Projděte si proces hodnocení TISAX a sdílejte výsledek hodnocení se svým partnerem
Vydal:
ENX Association
sdružení podle francouzského zákona z roku 1901,
zapsané pod č. w923004198 u Sous-préfecture Boulogne-Billancourt, Francie.
Adresy
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francie
Bockenheimer Landstraße 97-99, 60325 Frankfurt nad Mohanem, Německo
Autor
Florian Gleich
Kontakt
Verze
Datum: |
06.03.2024 |
Verze: |
2.7.1 |
Klasifikace: |
Public |
ENX doc ID: |
602-CZ |
Upozornění na autorská práva
Všechna práva jsou vyhrazena asociací ENX Association.
ENX, TISAX a jejich příslušná loga jsou registrované ochranné známky sdružení ENX.
Uvedené ochranné známky třetích stran jsou majetkem jejich příslušných vlastníků.
1. Přehled
1.1. Účel
Vítejte na stránkách TISAX určených k výměně hodnocení zabezpečení důvěrných informací.
Jeden z vašich partnerů vás požádal, abyste prokázali, že vaše správa zabezpečení informací odpovídá definované úrovni podle požadavků „Hodnocení zabezpečení informací“ (ISA). A vy teď chcete vědět, jak tomuto požadavku vyhovět.
Účelem této příručky je umožnit vám splnit požadavek vašeho partnera — nebo získat výhodu tím, že jej předejdete dříve, než o něj partner požádá.
Tato příručka popisuje kroky, které je třeba učinit, abyste mohli absolvovat hodnocení TISAX, a výsledek tohoto hodnocení sdílet s partnerem.
Zavedení a udržování systému správy zabezpečení informací (ISMS) je už tak složitý úkol. Prokázat partnerovi, že vaše správa zabezpečení informací je na úrovni, tuto náročnost ještě zvyšuje. Tato příručka vám s procesem správy zabezpečení informací nepomůže. Jejím cílem je však co nejvíce vám usnadnit práci při dokazování vaší snahy partnerovi.
1.2. Oblast působnosti
Tato příručka se vztahuje na všechny postupy TISAX, kterých se případně účastníte.
Obsahuje vše, co potřebujete vědět, abyste procesy TISAX mohli absolvovat.
Příručka nabízí několik rad, jak se vypořádat s požadavky na zabezpečení informací, které jsou podstatou hodnocení. Jejím cílem však není poskytnout obecné informace o tom, co je třeba udělat, abyste hodnocením zabezpečení informací prošli.
1.3. Publikum
Hlavním publikem této příručky jsou společnosti, které potřebují nebo chtějí doložit definovanou úroveň správy zabezpečení informací podle požadavků uvedených v dokumentu Hodnocení zabezpečení informací (ISA).
Jakmile se aktivně zapojíte do procesů TISAX, budou pro vás informace uvedené v této příručce přínosem.
Přínosem budou také pro společnosti, které od svých dodavatelů vyžadují doložení definované úrovně správy zabezpečení informací. Tato příručka jim umožní pochopit, jaké kroky musí učinit jejich dodavatelé, aby splnili jejich požadavek.
1.4. Struktura
Začneme stručným představením systému TISAX a poté hned přejdeme k pokynům, JAK na to. Najdete zde vše, co potřebujete k projití procesu — v pořadí, které je potřeba znát.
Odhadovaná doba na přečtení dokumentu je 75–90 minut.
1.5. Jak tento dokument používat
Dříve nebo později budete zřejmě chtít porozumět většině toho, co tento dokument obsahuje. Chcete-li být řádně připraveni, doporučujeme přečíst si celou příručku.
Strukturovali jsme příručku podle tří hlavních kroků postupu TISAX, takže můžete přejít k části, kterou potřebujete, a zbytek dočíst později.
V příručce jsou použity ilustrace, které vám pomohou k lepšímu porozumění. Barvy ilustrací mají často další význam. Proto doporučujeme číst dokument na obrazovce počítače nebo v barevné tištěné podobě.
Vážíme si vaší zpětné vazby. Pokud se domníváte, že v této příručce některá informace chybí nebo není srozumitelná, neváhejte nám to sdělit. Za vaše připomínky budeme vděčni jak my, tak všichni budoucí čtenáři této příručky.
Pokud jste již předchozí verzi příručky pro účastníky TISAX již používali, na konci dokumentu lze nalézt užitečné poznámky v Část 8, “Historie dokumentů”.
1.6. Kontaktujte nás
Jsme zde, abychom vás procesem TISAX provedli a zodpověděli všechny vaše případné dotazy.
Pošlete nám e-mail na: |
|
Nebo nám zavolejte na: |
V Německu nás můžete zastihnout v běžné pracovní době (UTC+01:00).
Všichni hovoříme anglicky a německy. Jeden z kolegů je rodilý mluvčí italštiny.
Upozorňujeme na Část 7.13, “Příloha: Řízení stížností”.
