovnání s formátem online je formát offline dodáván bez:
-
větších obrázků
-
původních písem formátu online.
Typ písma je určen výchozím nastavením vašeho prohlížeče.
1.7.4. O formátu PDF
Pokud na svém počítači používáte formát PDF, můžete i nadále klikat na všechny odkazy. Pokud si však verzi PDF vytisknete, nebudete mít k dispozici některé položky, například čísla stránek, a odkazy si budete muset vyhledat sami.
2. Úvod
Následující oddíly představí koncepci TISAX.
Pokud spěcháte, můžete je přeskočit a začít rovnou s Část 4.3, “Příprava registrace”.
2.1. Proč právě TISAX?
Či spíše, proč jste tady?
V odpovědi na tuto otázku začneme několika úvahami o podnikání obecně a o ochraně informací zejména.
Představte si svého partnera. Disponuje důvěrnými informacemi. Chce se o ně podělit se svým dodavatelem — vámi. Spolupráce mezi vámi a vaším partnerem vytváří hodnotu. Informace, které s vámi váš partner sdílí, jsou důležitou součástí tohoto procesu vytváření hodnoty. Proto je chce náležitě chránit. A zároveň si chce být jistý, že vy s jeho informacemi nakládáte se stejnou péčí.
Kde ale může vzít jistotu, že jsou jeho informace v dobrých rukou? Nemůže vám jen tak „věřit“. Váš partner vyžaduje předložení nějakého důkazu.
Vynořují se dvě otázky. Kdo stanoví, co znamená „bezpečné“ nakládání s informacemi? A dále, jak to dokážete?
2.2. Kdo definuje význam slova "bezpečný"?
Vy a váš partner nejste sami, kdo těmto otázkám čelí poprvé. Odpovědi na ně musí hledat téměř každý a většina odpovědí bude vykazovat podobnosti.
Namísto toho, abyste pokaždé samostatně vymýšleli řešení společného problému, standardní způsob vás zbaví zátěže vytvářet vše od začátku. Definování normy sice představuje obrovské úsilí, ale vytvoří se jen jednou a ti, kdo se jí řídí, z ní pokaždé profitují.
Názory na to, jak správně chránit informace, se jistě liší. Z důvodu výše zmíněných výhod se však většina společností spokojí s normami. Norma je zhuštěná podoba všech osvědčených a časem prověřených nejvhodnějších postupů při řešení daného problému.
Ve vašem případě normy jako ISO/IEC 27001 (o systémech řízení zabezpečení informací neboli ISMS) a jejich realizace stanovují nejmodernější způsob bezpečného nakládání s důvěrnými informacemi. Takové normy vám ušetří nutnost pokaždé znovu vynalézat kolo. A co je ještě důležitější, normy poskytují společný základ v situaci, kdy si dvě společnosti potřebují vyměňovat důvěrné údaje.
2.3. Cesta automobilového průmyslu
Normy nezávislé na odvětví jsou ze své podstaty navrženy jako řešení univerzální, nikoliv řešení přizpůsobené specifickým potřebám automobilových společností.
Automobilový průmysl již před dlouhou dobou zřídil sdružení, jejichž cílem bylo — mimo jiné — zdokonalit a definovat normy, které by vyhovovaly konkrétnějším potřebám. Jedním z nich je „Verband der Automobilindustrie“ (VDA). V pracovní skupině, která se věnuje zabezpečení informací, dospělo několik členů z automobilového průmyslu k závěru, že mají podobné potřeby přizpůsobit stávající normy správě zabezpečení informací.
Jejich společné úsilí vedlo k vypracování dotazníku, který zahrnuje všeobecně přijímané požadavky automobilového průmyslu na zabezpečení informací. Nazývá se Hodnocení zabezpečení informací (ISA – Information Security Assessment).
Díky ISA máme nyní odpověď na otázku „Kdo definuje význam slova „bezpečný“?“ Skrze VDA tuto otázku zodpovídá svým členům samotný automobilový průmysl.
2.4. Jak efektivně prokázat zabezpečení?
Zatímco některé společnosti používají ISA pouze k interním účelům, jiné jej využívají k hodnocení vyspělosti správy zabezpečení informací u svých dodavatelů. V některých případech je pro obchodní vztah plně dostačující vlastní hodnocení. V jistých situacích však společnosti provádějí kompletní hodnocení správy zabezpečení informací u svých dodavatelů (včetně auditů na místě).
Spolu se všeobecně rostoucím povědomím o potřebě správy zabezpečení informací a rozšiřujícím se zaváděním ISA jako nástroje k hodnocení zabezpečení informací se stále více dodavatelů střetávalo s podobnými požadavky ze strany různých partnerů.
Tito partneři nadále uplatňovali různé normy a na jejich výklad měli různé názory. Dodavatelé ale museli v zásadě prokazovat totéž, jen různými způsoby.
A čím častěji byli dodavatelé svými partnery vyzýváni, aby prokázali úroveň správy zabezpečení informací, tím hlasitější byly jejich stížnosti ve formě opakovaného úsilí. Předvádět auditorovi za auditorem stejná opatření v oblasti správy zabezpečení informací prostě není efektivní.
Co lze udělat pro to, aby to bylo efektivnější? Nepomohlo by, kdyby zprávu každého auditora bylo možné použít opakovaně pro různé partnery?
Výrobci originálního zařízení a dodavatelé v pracovní skupině ENX, která odpovídá za udržování ISA, vyslyšeli stížnosti svých dodavatelů. Teď svým dodavatelům i všem ostatním společnostem v automobilovém průmyslu nabízejí odpověď na otázku „Jak prokázat zabezpečení?“
Odpovědí je TISAX, zkratka pro „Trusted Information Security Assessment Exchange” ( „Výměna hodnocení zabezpečení důvěrných informací“).
3. Proces TISAX
3.1. Přehled
Proces TISAX obvykle[1] začíná tím, že jeden z vašich partnerů vás požádá, abyste prokázali, že deklarovaná úroveň správy zabezpečení informací je v souladu s požadavky „hodnocení zabezpečení informací“ (ISA). Abyste tomuto požadavku vyhověli, musíte dokončit třístupňový proces TISAX. V této části najdete přehled kroků, které musíte provést.
Třístupňový proces TISAX se skládá z následujících kroků:
1. krok |
|
2. krok |
|
3. krok |
-
Registrace
Shromažďujeme informace o vaší společnosti a o tom, co musí být obsahem hodnocení. -
Hodnocení
Procházíte hodnocením (hodnoceními), které provádí některý z našich poskytovatelů auditu TISAX. -
Výměna
Výsledek hodnocení sdělíte svému partnerovi.
Každý krok se skládá z hodnocení několika dílčích kroků. Ty jsou nastíněny ve třech níže uvedených částech a podrobně popsány v příslušných oddílech níže.
|
Upozorňujeme: Ačkoli bychom vám samozřejmě rádi sdělili, za jak dlouho získáte výsledek hodnocení TISAX, žádáme vás o pochopení, jelikož není v našich silách to spolehlivě předpovědět. Celková doba trvání procesu TISAX závisí na příliš mnoha faktorech. Vzhledem k velké různorodosti velikostí společností a cílů hodnocení spolu s danou připraveností systému správy zabezpečení informací je to nemožné. |
3.2. Registrace
Vaším prvním krokem je registrace do systému TISAX.
Hlavním účelem registrace TISAX je získat informace o vaší společnosti. Abyste nám tyto informace mohli poskytnout, používáme registrační proces online.
Je to předpoklad všech následných kroků. Jako takový je zpoplatněn.
Během procesu registrace online:
-
Vás požádáme o kontaktní a fakturační údaje.
-
Jste nuceni přijmout naše smluvní podmínky.
-
Můžete vymezit rozsah hodnocení zabezpečení informací.
Přímé zahájení tohoto kroku viz Část 4, “Registrace (1. krok)”.
Proces registrace online je podrobně popsán viz Část 4.5, “Proces registrace online”. Pokud však chcete začít ihned, přejděte na enx.com/en-US/TISAX/.
3.3. Hodnocení
Druhým krokem je hodnocení zabezpečení informací.
To se skládá ze čtyř dílčích kroků:
-
Příprava hodnocení
Hodnocení musíte připravit. Rozsah této přípravy závisí na aktuální úrovni vyspělosti vašeho systému správy zabezpečení informací. Vaše příprava musí vycházet z katalogu ISA. -
Výběr poskytovatele auditu
Je třeba vybrat si některého z našich poskytovatelů auditu TISAX. -
Hodnocení zabezpečení informací
Váš poskytovatel auditu provede hodnocení na základě rozsahu hodnocení, který vyhovuje požadavkům vašeho partnera. Proces hodnocení bude sestávat přinejmenším z úvodního auditu.
Pokud vaše společnost neprojde hodnocením hned, je možné, že proces hodnocení bude vyžadovat další kroky. -
Výsledek hodnocení
Jakmile vaše společnost úspěšně projde hodnocením, poskytovatel auditu vám předá oficiální zprávu o hodnocení TISAX. Za výsledek hodnocení navíc obdržíte známky TISAX[2].
Další informace o tomto kroku viz Část 5, “Hodnocení (2. krok)”.
3.4. Výměna
Vaším třetím a posledním krokem je sdílení výsledku hodnocení s partnerem. Obsah zprávy o hodnocení TISAX je strukturován do úrovní. Můžete si určit, do které úrovně bude mít váš partner přístup.
Váš výsledek hodnocení je platný po dobu tří let. Za předpokladu, že pak budete stále dodavatelem vašeho partnera, musíte znovu absolvovat třístupňový proces[3].
Další informace o tomto kroku viz Část 6, “Výměna (3. krok)”.
Teď, když máte základní představu o tom, co to proces TISAX je, jsou Vám v dalších částech k dispozici pokyny k provedení jednotlivých kroků.
4. Registrace (1. krok)
Odhadovaná doba na přečtení části registrace je 30–40 minut.
4.1. Přehled
Registrace do systému TISAX je váš první krok. Je to předpoklad všech následných kroků.
Průvodce registrací se nachází v následujících oddílech:
-
Začínáme vysvětlením nového zásadního pojmu.
-
Pak vám poradíme, co byste měli udělat, abyste byli připraveni na proces registrace online.
-
Dále vás procesem registrace online provedeme.
4.2. Jste účastníkem TISAX
Nejprve si představme nový pojem, kterému je třeba porozumět. Doposud jste byli „dodavatelem“. Přicházíte, abyste splnili požadavek svého „zákazníka“. TISAX samotný však mezi těmito dvěma rolemi ve skutečnosti nerozlišuje. Pro TISAX je účastníkem každý, kdo se zaregistroval. Vy — i váš partner — se účastníte výměny výsledků hodnocení zabezpečení informací.
Vaše společnost |
|
Registrace do systému TISAX |
|
Účastník TISAX |
K rozlišení obou těchto rolí vás jakožto dodavatele budeme od počátku označovat jako „aktivního účastníka“. Vašeho partnera označujeme jako „pasivního účastníka“. Jako „aktivní účastník“ se necháváte hodnotit systémem TISAX a výsledek hodnocení sdílíte s ostatními účastníky. „Pasivním účastníkem“ je ten, kdo požádal o vaše hodnocení systémem TISAX. „Pasivní účastník“ obdrží výsledek vašeho hodnocení.
1. Vyžádá si hodnocení od |
|
Pasivní účastník |
|
Aktivní účastník |
|
2. Nechá si provést hodnocení TISAX |
|
3. Sdílí výsledek s |
Jakákoli společnost může plnit obě role. Výsledek hodnocení můžete sdílet se svým partnerem a současně požádat své vlastní dodavatele o provedení hodnocení TISAX.
Váš zákazník |
|
Sdílíte se zákazníkem |
|
Aktivní účastník |
|
Vy |
|
Pasivní účastník |
|
Sdílí s vámi |
|
Váš vlastní dodavatel |
Požadavek na vlastní dodavatele, aby se nechali hodnotit systémem TISAX, může být dokonce obzvláště vhodný, pokud vaši vlastní dodavatelé nakládají také s informacemi vašeho partnera vyžadujícími ochranu.
4.3. Příprava registrace
V této části vám přinášíme doporučení, jak se na registraci připravit. Vlastní proces registrace detailně popisujeme v Část 4.5, “Proces registrace online”.
Dříve, než se do procesu registrace online pustíte, důrazně doporučujeme:
-
si předem shromáždit informace
-
a učinit některá rozhodnutí.
4.3.1. Právní základ
Zpravidla musíte podepsat dvě smlouvy. První smlouva, kterou uzavřete, je mezi vámi a sdružením ENX Association: „Všeobecné podmínky a pravidla účasti v programu TISAX“ (VPP pro účastníky programu TISAX). Druhá smlouva je uzavřena mezi vámi a jedním z našich poskytovatelů auditu TISAX. Pro účely registrace se budeme zabývat pouze první smlouvou.
VPP pro účastníky programu TISAX upravují náš vzájemný vztah a váš vztah s ostatními účastníky TISAX. Stanovují práva a povinnosti nás všech. Vedle obvyklých ustanovení, která najdete ve většině smluv, podrobně definují nakládání s informacemi vyměněnými a získanými během procesu TISAX. Hlavním cílem těchto pravidel je zachovat důvěrnost výsledků hodnocení TISAX. Vzhledem k tomu, že se na všechny účastníky systému TISAX vztahují stejná pravidla, lze očekávat odpovídající ochranu výsledků hodnocení TISAX ze strany vašeho partnera (v jeho roli pasivního účastníka).
Poměrně brzy v procesu registrace online vás požádáme o přijetí VPP účastníka TISAX. Jelikož se jedná o skutečnou smlouvu, doporučujeme přečíst si VPP účastníka TISAX ještě před zahájením procesu registrace online. Jeden z důvodů je ten, že v závislosti na vaší funkci ve firmě bude možná nutné získat povolení od interního nebo externího právníka.
Můžete si stáhnout „Všeobecné podmínky a pravidla účasti v programu TISAX “[4] na našich webových stránkách na adrese:
enx.com/en-US/TISAX/downloads/
Přímo ke stažení ve formátu PDF:
enx.com/tisaxgtcen.pdf
Při registraci online vás požádáme o zaškrtnutí dvou povinných políček:
-
❏ We accept the TISAX Participation General Terms and Conditions ( Souhlasíme se všeobecnými podmínkami a pravidly účasti v TISAX)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( Potvrzujeme, že víme o zbavení profesní povinnosti mlčenlivosti poskytovatelů auditu podle oddílu IX.5 a X.3 všeobecných podmínek a pravidel účasti v systému TISAX;)
Druhé zaškrtávací políčko máme proto, že někteří z našich poskytovatelů auditu TISAX jsou certifikovaní účetní. Mají zvláštní požadavky týkající se zachování profesního tajemství. Zvláštní požadavky týkající se profesního tajemství obvykle zakazují certifikovaným účetním mezi našimi poskytovateli auditu sdílet s námi informace. Tím by se zejména zrušily možnosti kontroly, které potřebujeme k vykonávání své řídicí role. Proto toto zpřístupnění potřebujeme. Před zaškrtnutím políčka je vhodné věnovat těmto doložkám zvláštní pozornost.
Jestliže běžně vyžadujete uzavření dohody o mlčenlivosti (NDA) mezi vámi a kýmkoli, kdo nakládá s důvěrnými informacemi, prostudujte si příslušné oddíly našich VPP. Měly by řešit všechny vaše připomínky. Navíc nám zpravidla nemusíte poskytovat vůbec žádné důvěrné informace.
Závěrem právní části vás žádáme o pochopení, neboť systém závisí na tom, zda všichni přijmou stejná pravidla. Nemůžeme tedy přijímat žádné další všeobecné podmínky a pravidla[5].
4.3.2. Rozsah hodnocení systémem TISAX
Ve druhém kroku procesu TISAX provede jeden z našich poskytovatelů auditu TISAX hodnocení zabezpečení informací. Musí vědět, kde začít a kde skončit. Proto je třeba definovat „rozsah hodnocení“.
„Rozsah hodnocení“ popisuje rozsah hodnocení zabezpečení informací. Zjednodušeně řečeno, do rozsahu hodnocení spadá každá část vaší společnosti, která nakládá s důvěrnými informacemi vašeho partnera. To můžete považovat za hlavní součást popisu úkolu poskytovatele auditu. Určuje, co poskytovatel auditu musí posoudit.
Rozsah hodnocení je důležitý ze dvou důvodů:
-
Výsledek hodnocení vyhoví požadavku vašeho partnera pouze tehdy, pokud příslušný rozsah hodnocení zahrnuje všechny části vaší společnosti, které pracují s informacemi o partnerovi.
-
Přesně definovaný rozsah hodnocení je základním předpokladem smysluplných výpočtů nákladů našimi poskytovateli auditu TISAX.
|
Důležité upozornění: ISO/IEC 27001 vs. TISAX Předně musíme rozlišovat dva typy rozsahů: V případě certifikace podle normy ISO/IEC 27001 definujete rozsah svého systému ISMS (v „prohlášení o rozsahu“). Rozsah vašeho ISMS můžete definovat zcela libovolně. Rozsah hodnocení (známý také jako „rozsah auditu“) však musí být totožný s rozsahem vašeho ISMS. V případě systému TISAX musíte definovat také svůj ISMS. Rozsah hodnocení se však může lišit. Pro certifikaci podle normy ISO/IEC 27001 můžete rozsah hodnocení volně formovat způsobem, jakým definujete rozsah svého ISMS. Naproti tomu u certifikace TISAX je rozsah hodnocení předem definován. Rozsah hodnocení může být menší než rozsah vašeho ISMS. Musí však odpovídat rozsahu vašeho systému ISMS. |
4.3.2.1. Popis oblasti působnosti
Popis rozsahu definuje rozsah hodnocení. K popisu rozsahu je třeba zvolit jeden ze dvou typů rozsahu:
-
Standard scope ( Standardní rozsah)
-
Custom scope ( Vlastní rozsah)
-
Custom extended scope ( Vlastní rozšířený rozsah)
-
Full custom scope ( Úplný vlastní rozsah)
-
Standardní rozsah probereme v následující části. Standardní rozsah je správnou volbou více než 99 % všech účastníků. Proto se budeme zabývat pouze vlastními rozsahy v Část 7.8, “Příloha: Vlastní rozsahy”.
4.3.2.2. Standardní rozsah
Popis standardního rozsahu je základem hodnocení TISAX. Ostatní účastníci systému TISAX přijímají výsledky hodnocení pouze na základě standardního popisu rozsahu.
Standardní popis rozsahu je předdefinován a nelze jej měnit.
Hlavní výhodou standardního rozsahu je, že nemusíte vymýšlet vlastní definici.
Toto je standardní popis rozsahu (verze 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
Rozsah hodnocení TISAX definuje rozsah hodnocení. Hodnocení zahrnuje všechny procesy, postupy a zdroje spadající do okruhu odpovědnosti hodnocené organizace, které jsou relevantní k zabezpečení objektů ochrany a jejich cílů ochrany definovaných v uvedených cílech hodnocení na vyjmenovaných místech. Hodnocení se provádí alespoň v nejvyšší úrovni hodnocení uvedené v některém z uvedených cílů hodnocení. Hodnocení podléhají všechna kritéria hodnocení jmenovaná v uvedených cílech hodnocení. |
Důrazně doporučujeme zvolit standardní rozsah. Všichni účastníci TISAX přijímají výsledky hodnocení zabezpečení informací na základě standardního rozsahu.
4.3.2.3. Stanovení rozsahu
Dalším úkolem po definování typu rozsahu je rozhodnout, které lokality patří do rozsahu hodnocení.
Pokud je vaše společnost malá (jedna lokalita), je tento úkol snadný. Jednoduše přidáte svou lokalitu do rozsahu hodnocení.
Pokud je vaše společnost velká, můžete zvážit registraci více než jednoho rozsahu hodnocení.
Mít jeden rozsah, který obsahuje všechny vaše lokality, má své výhody:
-
Máte jednu zprávu o hodnocení, jeden výsledek hodnocení a jedno datum vypršení platnosti.
-
Můžete využít nižších nákladů na hodnocení, protože poskytovatel auditu TISAX musí vaše centrální procesy, postupy a zdroje posoudit pouze jednou.
Jeden rozsah však může mít také nevýhody, například:
-
všechny lokality musí mít stejné cíle hodnocení.
-
Výsledek hodnocení je dostupný až poté, co poskytovatel auditu TISAX posoudí všechny lokality. Tato skutečnost může být relevantní, pokud výsledek hodnocení neodkladně potřebujete.
-
Výsledek hodnocení závisí na tom, zda všechny lokality projdou hodnocením. Pokud by jen jedna lokalita neuspěla, nebudete mít pozitivní výsledek hodnocení. Obejít tuto situaci lze: a) odstraněním lokality z rozsahu, b) vyřešením problémů, c) přidáním další lokality pomocí hodnocení rozšíření rozsahu.
4.3.2.4. Přizpůsobení rozsahu
Na otázku, zda mít pouze jeden rozsah nebo více rozsahů, můžete odpovědět pouze vy. Odpovědi na otázky v následujícím diagramu vám však mohou pomoci při rozhodování.
ZAHÁJENÍ |
|
1. krok: Potřebujete hodnocení více než jedné lokality? |
|
2. krok: Máte dostatek času na přípravu hodnocení ve všech lokalitách? |
|
3. krok: Sdílejí všechny lokality centrální systém ISMS (tj. povinnosti, infrastrukturu, zásady a procesy)? |
|
4. krok: Mají všechny lokality stejný cíl hodnocení (tj. ochrana prototypových vozidel nebo informací s velmi vysokou potřebou ochrany)? |
|
Ukončení: Registrace rozsahu hodnocení |
|
Jednotlivé lokality od sebe oddělte. |
|
ne |
|
ano |
|
Upozorňujeme: Nenechte se tímto rozhodnutím zastrašit. Můžete změnit jakýkoli rozsah, pokud poskytovatel auditu hodnocení neuzavřel. Během přípravy hodnocení můžete například zjistit, že vám rozsah nevyhovuje, — a odpovídajícím způsobem jej změnit. Případně vám může poskytovatel auditu navrhnout změnu rozsahu v dřívějších fázích hodnocení. Doplňující poznámky:
|
4.3.2.5. Lokality rozsahu
Poté, co jste se rozhodli, které lokality jsou součástí rozsahu hodnocení, můžete pokračovat ve shromažďování určitých informací o lokalitách.
U každé lokality požadujeme takové informace, jako je název a adresa společnosti. Požadujeme také některé další informace, které našim poskytovatelům auditu TISAX umožní získat lepší představu o struktuře vaší společnosti. Vaše odpovědi budou základem jejich odhadu vynaloženého úsilí.
Připravte se na to, že pro každou z vašich provozoven poskytnete následující údaje (červená hvězdička * označuje povinné informace v procesu online):
Oblast | Možnosti |
---|---|
Název lokality * |
nehodí se |
nehodí se |
|
Typ lokality * |
Budova/budovy ve vlastnictví a výhradním užívání společnosti |
Pasivní ochrana lokality * |
ano |
Odvětví |
Informační technologie
|
Management
|
|
Média
|
|
Výzkum a vývoj
|
|
Výroba
|
|
Prodej a poprodejní služby
|
|
Ostatní odvětví |
|
Zaměstnanci v lokalitě: celkem * |
0 |
Zaměstnanci v lokalitě: IT * |
0 |
Zaměstnanci v lokalitě: zabezpečení IT * |
0 |
Zaměstnanci v lokalitě: zabezpečení lokality * |
0 |
Certifikace dané lokality |
ISO 27001 |
|
Upozorňujeme: Pokud jde o „odvětví“, vybírejte podle svých nejlepších vědomostí. Při výběru z výše uvedených možností neexistuje správná nebo špatná volba. Pokud nemůžete najít možnost, která by odpovídala vašemu typu podnikání, stačí zadat příslušnou možnost v položce „Jiné“. |
Pro každou lokalitu musíte zadat „location name” ( „název lokality“). Účelem názvu lokality je usnadnit odkaz na lokalitu, až ji budete přiřazovat k rozsahu hodnocení.
Doporučujeme přiřadit názvy lokalit podle následujícího vzoru:
Vzor: |
[Zeměpisný odkaz] |
Příklad: |
pro fiktivní společnost „ACME“
|
4.3.2.6. Název rozsahu
Pro každý rozsah musíte zadat „scope name” ( „název rozsahu“). Hlavním účelem názvu rozsahu je usnadnit vám identifikaci oboru v přehledovém seznamu rozsahů na portálu ENX. Měli byste přiřadit název, který bude užitečný pro čtenáře a vaše kolegy. K externí komunikaci byste měli používat ID rozsahu.
Můžete zadat libovolný název. Stejný název rozsahu byste však měli přiřadit pouze jednomu rozsahu.
Když budete chtít později hodnocení TISAX obnovit, musíte vytvořit nový rozsah (pokud možno totožný s aktuálním rozsahem). Doporučujeme proto do názvu rozsahu přidat rok hodnocení.
