助您完成 TISAX 评估流程,并与合作伙伴共享评估结果

出版方

ENX Association
一家根据法国法律(1901 年)成立的协会。
注册地:Sous-préfecture de Boulogne-Billancourt,France;注册编号:w923004198

地址
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany

作者

Florian Gleich

联系方式

tisax@enx.com
+49 69 9866927-77

版本信息

日期:

2021-01-06

版本:

2.3 beta

类别:

公开

ENX doc ID:

602-CN

版权声明

ENX Association 保留所有权利。
ENX、TISAX 及其徽标是 ENX Association 的注册商标。
所提及的第三方商标是其各自所有者的财产。

1. 总述

1.1. 目的

欢迎了解 TISAX(Trusted Information Security Assessment Exchange,即“可信信息安全评估交换”)认证体系。

您的某个合作伙伴可能要求您证明,您的信息安全管理体系符合“VDA[1] ISA(德国汽车工业协会信息安全评估标准)”特定等级的要求,并且您亦希望了解如何达到这一要求。

本手册的目的,便是要帮助您满足合作伙伴的要求,甚至是在合作伙伴提出此类要求之前,即可做好万全的应对准备。

本手册介绍了您需要采取的相关步骤,来确保顺利完成 TISAX 评估流程,并与合作伙伴共享评估结果。

建立并维持一套“信息安全管理体系(ISMS)”本身已是一项繁杂的工作,而向您的合作伙伴证明,自己的信息安全管理体系能够胜任工作要求,更是繁上加繁。本手册并不会帮助您管理自己的信息安全体系,而是旨在尽可能减少相关的工作量,从而方便您向合作伙伴证明自己的工作成效。

1.2. 范围

本手册适用于您参与的所有 TISAX 流程。

它包含您需要了解的所有相关知识,来确保顺利完成 TISAX 评估流程。

本手册从评估的核心环节出发,针对如何满足信息安全要求,提出了相关建议。但是总的来说,它并不会具体告诉您应该如何去做,才能通过信息安全评估。

1.3. 受众

本手册的主要受众是,需要或希望证明自身的信息安全管理体系符合“VDA ISA(德国汽车工业协会信息安全评估标准)”特定等级要求的所有公司。

一旦您积极参与 TISAX 评估流程,您将从本手册提供的信息中受益。

而同时,要求供应商证明其信息安全管理体系符合特定等级要求的公司亦将从中受益。本手册有助于公司了解其供应商为了满足特定要求,需要具体做哪些工作。

1.4. 结构

首先,我们将简要介绍 TISAX;之后,立即展开详述具体步骤。您将了解到完成评估流程所需要的一切信息 — 按照合理的先后顺序。

阅读本文档预计需要 75-90 分钟。

1.5. 如何使用本文档

对于本文档中所述的大部分信息,您或许早晚有用上的一天。为了妥善准备有关工作,我们建议您通篇阅读本手册。

我们以 TISAX 评估流程三大主要步骤为线索,来编排本手册的章节结构,从而方便您查阅自己需要的章节内容,以及之后浏览其余内容。

本手册使用插图来帮助您理解,插图中的颜色通常具有特殊含义。因此,我们建议您通过电脑屏幕或彩印副本来阅读本文档。

我们重视您的反馈。如果您认为本手册中有内容缺失或难于理解之处,请立即联系我们。我们与本手册未来的广大读者一道,将感谢您所给出的反馈意见。

如果您使用过较早版本的《 参与者手册》,本手册末尾的备注可能会对您有所帮助,请参见章节 8, “文档历史”

1.6. 联系我们

我们的宗旨是指导您顺利完成 TISAX 评估流程,并为您解答可能遇到的任何问题。我们的联系方式如下:

电邮:

tisax@enx.com

电话:

+49 69 9866927-77

您可在德国正常营业时间(UTC+01:00)内联系我们。

我们所有人均提供 英国国旗图标 英语和 德国国旗图标 德语服务。此外,有两名同事可提供 意大利国旗图标 意大利语母语服务。

1.7. 《TISAX 参与者手册》其他语言版本和格式

《TISAX 参与者手册》已推出下列语言版本和格式:

语言 版本 格式 链接 大小

英国国旗图标英语

2.3

联机

https://www.enx.com/handbook/tisax-participant-handbook.html

不适用

脱机

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

德国国旗图标德语

2.3

联机

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

不适用

脱机

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

法国国旗图标法语

2.3 beta

联机

https://www.enx.com/handbook/tph-fr.html

不适用

脱机

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

中国国旗图标中文

2.3 beta

联机

https://www.enx.com/handbook/tph-cn.html

不适用

脱机

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

重要

重要提示:

英语版本为第一版本,
其他所有语言版本均为英语版本的译文。
若有疑问,请以英语版本为主。

1.7.1. 关于中文译本

本《TISAX 参与者手册》是英文版本的译文。

所有 TISAX 相关文档(例如,所有合约以及针对 TISAX 审计服务提供商的要求)均以英文起草,因此,您的合作伙伴或审计服务提供商可能会使用某些英文 TISAX 术语。

为了便于您参照,我们在中文版《TISAX 参与者手册》里采取了保留英文 TISAX 术语,或在中文译文后加括号标注等做法。

1.7.2. 关于联机格式

每一章节都有唯一的 ID 编号(格式为:ID1234)。
一个 ID 总是指代一个特定的章节,与语言版本无关。
如希望链接至某个章节,您可以:

  • 右键单击章节标题并复制链接,或者

  • 单击章节标题,并从浏览器地址栏中复制链接。

大多数插图的尺寸要大于此处的默认显示尺寸,单击插图后可使其放大显示。

1.7.3. 关于脱机格式

脱机格式保留了联机格式的大多数特性,其中一个最显著的特点是,插图嵌入在 HTML 文件中。您只需要一个文件,便可使用脱机格式。

与联机格式相比,脱机格式中:

  • 图片无法放大显示

  • 联机格式的原始字体不可用
    您浏览器的默认设置将定义显示字体。

1.7.4. 关于 PDF 格式

PDF 格式是基于联机格式生成的。通常,我们使用浏览器将联机格式保存为 PDF。

如果在电脑上使用 PDF 格式,那么您仍然可以单击所有的引用链接。但是如果将 PDF 版本打印出来,由于没有页码等参照物,您需要自行查找链接内容的位置。

2. 简介

以下章节将介绍 TISAX 这一概念。

如果您时间紧迫,可跳过这部分内容,直接开始阅读 章节 4.3, “注册准备”

2.1. 为什么选择 TISAX?

换句话说,您阅读本手册的目的是什么?

为了回答这个问题,我们首先大致思考一下商业交易的规则,尤其是涉及到信息保护这方面。

想象您有一个合作伙伴,他手握机密信息,并希望与供应商,也就是您进行共享。您与这名合作伙伴之间的合作可以创造价值,而该合作伙伴与您共享信息,则是价值创造中的一个重要环节。所以,他想要采取适当的保护措施,并希望您本人也以同样谨慎的态度来处理保密信息。

然而,他如何能保证可以放心地将自己的信息交于他人?他总不可能盲目地去“相信”您。作为合作伙伴,需要眼见为实,方可证明对方有这个能力。

那么问题来了,由谁来定义信息处理的“安全”标准?以及如何证明自己符合标准要求?

2.2. 谁来定义"安全"标准?

第一次面对此类问题的,并非只有您与您的合作伙伴,几乎所有人都得努力寻求答案,而大多数答案都具有相似性。

针对一个常见的问题,与其每次都从头开始研究解决方案,不如制定出一套应对标准,从而实现化繁为简。确定一套标准虽然工作量巨大,但确是一劳永逸、造福后来者之举。

诚然,就保护信息而言,何为正确手段,人们众说纷纭;然而,从上述造福后来者的角度出发,大多数公司都倾向于制定标准,因为标准本身便是由那些已被前人证明、历经时间考验,且针对特定挑战的最佳实践所凝聚而成的精华。

就您的情况而言,遵循并实施 ISO/IEC 27001(关于信息安全管理体系,简称“ISMS”)等标准,将有助于建立最先进的防护体系,从而确保以安全的方式来处理保密信息。此类标准可为您省去许多不必要的重复性工作,更重要的是,有了标准后,当两家公司需要彼此交换保密信息时,便可在同等基础上开展这一工作。