1.7. Příručka pro účastníky TISAX je k dispozici v dalších jazycích a formátech
Příručka pro účastníky TISAX je k dispozici v následujících jazycích a formátech:
Jazyk | Verze | Formát | Odkaz |
---|---|---|---|
angličtina |
2.7.1 |
online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
němčina |
2.7.1 |
online |
|
offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
francouzština |
2.7 |
online |
|
offline |
|||
čínština |
2.7 |
online |
|
offline |
|||
španělština |
2.7 |
online |
|
offline |
|||
japonština |
2.7 |
online |
|
offline |
|||
brazilská portugalština |
2.7 |
online |
|
offline |
|||
italština |
2.7.1 |
online |
|
offline |
|||
korejština |
2.7 |
online |
|
offline |
|||
čeština |
2.7.1 |
online |
|
offline |
|||
polština |
2.7.1 |
online |
|
offline |
|||
Důležité
|
Důležité upozornění: Anglická verze je tou hlavní. |
1.7.1. O českém překladu
Tato příručka pro účastníky TISAX je překladem anglické verze.
Všechny dokumenty, z nichž TISAX vychází, byly připraveny v angličtině (např. všechny smlouvy a požadavky na poskytovatele auditorských služeb TISAX). Proto váš partner nebo poskytovatel auditu může používat některé pojmy specifické pro systém TISAX v angličtině.
Ve snaze umožnit vám mapování jsme v překladu příručky pro účastníky TISAX buď ponechali původní anglický termín TISAX, nebo jsme jej uvedli v závorce hned za překladem.
1.7.2. O formátu online
Každý oddíl má své unikátní ID (formát: ID1234).
Tento identifikátor odkazuje na konkrétní oddíl bez ohledu na jazyk.
Pokud chcete odkázat na konkrétní oddíl, je možné:
-
kliknout pravým tlačítkem myši na název oddílu a odkaz zkopírovat,
-
nebo kliknout na název oddílu a zkopírovat odkaz z adresního řádku prohlížeče.
Většina obrázků je ve výchozím nastavení k dispozici ve větší velikosti, než se ukazuje zde. Kliknutím na obrázek otevřete jeho větší verzi.
1.7.3. O formátu offline
Formát offline zachovává většinu funkcí formátu online. Především jsou obrázky vloženy do souboru HTML. K použití formátu offline potřebujete pouze jeden soubor.
Ve srovnání s formátem online je formát offline dodáván bez:
-
větších obrázků
-
původních písem formátu online.
Typ písma je určen výchozím nastavením vašeho prohlížeče.
1.7.4. O formátu PDF
Pokud na svém počítači používáte formát PDF, můžete i nadále klikat na všechny odkazy. Pokud si však verzi PDF vytisknete, nebudete mít k dispozici některé položky, například čísla stránek, a odkazy si budete muset vyhledat sami.
2. Úvod
Následující oddíly představí koncepci TISAX.
Pokud spěcháte, můžete je přeskočit a začít rovnou s Část 4.3, “Příprava registrace”.
2.1. Proč právě TISAX?
Či spíše, proč jste tady?
V odpovědi na tuto otázku začneme několika úvahami o podnikání obecně a o ochraně informací zejména.
Představte si svého partnera. Disponuje důvěrnými informacemi. Chce se o ně podělit se svým dodavatelem — vámi. Spolupráce mezi vámi a vaším partnerem vytváří hodnotu. Informace, které s vámi váš partner sdílí, jsou důležitou součástí tohoto procesu vytváření hodnoty. Proto je chce náležitě chránit. A zároveň si chce být jistý, že vy s jeho informacemi nakládáte se stejnou péčí.
Kde ale může vzít jistotu, že jsou jeho informace v dobrých rukou? Nemůže vám jen tak „věřit“. Váš partner vyžaduje předložení nějakého důkazu.
Vynořují se dvě otázky. Kdo stanoví, co znamená „bezpečné“ nakládání s informacemi? A dále, jak to dokážete?
2.2. Kdo definuje význam slova "bezpečný"?
Vy a váš partner nejste sami, kdo těmto otázkám čelí poprvé. Odpovědi na ně musí hledat téměř každý a většina odpovědí bude vykazovat podobnosti.
Namísto toho, abyste pokaždé samostatně vymýšleli řešení společného problému, standardní způsob vás zbaví zátěže vytvářet vše od začátku. Definování normy sice představuje obrovské úsilí, ale vytvoří se jen jednou a ti, kdo se jí řídí, z ní pokaždé profitují.
Názory na to, jak správně chránit informace, se jistě liší. Z důvodu výše zmíněných výhod se však většina společností spokojí s normami. Norma je zhuštěná podoba všech osvědčených a časem prověřených nejvhodnějších postupů při řešení daného problému.
Ve vašem případě normy jako ISO/IEC 27001 (o systémech řízení zabezpečení informací neboli ISMS) a jejich realizace stanovují nejmodernější způsob bezpečného nakládání s důvěrnými informacemi. Takové normy vám ušetří nutnost pokaždé znovu vynalézat kolo. A co je ještě důležitější, normy poskytují společný základ v situaci, kdy si dvě společnosti potřebují vyměňovat důvěrné údaje.