Doporučujeme přiřazovat názvy rozsahů podle následujícího vzoru:
Vzor: |
[Zeměpisný nebo funkční odkaz] [Rok hodnocení] |
Příklady: |
pro fiktivní společnost „ACME“
|
4.3.2.7. Kontakty
Abychom s vámi mohli komunikovat, shromažďujeme informace o kontaktech ve vaší společnosti.
Žádáme o alespoň jeden přímý kontakt na vaši společnost jako účastníka TISAX obecně a jeden kontakt pro každý rozsah hodnocení. Máte možnost poskytnout další kontakty.
Během příprav na registraci byste se měli rozhodnout, kdo ve vaší společnosti bude kontaktní osobou.
Žádáme vás o následující kontaktní údaje:
Kontaktní údaj | Povinné? | Příklad | |
---|---|---|---|
1. |
Oslovení |
ano |
Paní/pane |
2. |
Akademický titul |
Dr., PhDr., jiné |
|
3. |
Jméno |
ano |
John |
4. |
Příjmení |
ano |
Doe |
5. |
Pracovní pozice |
ano |
Vedoucí oddělení IT |
6. |
Oddělení |
ano |
Informační technologie |
7. |
Hlavní telefonní číslo |
ano |
+49 69 986692777 |
8. |
Sekundární telefonní číslo |
||
9. |
E-mailová adresa |
ano |
john.doe@acme.com |
10. |
Preferovaný jazyk |
ano |
Angličtina (výchozí) |
11. |
Další jazyky |
Němčina, francouzština |
|
12. |
Identifikátor osobní adresy |
HPC 1234 |
|
13. |
Adresa ulice |
ano |
Bockenheimer Landstraße 97-99 |
14. |
PSČ |
ano |
60325 |
15. |
Město |
ano |
Frankfurt |
16. |
Stát/provincie |
||
17. |
Země |
ano |
Německo |
|
Důležité upozornění: |
4.3.2.8. Zveřejňování a sdílení
Hlavním účelem systému TISAX je zpřístupnit výsledek vašeho hodnocení ostatním účastníkům systému TISAX a sdílet výsledek vašeho hodnocení s vaším partnerem (partnery).
O zveřejnění a sdílení vašeho výsledku hodnocení můžete rozhodnout buď během procesu registrace, nebo kdykoli později.
Pokud procházíte procesem TISAX jako předběžným krokem, můžete se již nyní rozhodnout pro zveřejnění výsledku vašeho hodnocení komunitě účastníků TISAX. Jinak se v této fázi není na co připravovat.
Pokud vás váš partner požádal, abyste podstoupili proces TISAX, musíte mu dříve či později sdělit výsledek hodnocení. Informace o stavu můžete s partnerem sdílet již během registrace. Jakmile bude váš výsledek hodnocení k dispozici, váš partner bude mít automaticky oprávnění k přístupu k němu.[6].
Ke sdílení informací o stavu jsou potřeba dvě věci:
-
ID účastníka systému TISAX vašeho partnera.
ID účastníka systému TISAX identifikuje vašeho partnera jako účastníka systému TISAX.
Obvykle by vám měl váš partner poskytnout svůj identifikátor účastníka TISAX.
Pro vaše pohodlí poskytuje náš registrační formulář rozbalovací seznam identifikátorů účastníka pro některé společnosti, které často dostávají sdílené výsledky hodnocení.[7]
-
Požadovaná úroveň sdílení
Úroveň sdílení určuje, do jaké míry má váš partner přístup k výsledkům hodnocení.
Buď váš partner požádá o konkrétní úroveň sdílení, nebo vy sami rozhodnete, do jaké úrovně chcete partnerovi přístup k výsledku hodnocení umožnit.
Další informace o úrovních sdílení viz Část 6.5, “Úrovně sdílení”.
Možná si tedy budete chtít tyto informace zkontrolovat.
|
Upozorňujeme:
|
|
Důležité upozornění: Pokud svůj výsledek hodnocení nezveřejníte nebo jej nebudete sdílet, nikdo váš výsledek hodnocení neuvidí. |
|
Důležité upozornění: Zveřejnění ani sdílení nelze odvolat. Podrobnosti viz Část 6.4, “Trvalost vyměněných výsledků”. |
|
Upozorňujeme: Může to znít zvláštně, ale ve skutečnosti můžete sdílet svůj „výsledek hodnocení“, přestože jste ještě nezahájili proces hodnocení. V této rané fázi pouze sdílíte „stav hodnocení“. Účastník, se kterým sdílíte svůj „výsledek hodnocení“, uvidí, v jaké fázi procesu hodnocení se nacházíte. Někteří účastníci systému TISAX musí vystavit zvláštní uvolnění, pokud se musí prokazovat známkami TISAX, ale ještě proces hodnocení nedokončili. V takovém případě váš partner může požadovat zobrazení vašeho „stavu hodnocení“ na svém účtu pro portál ENX. Další informace o stavu hodnocení viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”. |
Další informace o zveřejňování a sdílení výsledku hodnocení viz Část 6, “Výměna (3. krok)”.
4.3.3. Cíle hodnocení
V rámci procesu registrace musíte definovat svůj cíl (cíle) hodnocení. Cíl hodnocení ( assessment objective) stanoví platné požadavky, které musí váš systém správy zabezpečení informací (ISMS) splňovat. Cíl hodnocení je zcela založen na typu údajů, se kterými jménem svého partnera nakládáte.
V následujících částech popisujeme cíle hodnocení a poskytujeme rady, jak vybrat správný cíl (cíle) hodnocení.
Používání cílů hodnocení usnadňuje komunikaci v rámci systému TISAX s vaším partnerem a našimi poskytovateli auditu TISAX, protože se vztahují k definovanému vstupu do procesu hodnocení TISAX.
|
Upozorňujeme: Někteří partneři mohou požadovat, abyste si nechali provést hodnocení TISAX s určitou „úrovní hodnocení“ (AL) namísto zadání cíle hodnocení. Další informace o úrovních hodnocení jsou uvedeny v Část 4.3.3.5, “Potřeba ochrany a úrovně hodnocení” (pododdíle „Další informace“). |
4.3.3.1. Seznam cílů hodnocení
V současnosti je stanoveno dvanáct cílů hodnocení TISAX. Je třeba si vybrat alespoň jeden cíl hodnocení. Můžete si jich vybrat více.
Svůj cíl hodnocení považujte za měřítko pro svůj systém správy zabezpečení informací. Cíl hodnocení je klíčovým vstupem do procesu TISAX. Všichni poskytovatelé auditů TISAX vycházejí ve své strategii hodnocení především z cíle hodnocení.
Současné cíle hodnocení TISAX jsou následující:
č. | Název | Popis |
---|---|---|
1. |
Info high |
Handling of information with high protection needs |
2. |
Info very high |
Handling of information with very high protection needs |
3. |
Confidential |
Handling of information with high protection needs in the context of confidentiality (access to confidential information) |
4. |
Strictly confidential |
Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information) |
5. |
High availability |
Handling of information with high protection needs in the context of availability (high availability of information) |
6. |
Very high availability |
Handling of information with very high protection needs in the context of availability (very high availability of information) |
7. |
Proto parts |
Protection of Prototype Parts and Components |
8. |
Proto vehicles |
Protection of Prototype Vehicles |
9. |
Test vehicles |
Handling of Test Vehicles |
10. |
Proto events |
Protection of Prototypes during Events and Film or Photo Shoots |
11. |
Data |
Data protection according to Article 28 („Processor”) of the European General Data Protection Regulation (GDPR) |
12. |
Special data |
Data protection according to Article 28 („Processor”) of the European General Data Protection Regulation (GDPR) with special categories of personal data as specified in Article 9 of the GDPR |
Příklad: Pokud provádíte zkušební jízdy na veřejných komunikacích, pak je jedním z cílů hodnocení cíl „Test vehicles“.
|
Upozorňujeme: Cíle hodnocení „Info high“ a „Info very high“ můžete zvolit pouze do 31. března 2024. Cíle hodnocení „Confidential“ a „Strictly confidential“ můžete vybírat od 1. dubna 2024. Další informace o tomto přechodném období najdete v následujícím zpravodajském článku na našich webových stránkách: |
|
Důležité upozornění: V rámci systému TISAX je „cíl hodnocení“ obvykle vstup do procesu. Někteří partneři však mohou požadovat, abyste si nechali provést hodnocení v systému TISAX s určitou „úrovní hodnocení“ (AL). Další informace o vztahu mezi potřebami ochrany a úrovněmi hodnocení viz Část 4.3.3.5, “Potřeba ochrany a úrovně hodnocení”. |
4.3.3.2. Cíle hodnocení a ISA
ISA obsahuje tři katalogy kritérií (zabezpečení informací, ochrana prototypů, ochrana údajů). Každý katalog kritérií se skládá z tzv. kontrolních otázek a souvisejících požadavků.
Každý cíl hodnocení definuje:
-
příslušný katalog (katalogy) kritérií ISA
-
kontrolní otázky, na které je třeba odpovědět
-
požadavky, které je třeba splnit.
Pro některé cíle hodnocení je použitelná pouze podmnožina kontrolních otázek a požadavků.
Další základní informace o cílech hodnocení TISAX a použitelných kontrolních otázkách a požadavcích viz Část 5.2.2, “Porozumění dokumentu ISA”.
4.3.3.3. Cíle hodnocení a známky TISAX
Váš partner se může zmínit o „známkách TISAX“. „Cíle hodnocení“ a „známky TISAX“ je téměř totéž. Rozdíl spočívá v tom, že do procesu hodnocení vstupujete s „cíli hodnocení“, a pokud hodnocením úspěšně projdete, obdržíte odpovídající „známky TISAX“.
Příklad: Váš partner požaduje, abyste získali známku TISAX „Info high“. Pak si jako cíl hodnocení vyberete „Info high“.
Na obrázku níže je znázorněn vstup a výstup procesu TISAX:
Požadavky |
|
Partner |
|
Přijme |
|
DO |
|
Cíl |
|
Proces TISAX |
|
VEN |
|
Známka |
Další informace o známkách TISAX viz Část 5.4.14, “Známky TISAX”.
4.3.3.4. Výběr cílů hodnocení
V optimálním případě vám partner přesně sdělí, kterých cílů hodnocení byste měli dosáhnout.
Cíl hodnocení si musíte vybrat na základě vlastního úsudku, pokud:
-
chcete získat hodnocení TISAX ještě předtím, než vás o to partner požádá, nebo
-
vám partner nesdělí, kterého cíle hodnocení máte dosáhnout.
|
Důležité upozornění: V této fázi důrazně doporučujeme zauvažovat o vašich dalších partnerech. Existují nějací zavedení partneři, kteří mají stejné nebo vyšší požadavky? Očekáváte, že budoucí partneři budou mít přísnější požadavky? Je možné, že budete chtít zvážit výběr cílů hodnocení s vyššími požadavky na zabezpečení. Předejdete tak problémům, jestliže budou mít jiní partneři vyšší požadavky. |
Pokud musíte cíl hodnocení vybrat na základě vlastního úsudku, může pro vás být užitečné zvážit následující aspekty:
č. | Cíl hodnocení | Informace |
---|---|---|
1. |
Info high |
Potřebu ochrany (vysoká, velmi vysoká) můžete odvodit z klasifikace dokumentu vašeho partnera. |
2. |
Info very high |
|
3. |
Confidential |
Pro všechny společnosti, které přijímají a zpracovávají informace, které mají vysokou potřebu ochrany vzhledem k důvěrnosti nebo jsou obvykle klasifikovány jako důvěrné podle vlastního klasifikačního schématu společnosti (např. bílá kniha VDA „Harmonizace stupňů utajení“). |
4. |
Strictly confidential |
Pro všechny společnosti, které přijímají a zpracovávají informace, které mají velmi vysokou potřebu ochrany vzhledem k důvěrnosti nebo jsou obvykle klasifikovány jako přísně důvěrné nebo tajné podle vlastního klasifikačního schématu společnosti (např. bílá kniha VDA „Harmonizace stupňů utajení“). |
5. |
High availability |
Pro všechny podniky, jejichž schopnost zákazníků vyrábět nebo dodávat závisí na dostupnosti výrobků nebo služeb těchto podniků a kde by výpadek způsobil zákazníkům během krátké doby značné škody. |
6. |
Very high availability |
Pro všechny podniky, jejichž schopnost zákazníků vyrábět a dodávat závisí na krátkodobé dostupnosti výrobků a služeb těchto podniků a u nichž by výpadek způsobil zákazníkům ve velmi krátké době značně vysoké škody. |
7. |
Proto parts |
Pro všechny podniky, které vyrábějí, skladují nebo používají součásti nebo díly poskytnuté zákazníkem, které jsou klasifikovány jako vyžadující ochranu ve vlastních provozovnách. |
8. |
Proto vehicles |
Pro všechny podniky, které vyrábějí, skladují nebo používají vozidla poskytnutá zákazníkem, která jsou klasifikována jako vozidla vyžadující ochranu ve vlastních provozovnách. |
9. |
Test vehicles |
Pro všechny podniky, které provádějí zkoušky a zkušební jízdy (např. zkušební jízdy na veřejných komunikacích nebo zkušebních tratích) s vozidly poskytnutými zákazníkem, která jsou klasifikována jako vozidla vyžadující ochranu. |
10. |
Proto events |
Pro všechny podniky, které provádějí prezentace nebo akce (např. průzkum trhu, události, marketingové akce), filmování a fotografování s vozidly, komponentami nebo díly poskytnutými zákazníkem, které jsou klasifikovány jako vyžadující ochranu. |
11. |
Data |
Pokud nakládáte s osobními údaji jako zpracovatel podle článku 28 nařízení GDPR, pravděpodobně musíte zvolit možnost „Data“. |
12. |
Special data |
Pokud podle článku 28 GDPR nakládáte se zvláštními kategoriemi osobních údajů (např. zdravotními nebo náboženskými) jako zpracovatel, pak pravděpodobně musíte zvolit možnost „Special data“. |
Doplňující vysvětlení:
-
Pokud máte od svého partnera přesné požadavky, obvykle s ním nemusíte cíle hodnocení projednávat. Pokud však od partnera přesné požadavky nemáte, důrazně doporučujeme, abyste se před zahájením procesu hodnocení s partnerem poradili.
-
V ISA je u každého požadavku popsán rozdíl v provedení mezi požadavkem na „vysokou“ a „velmi vysokou“ ochranu (pokud takový existuje).
Více informací k tomuto tématu viz Obrázek 11, “Snímek obrazovky: Hlavní prvky otázek v katalogu kritérií ISA „Zabezpečení informací“.”.
4.3.3.5. Potřeba ochrany a úrovně hodnocení
Váš partner disponuje různými druhy informací, z nichž některé si mohou zasloužit vyšší úroveň ochrany než jiné. Systém ISA tomu vychází vstříc tím, že rozlišuje tři „potřeby ochrany“ ( „protection needs”): normální, vysokou a velmi vysokou. Váš partner své informace klasifikuje a obvykle jim přiřazuje příslušnou potřebu ochrany.
Čím vyšší tato potřeba ochrany je, tím větší má váš partner zájem na tom, aby se ujistil o bezpečnosti požadavku na vámi zajištěnou ochranu jeho informací. Proto systém TISAX rozlišuje tři „úrovně hodnocení“ (AL). Úroveň hodnocení určuje, jakou metodu hodnocení musí poskytovatel auditu použít. Vyšší úroveň hodnocení zvyšuje úsilí, které je do hodnocení vloženo. Výsledkem je větší pečlivost a přesnost hodnocení.
Následující tabulka uvádí úrovně hodnocení, které se vztahují k cílům hodnocení TISAX:
č. | Cíl hodnocení TISAX | Úroveň hodnocení (AL) |
---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
Úroveň hodnocení 1 (AL 1):
Posouzení úrovně hodnocení 1 slouží především k interním účelům v pravém slova smyslu sebehodnocení ( self-assessment).
U hodnocení na úrovni hodnocení 1 auditor kontroluje existenci dokončeného sebehodnocení. Obsah sebehodnocení neposuzuje. Nevyžaduje další důkazy.
Výsledky hodnocení na úrovni hodnocení 1 mají nízkou úroveň důvěryhodnosti, a proto se v systému TISAX nepoužívají. Je však samozřejmě možné, že si partner takové sebehodnocení vyžádá mimo systém TISAX.
Úroveň hodnocení 2 (AL 2):
U hodnocení na úrovni 2 provádí poskytovatel auditu kontrolu věrohodnosti vašeho sebehodnocení (pro všechny lokality v rozsahu hodnocení). Podporuje to kontrolou důkazů[8] také vedení pohovoru s osobou odpovědnou za zabezpečení informací.
Poskytovatel auditu provádí rozhovor zpravidla prostřednictvím webové konference. Na vaši žádost může rozhovor provést osobně.
Pokud máte důkazy, které nechcete posílat poskytovateli auditu, můžete požádat o kontrolu na místě. Tímto způsobem může poskytovatel auditu i nadále prověřovat důkazy určené „jen pro vaše oči“.
|
Upozorňujeme: Existuje alternativní způsob provedení hodnocení na úrovni hodnocení 2. Namísto kontroly věrohodnosti provede poskytovatel auditu úplné hodnocení na dálku. Tento postup se někdy označuje jako „úroveň hodnocení 2.5“. V porovnání s hodnocením na úrovni hodnocení 2 auditor ověřuje, zda váš ISMS splňuje platné požadavky. Na rozdíl od hodnocení úrovně hodnocení 3 však auditor neprovádí činnosti na místě popsané v části o úrovni hodnocení 3 níže. Formálně bude takové hodnocení vyhodnoceno jako hodnocení na úrovni AL 2. Výhodou AL 2.5 je, že tento postup je metodicky kompatibilní s AL 3. S vynaložením přiměřeného úsilí je tedy později možné přejít na plnohodnotné hodnocení v rámci AL 3. Při upgradu musí auditor pouze provést činnosti na místě popsané v části o AL 3 níže. V těchto případech doporučujeme hodnocení na úrovni hodnocení 2.5.
Další informace o zvyšování úrovně hodnocení viz Část 7.10, “Příloha: Hodnocení rozšíření rozsahu”. Tato alternativa je nepovinná a ke splnění požadavků AL 2 se nevyžaduje. Rozdíl mezi AL 2 a AL 2.5 nebude viditelný pro partnery, se kterými budete výsledek hodnocení sdílet. |
Úroveň hodnocení 3 (AL 3):
Při hodnocení na úrovni hodnocení 3 provede poskytovatel auditu komplexní ověření souladu vaší firmy s platnými požadavky. Při přípravě hodnocení vychází auditor z vašeho sebehodnocení a předložené dokumentace. Na rozdíl od úrovně hodnocení 2 však auditor ověří vše. Provede tyto úkony:
-
prověří dokumenty a důkazy
-
provede plánované pohovory s vlastníky procesů
-
bude pozorovat místní podmínky
-
bude sledovat provádění procesů
-
povede neplánované pohovory s účastníky procesu
|
Upozorňujeme: Následující text odkazuje na několik pojmů, které budou vysvětleny až později v tomto dokumentu. V případě AL 3 musí poskytovatel auditu přijet do vaší lokality (lokalit). Pokud to z nějakého důvodu není dočasně možné nebo by to vyžadovalo nepřiměřené úsilí, váš poskytovatel auditu může použít metodu vzdáleného hodnocení s video podporou, na základě které provede úkon hodnocení na místě. Váš poskytovatel auditu musí tuto skutečnost zaznamenat do zprávy o hodnocení TISAX jako drobnou neshodu. Jakmile se váš poskytovatel auditu bude moci dostavit do vaší lokality (lokalit), musí provést následné hodnocení, které bude zahrnovat všechny dříve nemožné činnosti na místě. Také musíte naplánovat následné hodnocení, i když jste ještě nedokončili ostatní nápravná opatření. V porovnání s čekáním na dostupnost vašeho poskytovatele auditu k provádění úkonů na místě vám tento postup umožní sdílet dočasné známky TISAX s vaším partnerem již nyní. |
Úrovně a metody hodnocení
Následující tabulka poskytuje zjednodušený přehled metod auditu souvisejících s jednotlivými úrovněmi hodnocení:
Metoda hodnocení | Úroveň hodnocení 1 (AL 1) |
Úroveň hodnocení 2 (AL 2) |
Úroveň hodnocení 3 (AL 3) |
---|---|---|---|
Sebehodnocení |
ano |
ano |
ano |
Důkaz |
ne |
Kontrola věrohodnosti |
Důkladné ověření |
Pohovory |
ne |
Prostřednictvím webové konference[9] |
Osobně na místě |
Prohlídka na místě |
ne |
Na vaši žádost |
ano |
Další informace:
-
Rozdíl mezi AL 2 a AL 3
Metodologicky se oba přístupy výrazně liší. U hodnocení na úrovni 2 nebude auditor ověřovat vše. Bude pouze kontrolovat věrohodnost. Proto poskytovatel auditu nemůže použít výsledky hodnocení úrovně hodnocení 2 jako podklad při přechodu na úroveň hodnocení 3. Úsilí při přechodu na úroveň hodnocení 3 je v podstatě stejné jako při novém počátečním hodnocení. -
Kontrola věrohodnosti vs. ověření
Zjednodušeně řečeno, kontrola věrohodnosti je ověření, zda něco existuje a zdá se být správné. Oproti tomu ověření znamená skutečnou kontrolu toho, že něco je tím, za co se vydává. -
Klasifikace informací a potřeba jejich ochrany
Přiřazení klasifikace informací (například důvěrné nebo tajné) k potřebě ochrany může být v různých částech odlišné. Proto vám nemůžeme poskytnout jednoduchou tabulku, kde by klasifikace informací vašeho partnera přesně odpovídala potřebě ochrany, i když bychom rádi. -
Pouhá znalost stupně hodnocení nestačí
Někteří partneři vás mohou požádat, abyste si nechali provést hodnocení TISAX na určité úrovni hodnocení. Pamatujte, že pouhá znalost úrovně hodnocení nestačí k zahájení procesu TISAX. Úroveň hodnocení má smysl pouze v kombinaci s katalogem kritérií ISA a odpovídající potřebou ochrany. Obvykle partneři požadují, abyste získali známku TISAX (katalog kritérií plus potřeba ochrany). Protože však potřeby ochrany odpovídají 1:1 úrovním hodnocení, stačí, když znáte katalog (katalogy) kritérií plus úroveň hodnocení. -
Hierarchie úrovní hodnocení
Vyšší úrovně hodnocení vždy zahrnují nižší úrovně hodnocení. Pokud například vaše hodnocení vychází z úrovně hodnocení 3, bude automaticky splňovat všechny požadavky úrovně hodnocení 2. -
Naše doporučení týkající se úrovní hodnocení
Pokud musíte zvolit cíl hodnocení (a tím nepřímo i odpovídající úroveň hodnocení) na základě vlastního úsudku, doporučujeme zvolit cíle hodnocení, které implikují úroveň hodnocení 3. Úsilí při hodnocení TISAX v úrovni hodnocení 3 obecně není vyšší než v úrovni hodnocení 2.
Dodavatelé, kteří mají několik partnerů, často volí cíle hodnocení, které předpokládají úroveň hodnocení 3. Jsou tak připraveni na všechny budoucí požadavky a nemusí se zabývat různými úrovněmi hodnocení. -
Další obchodní úvahy
Co se týče úrovní hodnocení, celkové náklady na hodnocení TISAX se skládají ze součtu vašeho interního úsilí a nákladů na hodnocení. Zatímco náklady na hodnocení úrovně 2 jsou nižší, vaše interní úsilí může být vyšší. Je to dáno tím, že hodnocení úrovně 2 obvykle vyžaduje komplexnější sebehodnocení a lepší interní dokumentaci. U hodnocení úrovně 3 je pro auditora často dostatečným důkazem předvedení způsobu, jakým věci děláte, a předložení základní dokumentace. Bez kontroly na místě však bude auditor požadovat přesnou dokumentaci. Volba úrovně hodnocení 3 před úrovní hodnocení 2 proto není neobvyklá. Rozhodují se tak ale spíše menší než větší společnosti.
4.3.3.6. Cíle hodnocení a vaši dodavatelé
TISAX neukládá povinnost podrobit všechny vaše dodavatele stejným požadavkům. Pokud je vaším cílem hodnocení „ zabezpečení informací s velmi vysokými nároky na ochranu“, neznamená to automaticky, že stejného cíle hodnocení musí dosáhnout i vaši dodavatelé. Dokonce to vůbec neznamená, že musí mít známku TISAX.
Přesto však musíte u všech svých dodavatelů ověřit, zda využívání jejich služeb nezvyšuje stávající rizika nebo nepřináší rizika nová.
Dva velmi zjednodušené příklady:
-
Máte zásadu, že běžný e-mail nelze používat k přenosu dat s velmi vysokými nároky na ochranu. Proto váš poskytovatel e-mailu nemusí získat známku TISAX s velmi vysokými požadavky na ochranu.