2.3. 汽车业内标准的由来

从性质上来看,非行业标准更像是“一刀切”式的解决方案,无法满足汽车公司的特殊需求。

很久以前,汽车行业内部便成立了很多协会,它们的主要目标是,针对自身特殊需求,精准制定并优化相关标准。“德国汽车工业协会(VDA)”便是其中之一。当时,汽车行业的数位成员建立了信息安全工作小组,并最终一致认为,由于彼此间需求相似,因而有必要对现有的信息安全管理标准进行量身调整。

在各方的共同努力下,一份调查问卷应运而生,其中涵盖了汽车行业内普遍接受的信息安全要求,而该问卷便是“VDA ISA(德国汽车工业协会信息安全评估标准)”。

随着 ISA 面世,“谁来定义‘安全’标准?”这个问题也随之有了答案:由 VDA 来定,也就是说,由汽车行业自己来向其成员提供这一问题的答案。

2.4. 如何以高效的方式证明符合安全标准?

有些公司仅在内部使用 ISA,而有些公司则利用 ISA 来对其供应商的信息安全管理体系成熟度进行评估。一般情况下,为建立业务关系,进行自我评估便足矣;然而,在某些情况下,公司会对其供应商的信息安全管理体系进行全面评估(包括现场审计)。

随着人们对信息安全管理需求意识的普遍提高,以及 ISA 作为信息安全评估工具得到广泛应用,越来越多的供应商正面临着来自不同合作伙伴的类似要求。

但是,这些合作伙伴采用的标准依然各不相同,对于如何解释标准也是说法不一。而供应商需要证明的事情则基本上是一样的,只是途径有别而已。

所以,一方面是合作伙伴不断督促供应商证明自己的信息安全管理体系符合特定等级要求,而另一方面,是供应商面对无休止的重复性劳动而怨声载道。毕竟,不停地给一个又一个审计人员展示相同的信息安全管理措施,绝非是高效的工作方式。

那么,该如何提高这一步骤的效率?如果一名审计人员的报告可以被不同的合作伙伴重复使用,是否会有助于改善情况?

负责 ISA 维护的 VDA 工作小组中的 OEM(原始设备制造商)与供应商在听取了各家供应商的不满和抱怨后,现在,针对“如何证明符合安全标准?”这个问题,为汽车行业的广大供应商及相关企业给出了如下答案。

这个答案便是 TISAX,全称为 “Trusted Information Security Assessment Exchange”(中国国旗图标可信信息安全评估交换)。

3. TISAX 流程

3.1. 总述

TISAX 流程启动的标志通常[2]是,您的某个合作伙伴要求您证明,自己的信息安全管理体系符合“VDA ISA(德国汽车工业协会信息安全评估标准)”特定等级的要求。为了满足该要求,您需要完成 TISAX 流程三大步骤。本章将为您简要介绍这些步骤。

TISAX 流程三大步骤包括:

TISAX 流程概述
插图 1. TISAX 流程概述
img callout black 01

第 1 步
注册

img callout black 02

第 2 步
评估

img callout black 03

第 3 步
交换

  1. 注册
    我们采集您公司以及评估过程所需要的信息。

  2. 评估
    您参与评估流程,评估工作由我方指定的一名 TISAX 审计服务提供商执行。

  3. 交换
    您与合作伙伴共享评估结果。

每一步都包含若干子步骤,这些内容将在以下篇幅中分成三节进行讲解,每一节均详细描述其中一个步骤。

注意事项

请注意:

虽然我们很想告诉您,多久以后可以拿到 TISAX 评估结果,但我们自己亦无法做出准确预测,因此,恳请您理解。TISAX 流程的总体耗时取决于许许多多的因素:由于公司规模、评估对象,外加信息安全管理体系的建立情况等千差万别,因而无法预测所需时间。

然而,TISAX 规定,整个 TISAX 评估流程用时最长不超过 9 个月。

3.2. 注册

注册是参与 TISAX 评估的第一步。

TISAX 注册的主要目的,是采集关于您公司的信息。我们使用在线注册流程,来帮助您向我们提供该信息。

注册是所有后续步骤的先决条件,并需要缴纳费用。

在线注册过程中:

  • 我们会要求您提供联系方式与地址信息。

  • 您须接受我们的条款和条件。

  • 您可以自定义信息安全评估的范围。

若要直接开始该步骤,请参见章节 4, “注册(第 一步)”