2.3. Cesta automobilového průmyslu
Normy nezávislé na odvětví jsou ze své podstaty navrženy jako řešení univerzální, nikoliv řešení přizpůsobené specifickým potřebám automobilových společností.
Automobilový průmysl již před dlouhou dobou zřídil sdružení, jejichž cílem bylo — mimo jiné — zdokonalit a definovat normy, které by vyhovovaly konkrétnějším potřebám. Jedním z nich je „Verband der Automobilindustrie“ (VDA). V pracovní skupině, která se věnuje zabezpečení informací, dospělo několik členů z automobilového průmyslu k závěru, že mají podobné potřeby přizpůsobit stávající normy správě zabezpečení informací.
Jejich společné úsilí vedlo k vypracování dotazníku, který zahrnuje všeobecně přijímané požadavky automobilového průmyslu na zabezpečení informací. Nazývá se Hodnocení zabezpečení informací (ISA – Information Security Assessment).
Díky ISA máme nyní odpověď na otázku „Kdo definuje význam slova „bezpečný“?“ Skrze VDA tuto otázku zodpovídá svým členům samotný automobilový průmysl.
2.4. Jak efektivně prokázat zabezpečení?
Zatímco některé společnosti používají ISA pouze k interním účelům, jiné jej využívají k hodnocení vyspělosti správy zabezpečení informací u svých dodavatelů. V některých případech je pro obchodní vztah plně dostačující vlastní hodnocení. V jistých situacích však společnosti provádějí kompletní hodnocení správy zabezpečení informací u svých dodavatelů (včetně auditů na místě).
Spolu se všeobecně rostoucím povědomím o potřebě správy zabezpečení informací a rozšiřujícím se zaváděním ISA jako nástroje k hodnocení zabezpečení informací se stále více dodavatelů střetávalo s podobnými požadavky ze strany různých partnerů.
Tito partneři nadále uplatňovali různé normy a na jejich výklad měli různé názory. Dodavatelé ale museli v zásadě prokazovat totéž, jen různými způsoby.
A čím častěji byli dodavatelé svými partnery vyzýváni, aby prokázali úroveň správy zabezpečení informací, tím hlasitější byly jejich stížnosti ve formě opakovaného úsilí. Předvádět auditorovi za auditorem stejná opatření v oblasti správy zabezpečení informací prostě není efektivní.
Co lze udělat pro to, aby to bylo efektivnější? Nepomohlo by, kdyby zprávu každého auditora bylo možné použít opakovaně pro různé partnery?
Výrobci originálního zařízení a dodavatelé v pracovní skupině ENX, která odpovídá za udržování ISA, vyslyšeli stížnosti svých dodavatelů. Teď svým dodavatelům i všem ostatním společnostem v automobilovém průmyslu nabízejí odpověď na otázku „Jak prokázat zabezpečení?“
Odpovědí je TISAX, zkratka pro „Trusted Information Security Assessment Exchange” ( „Výměna hodnocení zabezpečení důvěrných informací“).
3. Proces TISAX
3.1. Přehled
Proces TISAX obvykle[1] začíná tím, že jeden z vašich partnerů vás požádá, abyste prokázali, že deklarovaná úroveň správy zabezpečení informací je v souladu s požadavky „hodnocení zabezpečení informací“ (ISA). Abyste tomuto požadavku vyhověli, musíte dokončit třístupňový proces TISAX. V této části najdete přehled kroků, které musíte provést.
Třístupňový proces TISAX se skládá z následujících kroků:
1. krok |
|
2. krok |
|
3. krok |
-
Registrace
Shromažďujeme informace o vaší společnosti a o tom, co musí být obsahem hodnocení. -
Hodnocení
Procházíte hodnocením (hodnoceními), které provádí některý z našich poskytovatelů auditu TISAX. -
Výměna
Výsledek hodnocení sdělíte svému partnerovi.
Každý krok se skládá z hodnocení několika dílčích kroků. Ty jsou nastíněny ve třech níže uvedených částech a podrobně popsány v příslušných oddílech níže.
Poznámka
|
Upozorňujeme: Ačkoli bychom vám samozřejmě rádi sdělili, za jak dlouho získáte výsledek hodnocení TISAX, žádáme vás o pochopení, jelikož není v našich silách to spolehlivě předpovědět. Celková doba trvání procesu TISAX závisí na příliš mnoha faktorech. Vzhledem k velké různorodosti velikostí společností a cílů hodnocení spolu s danou připraveností systému správy zabezpečení informací je to nemožné. |
3.2. Registrace
Vaším prvním krokem je registrace do systému TISAX.
Hlavním účelem registrace TISAX je získat informace o vaší společnosti. Abyste nám tyto informace mohli poskytnout, používáme registrační proces online.
Je to předpoklad všech následných kroků. Jako takový je zpoplatněn.
Během procesu registrace online:
-
Vás požádáme o kontaktní a fakturační údaje.