K obdobnému závěru můžete dojít, pokud posíláte pouze šifrované e-maily a poskytovatel e-mailu nevidí žádná data s velmi vysokou potřebou ochrany. -
Vytištěná data s velmi vysokou potřebou ochrany zlikvidujete ve skartovačce. V tom případě samozřejmě poskytovatel služby likvidace odpadu nemusí splňovat stejné požadavky jako vy.
Z hodnocení rizik však může vyplynout, že váš dodavatel musí splňovat také požadavky na velmi vysokou potřebu ochrany. V tomto případě jsou známky TISAX možností, jak vám to odpovídajícím způsobem prokázat.
4.3.4. Poplatek
Vybíráme poplatek. Náš ceník vás informuje o platných poplatcích, možných slevách a našich platebních podmínkách.
Ceník si můžete stáhnout na našich webových stránkách na:
enx.com/en-US/TISAX/downloads/
Přímo ke stažení ve formátu PDF:
enx.com/pricelist.pdf
Při přípravě registrace byste měli zvážit některé aspekty související s fakturami:
-
Výběr fakturační adresy
Ve výchozím nastavení zašleme fakturu na adresu, kterou jste uvedli jako adresu místa účastníka. Máte však možnost zadat jinou adresu pro příjem faktury.Důležité upozornění:
Ujistěte se, že je adresa k zasílání faktur správná. Účetní zákony vyžadují, aby adresa na naší faktuře přesně odpovídala adrese vaší společnosti (faktuře). Z důvodů dodržování předpisů nemůžeme adresu na faktuře po jejím vystavení změnit.
-
Odkaz na objednávku
Pokud potřebujete na naší faktuře vidět konkrétní číslo objednávky nebo něco jiného, máte možnost nám poskytnout referenční číslo objednávky. -
Číslo DIČ
Všechny naše poplatky podléhají německé dani z přidané hodnoty (DPH), pokud se na ně vztahuje.
Toto číslo potřebujeme ke zpracování plateb z EU. DIČ je povinné uvést, pokud se vaše fakturační adresa nachází v některé z následujících zemí:
Belgie, Bulharsko, Česká republika, Dánsko, Estonsko, Finsko, Francie, Chorvatsko, Irsko, Itálie, Kypr (řecká část), Litva, Lotyšsko, Lucembursko, Maďarsko, Malta, Německo, Nizozemsko, Polsko, Portugalsko, Rakousko, Řecko, Slovensko, Slovinsko, Španělsko, Švédsko, Velká Británie. -
Správa dodavatelů
Důležité upozornění:
Vezměte prosím na vědomí, že vzhledem ke vzájemnosti mezi všemi účastníky systému TISAX nemůžeme akceptovat žádné další podmínky (například obecné nákupní podmínky, kodexy chování).
Další informace o našem fakturačním procesu:
-
Nemůžeme akceptovat individuální nákupní podmínky.
-
Akceptujeme:
-
převody peněz na bankovní účet uvedený na faktuře
-
platby kreditní kartou (při procesu registrace prostřednictvím našeho poskytovatele platebních služeb „Stripe”)
-
-
Naše faktura bude obsahovat následující odkazy na vaši registraci:
-
jméno a e-mailovou adresu vašeho hlavního kontaktního účastníka
-
název rozsahu hodnocení
Příklad faktury najdete v příloze v Část 7.1, “Příloha: Příklad faktury”.
-
-
Přímo v ní je uvedena většina skutečností, které obvykle potřebujete ke zpracování naší faktury. Tyto a ještě další skutečnosti jsou k dispozici v našem dokumentu „Informace pro členy a obchodní partnery“. Pošlete nám e-mail a my vám zašleme aktuální verzi.
|
Upozorňujeme: Jsme si vědomi toho, že někdy je interní proces schvalování plateb ve společnosti poměrně zdlouhavý. Proto hned další váš krok v procesu TISAX nezávisí na tom, zda platbu obdržíme. Uvědomte si však, že pokud jsme platbu neobdrželi, nemůžete výsledek hodnocení sdílet. |
|
Důležité upozornění: Jako — ENX Association — vystavujeme fakturu na poplatek. Jedná se pouze o část celkových nákladů na hodnocení TISAX. Váš poskytovatel auditu TISAX fakturuje náklady na hodnocení. Další informace o nákladech souvisejících s poskytovatelem auditu viz Část 5.3.4, “Vyhodnocení nabídek”. |
|
Důležité upozornění: Poplatek je splatný bez ohledu na to, zda:
Faktura vám proto může přijít ještě před zahájením úvodního hodnocení. |
4.4. Portál ENX
V následující části bude popsán proces registrace online, kde zadáte všechny údaje, které jste shromáždili podle rad v předchozí části. Než zahájíte proces registrace online, dovolte nám stručně vysvětlit smysl a výhody portálu ENX.
Portál ENX nám umožňuje vést databázi všech účastníků programu TISAX a v průběhu celého procesu TISAX hraje důležitou roli. Během registrace v systému TISAX zadáte své údaje, které pak mohou poskytovatelé auditu TISAX použít (pokud s tím souhlasíte) k výpočtu svých nabídek a k plánování postupů hodnocení. Až projdete procesem hodnocení TISAX, použijete výměnnou platformu na portálu ENX ke sdílení výsledku hodnocení s vaším partnerem.
Název portálu je „portál ENX“, a nikoli „portál TISAX“, protože portál používáme také ke správě dalších obchodních činností (jako je síť ENX).
4.5. Proces registrace online
Pokud jste se připravili podle našich rad výše (Část 4.3, “Příprava registrace”), jste připraveni zahájit proces registrace online.
4.5.1. Potřebný čas
Jak dlouho vám to zabere, závisí do značné míry na počtu oborů a míst, které registrujete. Při první registraci jakožto účastník s jedním oborem a jednou lokalitou byste měli počítat s minimální dobou 20 minut.
Doporučujeme dokončit registraci v jednom sezení, protože v tuto chvíli nemůžete některé kroky snadno dohnat později. Pokud byste přesto potřebovali pauzu, budeme vás kontaktovat a chybějící údaje si vyžádáme.
4.5.2. Začněte zde
Registraci začněte na našich webových stránkách:
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
V zásadě stačí postupovat podle pokynů na obrazovce. Přesto vám níže stručně popíšeme celý postup.
4.5.3. Účet na portálu
Vaším prvním krokem je vytvořit si účet na portálu ENX. Portálový účet potřebujete k tomu, abyste mohli spravovat „údaje o účastnících“ vaší společnosti.
|
Upozorňujeme: Pokud portál ENX tvrdí, že vaše e-mailová adresa je již používána, kontaktujte nás.. Tato zpráva může znamenat, že jste z nějakého důvodu již uloženi v našem systému. |
|
Upozorňujeme: Jak bylo popsáno, účty portálu nemusí být nutně „kontakty účastníka“ nebo „kontakty rozsahu“ (viz níže) s aktivní úlohou v procesu hodnocení. A naopak, „kontakt účastníka“ nebo „kontakt rozsahu“ nezahrnuje automaticky stejná práva ke správě údajů účastníka jako u portálového účtu. To znamená, že kolegové, kteří jsou jmenováni jako „kontakt účastníka“ nebo „kontakt rozsahu“, nemají automaticky přístup k údajům účastníka na portálu ENX. Pokud chcete přidělit právo ke správě údajů účastníka kontaktu, který jste již na portálu ENX vytvořili (bez ohledu na to, zda jste mu přidělili roli), musíte tento kontakt pozvat. Další informace viz poslední poznámka v Část 4.5.5, “Kontakt na účastníka”. |
4.5.4. Registrace účastníka
Vaším druhým krokem je registrace vaší společnosti jako účastníka systému TISAX. „Účastník TISAX“ je společnost, která si vyměňuje výsledky hodnocení s ostatními účastníky.
4.5.5. Kontakt na účastníka
Jedná se o osobu, která je obecně odpovědná za všechna témata hodnocení zabezpečení informací vaší společnosti. Můžete to být buď vy, nebo někdo jiný ve vaší společnosti.
Obvykle nám stačí hlavní kontakt účastníka. Pokud si přejete, aby veškerá komunikace zasílaná námi a našimi poskytovateli auditu v rámci systému TISAX při této registraci byla zasílána i dalším osobám, přidejte další kontakty účastníka.
|
Důležité upozornění: |
|
Upozorňujeme: Kontakty můžete kdykoli později přidat nebo odebrat (i po dokončení registrace online, a dokonce i po dokončení hodnocení). |
|
Upozorňujeme: Jako kontakty účastníků nelze použít skupinové e-mailové adresy (například „info@acme.com“ nebo „IT@acme.com“). To je v souladu s požadavky ISA na přihlašování uživatelů. |
|
Upozorňujeme: Můžete si zvolit, zda má mít každý kontakt přístup k údajům o účastnících vaší společnosti. Buď:
Vytvoření nového kontaktu: Přihlášení > MŮJ TISAX > SPRÁVCI > Vytvořit nového správce TISAX Pozvání kontaktu: Přihlášení > MŮJ TISAX > SPRÁVCI > Přejděte na konec řádku tabulky kontaktu a klikněte na tlačítko se šipkou dolů > Upravit správce TISAX > Přejděte do části „PŘÍSTUP K PORTÁLU ENX“ > Nastavte „POZVAT TENTO KONTAKT" na „Ano“ > Klikněte na „Uložit kontakt“. |
4.5.6. Všeobecné podmínky a pravidla
Vaším třetím krokem je přijetí „Všeobecných podmínek a pravidel účasti v systému TISAX“.
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.1, “Právní základ”.
4.5.7. Registrace rozsahu hodnocení
Vaším čtvrtým krokem je registrace rozsahu hodnocení zabezpečení informací.
Žádáme vás o následující:
-
přiřaďte název rozsahu hodnocení.
Hlavním účelem názvu rozsahu je usnadnit vám identifikaci oboru v přehledovém seznamu rozsahů na portálu ENX.
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.2.6, “Název rozsahu” -
vyberte typ rozsahu hodnocení
(standardní, vlastní).
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.2, “Rozsah hodnocení systémem TISAX”. -
zadejte hlavní kontaktní osobu pro daný rozsah.
Jedná se o osobu, která je obecně odpovědná za hodnocení konkrétního rozsahu. Můžete to být buď vy, nebo někdo jiný ve vaší společnosti.
Obvykle nám stačí hlavní kontakt hlavního rozsahu. Pokud si přejete, aby veškerá námi zasílaná sdělení v rámci tohoto konkrétního rozsahu byla zasílána i dalším osobám, můžete přidat další kontakty účastníků. -
vyberte cíl (cíle) hodnocení.
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.3, “Cíle hodnocení”. -
doplňte lokalitu (lokality) rozsahu hodnocení.
Žádáme vás, abyste uvedli všechny lokality, které jsou součástí rozsahu hodnocení.
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.2, “Rozsah hodnocení systémem TISAX”.Upozorňujeme:
Jakmile vytvoříte novou lokalitu, nemůžete ji upravovat. V případě drobných změn (změna názvu společnosti, překlep v názvu ulice, poštovního směrovacího čísla, města atd.) se na nás obraťte. Úpravy provedeme za vás.
Důležité upozornění:
Toto upozornění má význam pouze tehdy, když obnovujete své známky TISAX.
Znovu použijte stávající záznamy o lokalitě, které jste vytvořili a použili při registraci předchozí působnosti. Nevytvářejte nový záznam o lokalitě se stejnou adresou.
Důvod tohoto postupu je následující: Někteří účastníci systému TISAX zpracovávají výsledky hodnocení svých partnerů automaticky. Synchronizují svůj vlastní systém s portálem ENX. I drobné rozdíly mohou zablokovat úspěšnou synchronizaci. Kromě toho nezahlcujete údaje účastníků zbytečnými duplicitami. -
vyberte úroveň zveřejnění a sdílení (nepovinné).
Již nyní se můžete rozhodnout, zda chcete výsledek hodnocení zveřejnit ostatním účastníkům systému TISAX a zda jej chcete sdílet se svým partnerem (partnery). Obvykle nám tím umožníte alespoň ukázat, že vaše společnost je účastníkem a že jste úspěšně prošli procesem TISAX.
Tento krok můžete při své počáteční registraci bez obav vynechat. Přístup k výsledku hodnocení můžete vždy definovat později.
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.2.8, “Zveřejňování a sdílení”.Důležité upozornění:
Oprávnění ke zveřejnění nebo sdílení nelze zrušit.
Podrobnosti viz Část 6.4, “Trvalost vyměněných výsledků”. -
Určete, kdo obdrží fakturu.
Žádáme vás, abyste uvedli, kdo obdrží naši fakturu (faktury).
Je možné vrátit se k vysvětlujícím poznámkám v části Část 4.3.4, “Poplatek”.
|
Upozorňujeme: Zde nemůžete udělat mnoho chyb. Pokud později zjistíte, že jste měli zaregistrovat poněkud jiný rozsah (zapomněli jste na lokalitu, máte jiný cíl hodnocení apod.), poskytovatel auditu přesto může hodnocení provést. Příklad: Auditor určí, zda rozsah musí obsahovat další lokalitu, kterou jste do něj původně nepřidali. Auditor bude pokračovat a poté aktualizuje rozsah hodnocení na portálu ENX. Zároveň nahraje výsledek hodnocení. |
|
Upozorňujeme: Každý rozsah hodnocení prochází určitým životním cyklem. V této fázi má váš rozsah hodnocení buď stav „neúplný“, „čeká na vaši objednávku“ nebo „čeká na schválení ENX“. Další informace o stavu rozsahu hodnocení viz Část 7.5.1, “Přehled: Assessment scope status ( Stav rozsahu hodnocení)”. |
|
Upozorňujeme: Pro velké společnosti s mnoha pobočkami nabízí TISAX zjednodušené skupinové hodnocení. Tuto možnost můžete zvážit, pokud: U zjednodušeného skupinového hodnocení je počáteční úsilí vyšší. To se však vyplatí při vyšším počtu lokalit. Další informace o „zjednodušeném skupinovém hodnocení“ najdete v dokumentu „Zjednodušené skupinové hodnocení TISAX“. Dokument „Zjednodušené skupinové hodnocení TISAX“ si můžete stáhnout na našich webových stránkách na: Přímo ke stažení ve formátu PDF: |
|
Upozorňujeme: Jakmile jednou zaregistrujeme rozsah vašeho hodnocení, nemůžete jej sami změnit. Pokud nás můžete věrohodně ujistit, že jste našim poskytovatelům auditu ještě neodeslali „výpis z rozsahu TISAX“ obraťte se na nás. Můžeme to změnit za vás. Pokud jste již svůj „výpis rozsahu TISAX“ odeslali našim poskytovatelům auditu (některému z nich), stačí na portálu ENX vytvořit novou lokality (případně nové lokality) a projednat případné změny s poskytovatelem auditu. Váš poskytovatel auditu provede hodnocení na základě změn a aktualizuje informace o rozsahu na portálu ENX. |
|
Upozorňujeme: Na portálu ENX není možné rozsah hodnocení odstranit. Pokud jste rozsah hodnocení vytvořili omylem, kontaktujte nás. Odstraníme jej za vás. |
4.5.8. Potvrzovací e-mail
Po dokončení všech výše uvedených povinných kroků vaši žádost zkontrolujeme. Poté vám zašleme potvrzovací e-mail.
Tento e-mail obsahuje dva důležité body:
-
seznam kontaktů na všechny poskytovatele auditu TISAX.
Musíte si vybrat jednoho z našich poskytovatelů auditu TISAX, který vyhodnotí váš rozsah hodnocení. Kontakty můžete použít k vyžádání nabídek.
Další informace o výběru poskytovatele auditu viz Část 5.3, “Výběr poskytovatele auditu”. -
„Výpis rozsahu hodnocení TISAX“ jako přiložený soubor PDF.
Obsahuje následující informace:
-
informace, které jsme uložili do naší databáze
-
Vaše ID účastníka
Informace viz v Část 4.5.8.1, “Participant ID ( ID účastníka)” níže. -
ID vašeho rozsahu
Informace viz v Část 4.5.8.2, “Scope ID ( ID rozsahu)” níže.
-
Příklad našeho potvrzovacího e-mailu viz Část 7.2, “Příloha: Příklad potvrzovacího e-mailu”.
Příklad „Výpisu rozsahu hodnocení TISAX“ viz Část 7.3, “Příloha: Příklad výpisu rozsahu působnosti systému TISAX”.
Náš potvrzovací e-mail obdržíte obvykle do tří pracovních dnů.
Pokud se vám do sedmi pracovních dnů neozveme, ověřte si, že a) jste poskytli všechny informace a b) rozsah hodnocení je ve stavu „čeká na schválení ENX“. Vaši registraci začneme zpracovávat, až když bude vše kompletní. Pokud si myslíte, že je vše kompletní, ale my jsme vás nekontaktovali, kontaktujte vy nás.
Potvrzovací e-mail zasíláme na hlavní kontaktní osobu účastníka.
|
Upozorňujeme: Každý rozsah hodnocení prochází určitým životním cyklem. V této fázi je váš rozsah hodnocení ve stavu „čeká na schválení ENX“. Další informace o stavu rozsahu hodnocení viz Část 7.5.5, “Assessment scope status „Awaiting your payment” ( Stav rozsahu hodnocení „čeká na vaši platbu“)”. |
Další dva pododdíly obsahují podrobné informace o účelu vašeho identifikátoru účastníka a identifikátoru rozsahu.
4.5.8.1. Participant ID ( ID účastníka)
ID účastníka:
-
identifikuje účastníka TISAX.
-
je pro každého účastníka jedinečný.
-
přidělujeme ho po dokončení registrace.
-
je předpokladem objednání hodnocení zabezpečení informací u některého z našich poskytovatelů auditu TISAX.
-
vypadá takto:
Obrázek 7. Formát ID účastníka[12]
„P“ jako předpona ID účastníka |
|
Unikátní náhodný řetězec obsahující pouze alfanumerické znaky: |
|
Upozorňujeme: ID účastníka lze zjistit dvěma způsoby:
|
4.5.8.2. Scope ID ( ID rozsahu)
Identifikátor rozsahu:
-
identifikuje rozsah hodnocení.
-
je jedinečný pro každý rozsah hodnocení.
-
přidělujeme ho po dokončení registrace.
-
je předpokladem možnosti objednat hodnocení zabezpečení informací u některého z našich poskytovatelů auditu TISAX.
-
vypadá takto:
„S“ jako předpona rozsahu hodnocení |
|
Unikátní náhodný řetězec obsahující pouze alfanumerické znaky: |
|
Upozorňujeme: ID rozsahu lze zjistit dvěma způsoby:
|
|
Upozorňujeme: Každý rozsah hodnocení (identifikovaný pomocí ID rozsahu) prochází životním cyklem. Další informace o stavu rozsahu hodnocení viz Část 7.5, “Příloha: Assessment scope status ( Stav rozsahu hodnocení)”. |
4.5.9. Informace o stavu
V této fázi existují dva relevantní stavy, které používáme k popisu vaší pozice v procesu TISAX:
-
Stav účastníka
-
Stav rozsahu hodnocení
Následující schéma znázorňuje podmínky, které musí být splněny, abyste dosáhli určitého stavu:
Vaše akce |
|
Naše akce |
|
Registrace |
|
Účastník: |
|
Rozsah hodnocení: |
|
ne |
|
ano |
|
Dokončeno? |
|
Dokončeno? |
|
ne |
|
ano |
|
Zkontrolovat + Schválit (potvrzovací e-mail) |
|
Faktura |
|
[ ] Platba |
|
Zaplaceno? |
|
ID účastníka |
|
ID rozsahu |
|
Stav účastníka: |
|
Stav rozsahu hodnocení: |
|
1. neúplný |
|
2. čeká na schválení |
|
3. předběžný |
|
registrovaný |
|
platnost uplynula |
|
1. neúplný |
|
2. čeká na vaši objednávku |
|
3. čeká na schválení ENX |
|
4. čeká na vaši platbu |
|
5. registrovaný |
|
6. aktivní |
|
7. platnost uplynula |
Definice stavů a informace o tom, co je třeba udělat k přechodu do dalšího stavu, najdete v příloze.
Další informace o:
-
stavu účastníka, viz Část 7.4, “Příloha: Participant status ( Stav účastníka)”.
-
stavu rozsahu hodnocení, viz Část 7.5, “Příloha: Assessment scope status ( Stav rozsahu hodnocení)”.
4.5.10. Změny vašich registračních údajů
|
Upozorňujeme: Veškeré odpovědi týkající se životního cyklu údajů viz Část 7.9, “Příloha: Správa životního cyklu údajů účastníka”. Obsahuje pokyny pro případy, kdy chcete změnit nebo aktualizovat údaje, jako je název vaší společnosti nebo vaše kontaktní údaje. |
Gratulujeme, nyní jste registrovaným účastníkem systému TISAX. Jste připraveni přistoupit k dalšímu kroku v procesu TISAX.
5. Hodnocení (2. krok)
Odhadovaná doba čtení části hodnocení je 30–35 minut.
5.1. Přehled
Hodnocení TISAX je vaším druhým krokem. Právě zde odvedete většinu práce při získávání hodnocení TISAX.
Následující oddíly vás hodnocením provedou:
-
Začneme vysvětlením, jak můžete pomocí sebehodnocení ISA zjistit, zda jste připraveni na hodnocení TISAX.
-
Poté vám poradíme, jak si vybrat jednoho z našich poskytovatelů auditu TISAX.
-
Dále vám popíšeme cestu procesem hodnocení.
-
Na závěr vysvětlíme „výsledek procesu“: výsledek vašeho hodnocení a související známky TISAX.
5.2. Sebehodnocení na základě ISA
Abyste byli připraveni na hodnocení TISAX, musíte mít především dokonale zpracovaný systém správy zabezpečení informací (ISMS). Abyste zjistili, zda váš systém ISMS odpovídá očekávané úrovni vyspělosti, musíte provést sebehodnocení na základě ISA.
„Hodnocení zabezpečení informací“ (ISA) je katalog kritérií, který vydává Německý svaz automobilového průmyslu (Verband der Automobilindustrie e.V. - VDA). Jedná se o normu automobilového průmyslu pro hodnocení zabezpečení informací.
Následující části se zaměřují na praktické pokyny k provedení sebehodnocení na základě ISA.
Vysvětlení, příklady a snímky obrazovek v této příručce vycházejí z verze 5 ISA.
|
Upozorňujeme: Údaje o změnách oproti předchozím verzím ISA najdete v tabulce „Historie změn“ aplikace Excel. |
|
Upozorňujeme: Informace o tom, která verze ISA se vztahuje k vašemu hodnocení, pokud VDA zveřejní novou verzi, viz Část 7.11, “Příloha: Správa životního cyklu ISA”. |
5.2.1. Stáhněte si dokument ISA
Začněte své sebehodnocení tím, že si stáhnete dokument ISA.
Můžete si jej stáhnout z našich webových stránek na:
enx.com/en-US/TISAX/downloads/
Přímé stažení souboru ve formátu Excel:
portal.enx.com/isa5-en.xlsx
Dokument ISA je k dispozici také v němčině:
enx.com/de-de/TISAX/downloads/
5.2.2. Porozumění dokumentu ISA
Než začnete se sebehodnocením, uvádíme několik vysvětlivek, které vám mohou být užitečné. Uvádíme je jako doplněk k oficiálním vysvětlením a definicím uvedeným v dokumentu ISA, ale se zřetelem k využití při hodnocení TISAX.
5.2.2.1. Katalogy kritérií
V současné době má ISA tři „katalogy kritérií“[13]:
1. |
Zabezpečení informací |
Information Security |
2. |
Ochrana prototypů |
Prototype Protection |
3. |
Ochrana údajů |
Data Protection |
Každý katalog kritérií má svůj vlastní list v aplikaci Excel:
Který katalog kritérií je pro vás relevantní? To závisí na vašem cíli (cílech) hodnocení.
Každý cíl hodnocení definuje, které požadavky z kterého katalogu kritérií se použijí. U některých cílů hodnocení platí požadavky pouze z jednoho katalogu kritérií, u jiných platí požadavky z více než jednoho katalogu kritérií.
Výše uvedené cíle hodnocení jsou přiřazeny k těmto katalogům kritérií:
č. | Cíl hodnocení ( Assessment objective) | Katalog (katalogy) kritérií ISA |
---|---|---|
1. |
Info high |
Information Security ( Zabezpečení informací) |
2. |
Info very high |
Information Security ( Zabezpečení informací) |
3. |
Confidential |
Information Security ( Zabezpečení informací) |
4. |
Strictly confidential |
Information Security ( Zabezpečení informací) |
5. |
High availability |
Information Security ( Zabezpečení informací) |
6. |
Very high availability |
Information Security ( Zabezpečení informací) |
7. |
Proto parts |
Prototype Protection ( Ochrana prototypů) |
8. |
Proto vehicles |
Prototype Protection ( Ochrana prototypů) |
9. |
Test vehicles |
Prototype Protection ( Ochrana prototypů) |
10. |
Proto events |
Prototype Protection ( Ochrana prototypů) |
11. |
Data |
Information Security ( Zabezpečení informací) |
12. |
Special data |
Information Security ( Zabezpečení informací) |
Příklad: Pokud jste si jako cíl hodnocení zvolili „Ochrana údajů“, budete muset odpovědět na otázky v katalozích kritérií „ Zabezpečení informací“ a „Ochrana údajů“.