在线注册流程详见章节 4.5, “在线注册流程”。 若想即刻开始,请前往 英国国旗图标 enx.com/en-US/TISAX/。

3.3. 评估

第二步是完成信息安全评估。

其中,包含四个子步骤:

  1. 评估准备
    您需要针对评估工作进行准备,其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。

  2. 选择审计服务提供商
    在准备好接受评估后,您需要选择一名由我方指定的 TISAX 审计服务提供商。

  3. 信息安全评估
    您选定的审计服务提供商将从满足合作伙伴的要求出发,依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
    如果您的公司未能立即通过评估,则评估流程可能需要增加额外的步骤。

  4. 评估结果
    一旦您的公司通过评估,您的审计服务提供商将向您提供正式的 TISAX 报告。您的评估结果亦将印上“TISAX 标签”。[3]

有关该步骤的更多信息,请参见 章节 5, “评估(第 二步)”

3.4. 交换

第三步,也就是最后一步,是与您的合作伙伴共享自己的评估结果。TISAX 报告的内容按照等级进行划分,您可自行决定合作伙伴有权查看哪一级别的内容。

评估结果的有效期为三年,假设届时您仍是合作伙伴的供应商,那么您需要再次完成上述三大步骤。[4]

有关该步骤的更多信息,请参见章节 6, “交换(第 三步)”


至此,您已基本了解什么是 TISAX 流程;在后续章节中,您将进一步了解如何完成各个步骤。

4. 注册(第 一步)

阅读“注册”章节预计需要 30-40 分钟。

4.1. 总述

注册是完成 TISAX 流程的第一步。注册是所有后续步骤的先决条件,

以下章节内容将带您完成注册这一步:

  1. 首先,我们为您解释一个重要的新术语

  2. 之后,我们就如何针对在线注册流程进行准备,向您提出建议

  3. 接下来,我们引导您完成在线注册流程

4.2. 您的 TISAX 参与者身份

首先,我们为您介绍一个有必要理解的新术语。到目前为止,您的身份一直是“供应商”,阅读本手册的目的,是为了满足您的“客户”所提出的要求。然而,TISAX 本身并不区分这两种角色。对于 TISAX 而言,每一位注册人员都是“参与者”,也就是说,您与合作伙伴“参与”了信息安全评估结果的交换过程。

注册成为 TISAX 参与者
插图 2. 注册成为 TISAX 参与者
img callout black 01

您的公司

img callout black 02

TISAX 注册

img callout black 03

TISAX 参与者

为了从一开始便区分这两个角色,我们将您(供应商)称作“主动参与者(active participant)”,将您的合作伙伴称作“被动参与者(passive participant)”。作为“主动参与者”,您接受 TISAX 评估,并与其他参与者共享自己的评估结果。“被动参与者”是要求您接受 TISAX 评估的人,也是您的评估结果的接收人。

“被动参与者”与“主动参与者”
插图 3. “被动参与者”与“主动参与者”
img callout black 01

1 要求对方接受评估

img callout black 02

被动参与者

img callout black 03

主动参与者

img callout black 04

2 接受 TISAX 评估

img callout black 05

3 与对方共享评估结果

每一家公司都可以扮演两种角色:您可能在与合作伙伴共享评估结果的同时,也要求自己的供应商接受 TISAX 评估。

TISAX 参与者可以同时为“主动”和“被动”参与者
插图 4. TISAX 参与者可以同时为“主动”和“被动”参与者
img callout black 01

您的客户
== 被动方

img callout black 02

您与客户共享结果

img callout black 03

主动参与者

img callout black 04

img callout black 05

被动参与者

img callout black 06

与您共享结果

img callout black 07

您的供应商
== 主动方

如果您自己的供应商亦会接触您合作伙伴的保密信息,那么强烈建议其也接受 TISAX 评估。

4.3. 注册准备

在本节中,我们将就如何针对注册流程进行准备,来为您提供相关建议。更多关于注册流程本身的信息,请参见章节 4.5, “在线注册流程”

在开始在线注册之前,我们强烈建议您:

  • 提前收集信息

  • 针对某些事宜作出决定。

4.3.1. 法律基础

一般来说,您需要签订两份合约,第一份合约的签订人是您与 ENX 协会:即“ TISAX 参与一般条款和条件”(TISAX 参与者 GTC);第二份合约的签订人是您与一名由我方指定的 TISAX 审计服务提供商。注册流程仅会用到第一份合约。

“TISAX 参与者 GTC”确立了我们相互间的关系,以及您与其他 TISAX 参与者之间的关系,并规定了所有各方的权利和义务。除了大多数合同中常见的条款外,该合约还详细规定了在 TISAX 流程期间,交换和获得的信息如何进行处理。这些规定的一个关键目的,是确保 TISAX 评估结果保密。由于所有 TISAX 参与者都受相同规则的制约,因而您可以期待,您的合作伙伴(以“被动参与者”的身份)亦会为您的 TISAX 评估结果提供适当的保护。

我们将于在线注册流程开始时,便要求您接受“TISAX 参与者 GTC”。由于这是一份真正意义上的合同,我们因此建议您在开始在线注册流程之前,首先认真阅读“TISAX 参与者 GTC”。其中一个原因是,您可能需要从公司内部或外部律师那里获得许可函,这取决于您在公司里的角色。

您可登录我们的网站,下载“TISAX 参与一般条款和条件”:[5]
英国国旗图标 enx.com/en-US/TISAX/downloads/

下载 PDF:
英国国旗图标 enx.com/tisaxgtcen.pdf

在线注册过程中,我们将要求您选中两个复选框(必选):

  • ❏ We accept the TISAX Participation General Terms and Conditions
    中国国旗图标我方接受“TISAX 参与一般条款和条件”

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    中国国旗图标我方确认已知晓,根据“TISAX 参与一般条款和条件”IX.5 和 X.3 部分有关规定,申请者将解除针对审计服务提供商的职业保密义务;

我们设置第二个复选框的原因是,我方的 TISAX 审计服务提供商中,有些是注册会计师,他们对职业保密有特殊的要求。在选中此框之前,您可能需要仔细了解相关条款。

如果您通常要求与处理保密信息的一方之间签订保密协议(NDA),则请查看我们 GTC 的有关章节,其中的内容应该能够解答您的疑惑。

最后,我们希望您理解,整个体系本身的基础是“人人接受相同规则的约束”,因此,我们不会接受其他任何一般性条款和条件。[6]

4.3.2. TISAX 评估范围

在 TISAX 流程的第二步中,我方的一名 TISAX 审计服务提供商将执行信息安全评估工作,他需要知道从哪里开始以及在哪里结束。这就是为什么您需要指定一个“评估范围”。

“评估范围”描述的是信息安全评估工作的范围,简单来说,在您的公司里,只要涉及到处理合作伙伴保密信息的环节,则均属于评估范围。您可以将其视为审计服务提供商的主要任务描述,它规定了审计服务提供商需要评估的内容。

评估范围之所以重要,有两个原因:

  1. 对于您公司里负责处理合作伙伴信息的各个环节,只有当相应的评估范围涵盖所有此类环节时,评估结果才能够满足合作伙伴的要求。

  2. 对于我方的 TISAX 审计服务提供商,精确定义评估范围是合理计算成本的必要前提条件。

重要

重要提示:

如果您的公司拥有 ISO/IEC 27001 认证:“TISAX 评估范围”的定义与 ISO/IEC 27001 认证所需要的“范围”定义是相似的。区别在于,在 TISAX 中,范围是预先定义好的。

4.3.2.1. 范围描述

范围描述规定了评估工作的范围。您需要从以下两种范围类型中选择一种:

  1. Standard scope (中国国旗图标 标准范围)

  2. Custom scope (中国国旗图标 自定义范围)

    1. Extended scope (中国国旗图标 扩展型范围)

    2. Narrowed scope (中国国旗图标 缩减型范围)

4.3.2.2. 标准范围

标准范围是开展 TISAX 评估的基础,其他 TISAX 参与者也仅接受基于标准范围描述的评估结果。

标准范围是预先定义好的,无法更改。如果您希望使用自定义范围,则可以为您的评估选择“扩展型范围”或“缩减型范围”。

使用标准范围的好处是,您无需自己定义范围。

以下是标准范围的描述:[7]