-
Jste nuceni přijmout naše smluvní podmínky.
-
Můžete vymezit rozsah hodnocení zabezpečení informací.
Přímé zahájení tohoto kroku viz Část 4, “Registrace (1. krok)”.
Proces registrace online je podrobně popsán viz Část 4.5, “Proces registrace online”. Pokud však chcete začít ihned, přejděte na enx.com/en-US/TISAX/.
3.3. Hodnocení
Druhým krokem je hodnocení zabezpečení informací.
To se skládá ze čtyř dílčích kroků:
-
Příprava hodnocení
Hodnocení musíte připravit. Rozsah této přípravy závisí na aktuální úrovni vyspělosti vašeho systému správy zabezpečení informací. Vaše příprava musí vycházet z katalogu ISA. -
Výběr poskytovatele auditu
Je třeba vybrat si některého z našich poskytovatelů auditu TISAX. -
Hodnocení zabezpečení informací
Váš poskytovatel auditu provede hodnocení na základě rozsahu hodnocení, který vyhovuje požadavkům vašeho partnera. Proces hodnocení bude sestávat přinejmenším z úvodního auditu.
Pokud vaše společnost neprojde hodnocením hned, je možné, že proces hodnocení bude vyžadovat další kroky. -
Výsledek hodnocení
Jakmile vaše společnost úspěšně projde hodnocením, poskytovatel auditu vám předá oficiální zprávu o hodnocení TISAX. Za výsledek hodnocení navíc obdržíte známky TISAX[2].
Další informace o tomto kroku viz Část 5, “Hodnocení (2. krok)”.
3.4. Výměna
Vaším třetím a posledním krokem je sdílení výsledku hodnocení s partnerem. Obsah zprávy o hodnocení TISAX je strukturován do úrovní. Můžete si určit, do které úrovně bude mít váš partner přístup.
Váš výsledek hodnocení je platný po dobu tří let. Za předpokladu, že pak budete stále dodavatelem vašeho partnera, musíte znovu absolvovat třístupňový proces[3].
Další informace o tomto kroku viz Část 6, “Výměna (3. krok)”.
Teď, když máte základní představu o tom, co to proces TISAX je, jsou Vám v dalších částech k dispozici pokyny k provedení jednotlivých kroků.
4. Registrace (1. krok)
Odhadovaná doba na přečtení části registrace je 30–40 minut.
4.1. Přehled
Registrace do systému TISAX je váš první krok. Je to předpoklad všech následných kroků.
Průvodce registrací se nachází v následujících oddílech:
-
Začínáme vysvětlením nového zásadního pojmu.
-
Pak vám poradíme, co byste měli udělat, abyste byli připraveni na proces registrace online.
-
Dále vás procesem registrace online provedeme.
4.2. Jste účastníkem TISAX
Nejprve si představme nový pojem, kterému je třeba porozumět. Doposud jste byli „dodavatelem“. Přicházíte, abyste splnili požadavek svého „zákazníka“. TISAX samotný však mezi těmito dvěma rolemi ve skutečnosti nerozlišuje. Pro TISAX je účastníkem každý, kdo se zaregistroval. Vy — i váš partner — se účastníte výměny výsledků hodnocení zabezpečení informací.
Vaše společnost |
|
Registrace do systému TISAX |
|
Účastník TISAX |
K rozlišení obou těchto rolí vás jakožto dodavatele budeme od počátku označovat jako „aktivního účastníka“. Vašeho partnera označujeme jako „pasivního účastníka“. Jako „aktivní účastník“ se necháváte hodnotit systémem TISAX a výsledek hodnocení sdílíte s ostatními účastníky. „Pasivním účastníkem“ je ten, kdo požádal o vaše hodnocení systémem TISAX. „Pasivní účastník“ obdrží výsledek vašeho hodnocení.
1. Vyžádá si hodnocení od |
|
Pasivní účastník |
|
Aktivní účastník |
|
2. Nechá si provést hodnocení TISAX |
|
3. Sdílí výsledek s |
Jakákoli společnost může plnit obě role. Výsledek hodnocení můžete sdílet se svým partnerem a současně požádat své vlastní dodavatele o provedení hodnocení TISAX.
Váš zákazník |
|
Sdílíte se zákazníkem |
|
Aktivní účastník |
|
Vy |
|
Pasivní účastník |
|
Sdílí s vámi |
|
Váš vlastní dodavatel |
Požadavek na vlastní dodavatele, aby se nechali hodnotit systémem TISAX, může být dokonce obzvláště vhodný, pokud vaši vlastní dodavatelé nakládají také s informacemi vašeho partnera vyžadujícími ochranu.
4.3. Příprava registrace
V této části vám přinášíme doporučení, jak se na registraci připravit. Vlastní proces registrace detailně popisujeme v Část 4.5, “Proces registrace online”.
Dříve, než se do procesu registrace online pustíte, důrazně doporučujeme:
-
si předem shromáždit informace
-
a učinit některá rozhodnutí.
