Projděte si proces hodnocení TISAX a sdílejte výsledek hodnocení se svým partnerem

Vydal:

ENX Association
sdružení podle francouzského zákona z roku 1901,
zapsané pod č. w923004198 u Sous-préfecture Boulogne-Billancourt, Francie.

Adresy
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francie
Bockenheimer Landstraße 97-99, 60325 Frankfurt nad Mohanem, Německo

Autor

Florian Gleich

Kontakt

Verze

Datum:

06.03.2024

Verze:

2.7.1

Klasifikace:

Public

ENX doc ID:

602-CZ

Upozornění na autorská práva

Všechna práva jsou vyhrazena asociací ENX Association.
ENX, TISAX a jejich příslušná loga jsou registrované ochranné známky sdružení ENX.
Uvedené ochranné známky třetích stran jsou majetkem jejich příslušných vlastníků.

1. Přehled

1.1. Účel

Vítejte na stránkách TISAX určených k výměně hodnocení zabezpečení důvěrných informací.

Jeden z vašich partnerů vás požádal, abyste prokázali, že vaše správa zabezpečení informací odpovídá definované úrovni podle požadavků „Hodnocení zabezpečení informací“ (ISA). A vy teď chcete vědět, jak tomuto požadavku vyhovět.

Účelem této příručky je umožnit vám splnit požadavek vašeho partnera — nebo získat výhodu tím, že jej předejdete dříve, než o něj partner požádá.

Tato příručka popisuje kroky, které je třeba učinit, abyste mohli absolvovat hodnocení TISAX, a výsledek tohoto hodnocení sdílet s partnerem.

Zavedení a udržování systému správy zabezpečení informací (ISMS) je už tak složitý úkol. Prokázat partnerovi, že vaše správa zabezpečení informací je na úrovni, tuto náročnost ještě zvyšuje. Tato příručka vám s procesem správy zabezpečení informací nepomůže. Jejím cílem je však co nejvíce vám usnadnit práci při dokazování vaší snahy partnerovi.

1.2. Oblast působnosti

Tato příručka se vztahuje na všechny postupy TISAX, kterých se případně účastníte.

Obsahuje vše, co potřebujete vědět, abyste procesy TISAX mohli absolvovat.

Příručka nabízí několik rad, jak se vypořádat s požadavky na zabezpečení informací, které jsou podstatou hodnocení. Jejím cílem však není poskytnout obecné informace o tom, co je třeba udělat, abyste hodnocením zabezpečení informací prošli.

1.3. Publikum

Hlavním publikem této příručky jsou společnosti, které potřebují nebo chtějí doložit definovanou úroveň správy zabezpečení informací podle požadavků uvedených v dokumentu Hodnocení zabezpečení informací (ISA).

Jakmile se aktivně zapojíte do procesů TISAX, budou pro vás informace uvedené v této příručce přínosem.

Přínosem budou také pro společnosti, které od svých dodavatelů vyžadují doložení definované úrovně správy zabezpečení informací. Tato příručka jim umožní pochopit, jaké kroky musí učinit jejich dodavatelé, aby splnili jejich požadavek.

1.4. Struktura

Začneme stručným představením systému TISAX a poté hned přejdeme k pokynům, JAK na to. Najdete zde vše, co potřebujete k projití procesu — v pořadí, které je potřeba znát.

Odhadovaná doba na přečtení dokumentu je 75–90 minut.

1.5. Jak tento dokument používat

Dříve nebo později budete zřejmě chtít porozumět většině toho, co tento dokument obsahuje. Chcete-li být řádně připraveni, doporučujeme přečíst si celou příručku.

Strukturovali jsme příručku podle tří hlavních kroků postupu TISAX, takže můžete přejít k části, kterou potřebujete, a zbytek dočíst později.

V příručce jsou použity ilustrace, které vám pomohou k lepšímu porozumění. Barvy ilustrací mají často další význam. Proto doporučujeme číst dokument na obrazovce počítače nebo v barevné tištěné podobě.

Vážíme si vaší zpětné vazby. Pokud se domníváte, že v této příručce některá informace chybí nebo není srozumitelná, neváhejte nám to sdělit. Za vaše připomínky budeme vděčni jak my, tak všichni budoucí čtenáři této příručky.

Pokud jste již předchozí verzi příručky pro účastníky TISAX již používali, na konci dokumentu lze nalézt užitečné poznámky v Část 8, “Historie dokumentů”.

1.6. Kontaktujte nás

Jsme zde, abychom vás procesem TISAX provedli a zodpověděli všechny vaše případné dotazy.

Pošlete nám e-mail na:

tisax@enx.com

Nebo nám zavolejte na:

+49 69 9866927-77

V Německu nás můžete zastihnout v běžné pracovní době (UTC+01:00).

Všichni hovoříme Icon of the flag of the United Kingdom anglicky a Icon of the flag of Germany německy. Jeden z kolegů je rodilý mluvčí Icon of the flag of Italy italštiny.