Možná jste si všimli, že pro každý katalog kritérií existuje více než jeden cíl hodnocení. Jak poznáte, které požadavky se vztahují ke kterému cíli hodnocení?
Následující tabulka vám ukáže, které požadavky jsou uplatnitelné:
č. | Cíl hodnocení ( Assessment objective) | Uplatnitelné požadavky |
---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
|
Upozorňujeme: Každý požadavek v obou sloupcích „Další požadavky vysokých nároků na ochranu“ a „Další požadavky velmi vysokých nároků na ochranu“ je označen buď písmenem „C“ jako ve slově Confidentiality ( Důvěrnost) nebo „I“ jako ve slově Integrity ( Integrita) nebo „A“ jako ve slově Availability ( Dostupnost) nebo libovolnou kombinací těchto tří písmen. Když výše uvedená tabulka zužuje požadavky v těchto dvou sloupcích na ty, které jsou označeny jedním z výše uvedených písmen, zahrnuje to vždy i ty požadavky, které jsou označeny více písmeny než jen tímto. Příklad: Všechny požadavky označené „(C)“, „(C, I, A)“ nebo „(C, I)“ jsou uplatnitelné tam, kde je ve výše uvedené tabulce uvedeno „C“ (např. v cíli hodnocení „Special data“). |
Následující snímek obrazovky ukazuje hlavní prvky kontrolních otázek v katalogu kritérií „Zabezpečení informací“. (Ostatní katalogy kritérií obsahují pouze podmnožinu těchto prvků.) Vysvětlení všech prvků najdete v dalším textu.
Úroveň vyspělosti |
|
Kapitola |
|
Kontrolní otázka |
|
Požadavky |
|
Cíl |
|
Všechny potřeby ochrany |
|
Vysoká potřeba ochrany |
|
Velmi vysoká potřeba ochrany |
5.2.2.2. Kapitoly
Každý katalog kritérií seskupuje otázky do kapitol.
Příklad: „2 lidské zdroje“
Rozdělení do skupin vychází z obvyklých úkolů dané organizace. Tato oddělení jsou uvedena ve sloupci „Obvyklá osoba odpovědná za realizaci procesu“ („HR“ ve výše uvedeném příkladu).
5.2.2.3. Kontrolní otázky
Otázky pro jednotlivé katalogy kritérií najdete v příslušných listech aplikace Excel.
Příklad: 4.1.2 „Do jaké míry je zabezpečen přístup uživatelů k síťovým službám, systémům a aplikacím IT?“
Kontrolní otázky se také označují jako „kontroly“. Jedná se o „řeč auditorů“. Normy ISO, z nichž ISA vychází, používají termín „kontrola“.
5.2.2.4. Pole formuláře k sebehodnocení
Mezi sloupci „Maturity level” ( „Úroveň vyspělosti“) a „Control question” ( „Kontrolní otázka“) jsou ve formuláři pole, která je při provádění sebehodnocení třeba vyplnit:
Pole formuláře | Účel | Povinné? |
---|---|---|
Implementation description ( Popis realizace) |
Zde byste měli stručně popsat, co jste ve vaší firmě realizovali k řešení této kontrolní otázky. |
ano |
Reference Documentation ( Referenční dokumentace) |
Zde byste měli uvést, v jakém dokumentu (dokumentech) tuto realizaci dokládáte. |
ano |
Findings/Result ( Zjištění/výsledky) |
Sem můžete zapsat všechna zjištění, u nichž se domníváte, že existuje rozdíl mezi tím, co by mělo být, a skutečností. |
ne |
Povinný je pouze stručný popis vaší realizace a odkaz na dokumentaci. Tyto informace pomohou našim poskytovatelům auditu TISAX lépe porozumět vaší společnosti a připravit hodnocení.
K dispozici je více nepovinných sloupců, které podpoří vaše sebehodnocení:
-
Measures/recommendations ( Opatření/doporučení) (sloupec R)
-
Date of assessment ( Datum hodnocení) (sloupec S)
-
Date of completion ( Datum dokončení) (sloupec T)
-
Responsible department ( Odpovědné oddělení) (sloupec U)
-
Contact ( Kontakt) (sloupec V)
|
Důležité upozornění: Pokud otevřete stažený soubor aplikace Excel a vyberete jeden z listů katalogu kritérií (např. Zabezpečení informací), pole formuláře sebehodnocení se pravděpodobně nezobrazí ihned. Chcete-li je zobrazit, musíte kliknout na tlačítko seskupení pro úroveň „2“[14]. Toto tlačítko se nachází nad buňkou C1 a vlevo od ní. Tím se zobrazení rozšíří a objeví se pole formuláře k sebehodnocení. Dalším tipem je použití kláves se šipkami k listování dolů. Vzhledem k velké velikosti buněk může totiž listování pomocí posuvníku vyžadovat výborné motorické schopnosti. Pokud použijete funkci posouvání ukazovacího zařízení, můžete navíc některé větší buňky omylem přeskočit. |
5.2.2.5. Cíl
Vpravo od sloupce „Kontrolní otázka“ se nachází sloupec „Cíl“ (sloupec J). Jeho obsah uvádí, čeho musíte dosáhnout, pokud jde o tento aspekt správy zabezpečení informací.
Příklad (pro kontrolní otázku 4.1.2): „Přístup do informačních systémů mají mít pouze bezpečně identifikovaní (autorizovaní) uživatelé. Totožnost uživatele se k tomuto účelu bezpečně zjišťuje vhodnými postupy.“
5.2.2.6. Požadavky
Požadavky jsou to, co se očekává, že splníte, abyste dosáhli cíle.
Požadavky jsou rozděleny do čtyř sloupců:
-
Requirements (must) ( Požadavky (musí)) (sloupec K)
-
Requirements (should) ( Požadavky (by měly)) (sloupec L)
-
Additional requirements for high protection needs ( Další požadavky vysokých nároků na ochranu) (sloupec M)
-
Additional requirements for very high protection needs ( Další požadavky velmi vysokých nároků na ochranu) (sloupec N)
Musíte splnit všechny požadavky až do výše potřeby ochrany, které potřebujete dosáhnout (kterou můžete odvodit z cíle hodnocení).
Pro některé cíle hodnocení je relevantní pouze podmnožina požadavků. Další informace o uplatnitelnosti požadavků najdete Tabulka 8, “Uplatnitelnost požadavků na cíle hodnocení” v Část 5.2.2.1, “Katalogy kritérií” a zejména o note na konci této části.
Další informace o definicích úrovní požadavků ISA „musí“ a „měl by“ najdete v části „Klíčové pojmy“ v listu „Definice“ v souboru aplikace Excel.
|
Důležité upozornění: Je velmi důležité, abyste si uvědomili, že každý požadavek musíte interpretovat v kontextu a duchu daného cíle. Ani dokonalé splnění požadavku nezaručuje, že poskytovatel auditu potvrdí, že jej splňujete v kontextu a duchu cíle (sloupec J). Požadavky a jejich znění vycházejí z teoretické implementace fiktivní průměrnou společností neznámé velikosti. Poskytovatel auditu musí vždy zvážit cíl s ohledem na jedinečnou implementaci ve vaší společnosti. Co je vhodné pro průměrnou společnost, nemusí být ve vaší konkrétní situaci dostačující. Další informace viz Část 5.2.5, “Zabývejte se výsledkem sebehodnocení”. |
5.2.2.7. Úrovně vyspělosti
ISA používá koncept „maturity levels” ( „úrovní vyspělosti“) k hodnocení kvality všech aspektů vašeho systému správy zabezpečení informací. Čím propracovanější je váš systém správy zabezpečení informací, tím vyšší je úroveň vyspělosti.
ISA rozlišuje šest úrovní vyspělosti. Podrobnou definici naleznete v listu „Maturity levels” ( „Úrovně vyspělosti“) v souboru aplikace Excel. Pro ucelený pohled na úrovně vyspělosti uvádíme neformální popisy, jak je uvádí ISA:
Maturity level ( Úroveň vyspělosti) | Jedním slovem | Popis |
---|---|---|
0 |
Incomplete ( neúplná) |
Proces není k dispozici, není dodržován nebo je k dosažení cíle nevhodný. |
1 |
Performed ( provedená) |
Nedokumentovaný nebo nekompletně dokumentovaný proces je dodržován a existují ukazatele o dosažení cíle. |
2 |
Managed ( řízená) |
Je dodržován proces, který dosahuje svých cílů. Existuje dokumentace procesu a důkazy o jeho zavedení. |
3 |
Established ( zavedená) |
Je dodržován standardní proces integrovaný do celkového systému. Závislosti na jiných procesech jsou zdokumentovány a jsou vytvořena vhodná rozhraní. Existují důkazy o tom, že proces je po delší dobu trvale a aktivně využíván. |
4 |
Predictable ( předvídatelná) |
Zavedený proces je dodržován. Účinnost procesu je průběžně sledována shromažďováním klíčových údajů. Jsou definovány mezní hodnoty, při jejichž dosažení je proces považován za nedostatečně účinný a vyžaduje úpravu. (Klíčové ukazatele výkonnosti) |
5 |
Optimizing ( optimalizační) |
Sleduje se předvídatelný proces, jehož hlavním cílem je neustálé zlepšování. Zlepšování je aktivně podporováno vyhrazenými zdroji. |
Úroveň vyspělosti vašeho systému správy zabezpečení informací musíte ohodnotit podle jednotlivých otázek. Zadejte svou úroveň vyspělosti do sloupce „Maturity level” ( „Úroveň vyspělosti“) (sloupec E).
Vaše úroveň vyspělosti |
Další informace o cílových úrovních vyspělosti a jejich vlivu na výsledek vašeho hodnocení viz Část 5.2.4, “Interpretace výsledku sebehodnocení”.
S tímto lepším porozuměním jste nyní připraveni zahájit sebehodnocení.
5.2.3. Proveďte sebehodnocení
Otevřete soubor aplikace Excel a projděte všechny kontrolní otázky v jednotlivých katalozích kritérií, které se vztahují k vašemu cíli (cílům) hodnocení, a určete úroveň vyspělosti, která odpovídá současnému stavu vašeho systému správy zabezpečení informací. Postupujte na základě svého nejlepšího úsudku. V této fázi neexistuje žádné správné nebo špatné řešení.
Po dokončení sebehodnocení by měl být sloupec „Výsledek“ (H) v listu „Výsledky (ISA5)“ v souboru aplikace Excel kompletně vyplněný, a to buď čísly (0-5), nebo „n/a“ (jako „nehodí se“).
Zelená |
Pokud máte dotazy týkající se ISA, kontaktujte nás.
5.2.4. Interpretace výsledku sebehodnocení
V následujících pěti podkapitolách se dozvíte, jak analyzovat a interpretovat výsledek sebehodnocení. Analýza vám sdělí, zda jste nebo ještě nejste připraveni na hodnocení TISAX.
5.2.4.1. Analýza
Vaše výsledné skóre je shrnutím výsledku sebehodnocení.
Výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“) najdete v listu „Výsledky (ISA5)“, (buňka D6) v souboru aplikace Excel. Pojem „omezení“ si zakrátko vysvětlíme.
Vaše výsledné skóre |
|
Maximální výsledné skóre |
Pro pochopení a následnou interpretaci výsledku vašeho sebehodnocení a výsledného skóre je třeba rozlišovat dvě úrovně analýzy:
-
Úroveň otázky
Tato úroveň obsahuje všechny otázky. U každé otázky je uvedena cílová úroveň vyspělosti a vaše úroveň vyspělosti. -
Úroveň skóre
Na této úrovni se nachází celkový výsledek, který shrnuje výsledky všech otázek. Je zde uvedeno maximální výsledné skóre a vaše výsledné skóre.
Na níže uvedeném obrázku jsou znázorněny úrovně analýzy:
Analýza |
|
Úroveň otázky |
|
Cílová úroveň vyspělosti |
|
Vaše úroveň vyspělosti |
|
Úroveň skóre |
|
Maximální výsledné skóre |
|
Vaše výsledné skóre |
Obrázek uvedený níže ukazuje, kde najdete výsledky na úrovni skóre a výsledky na úrovni otázek:
Úroveň skóre |
|
Úroveň otázky |
Další obrázek ukazuje zjednodušený pohled na úrovně analýzy, cílové definice ISA a vaše vlastní výsledky:
Cílová úroveň vyspělosti |
|
Vaše úroveň vyspělosti |
|
Úroveň otázky |
|
Q (otázka) |
|
TML (cílová úroveň vyspělosti) |
|
YML (vaše úroveň vyspělosti) |
|
Maximální výsledné skóre |
|
Vaše výsledné skóre |
|
Úroveň skóre |
Následující části podrobně vysvětlují výsledky a jejich analýzu.
5.2.4.2. Cílová úroveň vyspělosti (na úrovni otázek)
ISA definuje „cílovou úroveň vyspělosti“ 3 pro každou otázku.
Další informace o definici jednotlivých úrovní vyspělosti viz Část 5.2.2, “Porozumění dokumentu ISA”.
ISA definuje cílové úrovně vyspělosti v listu „Výsledky (ISA5)“ (počínaje sloupcem G, řádek 22; údaje viz obrázek níže) v souboru aplikace Excel.
Cílová úroveň vyspělosti |
5.2.4.3. Váš výsledek (na úrovni otázek)
Abyste mohli získat známky TISAX, musíte mít zpravidla pro každou otázku úroveň vyspělosti, která se rovná cílové úrovni vyspělosti nebo je vyšší.
Příklad: Pokud je cílová úroveň vyspělosti pro otázku X „3“, vaše úroveň vyspělosti pro tuto otázku by měla být „3“ nebo vyšší. Pokud je vaše úroveň vyspělosti pro danou otázku nižší než „3“, nemusíte známky TISAX obdržet.
To platí pro všechny otázky. Pokud je cílová úroveň vyspělosti pro dvě otázky „3“, nelze úroveň vyspělosti „2“ pro jednu otázku kompenzovat úrovní vyspělosti „4“ pro druhou otázku.
Dokument ISA automaticky přenese vaše úrovně vyspělosti z listu aplikace Excel „Zabezpečení informací“ (sloupec E) do listu aplikace Excel „Výsledky (ISA5)“ (počínaje sloupcem H, řádek 23):
Vaše cílová úroveň vyspělosti |
Vaše úroveň vyspělosti je před shrnutím do výsledného skóre v dokumentu ISA předmětem výpočtu. Vaše úroveň vyspělosti se v podstatě „sníží“ na cílovou úroveň vyspělosti. To se provádí proto, aby otázky, u nichž je vaše úroveň vyspělosti vyšší než cílová úroveň vyspělosti, nenahrazovaly otázky, u nichž je vaše úroveň vyspělosti nižší než cílová úroveň vyspělosti.
ISA vypočítá váš výsledek na úrovni otázky takto:
-
Vezme vaši úroveň vyspělosti a porovná ji s cílovou úrovní vyspělosti otázky.
-
Pokud je vaše úroveň vyspělosti vyšší než cílová úroveň vyspělosti, je „snížena“ na cílovou úroveň vyspělosti.
-
Pokud je vaše úroveň vyspělosti nižší nebo rovna cílové úrovni vyspělosti, nic se u této otázky neděje.
Příklad (viz obrázek níže): cílová úroveň vyspělosti je „3“. Vaše úroveň vyspělosti je „4“. Váš „výsledek omezení“ u této otázky bude „3“.
Do |
|
Výpočet |
|
Ven |
|
(Úroveň otázek) |
|
Cílová úroveň vyspělosti (TML) |
|
Vaše úroveň vyspělosti (YML) |
|
YML > TML? |
|
ano: snížení na TML |
|
ne: žádné omezení |
|
Vaše úroveň vyspělosti (RML) |
Obrázek níže ukazuje, že pokud je vaše úroveň vyspělosti vyšší než cílová úroveň vyspělosti, ISA ji sníží (zelené, oranžové a červené barvy odpovídají barvám použitým ve sloupci „Výsledek“, viz Obrázek 19, “Vaše úrovně vyspělosti v listu aplikace Excel „Výsledky (ISA5)“”).
Příklad: |
|
YML |
|
TML |
|
Omezení |
Níže je uveden další způsob zobrazení úrovní vyspělosti na úrovni otázek. Barvy kruhů ilustrují cílovou úroveň vyspělosti nebo „vzdálenost“ k ní (příklad: kruh je oranžový, pokud je úroveň vyspělosti „-1“ pod cílovou úrovní vyspělosti). Zaškrtnutí znázorňují vaši úroveň vyspělosti.
Úroveň vyspělosti |
|
Otázka |
|
Omezení |
|
Cílová úroveň vyspělosti (TML) |
|
Jedna nebo více nad TML |
|
Jedna pod TML |
|
Dvě nebo více pod TML |
|
Vaše úroveň vyspělosti (YML) |
|
Omezení na TML |
|
Upozorňujeme: Hodnocení TISAX lze úspěšně absolvovat i tehdy, když nedosáhnete cílové úrovně vyspělosti u všech otázek. Hlavní otázkou v takových případech je, zda máte relevantní riziko. Pokud je vaše úroveň vyspělosti nižší než cílová hodnota, ale riziko neexistuje, může to být stále dostačující. |
5.2.4.4. Cílová hodnota (na úrovni skóre)
ISA definuje celkovou „ideální“ úroveň vyspělosti jako — „maximální výsledné skóre“ (nebo „maximální skóre“, buňka G6).
Maximální výsledné skóre |
Teoreticky je tato celková úroveň vyspělosti průměrem všech cílových úrovní vyspělosti (na úrovni otázky). To by znamenalo maximální výsledné skóre „3,0“.
Je to však „3,0“ pouze tehdy, pokud se na vaši situaci vztahují všechny otázky. Jakmile se některá otázka na vaši situaci nevztahuje, průměr se změní a maximální výsledné skóre je nižší než „3,0“.
Na základě zobrazení uvedeného výše (Obrázek 22, “Úrovně vyspělosti na úrovni otázek”) dále uvidíte, co je zařazeno do průměru pro maximální výsledné skóre:
Úroveň vyspělosti |
|
Otázka |
|
Omezení |
|
Maximální výsledné skóre |
5.2.4.5. Váš výsledek (na úrovni skóre)
Vaše celkové výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“, buňka D6):
-
shrnuje celkovou úroveň vyspělosti vašeho systému správy zabezpečení informací.
-
Je průměrem všech vašich úrovní vyspělosti (na úrovni otázek).
-
Může být nižší než maximální výsledné skóre nebo se mu rovnat.
-
Mělo by být co nejblíže maximálnímu výslednému skóre. Čím více je vaše výsledné skóre nižší než maximální výsledné skóre, tím menší je pravděpodobnost, že obdržíte známku TISAX.
Vaše výsledné skóre |
A opět na zobrazení uvedeném výše (Obrázek 22, “Úrovně vyspělosti na úrovni otázek”) uvidíte dále, co je zařazeno do průměru pro výsledné skóre:
Úroveň vyspělosti |
|
Otázka |
|
Omezení |
|
Vaše výsledné skóre |
Výsledné skóre vám sdělí, zda:
-
jste připraveni na hodnocení TISAX.
-
můžete očekávat, že obdržíte známky TISAX.
Pokud je vaše výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“) nižší než „3,0“, pak minimálně u jedné otázky vaše úroveň zralosti neodpovídá cílové úrovni vyspělosti. V tomto případě musíte nejspíš zlepšit svůj systém správy zabezpečení informací, než budete připraveni na hodnocení TISAX.
|
Upozorňujeme: Pro celkové skóre existují formální limity přijatelné „vzdálenosti“ mezi vaším výsledným skóre a maximálním výsledným skóre („Výsledek s omezením na cílovou úroveň vyspělosti“). Pokud je vaše výsledné skóre vyšší než:
|
|
Důležité upozornění: Dosažení výsledného skóre („Výsledek s omezením na cílové úrovně vyspělosti“) „3“ není zárukou, že hodnocením TISAX projdete bez jakýchkoli prohibitivních zjištění. Mějte na paměti, že poskytovatel auditu může na některé aspekty nahlížet jinak než vy. |
5.2.4.6. Jste připraveni?
Účelem výše uvedené analýzy je zjistit, zda jste na hodnocení TISAX připraveni.
Na hodnocení TISAX jste určitě připraveni, pokud je vaše výsledné skóre („Výsledek s omezením na cílové úrovně vyspělosti“) (blízké hodnotě) „3,0“. V tomto případě jsou všechny hodnoty ve sloupci „Výsledky“ (H) zelené (žádná oranžová ani červená).
Nejsou-li zelené, je třeba zabývat se výsledkem sebehodnocení (viz Část 5.2.5, “Zabývejte se výsledkem sebehodnocení”).
Na obrázku níže je zobrazen pavoučí diagram ISA na listu aplikace Excel „Výsledky (ISA5)“. Zelená čára znázorňuje cílovou úroveň vyspělosti v jednotlivých kapitolách. Pokud je vaše úroveň vyspělosti na této čáře nebo nad ní, jste na hodnocení TISAX připraveni. Pokud se nachází pod touto čarou, je možné, že to na získání známek TISAX nestačí.
Jste připraveni na hodnocení TISAX |
|
Cílové úrovně vyspělosti |
|
Úrovně vyspělosti nemusí být k získání známek TISAX dostačující! |
Když pavučinu ISA „rozbalíte“ na úroveň otázek, získáte podobný zelený/červený pohled na úroveň otázek:
Úroveň vyspělosti |
|
Otázka |
|
Vaše výsledné skóre nemusí být k získání známek TISAX dostačující |
|
Jste připraveni na hodnocení TISAX |
5.2.5. Zabývejte se výsledkem sebehodnocení
Výsledek vašeho sebehodnocení může naznačovat, že potřebujete zlepšit svůj systém správy zabezpečení informací, než budete připraveni získat známky TISAX.
Pokud jde o některé mezery mezi vaší úrovní vyspělosti a cílovou úrovní vyspělosti, možná již víte, jak je odstranit. U jiných budete možná potřebovat externí poradenství. V takovém případě můžete požádat naše poskytovatele auditu TISAX o konzultační služby. TISAX jim poradenství umožňuje, ale nevyžaduje je. Vezměte však na vědomí, že poskytovatel auditu, který pro vás provádí konzultace, již pro vás nemůže provádět hodnocení TISAX.
|
Důležité upozornění: Pro mnoho společností je velkým kamenem úrazu Nedostatečné řešení výsledků sebehodnocení před provedením hodnocení. Nepodceňujte prosím úsilí, které může být nutné vynaložit na utváření systému správy zabezpečení informací v souladu s požadavky. Mnoho společností musí formálně vytvořit rozsáhlý projekt přípravy na hodnocení TISAX. |
|
Upozorňujeme: Pokud pro absolvování procesu TISAX hledáte externí pomoc, zjistíte, že různé společnosti nabízejí konzultační a školicí služby. S žádnou z těchto společností nemáme žádnou spojitost. Za současného stavu věcí:
|
|
Upozorňujeme: |
5.3. Výběr poskytovatele auditu
Hodnocení TISAX mohou provádět pouze poskytovatelé auditů, se kterými jsme uzavřeli smlouvu[15]. Poskytovatelé auditu TISAX pro vás mohou provádět hodnocení TISAX pouze v případě, že pro vás dříve neprováděli žádné konzultační zakázky.
Všichni naši poskytovatelé auditu TISAX jsou povinni provádět hodnocení TISAX pouze pro společnosti, které jsou registrovanými účastníky systému TISAX.
|
Důležité upozornění: Jakmile zaregistrujete rozsah hodnocení TISAX, měli byste začít kontaktovat naše poskytovatele auditu. V souvislosti se svou dostupností mají totiž určitý čas na přípravu. Jejich kontaktování po dokončení příprav by mohlo lhůtu zbytečně prodloužit. |
|
Upozorňujeme: Každý rozsah hodnocení prochází určitým životním cyklem. V této fázi musí být váš rozsah hodnocení ve stavu „schválen“ nebo „registrován“. Další informace o stavu rozsahu hodnocení viz Část 7.5.5, “Assessment scope status „Awaiting your payment” ( Stav rozsahu hodnocení „čeká na vaši platbu“)”. |
5.3.1. Kontaktní informace
Jakmile zaregistrujete rozsah hodnocení TISAX, můžete kontaktovat všechny poskytovatele auditu TISAX a požádat o zaslání nabídek. Jejich kontaktní informace jsou uvedeny v e-mailu s potvrzením registrace, který jste obdrželi[16] (informace viz Část 4.5.8, “Potvrzovací e-mail”).
|
Upozorňujeme: Nabídky od našich poskytovatelů auditů TISAX si vyžádejte až POTÉ, co se zaregistrujete. Poskytovatelé auditu prověří, zda již máte registraci. Žádosti bez registrace musí odmítat. Z tohoto důvodu také obdržíte kontaktní údaje poskytovatele auditu pouze v e-mailu s potvrzením registrace, a nikoli na našich veřejných webových stránkách. |
5.3.2. Pokrytí
Ačkoli v současné době je mnoho poskytovatelů auditu na kontaktních místech v Německu, je třeba pochopit, že všichni naši poskytovatelé auditu jsou zpravidla schopni provádět hodnocení TISAX po celém světě. Většina z nich má dokonce v mnoha zemích své vlastní zaměstnance.