4.3.1. Právní základ
Zpravidla musíte podepsat dvě smlouvy. První smlouva, kterou uzavřete, je mezi vámi a sdružením ENX Association: „Všeobecné podmínky a pravidla účasti v programu TISAX“ (VPP pro účastníky programu TISAX). Druhá smlouva je uzavřena mezi vámi a jedním z našich poskytovatelů auditu TISAX. Pro účely registrace se budeme zabývat pouze první smlouvou.
VPP pro účastníky programu TISAX upravují náš vzájemný vztah a váš vztah s ostatními účastníky TISAX. Stanovují práva a povinnosti nás všech. Vedle obvyklých ustanovení, která najdete ve většině smluv, podrobně definují nakládání s informacemi vyměněnými a získanými během procesu TISAX. Hlavním cílem těchto pravidel je zachovat důvěrnost výsledků hodnocení TISAX. Vzhledem k tomu, že se na všechny účastníky systému TISAX vztahují stejná pravidla, lze očekávat odpovídající ochranu výsledků hodnocení TISAX ze strany vašeho partnera (v jeho roli pasivního účastníka).
Poměrně brzy v procesu registrace online vás požádáme o přijetí VPP účastníka TISAX. Jelikož se jedná o skutečnou smlouvu, doporučujeme přečíst si VPP účastníka TISAX ještě před zahájením procesu registrace online. Jeden z důvodů je ten, že v závislosti na vaší funkci ve firmě bude možná nutné získat povolení od interního nebo externího právníka.
Můžete si stáhnout „Všeobecné podmínky a pravidla účasti v programu TISAX “[4] na našich webových stránkách na adrese:
enx.com/en-US/TISAX/downloads/
Přímo ke stažení ve formátu PDF:
enx.com/tisaxgtcen.pdf
Při registraci online vás požádáme o zaškrtnutí dvou povinných políček:
-
❏ We accept the TISAX Participation General Terms and Conditions ( Souhlasíme se všeobecnými podmínkami a pravidly účasti v TISAX)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( Potvrzujeme, že víme o zbavení profesní povinnosti mlčenlivosti poskytovatelů auditu podle oddílu IX.5 a X.3 všeobecných podmínek a pravidel účasti v systému TISAX;)
Druhé zaškrtávací políčko máme proto, že někteří z našich poskytovatelů auditu TISAX jsou certifikovaní účetní. Mají zvláštní požadavky týkající se zachování profesního tajemství. Zvláštní požadavky týkající se profesního tajemství obvykle zakazují certifikovaným účetním mezi našimi poskytovateli auditu sdílet s námi informace. Tím by se zejména zrušily možnosti kontroly, které potřebujeme k vykonávání své řídicí role. Proto toto zpřístupnění potřebujeme. Před zaškrtnutím políčka je vhodné věnovat těmto doložkám zvláštní pozornost.
Jestliže běžně vyžadujete uzavření dohody o mlčenlivosti (NDA) mezi vámi a kýmkoli, kdo nakládá s důvěrnými informacemi, prostudujte si příslušné oddíly našich VPP. Měly by řešit všechny vaše připomínky. Navíc nám zpravidla nemusíte poskytovat vůbec žádné důvěrné informace.
Závěrem právní části vás žádáme o pochopení, neboť systém závisí na tom, zda všichni přijmou stejná pravidla. Nemůžeme tedy přijímat žádné další všeobecné podmínky a pravidla[5].
4.3.2. Rozsah hodnocení systémem TISAX
Ve druhém kroku procesu TISAX provede jeden z našich poskytovatelů auditu TISAX hodnocení zabezpečení informací. Musí vědět, kde začít a kde skončit. Proto je třeba definovat „rozsah hodnocení“.
„Rozsah hodnocení“ popisuje rozsah hodnocení zabezpečení informací. Zjednodušeně řečeno, do rozsahu hodnocení spadá každá část vaší společnosti, která nakládá s důvěrnými informacemi vašeho partnera. To můžete považovat za hlavní součást popisu úkolu poskytovatele auditu. Určuje, co poskytovatel auditu musí posoudit.
Rozsah hodnocení je důležitý ze dvou důvodů:
-
Výsledek hodnocení vyhoví požadavku vašeho partnera pouze tehdy, pokud příslušný rozsah hodnocení zahrnuje všechny části vaší společnosti, které pracují s informacemi o partnerovi.
-
Přesně definovaný rozsah hodnocení je základním předpokladem smysluplných výpočtů nákladů našimi poskytovateli auditu TISAX.