英国国旗图标

中国国旗图标

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
标准范围包括:与以下场地有关的所有流程和资源,其应当符合汽车行业合作伙伴的安全性要求。相关流程和资源包括信息的收集、存储和处理。

涉及资源示例:工作设备、员工、IT 系统(包括云服务,如基础设施/平台/软件即服务)、物理场地、相关承包商

场地示例:办公场地、研发场地、生产场地、数据中心

我们强烈建议选择标准范围,因为所有 TISAX 参与者都接受基于标准范围作出的信息安全评估结果。

4.3.2.3. 自定义范围

几乎所有的 TISAX 参与者都会选择标准范围。但是,在特定及少数情况下,您可能需要选择自定义范围。

范围类型:扩展型范围、标准范围、缩减型范围
插图 5. 范围类型:扩展型范围、标准范围、缩减型范围
img callout black 01

扩展型范围

img callout black 02

标准范围

img callout black 03

缩减型范围

  1. 扩展型范围

    您可以对范围进行扩展,扩展型范围包含的内容要“多于”标准范围。也就是说,审计服务提供商将执行更多检查。

    目的:如果您的 TISAX 评估结果将用于公司内部或非汽车行业等用途,则可考虑选择扩展型范围。

    TISAX 标签和共享结果:扩展型范围总是涵盖标准范围,因此,其评估结果将印上“TISAX 标签”。[8] 而其他 TISAX 参与者亦将接受这一范围的评估结果。

    描述:虽然标准范围的描述是预先定义好的,但如果您选择扩展型范围,则需要自行定义范围描述。

  2. 缩减型范围

    您可以对范围进行缩减,缩减型范围包含的内容要“少于”标准范围。审计服务提供商可能会缩短、甚至跳过某些检查。

    目的:如果您有若干处公司地点,这些地点分属于不同的评估范围,且都使用某个特定场地(如数据中心)的服务,那么,便可以为这些服务选择缩减型范围。如此一来,可方便 TISAX 审计服务提供商重复使用服务(缩减型范围)的评估结果。

    示例:您有多处公司地点(可能分属于不同范围),并且在其中一处地点有一个 IT 中心部门。如果只为该 IT 部门定义一个缩减型范围,那么之后再将相关评估结果用于其他范围的话,便会方便得多。

    TISAX 标签和共享结果:缩减型范围的评估结果不会印有 TISAX 标签。无论整体评估结果是“达标”还是“不达标”,都会收录在 ENX 门户中,包括日期和有效期。您亦可以共享此类评估结果。只不过,对于大多数接收者来说,一个没有 TISAX 标签的评估结果会给人一种评估“未通过”的印象,其他 TISAX 参与者通常不会接受缩减型范围的评估结果。

    描述:与扩展型范围一样,如果选择缩减型范围,则需要自行定义范围描述。
    以下是缩减型范围描述的示例:
    针对为 X 公司[9]

    重要

    重要提示:

    缩减型范围评估结果不会获得 TISAX 标签,因此,我们通常不建议选择缩减型范围—​主要是因为其他参与者一般不接受该范围的评估结果。在选择缩减型范围之前,请咨询您的合作伙伴。

4.3.2.4. 范围界定

在确定了范围类型后,下一个任务便是决定哪些公司地点属于评估范围。

如果您的公司规模不大(仅一处地点),那便好办,您只需将公司地点添加到评估范围即可。

如果您的公司规模较大,则应考虑注册一个以上的评估范围。

您可以注册一个囊括所有公司地点的单一范围,这样做的好处是:

  • 评估报告、评估结果及其有效期的数量都只有一个(份)。

  • 评估费用更低,因为 TISAX 审计服务提供商只会一次性评估您的核心流程、程序和相关资源。

然而,单一范围也有缺点,比如:

  • 只有在 TISAX 审计服务提供商对所有地点完成评估后,才会出具评估结果。如果您急需评估结果,那么这一点就比较麻烦。

  • 最终评估结果的好坏,取决于是否所有地点均通过了评估。就算只有一处地点未通过,都会影响到整体评估结果。[10]

4.3.2.5. 范围调整

是选择一个范围还是选择多个范围,这个问题只能留给您自己。然而,通过回答下图中的问题,可有助于您做出决定。