Na našich webových stránkách poskytujeme možnost navštívit stránku, kde si můžete vybrat svou zemi a následně zjistit, který poskytovatel auditu má místní prodejce a/nebo místní auditory ( enx.com/en-US/TISAX/xap/).
5.3.3. Vyžádání nabídek
Aby naši poskytovatelé auditu TISAX mohli přesně vyčíslit předpokládané úsilí při hodnocení, měli byste vždy uvést „Výpis rozsahu TISAX“.
Další informace viz Část 4.5.8, “Potvrzovací e-mail”.
|
Upozorňujeme: Nestrannost je klíčovou vlastností našich poskytovatelů auditu TISAX. Dbají na to, aby nedocházelo ke střetu zájmů. Při kontaktu s nimi je vhodné tuto skutečnost zvážit. Pokud je vaše společnost s poskytovatelem auditu nějak spřízněna, nelze očekávat, že vás bude hodnotit. |
5.3.4. Vyhodnocení nabídek
Mezi všemi našimi poskytovateli auditu TISAX si můžete volně vybírat. Všichni jsou vázáni stejnou smlouvou. Všichni provádějí hodnocení na základě stejných kritérií a stejných auditorských metod. Pokud jde o výsledek hodnocení, nebude mezi nimi rozdíl bez ohledu na to, kterého poskytovatele auditu si vyberete. Výsledek vašeho hodnocení bude akceptován všemi účastníky systému TISAX.
Kromě zřejmých faktorů, jako je cena, pověst a líbivost, existují některé aspekty nabídky, na které se můžete zaměřit:
-
Dostupnost:
Jak brzy může být proces hodnocení zahájen? To by mohlo být důležitým aspektem, pokud získání hodnocení TISAX naléhavě potřebujete. -
Náklady spojené s cestováním na schůzky na místě:
Poskytovatelé auditu, kteří mají kanceláře ve vaší zemi, mohou mít nižší náklady spojené s cestováním. -
Jazyk:
Budete vy a všichni ostatní účastníci pohovoru ve vaší společnosti schopni komunikovat s auditorem ve vašem rodném jazyce? -
Rozsah nabídky:
Jaká hodnocení zahrnuje?
Další informace o hodnoceních viz Část 5.4.3, “Typy hodnocení TISAX”.
Nabídky zpravidla zahrnují úvodní hodnocení a hodnocení plánu nápravných opatření. Jelikož je obtížné předvídat úsilí vynaložené na následná hodnocení, bývají obvykle nabízena až po dokončení ostatních hodnocení.
Nakonec bude záležet na důvěře. S poskytovatelem auditu si budete muset vytvořit vztah důvěry, protože bude mít o vaší společnosti poměrně velký přehled.
|
Upozorňujeme: |
|
Upozorňujeme: Přestože bychom vám rádi sdělili, kolik si naši poskytovatelé auditu za hodnocení účtují, prosíme vás o pochopení, že není v naší kompetenci tyto informace poskytovat. Náklady závisí na příliš mnoha faktorech. Kromě toho jsou naši poskytovatelé auditu nezávislí, pokud jde o jejich komerční kalkulace. Můžeme však uvést hrubé odhady, kolik člověkodnů vám budou naši poskytovatelé auditu účtovat. U průměrné malé společnosti s jednou provozovnou můžete očekávat, že zaplatíte za tři a půl až čtyři člověkodny za hodnocení v hodnocení úrovně 2 a pět až šest člověkodnů za hodnocení v hodnocení úrovně 3. |
|
Upozorňujeme: Každé hodnocení prochází určitým životním cyklem. Další informace o stavu hodnocení viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”. |
Jakmile si vyberete jednoho z našich poskytovatelů auditu TISAX, můžete konečně zahájit proces hodnocení TISAX.
5.4. Proces hodnocení TISAX
5.4.1. Přehled
Proces hodnocení TISAX se skládá z několika druhů hodnocení. Ve většině případů se bude jednat o více než jedno hodnocení.
Na proces hodnocení byste měli nahlížet jako na prolínající se sled kroků, kde:
-
Připravíte svůj systém správy zabezpečení informací tak, aby byl ve špičkové podobě.
-
Poskytovatel auditu zjišťuje, zda je váš systém správy zabezpečení informací v souladu s definovaným souborem požadavků. Může najít nedostatky.
-
Tyto nedostatky pak ve stanovených lhůtách odstraníte.
-
Poskytovatel auditu poté znovu zkontroluje, zda jste nedostatky odstranili.
Tyto kroky se střídají, dokud nejsou všechny nedostatky odstraněny.
Je důležité si uvědomit, že každý dílčí krok v procesu hodnocení iniciujete vy. Celý proces hodnocení máte pod kontrolou. A je samozřejmě na vás, abyste proces hodnocení zastavili a ukončili, kdykoli budete chtít.[17]
Proces hodnocení TISAX má následující makrostrukturu:
-
Zahajovací schůzka
Vy a poskytovatel auditu plánujete podrobnosti procesu hodnocení. -
Fáze hodnocení 1
Poskytovatel auditu zkontroluje vaše sebehodnocení -
Fáze hodnocení 2
Poskytovatel auditu provádí hodnocení
5.4.2. Zahajovací schůzka
Proces hodnocení TISAX začíná zahajovací schůzkou. Na ní se plánují podrobnosti procesu hodnocení. Zahajovací schůzka má zpravidla formu konferenčního hovoru. Touto schůzkou vás provede poskytovatel auditu.
Na pořadu jednání jsou mimo jiné následující témata:
-
Kdo jsou účastníci schůzky?
-
Kdo je hodnocená společnost?
-
Jak probíhá proces hodnocení TISAX?
-
Jaký je rozsah hodnocení a je to ten správný?
-
Nedochází ke střetu zájmů?
-
Jak vypadá dobré sebehodnocení?
-
Kdo za co odpovídá?
-
Jak probíhá komunikace?
-
Kdy hodnocení (a další časové plánování) probíhá?
-
Kdo se musí hodnocení účastnit?
-
Na koho se můžete obrátit v případě stížnosti?
Doba mezi ukončením zahajovací schůzky a předáním vašeho sebehodnocení je obvykle jeden až tři měsíce. Ani šest měsíců však není nic neobvyklého. Tato doba závisí na stavu vaší přípravy. TISAX nepředepisuje pro toto období žádné lhůty. Na přípravu sebehodnocení a na přípravu na hodnocení si můžete vzít tolik času, kolik budete potřebovat.
5.4.3. Typy hodnocení TISAX
Proces hodnocení TISAX se skládá z těchto tří typů hodnocení TISAX:
-
Úvodní hodnocení ( Initial assessment)
-
Hodnocení plánu nápravných opatření ( Corrective action plan assessment)
-
Následné hodnocení ( Follow-up assessment) [18]
Počáteční hodnocení se uskuteční vždy. Další dva typy hodnocení TISAX se mohou uskutečnit, a to hned několikrát. Uskuteční se buď:
-
dokud neodstraníte všechny nedostatky
-
dokud proces hodnocení TISAX neukončíte
-
nebo dokud neuplyne maximální doba devíti měsíců od ukončení závěrečného setkání úvodního hodnocení (v tomto okamžiku je nutné provést další úvodní hodnocení).
Všechny typy hodnocení TISAX budou popsány v následujících částech.
|
Upozorňujeme: Každé hodnocení prochází určitým životním cyklem. Další informace o stavu hodnocení viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”. |
5.4.4. Prvky hodnocení TISAX
Každé hodnocení TISAX se skládá z následujících prvků:
-
Formální zahajovací schůzka[19][20]
-
Jejím cílem je pokrýt všechna organizační témata.
-
Nemusí se nutně jednat o osobní schůzku.
-
Témata mohou být pokryta najednou nebo rozložena do několika setkání.
-
Jedná se o „logickou schránku“ všech organizačních témat předběžného hodnocení.
-
-
Postup hodnocení
-
Poskytovatel auditu prověří všechny požadavky.
-
Metody hodnocení jsou voleny podle příslušné úrovně hodnocení.
-
-
Formální závěrečná schůzka[21]
-
Jimi se hodnocení TISAX uzavírá.
-
Poskytovatel auditu prezentuje svá zjištění.
-
Poskytovatel auditu oznámí výsledek hodnocení.
-
Nemusí se nutně jednat o osobní schůzku.
-
Jedná se o „logickou schránku“ všech organizačních témat následujících po hodnocení.
-
Po „závěrečné schůzce“ poskytovatel auditu připraví a zašle pracovní verzi aktualizované „zprávy o hodnocení TISAX“. Pokud si myslíte, že poskytovatel auditu něčemu nesprávně porozuměl, můžete vznést námitku.[22] Poskytovatel auditu následně vydá závěrečnou „zprávu o hodnocení TISAX“.
Všechny tyto položky budou popsány v dalších částech.
5.4.5. O shodě
Než budeme pokračovat v popisu procesu hodnocení TISAX, dovolíme si vám vysvětlit klíčový pojem, který je nezbytný k pochopení následujících oddílů.
Účelem hodnocení TISAX je určit, zda váš systém správy zabezpečení informací splňuje definovaný soubor požadavků. Poskytovatel auditu zjišťuje, zda váš systém správy zabezpečení informací „vyhovuje“ ( „conforms”) požadavkům.
1. krok: Kontroly se provádějí pro každý uplatnitelný požadavek zvlášť.
Pokud váš přístup „vyhovuje“ všem požadavkům, hodnocením projdete a obdržíte známky TISAX, které odpovídají cílům hodnocení.
Vše, co je pod úrovní úplného nebo ideálního souladu s požadavky, se nazývá nález ( finding). TISAX rozlišuje čtyři typy nálezů:
č. | Typ | Definice | Reakce | Příklady |
---|---|---|---|---|
1. |
Závažná neshoda ( Major non-conformity) |
Závažná neshoda:
|
Musíte:
|
|
2. |
Drobná neshoda ( Minor non-conformity) |
Drobná neshoda:
|
Musíte:
|
|
3. |
Pozorování ( Observation) |
Pozorování je neshoda s požadavky a vašimi vlastními zásadami, která nepředstavuje bezprostřední riziko ohrožující zabezpečení informací, ale může je představovat v budoucnu. |
Musíte:
|
nehodí se |
4. |
Prostor pro zlepšení ( Room for improvement) |
Odchylka, která nepatří k výše uvedeným typům a nepředstavuje riziko ohrožující zabezpečení informací, avšak nabízí zřejmý prostor pro zlepšení. |
Můžete se rozhodnout, zda a jak tento typ zjištění řešit. |
nehodí se |
2. krok: Všechny výsledky předchozího kroku „podle požadavků“ jsou sloučeny do celkového výsledku hodnocení.
Celkový výsledek hodnocení může být následující:
-
Vyhovuje ( Conform)
Celkový výsledek hodnocení je „vyhovuje“. Všechny požadavky jsou splněny. -
Drobná neshoda ( Minor non-conform)
Celkový výsledek hodnocení je minor „non-conform“ (menší neshoda), pokud máte u některého požadavku alespoň jednu „drobnou neshodu“. -
Závažná neshoda ( Major non-conform)
Celkový výsledek hodnocení je „závažná neshoda“, pokud máte u některého požadavku alespoň jednu „závažnou neshodu“.
(Bez schváleného plánu nápravných opatření má každá neshoda za následek celkový výsledek hodnocení „závažná neshoda“).
Pokud je váš celkový výsledek hodnocení:
-
„drobná neshoda“, můžete obdržet dočasné známky TISAX, dokud nebudou všechny neshody vyřešeny.
-
„závažná neshoda“, musíte nejprve vyřešit příslušný problém, než obdržíte jakékoli známky TISAX.
Vhodnými nápravnými opatřeními schválenými poskytovatelem auditu je možné změnit celkový výsledek vašeho hodnocení ze „závažné neshody“ na „drobnou neshodu“ a získat tak dočasné známky TISAX.
Je potřeba chápat, že celkový výsledek vašeho hodnocení se bude v průběhu celého procesu hodnocení TISAX zlepšovat.
Zkuste se zamyslet nad tímto velmi jednoduchým příkladem: Po počátečním hodnocení můžete mít celkový výsledek hodnocení „závažná neshoda“. Následně příslušné riziko zmírníte. Tím se změní váš celkový výsledek hodnocení ze „závažné neshody“ na „drobnou neshodu“. A po odstranění rizika bude váš konečný celkový výsledek hodnocení „vyhovuje“.
Toto vše bude podrobněji vysvětleno níže. Další informace o známkách TISAX najdete dále v Část 5.4.14, “Známky TISAX”.
5.4.6. Vaše příprava na proces hodnocení TISAX
Poskytovatel auditu připraví hodnocení na základě vašeho sebehodnocení. Počítejte proto s tím, že své sebehodnocení musíte poskytovateli auditu předložit v předstihu. Přesné termíny dodání jsou dohodnuty na zahajovací schůzce.
Dobře připravený poskytovatel auditu zkrátí dobu potřebnou k hodnocení. Kromě sebehodnocení si před hodnocením vyžádá také příslušnou dokumentaci. Může se jednat o dokumentaci, na kterou jste se odkazovali v sebehodnocení, a další dokumentaci, kterou poskytovatel auditu považuje za relevantní.
Na základě těchto informací naplánuje poskytovatel auditu postup hodnocení.
5.4.7. Úvodní hodnocení
Jedná se o první hodnocení TISAX, které představuje formální zahájení procesu hodnocení TISAX.
|
Důležité upozornění: Úvodní hodnocení představuje počátek dvou důležitých období:
Obě lhůty začínají běžet dnem konání závěrečné schůzky úvodního hodnocení. |
|
Upozorňujeme: Kromě dvou výše uvedených období žádná další časová omezení neexistují. Například ani dokončení registračního procesu online, ani kontaktování našich poskytovatelů auditu nebo dokonce uskutečnění zahajovací schůzky nespouští žádné lhůty. Začátek úvodního hodnocení záleží na vás. |
5.4.7.1. Formální zahajovací schůzka
Jako všechna hodnocení TISAX, také úvodní hodnocení otevírá formální úvodní schůzka. Formální zahajovací schůzka obvykle probíhá formou konferenčního hovoru nebo webové konference. U malých společností, které mají případně nějaké zkušenosti z jiných auditů, to netrvá dlouho.
Účelem této schůzky je:
-
zkontrolovat předpoklady hodnocení
-
představit vedoucího projektu hodnocení a tým hodnotitelů
-
naplánovat hodnocení.
5.4.7.2. Postup hodnocení
Poskytovatel auditu provede úvodní hodnocení podle připraveného plánu. To, jak bude podrobně vypadat, závisí na cílech hodnocení. Hodnocení se většinou skládá z konferenčních hovorů, rozhovorů na místě a kontrol na místě s různou mírou hloubky[23].
Poskytovatel auditu prezentuje všechna svá zjištění během úvodního hodnocení.
5.4.7.3. Závěrečná schůzka
Na závěrečné schůzce váš poskytovatel auditu opět shrne všechny své nálezy.
5.4.7.4. Zpráva o hodnocení TISAX
Po závěrečné schůzce poskytovatel auditu vypracuje a zašle vám pracovní verzi „zprávy o hodnocení TISAX“. Pokud si myslíte, že poskytovatel auditu něčemu nesprávně porozuměl, můžete vznést námitku.[24] Poskytovatel auditu následně vydá „zprávu o hodnocení TISAX“.
V této fázi bude celkový výsledek aktuálního hodnocení buď:
-
vyhovuje, nebo
-
závažná neshoda.
Nevyřešené (drobné) neshody mají vždy za následek celkový výsledek hodnocení „závažná neshoda“. Celkový výsledek vašeho hodnocení může být „drobná neshoda“ až poté, co nadefinujete opatření, která povedou k realizaci opatření na odstranění neshod.
Další informace o tom, jak toho dosáhnout, viz Část 5.4.9.4, “Dočasné známky TISAX”.
Pokud je celkový výsledek vašeho hodnocení „vyhovuje“ hned při úvodním hodnocení, můžete zbývající část hodnocení přeskočit a přejít k výměně výsledku.
Pokud je celkový výsledek vašeho hodnocení „závažná neshoda“, je vaším dalším úkolem vypracovat plán na vyřešení nálezů a na odstranění nedostatků, které poskytovatel auditu zjistil. Tento plán se oficiálně nazývá „plán nápravných opatření“ ( „corrective action plan”).
|
Upozorňujeme: Pokud jste si před zahájením hodnocení vědomi situace, která povede k neshodě, a nebudete ji moci napravit před hodnocením, můžete již nyní naplánovat nápravné opatření (včetně data jeho provedení) a předložit je poskytovateli auditu až během hodnocení. To by teoreticky mohlo vést k celkovému výsledku hodnocení „drobná neshoda“. Taková situace by však byla výjimečná. |
5.4.8. Příprava plánu nápravných opatření
Váš „plán nápravných opatření“ ( „corrective action plan”) stanoví, jakým způsobem plánujete řešit nálezy z úvodního hodnocení. Poskytovatel auditu posoudí vhodnost vašeho „plánu nápravných opatření“ (viz další část).
Při sestavování vašeho „plánu nápravných opatření“ byste měli zohlednit následující požadavky:
-
Nález
-
Musíte uvést, k jakému nálezu se dané nápravné opatření vztahuje.
-
-
Hlavní příčina
-
Je třeba určit a uvést hlavní příčinu nálezu.
-
-
Nápravná opatření
-
U každé neshody je nutné definovat jednu nebo více „nápravných opatření“ s cílem realizovat kroky vedoucí k odstranění dané neshody.
-
-
Termín realizace
-
Ke každému nápravnému opatření je třeba určit termín realizace.
-
Termín realizace by měl poskytnout dostatek času na důkladnou realizaci opatření.
-
-
Kompenzační opatření
-
U všech neshod, které vytvářejí kritická rizika, je třeba definovat kompenzační opatření, která budou řešit neshody do doby, než budou nápravná opatření realizována.
-
-
Lhůta realizace
-
U všech nápravných opatření, jejichž realizace trvá déle než tři měsíce, musíte zdůvodnit lhůtu realizace.
-
U všech nápravných opatření, která trvají déle než šest měsíců, musíte navíc předložit důkazy, které prokazují, že rychlejší realizace není možná.
-
Lhůta realizace jakéhokoli nápravného opatření nesmí být delší než devět měsíců.
-
Po dokončení plánu nápravných opatření můžete požádat o „hodnocení plánu nápravných opatření“.
|
Důležité upozornění: Doporučujeme začít s realizací co nejdříve. Nemusíte čekat na výsledek „hodnocení plánu nápravných opatření“. |
|
Upozorňujeme: TISAX má požadavky pouze na obsah, nikoli na formu plánů nápravných opatření. |
5.4.9. Hodnocení plánu nápravných opatření
Účelem „hodnocení plánu nápravných opatření“ je ověřit, zda váš „plán nápravných opatření“ (viz výše) splňuje požadavky TISAX.
Předložte „plán nápravných opatření“ příslušnému poskytovateli auditu. Poskytovatel auditu posoudí plán podle požadavků (viz níže). Pokud váš plán splňuje požadavky, váš poskytovatel auditu vydá aktualizovanou „zprávu o hodnocení TISAX“.
Toto hodnocení obvykle netrvá dlouho. Ve většině případů se jedná o konferenční hovor nebo webovou konferenci. Někdy dokonce probíhá pouze prostřednictvím e-mailu.
5.4.9.1. Důvody hodnocení plánu nápravných opatření
Důvody „hodnocení plánu nápravných opatření“ jsou následující:
-
Zbývající neshody
-
po úvodním hodnocení
-
po následném hodnocení
-
po hodnocení rozšíření rozsahu
-
-
„Plán nápravných opatření“, který již byl hodnocen, ale nesplnil požadavky.
-
Změnily se ovlivňující faktory, na nichž je založen výpočet lhůt realizace plánu nápravných opatření.
5.4.9.2. Kombinace s úvodním hodnocením
„Hodnocení plánu nápravných opatření“ nemusí nutně být samostatnou akcí. „Plán nápravných opatření“ máte možnost představit již během závěrečného setkání v rámci úvodního hodnocení. Poskytovatel auditu pak může rovnou zpracovat „hodnocení plánu nápravných opatření“.
Pokud spojíte „hodnocení plánu nápravných opatření“ s úvodním hodnocením a „plán nápravných opatření“ splňuje požadavky, můžete se s poskytovatelem auditu dohodnout, že „zprávu o úvodním hodnocení“ nepotřebujete. Místo toho váš poskytovatel auditu může vypracovat pouze „zprávu o hodnocení plánu nápravných opatření“. Tato zpráva vám zajistí přímé získání dočasných známek TISAX.
5.4.9.3. Požadavky na plán nápravných opatření
Poskytovatel auditu posoudí váš „plán nápravných opatření“ podle následujících požadavků:
-
Opatření jsou vhodná
-
Poskytovatel auditu posoudí vhodnost nápravného opatření na základě jeho kapacity odstranit hlavní příčinu neshody.
-
-
Kritická rizika se zmírní vhodnými kompenzačními opatřeními[25]
-
Lhůty realizace jsou přiměřené.
-
Lhůty realizace začínají běžet dnem, kdy bylo ukončeno počáteční hodnocení.
-
-
Žádná lhůta realizace nesmí být delší než:
-
tři měsíce bez dalšího odůvodnění
-
šest měsíců bez dalšího odůvodnění a důkazů
-
devět měsíců
-
5.4.9.4. Dočasné známky TISAX
Pokud je celkový výsledek hodnocení „drobná neshoda“, získáte dočasné známky TISAX.
Výhodou dočasných známek TISAX je, že je váš partner zpravidla akceptuje pod podmínkou, že následně získáte trvalé známky TISAX. To vám může pomoci, pokud je prokázání účinnosti vašeho systému správy zabezpečení informací pro vašeho partnera naléhavé.
Předpokladem získání dočasných známek TISAX je zpráva o hodnocení plánu nápravných opatření s celkovým výsledkem hodnocení „drobná neshoda“.
Dočasné známky TISAX jsou rovnocenné trvalým známkám TISAX. Jediným rozdílem je kratší doba platnosti dočasných známek TISAX.
Dočasné známky TISAX mohou být platné až devět měsíců po uzavírací schůzce úvodního hodnocení. Doba platnosti dočasných známek TISAX je dána nejdelší dobou realizace nápravných opatření.
Příklady:
-
Máte pouze jednu neshodu. Musíte vypracovat revizi zásad. Související lhůta na realizaci je dva měsíce.
Pak jsou vaše dočasné známky TISAX platné dva měsíce. -
Máte neshodu v rámci výše zmíněné revize zásad. Kromě této neshody máte ještě, kdy musíte v rámci nápravného opatření postavit novou vnější stěnu. Vzhledem k době, kterou zabere získání potřebných souhlasů od obce, je související doba realizace osm měsíců.
Pak jsou vaše dočasné známky TISAX platné osm měsíců.
Další informace o požadavcích na lhůty realizace viz Část 5.4.9.3, “Požadavky na plán nápravných opatření”
|
Upozorňujeme: „Hodnocení plánu nápravných opatření“ je nepovinné. Můžete rovnou přejít k následnému hodnocení, pokud:
|
Jakmile dokončíte všechna nápravná opatření, měli byste požádat o „následné hodnocení“.
5.4.10. Následné hodnocení
Účelem „následného hodnocení“ je vyhodnotit, zda došlo k odstranění všech dosud zjištěných neshod. O následné hodnocení obvykle žádáte, až když máte jistotu, že jsou všechny neshody odstraněny.
Následných hodnocení však můžete mít tolik, kolik potřebujete. Pokud během následného hodnocení váš poskytovatel auditu stále potvrzuje stávající nebo dokonce nové neshody, stačí aktualizovat plán nápravných opatření a znovu zahájit tuto část procesu hodnocení.
Toto hodnocení může mít podobu jak fyzického setkání, tak konferenčního hovoru nebo webové konference.
5.4.10.1. Načasování
Váš poskytovatel auditu může provést jedno následné hodnocení (více následných hodnocení) až do devíti měsíců od ukončení původního hodnocení[26].