Důležité
|
Důležité upozornění: ISO/IEC 27001 vs. TISAX Předně musíme rozlišovat dva typy rozsahů: V případě certifikace podle normy ISO/IEC 27001 definujete rozsah svého systému ISMS (v „prohlášení o rozsahu“). Rozsah vašeho ISMS můžete definovat zcela libovolně. Rozsah hodnocení (známý také jako „rozsah auditu“) však musí být totožný s rozsahem vašeho ISMS. V případě systému TISAX musíte definovat také svůj ISMS. Rozsah hodnocení se však může lišit. Pro certifikaci podle normy ISO/IEC 27001 můžete rozsah hodnocení volně formovat způsobem, jakým definujete rozsah svého ISMS. Naproti tomu u certifikace TISAX je rozsah hodnocení předem definován. Rozsah hodnocení může být menší než rozsah vašeho ISMS. Musí však odpovídat rozsahu vašeho systému ISMS. |
4.3.2.1. Popis oblasti působnosti
Popis rozsahu definuje rozsah hodnocení. K popisu rozsahu je třeba zvolit jeden ze dvou typů rozsahu:
-
Standard scope ( Standardní rozsah)
-
Custom scope ( Vlastní rozsah)
-
Custom extended scope ( Vlastní rozšířený rozsah)
-
Full custom scope ( Úplný vlastní rozsah)
-
Standardní rozsah probereme v následující části. Standardní rozsah je správnou volbou více než 99 % všech účastníků. Proto se budeme zabývat pouze vlastními rozsahy v Část 7.8, “Příloha: Vlastní rozsahy”.
4.3.2.2. Standardní rozsah
Popis standardního rozsahu je základem hodnocení TISAX. Ostatní účastníci systému TISAX přijímají výsledky hodnocení pouze na základě standardního popisu rozsahu.
Standardní popis rozsahu je předdefinován a nelze jej měnit.
Hlavní výhodou standardního rozsahu je, že nemusíte vymýšlet vlastní definici.
Toto je standardní popis rozsahu (verze 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
Rozsah hodnocení TISAX definuje rozsah hodnocení. Hodnocení zahrnuje všechny procesy, postupy a zdroje spadající do okruhu odpovědnosti hodnocené organizace, které jsou relevantní k zabezpečení objektů ochrany a jejich cílů ochrany definovaných v uvedených cílech hodnocení na vyjmenovaných místech. Hodnocení se provádí alespoň v nejvyšší úrovni hodnocení uvedené v některém z uvedených cílů hodnocení. Hodnocení podléhají všechna kritéria hodnocení jmenovaná v uvedených cílech hodnocení. |
Důrazně doporučujeme zvolit standardní rozsah. Všichni účastníci TISAX přijímají výsledky hodnocení zabezpečení informací na základě standardního rozsahu.
4.3.2.3. Stanovení rozsahu
Dalším úkolem po definování typu rozsahu je rozhodnout, které lokality patří do rozsahu hodnocení.
Pokud je vaše společnost malá (jedna lokalita), je tento úkol snadný. Jednoduše přidáte svou lokalitu do rozsahu hodnocení.
Pokud je vaše společnost velká, můžete zvážit registraci více než jednoho rozsahu hodnocení.
Mít jeden rozsah, který obsahuje všechny vaše lokality, má své výhody:
-
Máte jednu zprávu o hodnocení, jeden výsledek hodnocení a jedno datum vypršení platnosti.
-
Můžete využít nižších nákladů na hodnocení, protože poskytovatel auditu TISAX musí vaše centrální procesy, postupy a zdroje posoudit pouze jednou.
Jeden rozsah však může mít také nevýhody, například:
-
všechny lokality musí mít stejné cíle hodnocení.
-
Výsledek hodnocení je dostupný až poté, co poskytovatel auditu TISAX posoudí všechny lokality. Tato skutečnost může být relevantní, pokud výsledek hodnocení neodkladně potřebujete.
-
Výsledek hodnocení závisí na tom, zda všechny lokality projdou hodnocením. Pokud by jen jedna lokalita neuspěla, nebudete mít pozitivní výsledek hodnocení. Obejít tuto situaci lze: a) odstraněním lokality z rozsahu, b) vyřešením problémů, c) přidáním další lokality pomocí hodnocení rozšíření rozsahu.
4.3.2.4. Přizpůsobení rozsahu
Na otázku, zda mít pouze jeden rozsah nebo více rozsahů, můžete odpovědět pouze vy. Odpovědi na otázky v následujícím diagramu vám však mohou pomoci při rozhodování.
ZAHÁJENÍ |
|
1. krok: Potřebujete hodnocení více než jedné lokality? |
|
2. krok: Máte dostatek času na přípravu hodnocení ve všech lokalitách? |
|
3. krok: Sdílejí všechny lokality centrální systém ISMS (tj. povinnosti, infrastrukturu, zásady a procesy)? |
|
4. krok: Mají všechny lokality stejný cíl hodnocení (tj. ochrana prototypových vozidel nebo informací s velmi vysokou potřebou ochrany)? |
|
Ukončení: Registrace rozsahu hodnocení |
|
Jednotlivé lokality od sebe oddělte. |
|
ne |
|
ano |
Poznámka
|
Upozorňujeme: Nenechte se tímto rozhodnutím zastrašit. Můžete změnit jakýkoli rozsah, pokud poskytovatel auditu hodnocení neuzavřel. Během přípravy hodnocení můžete například zjistit, že vám rozsah nevyhovuje, — a odpovídajícím způsobem jej změnit. Případně vám může poskytovatel auditu navrhnout změnu rozsahu v dřívějších fázích hodnocení. Doplňující poznámky:
|
4.3.2.5. Lokality rozsahu
Poté, co jste se rozhodli, které lokality jsou součástí rozsahu hodnocení, můžete pokračovat ve shromažďování určitých informací o lokalitách.