5.4.10.2. Předpoklady
Pokud dočasné známky TISAX nepotřebujete, můžete o následné hodnocení požádat přímo. Před následným hodnocením nemusíte mít „hodnocení plánu nápravných opatření“.
5.4.10.3. Ukončení platnosti dočasných známek TISAX
Pokud potřebujete dočasné známky TISAX, možná se budete chtít ujistit, že se do doby získání trvalých známek TISAX neobjeví žádný nedostatek. Doporučujeme proto požádat o následné hodnocení v dostatečném předstihu před nejzazším možným datem[27]. Důvod spočívá v tom, že chcete mít dostatečnou časovou rezervu, abyste mohli řešit případné drobné nálezy zjištěné při následném hodnocení.
5.4.11. Schéma procesu hodnocení TISAX
Předchozí části jsou nyní shrnuty v následujícím procesním diagramu:
Vaše akce |
|
Opatření poskytovatele auditu |
|
Zahájení |
|
Příprava hodnocení |
|
Vyvolá se na základě vašeho podnětu |
|
Začátek maximální lhůty devíti měsíců |
|
Úvodní hodnocení |
|
Zpráva o úvodním hodnocení |
|
Zjištěné neshody? |
|
ne |
|
e) |
|
ano |
|
Napište plán nápravných opatření |
|
d) |
|
Vyvolá se na základě vašeho podnětu |
|
Začněte s nápravnými opatřeními / pokračujte v jejich realizaci |
|
Hodnocení plánu nápravných opatření |
|
Zpráva o hodnocení plánu nápravných opatření |
|
Ne (neúplný nebo nevhodný) |
|
Je plán nápravných opatření v pořádku? |
|
c) |
|
b) |
|
a) |
|
Dočasné známky TISAX jsou možné |
c) |
|
b) |
|
a) |
|
ne |
|
Byla provedena nápravná opatření? |
|
Ano, na základě vašeho podnětu |
|
Následné hodnocení |
|
Zpráva o následném hodnocení |
|
e) |
|
Výsledek hodnocení „vyhovuje“? |
|
d) |
|
Konec maximální lhůty devíti měsíců |
|
ano |
|
Známky TISAX |
|
Poskytovatel auditu: Nahraje výsledek do výměnné platformy |
|
Vy: sdílíte výsledek na výměnné platformě |
|
Vy: nastavíte upomínku k obnovení |
|
Konec |
5.4.12. Assessment ID ( ID hodnocení)
Každé hodnocení TISAX v rámci rozsahu hodnocení je identifikováno pomocí „ID hodnocení“. Toto ID odkazuje na výsledek vašeho hodnocení a na příslušnou zprávu o hodnocení TISAX.
ID hodnocení vypadá takto:
Předpona „A“ ID hodnocení |
|
Předpona poskytovatele auditu přidělená sdružením ENX Association |
|
Unikátní náhodný řetězec obsahující pouze alfanumerické znaky: |
|
Počítadlo hodnocení |
ID hodnocení se zpravidla používá při komunikaci s poskytovatelem auditu.
5.4.13. Zpráva o hodnocení TISAX
„Zpráva o hodnocení TISAX“ ( „TISAX assessment report”):
-
se (aktualizuje a) vydává po každém provedení hodnocení TISAX
-
dokumentuje nálezy vašeho poskytovatele auditu
-
obsahuje celkový výsledek hodnocení (shoda, drobná neshoda, závažná neshoda)
-
obsahuje veškeré další informace týkající se vašeho hodnocení TISAX (například cíl hodnocení, rozsah, zúčastněné osoby a lokality).
Existuje několik typů „Zpráv o hodnocení TISAX“ (v závislosti na typu hodnocení):
-
Úvodní zpráva o hodnocení ( Initial assessment report)
-
Zpráva o hodnocení plánu nápravných opatření ( Corrective action plan assessment report)
-
Zpráva o následném hodnocení ( Follow-up assessment report) [28]
„Zpráva o hodnocení TISAX“ má vždy stejnou strukturu[29]. Váš poskytovatel auditu ji zkrátka po každém typu hodnocení doplní. Budete se tedy zabývat pouze poslední verzí zprávy o hodnocení TISAX, protože ta vždy obsahuje starší verze.
První oddíly „Zprávy o hodnocení TISAX“ jsou ty, které budete nakonec sdílet se svým partnerem.
Jednou z klíčových vlastností systému TISAX je, že rozhodnutí o tom, které části zprávy o hodnocení TISAX chcete sdílet se svým partnerem nebo jiným účastníkem, nechá zcela na vás. Struktura zprávy o hodnocení TISAX je navržena tak, aby umožňovala tento druh selektivního sdílení. Každá její část zpřesňuje úroveň podrobností.
Struktura „Zprávy o hodnocení TISAX“ vypadá takto:
-
A. Informace týkající se hodnocení
Název společnosti, rozsah hodnocení, ID rozsahu, ID hodnocení, úroveň hodnocení, cíl (cíle) hodnocení, datum (data) hodnocení, poskytovatel auditu.
Tato část neobsahuje žádný výsledek hodnocení. -
B. Souhrnné výsledky
Manažerské shrnutí výsledku hodnocení (shoda, drobná neshoda, závažná neshoda), počet nálezů, abstraktní kategorizace výsledných rizik. -
C. Souhrn výsledků hodnocení
Souhrn výsledku hodnocení podle jednotlivých kapitol (například „9 Řízení přístupu“) a podle katalogu kritérií (například „Zabezpečení informací“). -
D. Úrovně vyspělosti VDA ISA (záložka výsledek)
Úroveň vyspělosti pro každý požadavek -
E. Podrobné výsledky hodnocení
Podrobný popis všech nálezů, příslušné výsledky hodnocení rizik, požadovaná opatření, doba realizace.
V rámci kroku „výměna“ (podrobněji níže) rozhodnete, do jaké míry bude mít váš partner přístup k obsahu vaší zprávy o hodnocení TISAX.
5.4.14. Známky TISAX
Tomuto tématu jsme se krátce věnovali v části věnované přípravě registrace. Již jsme vysvětlili, že to, co bylo kdysi cílem hodnocení, se nyní stává známkou TISAX.
Požadavky |
|
Partner |
|
Obdrží |
|
DO |
|
Cíl |
|
Proces TISAX |
|
VEN |
|
Známka |
Známky TISAX:
-
jsou výsledkem procesu hodnocení TISAX
-
shrnují výsledek hodnocení
-
jsou vyjádřením skutečnosti, že váš systém správy zabezpečení informací splňuje definovaný soubor požadavků.
Používání známek TISAX usnadňuje komunikaci v rámci TISAX s vaším partnerem a poskytovatelem auditu TISAX, protože se vztahují k definovanému výstupu procesu hodnocení TISAX.
5.4.14.1. Hierarchie známek TISAX
Mapování mezi cíli hodnocení a odpovídajícími známkami TISAX je poměrně jednoduché. Je tu však ještě jeden důležitý aspekt: Některé známky TISAX jsou hierarchicky propojeny. To znamená, že pokud získáte určitou známku TISAX, automaticky dostanete i známky TISAX „pod“ touto konkrétní známkou.
Příklad: Pokud váš cíl hodnocení byl „Very high availability“, obdržíte odpovídající známku TISAX „Very high availability“. Jelikož cíl hodnocení je však „Very high availability“ nadmnožinou „High availability“, automaticky obdržíte také známku TISAX „High availability“.
Tato hierarchie momentálně existuje pro tyto známky TISAX:
-
„Info high“ je nadmnožinou „Confidential“ a „High availability“.
-
„Info very high“ je nadmnožinou „Strictly confidential“ a „Very high availability“.
-
„Strictly confidential“ je nadmnožinou „Confidential“.
-
„Very high availability“ je nadmnožinou „High availability“.
-
„Special data“ je nadmnožinou „Data“.
|
Upozorňujeme: Známky TISAX můžete získat i zpětně. Když představíme novou známku, která je podmnožinou některé ze známek TISAX, kterou jste již získali, automaticky obdržíte novou známku. Příklad: Dostanete známku TISAX „Info high“ v době, kdy známka „High availability“ ještě neexistovala. Když jsme známku High availability zavedli, náš systém vám ji přiřadil automaticky. |
Tyto hierarchické vztahy můžete odvodit porovnáním platných požadavků uvedených v Tabulka 8, “Uplatnitelnost požadavků na cíle hodnocení”.
To se každému účastníkovi nemusí zdát důležité. Představte si ale, že jeden partner po vás požaduje předložení známky TISAX „Very high availability“ a jiný partner požaduje známku TISAX „High availability“. Pak existence obou známek TISAX usnadní práci všem, protože už žádný z nich nemusí chápat, že „High availability“ je podmnožinou „Very high availability“. To se může týkat zejména partnerů, u nichž je existence jistých známek TISAX součástí poměrně přísného nákupního procesu. Určitě nebudete chtít vysvětlovat, že „Very high availability“ je „lepší“ než „High availability“. Prostě ukážete všechny své známky TISAX a osoba provádějící hodnocení může jednoduše odškrtnout požadavek „musí mít známku TISAX „High availability“.
5.4.14.2. Doba platnosti známek TISAX
Známky TISAX mají zpravidla platnost tři roky. Doba platnosti začíná na konci procesu hodnocení (ještě před vydáním zprávy o hodnocení TISAX).
Doba platnosti může být kratší, pokud se změní nějaká významná skutečnost týkající se rozsahu hodnocení TISAX.
Příklady: stěhování společnosti, nové lokality. (Pokyny, jak v takových případech postupovat, viz Část 7.9.3.2, “Jak požádat o změnu lokality” a Část 7.9.3.4, “Jak přidat další lokalitu”.)
|
Upozorňujeme: Své známky TISAX si můžete prohlížet pouze na portálu ENX. Do zprávy o hodnocení TISAX se nezaznamenávají. |
5.4.14.3. Obnova známek TISAX
Chcete-li si známky TISAX udržet dlouhodobě, musíte je obnovit[30] je každé tři roky.
Proto musíte znovu projít procesem TISAX (zaregistrovat rozsah hodnocení, nechat se znovu posoudit systémem TISAX, sdílet výsledek hodnocení). Registrace je o něco snazší, protože nemusíte znovu vytvářet svou společnost jako účastníka systému TISAX. A pochopitelně můžete znovu použít všechny své kontakty a lokality, které jsou již uloženy v databázi TISAX.
|
Důležité upozornění: Zaregistrujte si NOVOU oblast působnosti DŘÍVE, než se obrátíte na poskytovatele auditu. Váš poskytovatel auditu může zahájit nový proces hodnocení pouze v případě, že můžete poskytnout nové ID rozsahu. Ve většině případů je registrace nového rozsahu snadná. Stačí přiřadit nový název rozsahu, přidat kontakty, vybrat cíl (cíle) hodnocení a přidat lokality. Kontakty a lokality, které jsou již v systému, můžete znovu použít z jakéhokoli dříve registrovaného rozsahu. |
|
Důležité upozornění: Znovu použijte stávající záznamy o lokalitě, které jste vytvořili a použili při registraci předchozí působnosti. Nevytvářejte nový záznam o lokalitě se stejnou adresou. |
|
Důležité upozornění: Pokud se od vás vyžaduje, abyste během vztahu s partnerem měli vždy platné známky TISAX, důrazně doporučujeme, abyste si do kalendáře zapsali připomínku a zahájili potřebný proces obnovy. Zahájení obnovy doporučujeme alespoň jeden rok před vypršením platnosti známek TISAX. |
Teď, když jste obdrželi známky TISAX, můžete přistoupit k poslednímu kroku a sdílet je se svým partnerem.
6. Výměna (3. krok)
Předpokládaná doba čtení části o výměně je 7 minut.
Doposud jste prošli procesem TISAX, ale váš partner stále neviděl žádný „důkaz“ o tom, že váš systém správy zabezpečení informací je schopen chránit jeho důvěrné údaje. V této části se dozvíte, jak sdílet výsledek hodnocení s vaším partnerem a jak mu předložit požadovaný důkaz.
6.1. Předpoklad
Jednou z klíčových vlastností systému TISAX je, že výsledek hodnocení je plně pod vaší kontrolou. Bez vašeho výslovného souhlasu nejsou informace související s vaším hodnocením s nikým sdíleny.
6.2. Výměnná platforma
Výměnnou platformu poskytuje portál ENX.
Váš poskytovatel auditu načte první dvě části (A a B) vaší zprávy o hodnocení TISAX. V této fázi nejsou informace dostupné pro nikoho kromě vás.
K přístupu na portál a používání výměnné platformy slouží účet vytvořený při registraci.
Přístup na portál je možný na této adrese:
enx.com/en-US/SignIn
6.3. Obecné předpoklady
Výsledek hodnocení můžete sdílet se svým partnerem pouze tehdy, jsou-li splněny tyto dva předpoklady:
-
Váš poskytovatel auditu odeslal výsledek hodnocení na výměnnou platformu.
Výsledek hodnocení bude na výměnné platformě k dispozici obvykle 5 až 10 pracovních dnů po vydání zprávy o hodnocení TISAX. -
Obdrželi jsme vaši úhradu poplatku (pokud je to relevantní).
Stav vašeho rozsahu hodnocení je „aktivní“, pokud jsou splněny oba předpoklady.
|
Upozorňujeme: Každý rozsah hodnocení prochází určitým životním cyklem. V této fázi musí mít váš rozsah hodnocení stav „aktivní“. Další informace o stavu rozsahu hodnocení viz Část 7.5.5, “Assessment scope status „Awaiting your payment” ( Stav rozsahu hodnocení „čeká na vaši platbu“)”. |
Chcete-li ověřit, zda je váš výsledek hodnocení připraven ke sdílení (stav rozsahu hodnocení = aktivní), proveďte následující kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „SCOPES AND ASSESSMENTS” ( „ROZSAHY A HODNOCENÍ“).
-
Přejděte do tabulky a najděte řádek tabulky s rozsahem vašeho hodnocení.
-
Ověřte, že váš rozsah hodnocení je ve stavu rozsahu hodnocení „Active” ( „aktivní“) (sloupec „Scope Status” ( „Stav rozsahu“)).
6.4. Trvalost vyměněných výsledků
|
Důležité upozornění: Oprávnění ke zveřejnění nebo sdílení nelze zrušit. Důvod je ten, že chceme, aby se všichni pasivní účastníci mohli spolehnout na trvalý přístup ke každému výsledku hodnocení, který obdrželi. Jinak by museli výsledky hodnocení spravovat a archivovat sami. Oprávnění zůstává v platnosti po celou dobu platnosti vašeho hodnocení TISAX. Pokud jste oprávnění ke zveřejnění nebo sdílení vytvořili omylem, neprodleně nás kontaktujte. |
6.5. Úrovně sdílení
Úrovně sdílení odpovídají hlavním oddílům A-E zprávy o hodnocení TISAX v poměru 1:1.
Hlavní oddíly zprávy o hodnocení TISAX | Úrovně sdílení na výměnné platformě | |
---|---|---|
1 |
A. Informace týkající se hodnocení ( Assessment Related Information) |
|
2 |
B. Souhrnné výsledky ( Summarized Results) |
|
3 |
C. Souhrn výsledků hodnocení ( Assessment result summary) |
|
4 |
D. Úrovně vyspělosti VDA ISA (záložka výsledek) ( Maturity Levels of VDA ISA (Result Tab)) |
|
5 |
E. Podrobné výsledky hodnocení ( Detailed Assessment Results) |
Čím vyšší je úroveň sdílení, tím více podrobností o vašem hodnocení TISAX bude příslušnému účastníkovi (účastníkům) k dispozici.
Další informace o obsahu jednotlivých oddílů zprávy o hodnocení TISAX viz Část 5.4.7.4, “Zpráva o hodnocení TISAX”.
6.6. Výsledek hodnocení zveřejněte na výměnné platformě
Svůj výsledek hodnocení můžete sdílet se všemi ostatními účastníky TISAX jeho zveřejněním na výměnné platformě. Tím umožníte všem ostatním účastníkům TISAX přístup k vašemu výsledku hodnocení až do udělené sdílené úrovně.
Svůj výsledek hodnocení můžete zveřejnit pouze v případě, že celkový výsledek hodnocení „vyhovuje“.
Úrovně sdílení při zveřejnění vašeho výsledku hodnocení na výměnné platformě jsou omezeny na tyto možnosti:
-
Do not publish (Default) ( Nezveřejňovat (výchozí))
-
A. Assessment Related Information ( A. Informace týkající se hodnocení)
-
A + Labels ( A + Známky)
-
A + Labels + B. Summarized Results ( A + Známky + B. Souhrnné výsledky)
Pro tento obecný typ zveřejnění doporučujeme úroveň sdílení „A + Labels” ( „A + Známky“).
|
Důležité upozornění: Výsledek hodnocení můžete zveřejnit pouze tehdy, jsou-li splněny předpoklady popsané v Část 6.3, “Obecné předpoklady”. |
Chcete-li zveřejnit výsledek hodnocení na výměnné platformě, řiďte se následujícími kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „SCOPES AND ASSESSMENTS” ( „ROZSAHY A HODNOCENÍ“).
-
Přejděte do tabulky a najděte řádek tabulky s rozsahem vašeho hodnocení.
-
Ověřte, že váš rozsah hodnocení je ve stavu rozsahu hodnocení „Active” ( „aktivní“) (sloupec „Scope Status” ( „Stav rozsahu“)).
-
Přejděte na konec řádku tabulky s vaším rozsahem hodnocení a klikněte na tlačítko se šipkou dolů .
-
Vyberte položku „Scope Information” ( „Informace o rozsahu“).
-
V novém okně („Scope Information” ( „Informace o rozsahu“)) vyberte záložku „EXCHANGE” ( „VÝMĚNA“).
-
Přejděte do části „PUBLISHING” ( „ZVEŘEJNĚNÍ“), otevřete rozbalovací nabídku a vyberte požadovanou úroveň sdílení (viz doporučení výše).
|
Upozorňujeme: Výsledky hodnocení se zveřejňují pouze na výměnné platformě. Přístup k nim mají pouze ostatní účastníci TISAX. Neexistuje žádný veřejný seznam všech účastníků TISAX. Pouze hrubý počet účastníků TISAX může být uveden na veřejných internetových stránkách TISAX. |
6.7. Sdílení výsledku hodnocení s konkrétním účastníkem
Kromě výše uvedené možnosti zveřejnit svůj výsledek hodnocení TISAX na výměnné platformě jej můžete selektivně sdílet s konkrétními účastníky TISAX s vyšší úrovní sdílení.
Výsledek hodnocení můžete na rozdíl od výše uvedeného zveřejnění sdílet i tehdy, pokud je celkový výsledek hodnocení („závažná/drobná“) neshoda.
Sdílení výsledků hodnocení je nedílnou součástí systému TISAX. Svůj systém správy zabezpečení informací jste si nechali posoudit pouze jednou, ale výsledek hodnocení teď můžete sdílet s libovolným počtem partnerů.
Možnosti sdílení výsledku hodnocení na výměnné platformě jsou následující:
-
A: Assessment Related Information ( A: Informace týkající se hodnocení)
-
A + Labels ( A + Známky)
-
A + Labels + B: Assessment Summary ( A + Známky + B: Shrnutí hodnocení)
-
A + Labels + B + C: Summarized Results ( A + Známky + B + C: Souhrnné výsledky)
-
A + Labels + B + C + D: Detailed Assessment Results ( A + Známky + B + C + D: Podrobné výsledky hodnocení)
-
A + Labels + B + C + D + E: Maturity Levels according to ISA ( A + Známky + B + C + D + E: Úrovně vyspělosti podle ISA)
Ke sdílení doporučujeme úroveň sdílení „A + Labels” ( „A + Známky“). To je pro většinu partnerů dostačující. Vždy pak můžete zvolit vyšší úroveň sdílení.
|
Upozorňujeme: Někteří účastníci systému TISAX zpracovávají výsledky hodnocení svých partnerů automaticky. Synchronizují svůj vlastní systém s portálem ENX. Synchronizují se pouze výsledky hodnocení sdílené s konkrétním účastníkem. Samotné zveřejnění, jak je popsáno v části Část 6.6, “Výsledek hodnocení zveřejněte na výměnné platformě”, se neuznává. Mezi výrobci OEM používajícími systém TISAX je příkladem BMW. Pokud jste partnerem BMW, zajistěte sdílení (nikoli pouze zveřejnění) výsledků hodnocení s BMW. |
6.7.1. Předpoklady
Toto jsou předpoklady sdílení výsledků hodnocení s vaším partnerem (nebo jiným účastníkem TISAX):
-
Výsledek hodnocení TISAX můžete sdílet pouze s ostatními účastníky TISAX.
-
Váš partner musí být účastníkem systému TISAX.
-
Potřebujete účastnické ID vašeho partnera.[31]
-
Je třeba uhradit poplatek (pokud je to relevantní).
|
Důležité upozornění: Výsledek hodnocení můžete sdílet pouze v případě, že jsou splněny obecné předpoklady popsané v Část 6.3, “Obecné předpoklady”. |
6.7.2. Jak vytvořit oprávnění ke sdílení
Chcete-li sdílet svůj výsledek hodnocení s jiným účastníkem TISAX, řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „SCOPES AND ASSESSMENTS” ( „ROZSAHY A HODNOCENÍ“).
-
Přejděte do tabulky a najděte řádek tabulky s rozsahem vašeho hodnocení.
-
Ověřte, že váš rozsah hodnocení je ve stavu rozsahu hodnocení „Active” ( „aktivní“) (sloupec „Scope Status” ( „Stav rozsahu“)).
-
Přejděte na konec řádku tabulky s vaším rozsahem hodnocení a klikněte na tlačítko se šipkou dolů .
-
Vyberte položku „Scope Information” ( „Informace o rozsahu“).
-
V novém okně („Scope Information” ( „Informace o rozsahu“)) vyberte záložku „EXCHANGE” ( „VÝMĚNA“).
-
Přejděte do části „SHARING” ( „SDÍLENÍ“) a klikněte na tlačítko „Share” ( „Sdílet“).
-
Do nového okna („SHARE THIS SCOPE” ( „SDÍLET TENTO ROZSAH“)), zadejte účastnické ID vašeho partnera (nebo ho vyberte ze seznamu účastníků v sousedním vyhledávacím poli).
-
Vyberte požadovanou úroveň sdílení.
-
Klikněte na tlačítko „Next” ( „Další“).
-
Přečtěte si pokyny týkající se platnosti oprávnění ke sdílení a seznamte se s nimi.
-
Zaškrtněte dvě políčka „confirm” ( „potvrdit“).
-
Klikněte na tlačítko „Submit” ( „Odeslat“).
Vše ostatní provede výměnná platforma. Při úrovni sdílení A a B jsou informace k dispozici na výměnné platformě. Váš partner se nyní může přihlásit na portál ENX a prohlédnout si výsledek vašeho sdíleného hodnocení[32].
U vyšších úrovní sdílení (C–E) výměnná platforma informuje vašeho poskytovatele auditu. Váš poskytovatel auditu pak zašle informace (odpovídající zvolené úrovni sdílení) hlavnímu kontaktu účastníka vašeho partnera.
6.8. Sdílení výsledků hodnocení mimo TISAX
Pravidlo[33] je, že výměnnou platformu TISAX můžete použít pouze k tomu, abyste o svém výsledku hodnocení informovali ostatní účastníky systému TISAX.
6.8.1. Důvody přísné regulace výměnného mechanismu
TISAX poskytuje standardizovaný mechanismus výměny výsledků hodnocení. Ve srovnání s výměnou výsledků jiných certifikací (např. ISO), kde se tak děje různými způsoby, které ne vždy obsahují všechny informace potřebné k získání uceleného pohledu, to přináší přidanou hodnotu.
Tuto standardizaci oceňují zejména výrobci OEM. Jasně definované postupy jsou však výhodné i pro jiné společnosti.
6.8.2. Průvodce psaním o systému TISAX na veřejnosti
O výsledku hodnocení sice nemůžete veřejně psát, ale o svém úsilí v systému TISAX se zmínit můžete. Na portálu ENX poskytujeme rady, jak přistupovat k veřejným prohlášením. Poskytujeme také loga TISAX, která můžete použít.
Po přihlášení do portálu ENX se k těmto informacím dostanete zde:
enx.com/en-US/myenxportal/marketing/
Přímým stažením archivu ZIP (dokument a loga):
enx.com/en-US/myenxportal/marketing/TISAX-Trademark-and-Logos-Terms-and-Conditions.zip
Pokud vás zajímá, zda existuje certifikát, který byste si mohli pověsit na zeď:
Vzhledem k výše uvedenému standardizovanému procesu výměny takový certifikát neposkytujeme.
6.8.3. Sdílení s partnerem, který ještě není účastníkem systému TISAX
Pokud chcete sdílet výsledek hodnocení TISAX s konkrétním partnerem, který a) ještě není účastníkem TISAX a b) ještě nezískal známky TISAX (tak, že by absolvoval proces hodnocení), můžete postupovat následovně:
-
Požádejte partnera, aby se zaregistroval jako účastník TISAX.
Stačí, aby se pouze zaregistroval jako účastník TISAX. Nemusí pokračovat v registraci rozsahu hodnocení. -
Poučte partnera, aby nás kontaktoval.
Novou registraci zpracováváme obvykle pouze v případě, že si zároveň zaregistruje rozsah hodnocení. Na žádost vašeho partnera zpracujeme jeho registraci. Tak se stane účastníkem systému TISAX. Teď může obdržet výsledek vašeho hodnocení TISAX běžným výměnným postupem.
Účelem tohoto postupu je zajistit, aby váš partner souhlasil s dodržováním „Všeobecných podmínek a pravidel účasti v systému TISAX“, které upravují výměnu výsledků hodnocení TISAX.
Výdaje vznikají pouze při registraci rozsahu hodnocení. Vzhledem k tomu, že registrace účastníka TISAX je bezplatná, váš partner může obdržet výsledek hodnocení zdarma. Bez vlastního výsledku hodnocení však váš partner může obdržet pouze maximálně pět výsledků hodnocení a nemůže vidět žádnou z publikací.
6.8.4. Sdílení se zaměstnanci vašeho partnera, kteří nemají přímý přístup do portálu ENX.
Váš výsledek mohou přímo vidět pouze ti zaměstnanci vašeho partnera, kteří mají účet na našem portálu ENX. Pokud potřebujete doložit své známky TISAX zaměstnanci vašeho partnera, který nemá přístup do portálu, můžete k tomu použít speciální dokument PDF. Chcete-li dokument získat, řiďte se těmito kroky:
-
Sdílejte výsledek hodnocení se svým partnerem, jak popisuje část Část 6.7, “Sdílení výsledku hodnocení s konkrétním účastníkem”.
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „SCOPES AND ASSESSMENTS” ( „ROZSAHY A HODNOCENÍ“).
-
Přejděte do tabulky a najděte řádek tabulky s rozsahem vašeho hodnocení.
-
Ověřte, že váš rozsah hodnocení je ve stavu rozsahu hodnocení „Active” ( „aktivní“) (sloupec „Scope Status” ( „Stav rozsahu“)).
-
Přejděte na konec řádku tabulky s vaším rozsahem hodnocení a klikněte na tlačítko se šipkou dolů .
-
Vyberte položku „Scope Information” ( „Informace o rozsahu“).
-
V novém okně („Scope Information” ( „Informace o rozsahu“)) vyberte záložku „EXCHANGE” ( „VÝMĚNA“).
-
Přejděte do části „SHARING” ( „SDÍLENÍ“) a najděte řádek tabulky s oprávněním ke sdílení (vytvořený v 1. kroku).
-
Přejděte na konec řádku tabulky s oprávněním ke sdílení a klikněte na tlačítko se šipkou dolů .
-
Vyberte „Edit” ( „Upravit“)
-
V novém okně („SHARE THIS SCOPE” ( „SDÍLET TENTO ROZSAH“)) přejděte na konec a vyberte „Request Shared Information as PDF” ( „Vyžádat sdílené informace ve formátu PDF“).
-
Chvíli počkejte, než se dokument vygeneruje.
-
Stáhněte si dokument („Copy of information shared with ACME.pdf (66.84 KB)” ( „Kopie informací sdílených s ACME.pdf (66.84 KB)“))
7. Přílohy
7.1. Příloha: Příklad faktury
Toto je příklad faktury, kterou posíláme.
Další informace viz Část 4.3.4, “Poplatek”.
7.2. Příloha: Příklad potvrzovacího e-mailu
Potvrzovací e-mail zasíláme poté, co během online registrace dokončíte všechny povinné úkony.
Další informace o tom, kdy tento potvrzovací e-mail zasíláme, viz Část 4.5.8, “Potvrzovací e-mail”.
Předmět: [TISAX] Rozsah S3ZY5V Schváleno Vážený pane Doe, děkujeme Vám za registraci rozsahu hodnocení TISAX. Zpracovali jsme registraci Vašeho rozsahu a schválili jej. V příloze najdete výpis rozsahu TISAX, včetně veškerých informací o rozsahu a aktuálního seznamu poskytovatelů auditu TISAX. Co bude následovat? S přiloženým výpisem rozsahu TISAX si od všech poskytovatelů auditu TISAX vyžádáte nabídky pro Váš rozsah. Potřebujete pomoc? Další otázky týkající se systému TISAX najdete v často kladených dotazech (FAQ) k systému TISAX nebo v příručce pro účastníky systému TISAX. Pokud budete potřebovat další pomoc týkající se systému TISAX, neváhejte se obrátit na horkou linku TISAX pomocí e-mailu (tisax@enx.com) nebo telefonicky (+49 69 986692-777). S pozdravem Váš tým TISAX
7.3. Příloha: Příklad výpisu rozsahu působnosti systému TISAX
V příloze potvrzovacího e-mailu obdržíte „Výpis rozsahu služby TISAX“.
Další informace viz Část 4.5.8, “Potvrzovací e-mail”.
7.4. Příloha: Participant status ( Stav účastníka)
7.4.1. Přehled: Participant status ( Stav účastníka)
„Stav účastníka“ určuje, v jaké fázi procesu TISAX se (jako společnost) nacházíte.
Váš „stav účastníka“ může být:
Tabulky v části o jednotlivých stavech níže popisují:
-
vaši situaci
(co platí právě teď, když jste v současném stavu) -
vaše další kroky
(co musíte udělat, abyste postoupili do dalšího stavu; je-li to relevantní) -
naše další kroky
(co musíme udělat, abychom váš stav povýšili; je-li to relevantní) -
další stav
(je-li to relevantní)
Následující obrázek ukazuje postup, který vede k přechodu z jednoho stavu do dalšího:
vy |
|
my |
|
stav účastníka |
|
1. neúplný |
|
když jsou registrační údaje neúplné |
|
registrace |
|
2. čeká na schválení |
|
kontrola + potvrzení |
|
3. předběžný |
|
výsledek hodnocení zveřejněn a sdílen |
|
4. registrovaný |
|
5. platnost uplynula |
|
nezaplacené faktury, zrušená smlouva |
7.4.2. Participant status „Incomplete” ( Stav účastníka „neúplný“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
neúplný |
Nedokončili jste registraci TISAX. |
Pokračujte na enx.com/en-US/SignIn |
Pošleme vám upomínku e-mailem (obvykle během několika dní). |
7.4.3. Participant status „Awaiting approval” ( Stav účastníka „čeká na schválení“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká na schválení |
Vaše registrace v systému TISAX je dokončena. |
Vyčkejte na naše další kroky. |
Vaši žádost zkontrolujeme a zpravidla schválíme. |
7.4.4. Participant status „Preliminary” ( Stav účastníka „předběžný“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
předběžný |
Úspěšně jste dokončili proces registrace do systému TISAX. |
Uhraďte poplatek (je-li to relevantní). |
žádné |
7.4.5. Participant status „Registered” ( Stav účastníka „registrovaný“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
registrovaný |
Úspěšně jste dokončili proces hodnocení TISAX a získali jste známky TISAX. |
žádné |
žádné |
|
Upozorňujeme: Pokud chcete získat přístup k výsledkům hodnocení partnera (partnerů): Předpokladem přístupu k výsledkům hodnocení ostatních účastníků je buď:
|
7.4.6. Participant status „Expired” ( Stav účastníka „platnost uplynula“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
platnost uplynula |
Neuhradili jste poplatek. |
žádné |
žádné |
nehodí se |
7.5. Příloha: Assessment scope status ( Stav rozsahu hodnocení)
7.5.1. Přehled: Assessment scope status ( Stav rozsahu hodnocení)
„Stav rozsahu hodnocení“ udává, v jaké fázi životního cyklu se váš rozsah hodnocení nachází.
Upozorňujeme, že „stav rozsahu hodnocení“ se liší od „stavu hodnocení“. Další informace o „stavu hodnocení“ viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”.
Váš „stav rozsahu hodnocení“ může být:
Tabulky v části o jednotlivých stavech níže popisují:
-
vaši situaci
(co platí právě teď, když jste v současném stavu) -
vaše další kroky
(co musíte udělat, abyste postoupili do dalšího stavu; je-li to relevantní) -
naše další kroky
(co musíme udělat, abychom váš stav povýšili; je-li to relevantní) -
další stav
(je-li to relevantní)
Následující obrázek ukazuje postup, který vede k přechodu z jednoho stavu do dalšího:
vy |
|
my |
|
Stav rozsahu hodnocení |
|
1. neúplný |
|
když jsou registrační údaje neúplné |
|
zápis údajů |
|
2. čeká na vaši objednávku |
|
když jsou registrační údaje neodeslané |
|
registrace |
|
3. čeká na schválení ENX |
|
kontrola + potvrzení |
|
4. čeká na vaši platbu |
|
platba |
|
5. registrovaný |
|
Hodnocení |
|
6. aktivní |
|
A |
|
7. platnost uplynula |
|
Obvykle po uplynutí platnosti výsledku hodnocení |
Odkaz mimo stránku „A“ na obrázku výše spojuje stav rozsahu hodnocení „aktivní“ se „stavem hodnocení“. Další informace o „stavu hodnocení“ viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”.
7.5.2. Assessment scope status „Incomplete” ( Stav rozsahu hodnocení „neúplný“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
neúplný |
Buď jste nedokončili registraci v rozsahu hodnocení, |
Pokračujte na enx.com/en-US/SignIn |
Pošleme vám upomínku e-mailem (obvykle během několika dní). |
Další informace o tom, kde tento stav hraje roli, viz Část 4.5.7, “Registrace rozsahu hodnocení”.
7.5.3. Assessment scope status „Awaiting your order” ( Stav rozsahu hodnocení „čeká na vaši objednávku“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká na vaši objednávku |
Nedokončili jste registraci vašeho rozsahu. |
Pokračujte na enx.com/en-US/SignIn |
Pošleme vám upomínku e-mailem (obvykle během několika dní). |
Další informace o tom, kde tento stav hraje roli, viz Část 4.5.7, “Registrace rozsahu hodnocení”.
7.5.4. Assessment scope status „Awaiting ENX approval” ( Stav rozsahu hodnocení „čeká na schválení ENX“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká na schválení ENX |
Vaše registrace rozsahu hodnocení je dokončena. |
Vyčkejte na naše další kroky. |
Vaši žádost zkontrolujeme a zpravidla schválíme. |
Další informace o tom, kde tento stav hraje roli, viz Část 4.5.7, “Registrace rozsahu hodnocení”.
7.5.5. Assessment scope status „Awaiting your payment” ( Stav rozsahu hodnocení „čeká na vaši platbu“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká na vaši platbu |
Vaše registrace rozsahu hodnocení je dokončena a schválena. |
Uhraďte poplatek (je-li to relevantní).
34. Zatímco je rozsah hodnocení ve stavu „čekáme na vaši platbu“ nebo „registrovaný“, „informace týkající se hodnocení“, obsahují lokalitu (lokality) rozsahu hodnocení, stav rozsahu hodnocení a cíl (cíle) hodnocení. Nezahrnuje výsledky hodnocení ani známky TISAX.
|
Čeká se na vaši platbu. |
Další informace o tom, kde tento stav hraje roli, viz Část 4.5.8, “Potvrzovací e-mail”.
7.5.6. Assessment scope status „Registered” ( Stav rozsahu hodnocení „registrovaný“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
registrovaný |
Váš rozsah hodnocení je zaregistrován. |
Projděte procesem hodnocení TISAX. |
žádné |
7.5.7. Assessment scope status „Active” ( Stav rozsahu hodnocení „aktivní“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
aktivní |
Úspěšně jste dokončili proces hodnocení TISAX a získali jste známky TISAX. |
Výsledek hodnocení zveřejněte a sdílejte. |
žádné |
Další informace o zveřejňování a sdílení viz Část 6, “Výměna (3. krok)”.
7.5.8. Assessment scope status „Expired” ( Stav rozsahu hodnocení „Platnost uplynula“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
platnost uplynula |
Buď:
|
Zahajte novou registraci rozsahu hodnocení. |
žádné |
neúplný |
|
||||
|
||||
|
||||
|
7.6. Příloha: Assessment status ( Stav hodnocení)
7.6.1. Přehled: Assessment status ( Stav hodnocení)
„Stav hodnocení“ určuje, v jaké fázi procesu hodnocení se nacházíte. Stav se mění s vaším přechodem z jednoho typu hodnocení na další (například ze „vstupního hodnocení“ na „hodnocení plánu nápravných opatření“).
Upozorňujeme, že „stav hodnocení“ se liší od „stavu rozsahu hodnocení“. Další informace o „stavu rozsahu hodnocení“ viz Část 7.5, “Příloha: Assessment scope status ( Stav rozsahu hodnocení)”.
Váš „stav hodnocení“ může být:
Tabulky v části o jednotlivých stavech níže popisují:
-
vaši situaci
(co platí právě teď, když jste v současném stavu) -
vaše další kroky
(co musíte udělat, abyste postoupili do dalšího stavu; je-li to relevantní) -
naše další kroky
(co musíme udělat, abychom váš stav povýšili; je-li to relevantní) -
další stav
(je-li to relevantní)
Následující obrázek ukazuje postup, který vede k přechodu z jednoho stavu do dalšího:
vy |
|
Stav rozsahu hodnocení |
|
přehled o stavu |
|
hodnocení objednávky |
|
objednané úvodní hodnocení |
|
zahájit hodnocení |
|
probíhá úvodní hodnocení |
|
A |
|
dokončit hodnocení |
|
6. aktivní |
|
čeká se na hodnocení plánu nápravných opatření |
|
vytvořit plán nápravných opatření |
|
čeká se na přešetření |
|
vyžádat si následné hodnocení |
|
dokončeno |
Odkaz „A“ mimo stránku na obrázku výše spojuje stav rozsahu hodnocení „aktivní“ se stavem hodnocení „čeká se na hodnocení plánu nápravných opatření“. Další informace o „stavu rozsahu hodnocení“ viz Část 7.5, “Příloha: Assessment scope status ( Stav rozsahu hodnocení)”.
7.6.2. Assessment status „Initial assessment ordered” ( Stav hodnocení „úvodní hodnocení objednáno“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
objednané úvodní hodnocení |
Vybrali jste si jednoho z našich poskytovatelů auditu TISAX a objednali jste si úvodní hodnocení. |
Pokračujte v procesu hodnocení TISAX. |
žádné |
7.6.3. Assessment status „Initial assessment ongoing” ( Stav hodnocení „úvodní hodnocení probíhá“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
probíhá úvodní hodnocení |
Vaše úvodní hodnocení buď:
|
žádné |
žádné |
čeká se na hodnocení plánu nápravných opatření (je-li relevantní) |
7.6.4. Assessment status „Waiting for corrective action plan assessment” ( Stav hodnocení „čeká se na hodnocení plánu nápravných opatření“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká se na hodnocení plánu nápravných opatření |
Váš poskytovatel auditu provedl úvodní hodnocení. |
Vytvořte plán nápravných opatření. |
žádné |
čeká se na přešetření (je-li relevantní) |
Stav hodnocení „čeká se na hodnocení plánu nápravných opatření“ je omezen lhůtou devíti měsíců. Další informace viz Část 5.4.9.3, “Požadavky na plán nápravných opatření”.
7.6.5. Assessment status „Waiting for follow-up” ( Stav hodnocení „čeká se na přešetření“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
čeká se na přešetření |
Váš poskytovatel auditu schválil plán nápravných opatření. |
Požádejte o následné hodnocení. |
žádné |
Stav hodnocení „čeká se na přešetření“ je omezen lhůtou devíti měsíců. Další informace viz Část 5.4.9.3, “Požadavky na plán nápravných opatření”.
7.6.6. Assessment status „Finished” ( Stav hodnocení „dokončeno“)
stav | situace | vaše další kroky | naše další kroky | další stav |
---|---|---|---|---|
dokončeno |
Váš poskytovatel auditu provedl následné hodnocení. |
Výsledek hodnocení zveřejněte a sdílejte. |
žádné |
nehodí se |
7.7. Příloha: Odůvodnění proti „předběžným hodnocením“ a „analýzám nedostatků“
Zpravidla nedoporučujeme žádat o provedení úkonů typu „předběžné hodnocení“ nebo „analýza nedostatků“. Téměř ve všech případech je smysluplnější začít s hodnocením TISAX ihned.
V této části se budeme zabývat nejčastějšími obavami.
Uvažujete o předběžném hodnocení, protože:
-
Máte obavy, že by váš zákazník mohl vidět potenciálně nepříznivý výsledek hodnocení?
Máte plnou kontrolu nad tím, kdo uvidí výsledky vašeho hodnocení. Je na vašem rozhodnutí, zda poskytovatel auditu na portál ENX cokoli nahraje. Pokud hodnocení nemá nikdo vidět, nikdo je neuvidí (samozřejmě kromě auditora).
Poskytovatel auditu navíc vždy nahraje pouze první dvě části zprávy o hodnocení TISAX a podrobné výsledky hodnocení stejně nikdy nenahraje.
-
Myslíte si, že předběžné hodnocení by mohlo ušetřit peníze?
-
S předběžným hodnocením:
-
zaplatíte za předběžné hodnocení
-
mohou vzniknout interní náklady na odstranění případných neshod
-
zaplatíte za úplné hodnocení TISAX („úvodní hodnocení“)
I když se žádné nálezy neobjeví, vždy platíte za dvě úplná hodnocení.
-
-
Od hodnocení TISAX:
-
zaplatíte za „úvodní hodnocení“
-
můžete mít interní náklady na odstranění případných nálezů
-
možná zaplatíte mnohem méně (ve srovnání s úvodním hodnocením) za takzvané „následné hodnocení“, při němž se auditor zaměří pouze na to, zda jste odstranili neshody z úvodního hodnocení
I v případě nálezů platíte pouze za úplné hodnocení plus krátké následné hodnocení.
-
-
-
Myslíte si, že by případný neúspěch vašeho hodnocení mohl mít trvalé následky?
Trvale selhat nemůžete, protože můžete mít tolik hodnocení, kolik chcete. Pokud výsledek hodnocení nesplní vaše očekávání nebo pokud se vám nepodaří odstranit neshody pomocí nápravných opatření v požadované devítiměsíční lhůtě, jednoduše považujte neúspěšný pokus za předběžné hodnocení a začnete znovu. Výsledky vašeho prvního pokusu nemusí nikdo vidět. Stačí sdílet výsledek úspěšného hodnocení.
Další úvahy:
-
Pokud je výsledek hodnocení lepší, než se očekávalo, můžete získat dočasné známky TISAX. Ty můžete přímo sdílet se svým partnerem. To u předběžného hodnocení není možné.
-
Pokud by měl poskytovatel auditu, který provádí předběžné hodnocení, provést také hodnocení TISAX nemůže vám poskytnout konzultaci. Jinak si musíte na hodnocení TISAX vybrat jiného poskytovatele auditu.
Přestože většina auditovaných nemá z předběžného hodnocení žádný prospěch, chceme zmínit následující výhody.
Auditor:
-
může se zaměřit na kritické aspekty, kterým v souvislosti s vaším systémem ISMS příliš nedůvěřujete
-
může věnovat více času než obvykle a rozšířit poznatky
-
může nálezy dokumentovat jinak
Po přečtení částí o procesu hodnocení TISAX vám budou naše úvahy srozumitelnější.
7.8. Příloha: Vlastní rozsahy
Téměř všichni účastníci hodnocení TISAX si volí standardní rozsah. Za určitých výjimečných okolností však může být nutné zvolit vlastní rozsah.
Existují dva typy vlastních rozsahů:
7.8.1. Vlastní rozšířený rozsah
Rozsah můžete rozšířit. Vlastní rozšířený rozsah obsahuje VÍCE než standardní rozsah. Poskytovatel auditu provede více kontrol.
Účel: Vlastní rozšířený rozsah může být relevantní, pokud chcete hodnocení TISAX použít k interním účelům nebo mimo automobilový průmysl.
Známky TISAX a sdílení výsledků:Vlastní rozšířený rozsah vždy zahrnuje standardní rozsah. Proto vlastní rozšířený rozsah získá známky TISAX[35]. Ostatní účastníci systému TISAX budou stále přijímat výsledky hodnocení.
Popis: Jelikož popis standardního rozsahu je předem definován, musíte si popis vlastního rozšířeného rozsahu napsat sami, pokud jej potřebujete.
7.8.2. Úplný vlastní rozsah
Vlastní rozsah si můžete plně definovat.
Účel: Pokud máte lokality, které patří do různých rozsahů hodnocení a které využívají služby v dané lokalitě (například datové centrum), můžete k těmto službám použít úplný vlastní rozsah. Poskytovatel auditu TISAX tak může jednoduše opakovaně použít výsledek hodnocení celého vlastního rozsahu služby.
Příklad: Máte spoustu lokalit (zřejmě i částečně různé rozsahy) a v jedné z nich máte centrální IT oddělení. Definování celého vlastního rozsahu pouze pro oddělení IT může usnadnit opakované použití příslušného výsledku hodnocení v jiných rozsazích.
Známky TISAX a sdílení výsledků: Úplné vlastní rozsahy známky TISAX neobdrží. Výsledek hodnocení je zaznamenán na portálu ENX včetně data, doby platnosti a informací, zda je celkový výsledek hodnocení ve shodě nebo neshodě. Tento výsledek hodnocení můžete sdílet. Sdílení výsledku hodnocení bez známek TISAX bude však většina příjemců považovat za „neúspěšné“ hodnocení. Ostatní účastníci systému TISAX obvykle nepřijímají výsledky hodnocení úplných vlastních rozsahů.
Popis: Pokud jde o vlastní rozšířený rozsah, musíte napsat vlastní popis rozsahu, pokud potřebujete úplný vlastní rozsah.
|
Důležité upozornění: Abychom zdůraznili, jak vzácné je použití úplných vlastních rozsahů: existuje 98% pravděpodobnost, že poskytovatel auditu vrátí váš plně vlastní rozsah na standardní rozsah. Žádný účastník si nikdy úspěšně nezvolil plně vlastní rozsah bez rady svého poskytovatele auditu. Hodnocení s plně vlastním rozsahem nezíská známky TISAX. Obecně proto nedoporučujeme zvolit úplný vlastní rozsah hlavně proto — že ostatní účastníci výsledky hodnocení s úplným vlastním rozsahem zpravidla neakceptují. |
7.9. Příloha: Správa životního cyklu údajů účastníka
Následující části popisují, co je třeba udělat, pokud se změní cokoli, co souvisí s vašimi účastnickými údaji.
7.9.1. Ztráta přístupu k účastnickým údajům (portál ENX)
Pokud ve vaší společnosti nezůstal nikdo, kdo měl přístup do portálu ENX, a tedy i k vašim účastnickým údajům, kontaktujte nás. Pokusíme se vám pomoci získat zpět přístup k účastnickým údajům vaší společnosti.
7.9.2. Správa kontaktů
Hlavní kontakty účastníků vaší společnosti a všechny ostatní „administrativní kontakty“ s účty na portálu mohou vždy přejít na portál ENX a:
-
přidat nové kontakty
-
odstranit stávající kontakty
-
měnit kontaktní údaje stávajících kontaktů
7.9.2.1. Jak přidat nový kontakt
Chcete-li přidat nový kontakt, řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „ADMINISTRATORS” ( „SPRÁVCI“).
-
Klikněte na tlačítko „Create new TISAX Administrator” ( „Vytvořit nového správce TISAX“).
-
Zadejte údaje kontaktu.
-
Klikněte na tlačítko „Save Contact” ( „Uložit kontakt“).
-
Přejděte do tabulky a najděte řádek s kontaktem.
-
Přejděte na konec řádku tabulky s kontaktem a klikněte na tlačítko se šipkou .
-
Vyberte „Edit TISAX Administrator” ( „Upravit správce TISAX“).
-
V novém okně („Edit TISAX Contact” ( „Upravit kontakt TISAX“)) přejděte dolů do části „ENX PORTAL ACCESS” ( „PŘÍSTUP DO PORTÁLU ENX“).
-
Vyberte „Yes” ( „Ano“).
-
V zobrazené části „WEB ROLES” ( „WEBOVÉ ROLE“), klikněte na tlačítko „Add Role” ( „Přidat roli“).
-
Vyberte roli, kterou chcete přiřadit (např. „TISAX Administrator” ( „Správce TISAX“)).
-
Klikněte na tlačítko „Přidat roli“.
-
Klikněte na tlačítko „Uložit kontakt“.
7.9.2.2. Jak odstranit stávající kontakt
Chcete-li odstranit stávající kontakt, řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „ADMINISTRATORS” ( „SPRÁVCI“).
-
Přejděte do tabulky a najděte řádek s kontaktem.