U každé lokality požadujeme takové informace, jako je název a adresa společnosti. Požadujeme také některé další informace, které našim poskytovatelům auditu TISAX umožní získat lepší představu o struktuře vaší společnosti. Vaše odpovědi budou základem jejich odhadu vynaloženého úsilí.
Připravte se na to, že pro každou z vašich provozoven poskytnete následující údaje (červená hvězdička * označuje povinné informace v procesu online):
Oblast | Možnosti |
---|---|
Název lokality * |
nehodí se |
nehodí se |
|
Typ lokality * |
Budova/budovy ve vlastnictví a výhradním užívání společnosti |
Pasivní ochrana lokality * |
ano |
Odvětví |
Informační technologie
|
Management
|
|
Média
|
|
Výzkum a vývoj
|
|
Výroba
|
|
Prodej a poprodejní služby
|
|
Ostatní odvětví |
|
Zaměstnanci v lokalitě: celkem * |
0 |
Zaměstnanci v lokalitě: IT * |
0 |
Zaměstnanci v lokalitě: zabezpečení IT * |
0 |
Zaměstnanci v lokalitě: zabezpečení lokality * |
0 |
Certifikace dané lokality |
ISO 27001 |
Poznámka
|
Upozorňujeme: Pokud jde o „odvětví“, vybírejte podle svých nejlepších vědomostí. Při výběru z výše uvedených možností neexistuje správná nebo špatná volba. Pokud nemůžete najít možnost, která by odpovídala vašemu typu podnikání, stačí zadat příslušnou možnost v položce „Jiné“. |
Pro každou lokalitu musíte zadat „location name” ( „název lokality“). Účelem názvu lokality je usnadnit odkaz na lokalitu, až ji budete přiřazovat k rozsahu hodnocení.
Doporučujeme přiřadit názvy lokalit podle následujícího vzoru:
Vzor: |
[Zeměpisný odkaz] |
Příklad: |
pro fiktivní společnost „ACME“
|
4.3.2.6. Název rozsahu
Pro každý rozsah musíte zadat „scope name” ( „název rozsahu“). Hlavním účelem názvu rozsahu je usnadnit vám identifikaci oboru v přehledovém seznamu rozsahů na portálu ENX. Měli byste přiřadit název, který bude užitečný pro čtenáře a vaše kolegy. K externí komunikaci byste měli používat ID rozsahu.
Můžete zadat libovolný název. Stejný název rozsahu byste však měli přiřadit pouze jednomu rozsahu.
Když budete chtít později hodnocení TISAX obnovit, musíte vytvořit nový rozsah (pokud možno totožný s aktuálním rozsahem). Doporučujeme proto do názvu rozsahu přidat rok hodnocení.
Doporučujeme přiřazovat názvy rozsahů podle následujícího vzoru:
Vzor: |
[Zeměpisný nebo funkční odkaz] [Rok hodnocení] |
Příklady: |
pro fiktivní společnost „ACME“
|
4.3.2.7. Kontakty
Abychom s vámi mohli komunikovat, shromažďujeme informace o kontaktech ve vaší společnosti.
Žádáme o alespoň jeden přímý kontakt na vaši společnost jako účastníka TISAX obecně a jeden kontakt pro každý rozsah hodnocení. Máte možnost poskytnout další kontakty.
Během příprav na registraci byste se měli rozhodnout, kdo ve vaší společnosti bude kontaktní osobou.
Žádáme vás o následující kontaktní údaje:
Kontaktní údaj | Povinné? | Příklad | |
---|---|---|---|
1. |
Oslovení |
ano |
Paní/pane |
2. |
Akademický titul |
Dr., PhDr., jiné |
|
3. |
Jméno |
ano |
John |
4. |
Příjmení |
ano |
Doe |
5. |
Pracovní pozice |
ano |
Vedoucí oddělení IT |
6. |
Oddělení |
ano |
Informační technologie |
7. |
Hlavní telefonní číslo |
ano |
+49 69 986692777 |
8. |
Sekundární telefonní číslo |
||
9. |
E-mailová adresa |
ano |
john.doe@acme.com |
10. |
Preferovaný jazyk |
ano |
Angličtina (výchozí) |
11. |
Další jazyky |
Němčina, francouzština |
|
12. |
Identifikátor osobní adresy |
HPC 1234 |
|
13. |
Adresa ulice |
ano |
Bockenheimer Landstraße 97-99 |
14. |
PSČ |
ano |
60325 |
15. |
Město |
ano |
Frankfurt |
16. |
Stát/provincie |
||
17. |
Země |
ano |
Německo |
Důležité
|
Důležité upozornění: |
4.3.2.8. Zveřejňování a sdílení
Hlavním účelem systému TISAX je zpřístupnit výsledek vašeho hodnocení ostatním účastníkům systému TISAX a sdílet výsledek vašeho hodnocení s vaším partnerem (partnery).