-
Přejděte na konec řádku tabulky s kontaktem a klikněte na tlačítko se šipkou .
-
Vyberte „Delete TISAX Administrator” ( „Odstranit správce TISAX“).
-
V zobrazené žádosti o potvrzení klikněte na tlačítko „Delete” ( „Odstranit“).
7.9.2.3. Jak aktualizovat údaje stávajícího kontaktu
Chcete-li aktualizovat řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „ADMINISTRATORS” ( „SPRÁVCI“).
-
Přejděte do tabulky a najděte řádek s kontaktem.
-
Přejděte na konec řádku tabulky s kontaktem a klikněte na tlačítko se šipkou .
-
Vyberte „Edit TISAX Administrator” ( „Upravit správce TISAX“).
-
Údaje aktualizujte.
-
Klikněte na tlačítko „Save Contact” ( „Uložit kontakt“).
7.9.3. Správa lokalit
Hlavní kontakty účastníků vaší společnosti a všechny ostatní „administrativní kontakty“ s účty na portálu mohou vždy přejít na portál ENX a vyžádat si:
-
změnu názvu společnosti
-
změnu názvu ulice
-
přidání nové lokality
V následujících částech popíšeme potřebné kroky.
|
Upozorňujeme:
|
|
Důležité upozornění: Jakmile jednou kliknete na volbu „Uložit lokalitu“ na portálu ENX, sami ji již nemůžete změnit. Níže popsané situace popisují, jak o změnu požádat. |
7.9.3.1. Jak požádat o změnu názvu společnosti
Vaše situace: |
Vaše společnost změnila svůj název. |
Příklad: |
Starý název společnosti je „ACME Tires Corporation“. |
Pokud chcete požádat o změnu názvu společnosti, řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „LOCATIONS” ( „LOKALITY“).
-
Přejděte do tabulky a najděte řádek s vaší lokalitou.
-
Přejděte na konec řádku tabulky s vaší lokalitou a klikněte na tlačítko se šipkou .
-
Vyberte položku „Request Change” ( „Požadavek na změnu“).
-
V novém okně („Request Change” ( „Požadavek na změnu“)), přejděte do pole formuláře „Subject of the change” ( „Předmět změny“) a v rozbalovací nabídce vyberte „Company Name” ( „Název společnosti“).
-
Pokračujte ve vyplňování formuláře
-
Odešlete formulář
Vaši žádost zkontrolujeme, případně žádost o změnu názvu společnosti přijmeme a až se tak stane, budeme vás informovat.
7.9.3.2. Jak požádat o změnu lokality
Vaše situace: |
Vaše společnost se přestěhovala do nové lokality. |
Příklad: |
Původní lokalita je „ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Německo“. |
|
Důležité upozornění: Pokud úřední orgán ulici ve vaší lokalitě přejmenoval, další informace viz Část 7.9.3.3, “Jak požádat o změnu názvu ulice”. |
Pokud se některá z vašich poboček přestěhovala na novou adresu, řiďte se těmito kroky:
-
Vytvoření nové lokality:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „Locations” ( „Lokality“).
-
Klikněte na tlačítko „Create TISAX Location” ( „Vytvořit lokalitu TISAX“).
-
V novém okně („CREATE TISAX LOCATION” ( „Vytvořit lokalitu TISAX“)) vyplňte formulář s údaji o nové lokalitě.
-
Klikněte na tlačítko „Save Location” ( „Uložit lokalitu“).
-
-
Zapamatujte si „Location ID” ( „ID lokality“) nově vytvořené lokality. „ID lokality“ najdete v prvním sloupci tabulky „MY LOCATIONS” ( „MOJE LOKALITY“). Váš poskytovatel auditu potřebuje „ID lokality“ k aktualizaci rozsahu hodnocení na portálu ENX.
-
Informujte svého poskytovatele auditu o přemístění (uveďte „ID lokality“ staré i nové lokality).
Už jste dokončili hodnocení?-
Pokud je odpověď NE, pak k změně lokality nemusíte nic dalšího dělat.
-
Pokud je odpověď ANO, musíte si od svého poskytovatele auditu vyžádat „hodnocení rozšíření rozsahu“ ( „scope extension assessment”). Další informace viz Část 7.10, “Příloha: Hodnocení rozšíření rozsahu”.
-
Poskytovatel auditu vaši žádost zkontroluje a aktualizuje rozsah hodnocení na portálu ENX.
|
Upozorňujeme: Poskytovatel auditu může aktualizovat váš rozsah hodnocení pouze v případě, že jste si již hodnocení u tohoto poskytovatele auditu objednali. |
7.9.3.3. Jak požádat o změnu názvu ulice
Vaše situace: |
Název ulice vaší lokality se změnil. Vaše společnost se stále nachází na stejném místě. |
Příklad: |
Původní lokalita je „ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Německo“. |
Pokud úřední orgán ulici ve vaší lokalitě přejmenoval, řiďte se těmito kroky:
-
Přihlaste se do portálu ENX.
-
Přejděte na hlavní navigační panel a vyberte „MY TISAX” ( „MŮJ TISAX“).
-
V rozbalovací nabídce vyberte „Locations” ( „Lokality“).
-
Přejděte do tabulky a najděte řádek s vaší lokalitou.
-
Přejděte na konec řádku tabulky s vaší lokalitou a klikněte na tlačítko se šipkou .
-
Vyberte položku „Request Change” ( „Požadavek na změnu“).
-
V novém okně („Request Change” ( „Požadavek na změnu“)), přejděte do pole formuláře „Subject of the change” ( „Předmět změny“) a v rozbalovací nabídce vyberte „Address” ( „Adresa“).
-
Pokračujte ve vyplňování formuláře
-
Odešlete formulář
Vaši žádost zkontrolujeme, případně žádost o změnu názvu ulice přijmeme a až se tak stane, budeme vás informovat.
|
Důležité upozornění: Tento postup platí pouze v případě, že vaše společnost stále sídlí na stejném místě, ale úřední orgán změnil název ulice. |
7.9.3.4. Jak přidat další lokalitu
Pokud během doby platnosti stávajících známek TISAX otevřete další lokalitu, můžete si u svého poskytovatele auditu vyžádat „hodnocení rozšíření rozsahu“ ( „scope extension assessment”).
Další informace viz Část 7.10, “Příloha: Hodnocení rozšíření rozsahu”.
7.10. Příloha: Hodnocení rozšíření rozsahu
Kromě standardních typů hodnocení popsaných v Část 5.4.3, “Typy hodnocení TISAX” existuje ještě jeden zvláštní typ hodnocení: „hodnocení rozšíření rozsahu“( „scope extension assessment”).
Můžete rozšířit stávající rozsah hodnocení TISAX, pokud chcete přidat jedno nebo více:
-
cílů hodnocení
-
nebo lokalit.
k provedení „hodnocení rozšíření rozsahu“ nelze vybrat jiného poskytovatele auditu. Toto hodnocení je podobné standardním typům hodnocení. Váš poskytovatel auditu však velmi pravděpodobně zváží opětovné využití platných výsledků z předchozích hodnocení.
Jakmile je hodnocení rozšíření rozsahu uzavřeno bez neshod, váš poskytovatel auditu:
-
aktualizuje rozsah hodnocení na portálu ENX
-
vydá zprávu o hodnocení rozšíření rozsahu.
Hodnocení rozšíření rozsahu neprodlužuje původní dobu platnosti vašich stávajících známek TISAX.
|
Upozorňujeme: Pokud je důvodem hodnocení rozšíření rozsahu přemístění nebo přidání další lokality, musíte na portálu ENX vytvořit novou lokalitu. Poskytovateli auditu předložte „Výpis z lokality“ nebo alespoň „ID lokality“. |
7.11. Příloha: Správa životního cyklu ISA
Zprávu ISA spravuje pracovní skupina ENX.
Tyto skutečnosti by vás mohly zajímat:
-
VDA oficiálně vydává nové verze.
-
Poskytovatel auditu použije verzi ISA, která je platná v době, kdy si objednáte úvodní hodnocení.
-
Po vzájemné dohodě můžete použít novější verzi ISA, pokud bude zveřejněna v době mezi vaší objednávkou a zahájením úvodního hodnocení.
-
Datum zveřejnění dané verze ISA najdete v listu „Obálka“ v souboru aplikace Excel.
-
Příklad:
Verze: 5.0 | Revize 4 | 16. 4. 2021
-
7.12. Příloha: Užitečné dokumenty
V této části jsou uvedeny dokumenty, které považujeme za užitečné.
-
Bílá kniha „Harmonizace úrovní klasifikace“
„Tato bílá kniha popisuje návrh pracovní skupiny pro zabezpečení informací na stanovení schématu zaměřeného na cíl ochrany důvěrnosti; to znamená, že informace nejsou zpřístupněny neoprávněným osobám, organizacím nebo procesům. Kromě toho se tato bílá kniha nezaměřuje na cíle ochrany, jako je dostupnost, integrita a spolehlivost.“
Vydavatel: Verband der Automobilindustrie e.V. (Německý svaz automobilového průmyslu)
Dostupné jazyky: angličtina, němčina
-
Bílá kniha „Řízení rizik v oblasti zabezpečení informací“
„Cílem této bílé knihy je informovat společnosti v automobilovém průmyslu o řízení zabezpečení informací zaměřeném na rizika a umožnit jim zavést účinné řízení rizik v oblasti zabezpečení informací. Má podpořit organizace při přípravě nebo provádění hodnocení TISAX, aby splnily požadavky kontrolní otázku 1.4.1 VDA ISA. Její obsah je třeba považovat za doporučení k realizaci, nikoliv za závazné požadavky.“
Vydavatel: Verband der Automobilindustrie e.V. (Německý svaz automobilového průmyslu)
Dostupné jazyky: angličtina, němčina
7.13. Příloha: Řízení stížností
7.13.1. Příčiny stížnosti
Naše řízení stížností rozlišuje tyto dvě oblasti:
-
ENX Association — organizace, která řídí systém TISAX
-
Poskytovatelé auditu — organizace, které provádějí hodnocení TISAX
7.13.1.1. Stížnosti na ENX Association
Pokud si chcete stěžovat na ENX Association, obraťte se na našeho „odpovědného manažera TISAX“ (viz kontaktní údaje níže).
7.13.1.2. Stížnosti na poskytovatele auditu
Nejprve byste se měli pokusit vyřešit problém přímo s auditorem.
Další na řadě by měla být osoba odpovědná za TISAX u poskytovatele auditu.
Vaším dalším kontaktem by pak měla být osoba odpovědná za řízení kvality u poskytovatele auditu.
Pokud se problém nadále nedaří vyřešit, měli byste se obrátit na našeho „vedoucího TISAX ve službě“ (viz kontaktní údaje níže).
Existují i možnosti nad „vedoucím TISAX ve službě“. V takových situacích byste se měli obracet na jednatele sdružení ENX Association.
VDA nehraje ve vyřizování stížností žádnou roli.
|
Upozorňujeme: Poskytovatel auditu vás musí během úvodní schůzky informovat o vašem právu podat stížnost. Když tak neučiní, již to je důvod ke stížnosti. |
7.13.1.3. Požadavky na stížnosti
Pokud nás chcete do věci zapojit, potřebujeme následující informace:
-
Kdo si stěžuje?
-
Název společnosti
-
ID účastníka TISAX
-
Kontaktní osoba (jméno, e-mailová adresa, telefonní číslo)
-
-
O jaké hodnocení se jedná?
-
ID hodnocení
-
Pokud hodnocení ještě není zaznamenáno na portálu ENX: ID rozsahu
-
-
Kdo je poskytovatelem auditu?
-
Název společnosti poskytovatele auditu
-
Jméno auditora (auditorů)
-
-
Na co si stěžujete?
-
Obecná stížnost na činnost poskytovatele auditu
-
Stížnost na přístup auditora
-
Stížnost na hodnocení z hlediska obsahu
-
-
V případě stížností na hodnocení z hlediska obsahu: Proti kterému nálezu vznášíte námitky?
-
Kontrola (např. 1.6.1 "Do jaké míry jsou zpracovány události týkající se zabezpečení informací?")
-
Nález (plné znění)
-
Námitka proti:
-
Výkladu kontroly
-
Posouzení s ohledem na obsah (dostupné důkazy nejsou správně vyhodnoceny)
-
Hodnocení rizik (není zohledněna vhodnost)
-
-
Odůvodnění, proč hodnotíte věci jinak
-
7.13.2. Kontakt k podávání stížností
Obraťte se na „vedoucího TISAX ve službě“:
Zašlete mu e-mail na: |
|
Nebo mu zavolejte na: |
V Německu ho můžete zastihnout v běžné pracovní době (UTC+01:00).
Hovoří anglicky a německy.
8. Historie dokumentů
Verze 2.7
-
Přidány další čtyři jazyky (japonština, brazilská portugalština, italština, korejština)
-
Přidán přepínač jazyků pro verze HTML (v pravém horním rohu)
-
Vylepšeno rozvržení verzí PDF
-
Různé části aktualizovány o dva nové cíle hodnocení důvěrnosti
-
Aktualizována část „Seznam cílů hodnocení“ (opraveno znění cíle hodnocení „Special data“; přidána poznámka týkající se přechodu na známky)
-
Opraveny překlepy
Verze 2.6
-
Obecná poznámka týkající se cílů hodnocení a známek, které jsme v této verzi přidali: V předchozích verzích měly cíle a známky hodnocení dlouhý „oficiální název“ a „zkrácený název“ (Příklad: „Nakládání s informacemi s vysokou potřebou ochrany“). Jelikož většina lidí používala téměř pouze krátký název, je nyní „oficiálním názvem“ krátká podoba. Starý dlouhý název se nyní označuje jako „Popis“. Kromě toho používáme na portálu ENX a ve všech překladech příručky pro účastníky TISAX pouze oficiální anglický název.
-
Část „Seznam cílů hodnocení“ aktualizována o dva cíle hodnocení: „Vysoká dostupnost“ a „Velmi vysoká dostupnost“ a „Obrázek 6. Dostupnost“. Cíle hodnocení TISAX (tabulkové znázornění, dlouhá a krátká forma) odstraněn
-
Část „Cíle hodnocení a ISA“ aktualizována tak, aby odrážela skutečnost, že na dva cíle hodnocení „Vysoká dostupnost“ a „Velmi vysoká dostupnost“ se vztahuje pouze podmnožina katalogu kritérií Zabezpečení informací.
-
Část „Cíle hodnocení a jejich závislosti“ odstraněna
-
Část „Výběr cílů hodnocení“ aktualizována o dva cíle hodnocení: „Vysoká dostupnost“ a „Velmi vysoká dostupnost“
-
Část „Potřeby ochrany a úrovně hodnocení“ aktualizována o dva cíle hodnocení: „Vysoká dostupnost“ a „Velmi vysoká dostupnost“ a „Tabulku 5“. Odstraněno mapování katalogů kritérií ISA a potřeb ochrany podle cílů hodnocení TISAX
-
Část „Katalogy kritérií“ aktualizována o dva cíle hodnocení: „Vysoká dostupnost“ a „Velmi vysoká dostupnost“
-
Část „Požadavky“ aktualizována tak, aby odrážela skutečnost, že na dva cíle hodnocení „Vysoká dostupnost“ a „Velmi vysoká dostupnost“ se vztahuje pouze podmnožina katalogu kritérií Bezpečnost informací.
-
Část „Hierarchie známek TISAX“ aktualizována tak, aby odrážela skutečnost, že hierarchie nyní existuje již jen v několika případech, a „Obrázek 36. Cíle hodnocení TISAX a známky TISAX (závislosti a hierarchie)“ odstraněny.
-
Část „Příloha: Užitečné dokumenty“ aktualizována tak, aby odrážela změny v odkazech
-
Různá drobná upřesnění a drobné opravy
-
Opraveny překlepy
Verze 2.5.1
-
Opraveny nefunkční odkazy
Verze 2.5
-
Část „Správa lokalit“ přidána
-
Část „Příloha: Užitečné dokumenty“ aktualizována tak, aby odrážela změny v odkazech
Verze 2.4
-
Odstraněno nepřesné tvrzení o maximální délce trvání procesu hodnocení TISAX z Část 3.1, “Přehled”
-
„Zpráva TISAX“ přejmenována na „Zpráva o hodnocení TISAX“
-
Poznámka k rozdílům mezi ISO 27001 a TISAX aktualizována
-
Část „Popis rozsahu“ aktualizována; část s vlastním rozsahem přesunuta do přílohy
-
„Popis standardního rozsahu“ aktualizován na verzi 2.0
-
Část „Zveřejňování a sdílení“ aktualizován o poznámku ohledně sdílení stavu hodnocení
-
Část „Potřeby ochrany a úrovně hodnocení“ aktualizována o obsah týkající se „úrovně hodnocení 2.5“, „metody hodnocení na dálku s video podporou“, rozdílů mezi AL 2 a AL 3, kontroly věrohodnosti vs. ověření
-
Odkaz na zahájení procesu registrace aktualizován
-
Část „Účet na portálu“ aktualizována tak, aby odrážela upravený zvací proces
-
Odkazy ke stažení dokumentu ISA byly změněny (nyní jsou k dispozici také na enx.com)
-
Část „Hodnocení nabídek“ aktualizována o základ pro odhady nákladů
-
Přidána část „Zahajovací schůzka“ (s obsahem přesunutým sem z části „První formální zahajovací schůzka“)
-
Část „O shodě“ aktualizována o novou tabulku ohledně čtyř typů nálezů
-
Část „Úvodní hodnocení“ aktualizována o poznámku týkající se časových omezení
-
Část „Zpráva o hodnocení TISAX“ aktualizována o poznámku týkající se proaktivního plánu nápravných opatření
-
Část „Příprava plánu nápravných opatření“ aktualizována o požadavky „nález“ a „hlavní příčina“ a o poznámku týkající se šablon plánu nápravných opatření.
-
Část „Hodnocení plánu nápravných opatření“ aktualizována o poznámku týkající se e-mailu jako jediného způsobu komunikace
-
Část „Předpoklady hodnocení plánu nápravných opatření“ přejmenována na „Důvody hodnocení plánu nápravných opatření“ a doplněny dva důvody
-
Část „Dočasné známky TISAX“ aktualizována o příklady a vysvětlivky týkající se doby platnosti.
-
Část „Zpráva TISAX“ přejmenována na „Zpráva o hodnocení TISAX“
-
Část „Obnova známek TISAX“ aktualizována o poznámku týkající se opětovného použití záznamů o lokalitě na portálu ENX
-
Přidána část „Příloha: Odůvodnění proti ‚předběžným hodnocením‘ a ‚analýzám nedostatků‘“
-
Přidána část „Příloha: Vlastní rozsahy“ („Rozšířený rozsah“ a „Zúžený rozsah“ nahrazeny termíny: „Rozšířený rozsah zákazníka“ a „Úplný vlastní rozsah“
-
Část „Příloha: Hodnocení rozšíření rozsahu“ aktualizována o důvody a poznámku o přidání záznamů o lokalitě do účtu účastníka na portálu ENX
-
Část „Příloha: Správa životního cyklu ISA“ aktualizována tak, aby odrážela současnou situaci
-
Část „Příloha: Užitečné dokumenty“ aktualizována tak, aby odrážela změny v odkazech
-
Přidána část „Příloha: Řízení stížností“
-
Na telefonní čísla lze nyní kliknout
-
Různá drobná upřesnění a drobné opravy
-
Opraveny překlepy
-
Poznámka pro poskytovatele auditu TISAX: Tato aktualizace vychází z dokumentu ENX ID 612 verze 2.1
Verze 2.3
-
Přeformulování podtitulu
-
Změna primárního formátu příručky z Wordu/PDF na HTML
-
Další překlady k dispozici (čínština a francouzština, viz další odrážka)
-
Přidána část „Příručka pro účastníky TISAX je k dispozici v dalších jazycích a formátech“
-
Všechny odkazy na domovskou stránku ENX byly změněny z "https://portal.enx.com" na "https://enx.com" (staré odkazy stále fungují)
-
„VDA ISA“ se mění na „ISA“
-
Část Část 5.2, “Sebehodnocení na základě ISA” aktualizována, aby odrážela změny zavedené s verzí 5 ISA
-
Řádky všech tabulek s cíli hodnocení byly přeuspořádány, aby odpovídaly změněnému pořadí katalogů kritérií v ISA 5
-
Obrázky se seznamem cílů hodnocení aktualizovány, aby odpovídaly změněnému pořadí katalogů kritérií v ISA 5
-
Část „Přizpůsobení rozsahu“ aktualizována (obrázek 6, opravena tisková chyba, aktualizovány cíle hodnocení)
-
Část „Poplatek“ aktualizována o informace o platbách kreditní kartou
-
Část „Schéma procesu hodnocení TISAX“ aktualizována (obrázek 34, odstraněn odkaz na poskytovatele řízených služeb)
-
Část „Příloha: Užitečné dokumenty“ aktualizována (přidána bílá kniha „Řízení rizik v oblasti zabezpečení informací“)
Verze 2.2.1
-
Opraveny překlepy
Verze 2.2
-
Problém s tiskem obálky opraven
-
Všechny odkazy na naši domovskou stránku a soubory ke stažení byly změněny
-
Nyní hovoříme také italsky
-
Rozšíření části „Vlastní rozsah“
-
Část „Lokality rozsahu“ aktualizována
-
Cíle hodnocení „Propojení s třetími stranami“ odstraněny; obrázky 7, 9 a 38 aktualizovány; tabulky 4, 5, 6 a 8 aktualizovány
-
Formulace „úrovní hodnocení“ změněna na „v úrovni hodnocení“
-
Odstraněn odkaz na „Aktivační seznam TISAX“ v části „Potřeby ochrany a úrovně hodnocení “
(již není platné) -
Přidána část „Cíle hodnocení a vaši dodavatelé“
-
Část „Kontaktu účastníka“ aktualizována o informace týkající se e-mailových adres skupiny a pozvání kontaktů, které jim umožní spravovat údaje o účastnících na portálu ENX
-
Část „Registrace rozsahu hodnocení“ aktualizována o informace týkající se změn v rozsahu hodnocení
-
Část „Informace o stavu“ aktualizována (obrázek 12)
-
Část „Zabývejte se výsledkem sebehodnocení“ aktualizována o informace týkající se externí pomoci třetích stran
-
Část „Pokrytí“ aktualizována o odkaz na matici pokrytí poskytovatelů auditu
-
Část „Vyžádání nabídek“ aktualizována
-
Část „Hodnocení nabídek“ aktualizována o informace týkající se „předběžných hodnocení“
-
Část „Obnova známek TISAX“ aktualizována o informace o potřebě zaregistrovat nový rozsah
-
Různé podkapitoly části „Výměna (3. krok)“ byly aktualizovány, aby odrážely změny rozhraní na portálu ENX
-
Část „Sdílejte výsledek hodnocení s konkrétním partnerem“ aktualizována o doporučení ohledně úrovně sdílení a poznámku týkající se automatizovaného zpracování výsledků sdíleného hodnocení
-
Přidána část „Sdílení výsledků hodnocení mimo TISAX“
-
Přidána část „Správa životního cyklu ISA“
-
Část „Příloha: (Stav rozsahu hodnocení)“ aktualizována (nový stav „čeká na vaši objednávku“, stav „čeká na schválení“ přejmenován na „čeká na schválení ENX“, status „schváleno“ přejmenován na „čeká na vaši platbu“, obrázek 40)
-
Část „Příloha: Příklad potvrzovacího e-mailu“ aktualizována
-
Část „Příloha: Příklad výpisu rozsahu působnosti systému TISAX“ aktualizována
-
Část „Příloha: Stav hodnocení“ aktualizována (nový stav „úvodní hodnocení probíhá“, stav „čeká na následné hodnocení“ přejmenován na „čeká na přešetření“, obrázek 41)
-
Část „Příloha: Hodnocení dědictví Volkswagenu“ (a odkazy na ni) odstraněna (již není relevantní)
Verze 2.1.2
-
Formální limit pro „vzdálenost“ mezi „vaším výsledkem“ a „maximálním výsledkem“ opraven z 25 % na 30 %
Verze 2.1.1
-
Opraveny překlepy
Verze 2.1
-
Odstraněna část „Poskytovatelé řízených služeb“
-
Nové cíle / známky hodnocení TISAX (známky na ochranu údajů na základě GDPR; čtyři místo dvou prototypových známek; přejmenování: potřeby ochrany místo úrovní ochrany; aktualizace doporučení pro výběr)
-
Aktualizace v důsledku změn v ISA (verze 4.0 na verzi 4.1)
-
Odkaz na nový dokument „Zjednodušené skupinové hodnocení TISAX“ (dodatek k této příručce)
-
Přidány návrhy na přiřazení názvů lokalit a názvů rozsahů
-
„Registrační poplatek“ přejmenován na „poplatek“
-
Přidáno doporučení pro zástupce kontaktu
-
Výběr modelu nabíjení odstraněn