O zveřejnění a sdílení vašeho výsledku hodnocení můžete rozhodnout buď během procesu registrace, nebo kdykoli později.
Pokud procházíte procesem TISAX jako předběžným krokem, můžete se již nyní rozhodnout pro zveřejnění výsledku vašeho hodnocení komunitě účastníků TISAX. Jinak se v této fázi není na co připravovat.
Pokud vás váš partner požádal, abyste podstoupili proces TISAX, musíte mu dříve či později sdělit výsledek hodnocení. Informace o stavu můžete s partnerem sdílet již během registrace. Jakmile bude váš výsledek hodnocení k dispozici, váš partner bude mít automaticky oprávnění k přístupu k němu.[6].
Ke sdílení informací o stavu jsou potřeba dvě věci:
-
ID účastníka systému TISAX vašeho partnera.
ID účastníka systému TISAX identifikuje vašeho partnera jako účastníka systému TISAX.
Obvykle by vám měl váš partner poskytnout svůj identifikátor účastníka TISAX.
Pro vaše pohodlí poskytuje náš registrační formulář rozbalovací seznam identifikátorů účastníka pro některé společnosti, které často dostávají sdílené výsledky hodnocení.[7]
-
Požadovaná úroveň sdílení
Úroveň sdílení určuje, do jaké míry má váš partner přístup k výsledkům hodnocení.
Buď váš partner požádá o konkrétní úroveň sdílení, nebo vy sami rozhodnete, do jaké úrovně chcete partnerovi přístup k výsledku hodnocení umožnit.
Další informace o úrovních sdílení viz Část 6.5, “Úrovně sdílení”.
Možná si tedy budete chtít tyto informace zkontrolovat.
Poznámka
|
Upozorňujeme:
|
Důležité
|
Důležité upozornění: Pokud svůj výsledek hodnocení nezveřejníte nebo jej nebudete sdílet, nikdo váš výsledek hodnocení neuvidí. |
Důležité
|
Důležité upozornění: Zveřejnění ani sdílení nelze odvolat. Podrobnosti viz Část 6.4, “Trvalost vyměněných výsledků”. |
Poznámka
|
Upozorňujeme: Může to znít zvláštně, ale ve skutečnosti můžete sdílet svůj „výsledek hodnocení“, přestože jste ještě nezahájili proces hodnocení. V této rané fázi pouze sdílíte „stav hodnocení“. Účastník, se kterým sdílíte svůj „výsledek hodnocení“, uvidí, v jaké fázi procesu hodnocení se nacházíte. Někteří účastníci systému TISAX musí vystavit zvláštní uvolnění, pokud se musí prokazovat známkami TISAX, ale ještě proces hodnocení nedokončili. V takovém případě váš partner může požadovat zobrazení vašeho „stavu hodnocení“ na svém účtu pro portál ENX. Další informace o stavu hodnocení viz Část 7.6, “Příloha: Assessment status ( Stav hodnocení)”. |
Další informace o zveřejňování a sdílení výsledku hodnocení viz Část 6, “Výměna (3. krok)”.
4.3.3. Cíle hodnocení
V rámci procesu registrace musíte definovat svůj cíl (cíle) hodnocení. Cíl hodnocení ( assessment objective) stanoví platné požadavky, které musí váš systém správy zabezpečení informací (ISMS) splňovat. Cíl hodnocení je zcela založen na typu údajů, se kterými jménem svého partnera nakládáte.
V následujících částech popisujeme cíle hodnocení a poskytujeme rady, jak vybrat správný cíl (cíle) hodnocení.
Používání cílů hodnocení usnadňuje komunikaci v rámci systému TISAX s vaším partnerem a našimi poskytovateli auditu TISAX, protože se vztahují k definovanému vstupu do procesu hodnocení TISAX.
Poznámka
|
Upozorňujeme: Někteří partneři mohou požadovat, abyste si nechali provést hodnocení TISAX s určitou „úrovní hodnocení“ (AL) namísto zadání cíle hodnocení. Další informace o úrovních hodnocení jsou uvedeny v Část 4.3.3.5, “Potřeba ochrany a úrovně hodnocení” (pododdíle „Další informace“). |
4.3.3.1. Seznam cílů hodnocení
V současnosti je stanoveno dvanáct cílů hodnocení TISAX. Je třeba si vybrat alespoň jeden cíl hodnocení. Můžete si jich vybrat více.
Svůj cíl hodnocení považujte za měřítko pro svůj systém správy zabezpečení informací. Cíl hodnocení je klíčovým vstupem do procesu TISAX. Všichni poskytovatelé auditů TISAX vycházejí ve své strategii hodnocení především z cíle hodnocení.
Současné cíle hodnocení TISAX jsou následující:
č. | Název | Popis |
---|---|---|
1. |
Info high |