1.7. Příručka pro účastníky TISAX je k dispozici v dalších jazycích a formátech

Příručka pro účastníky TISAX je k dispozici v následujících jazycích a formátech:

Jazyk Verze Formát Odkaz

Icon of the flag of the United Kingdom angličtina

2.7.1

online

https://www.enx.com/handbook/tisax-participant-handbook.html

offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon of the flag of Germany němčina

2.7.1

online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon of the flag of France francouzština

2.7

online

https://www.enx.com/handbook/tph-fr.html

offline

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon of the flag of China čínština

2.7

online

https://www.enx.com/handbook/tph-cn.html

offline

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon of the flag of Spain španělština

2.7

online

https://www.enx.com/handbook/tph-es.html

offline

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon of the flag of Japan japonština

2.7

online

https://www.enx.com/handbook/tph-jp.html

offline

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon of the flag of Brazil brazilská portugalština

2.7

online

https://www.enx.com/handbook/tph-pt.html

offline

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon of the flag of Italy italština

2.7.1

online

https://www.enx.com/handbook/tph-it.html

offline

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea korejština

2.7

online

https://www.enx.com/handbook/tph-kr.html

offline

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Icon of the flag of Czech Republic čeština

2.7.1

online

https://www.enx.com/handbook/tph-cz.html

offline

https://www.enx.com/handbook/tph-cz-offline.html

PDF

https://www.enx.com/handbook/tph-cz.pdf

Icon of the flag of Poland polština

2.7.1

online

https://www.enx.com/handbook/tph-pl.html

offline

https://www.enx.com/handbook/tph-pl-offline.html

PDF

https://www.enx.com/handbook/tph-pl.pdf

Důležité

Důležité upozornění:

Anglická verze je tou hlavní.
Všechny ostatní jazyky jsou překlady anglické verze.
V případě pochybností je směrodatná verze anglická.

1.7.1. O českém překladu

Tato příručka pro účastníky TISAX je překladem anglické verze.

Všechny dokumenty, z nichž TISAX vychází, byly připraveny v angličtině (např. všechny smlouvy a požadavky na poskytovatele auditorských služeb TISAX). Proto váš partner nebo poskytovatel auditu může používat některé pojmy specifické pro systém TISAX v angličtině.

Ve snaze umožnit vám mapování jsme v překladu příručky pro účastníky TISAX buď ponechali původní anglický termín TISAX, nebo jsme jej uvedli v závorce hned za překladem.

1.7.2. O formátu online

Každý oddíl má své unikátní ID (formát: ID1234).
Tento identifikátor odkazuje na konkrétní oddíl bez ohledu na jazyk.

Pokud chcete odkázat na konkrétní oddíl, je možné:

  • kliknout pravým tlačítkem myši na název oddílu a odkaz zkopírovat,

  • nebo kliknout na název oddílu a zkopírovat odkaz z adresního řádku prohlížeče.

Většina obrázků je ve výchozím nastavení k dispozici ve větší velikosti, než se ukazuje zde. Kliknutím na obrázek otevřete jeho větší verzi.

1.7.3. O formátu offline

Formát offline zachovává většinu funkcí formátu online. Především jsou obrázky vloženy do souboru HTML. K použití formátu offline potřebujete pouze jeden soubor.

Ve srovnání s formátem online je formát offline dodáván bez:

  • větších obrázků

  • původních písem formátu online.
    Typ písma je určen výchozím nastavením vašeho prohlížeče.

1.7.4. O formátu PDF

Pokud na svém počítači používáte formát PDF, můžete i nadále klikat na všechny odkazy. Pokud si však verzi PDF vytisknete, nebudete mít k dispozici některé položky, například čísla stránek, a odkazy si budete muset vyhledat sami.

2. Úvod

Následující oddíly představí koncepci TISAX.

Pokud spěcháte, můžete je přeskočit a začít rovnou s Část 4.3, “Příprava registrace”.

2.1. Proč právě TISAX?

Či spíše, proč jste tady?

V odpovědi na tuto otázku začneme několika úvahami o podnikání obecně a o ochraně informací zejména.

Představte si svého partnera. Disponuje důvěrnými informacemi. Chce se o ně podělit se svým dodavatelem — vámi. Spolupráce mezi vámi a vaším partnerem vytváří hodnotu. Informace, které s vámi váš partner sdílí, jsou důležitou součástí tohoto procesu vytváření hodnoty. Proto je chce náležitě chránit. A zároveň si chce být jistý, že vy s jeho informacemi nakládáte se stejnou péčí.

Kde ale může vzít jistotu, že jsou jeho informace v dobrých rukou? Nemůže vám jen tak „věřit“. Váš partner vyžaduje předložení nějakého důkazu.

Vynořují se dvě otázky. Kdo stanoví, co znamená „bezpečné“ nakládání s informacemi? A dále, jak to dokážete?

2.2. Kdo definuje význam slova "bezpečný"?

Vy a váš partner nejste sami, kdo těmto otázkám čelí poprvé. Odpovědi na ně musí hledat téměř každý a většina odpovědí bude vykazovat podobnosti.

Namísto toho, abyste pokaždé samostatně vymýšleli řešení společného problému, standardní způsob vás zbaví zátěže vytvářet vše od začátku. Definování normy sice představuje obrovské úsilí, ale vytvoří se jen jednou a ti, kdo se jí řídí, z ní pokaždé profitují.

Názory na to, jak správně chránit informace, se jistě liší. Z důvodu výše zmíněných výhod se však většina společností spokojí s normami. Norma je zhuštěná podoba všech osvědčených a časem prověřených nejvhodnějších postupů při řešení daného problému.

Ve vašem případě normy jako ISO/IEC 27001 (o systémech řízení zabezpečení informací neboli ISMS) a jejich realizace stanovují nejmodernější způsob bezpečného nakládání s důvěrnými informacemi. Takové normy vám ušetří nutnost pokaždé znovu vynalézat kolo. A co je ještě důležitější, normy poskytují společný základ v situaci, kdy si dvě společnosti potřebují vyměňovat důvěrné údaje.

2.3. Cesta automobilového průmyslu

Normy nezávislé na odvětví jsou ze své podstaty navrženy jako řešení univerzální, nikoliv řešení přizpůsobené specifickým potřebám automobilových společností.

Automobilový průmysl již před dlouhou dobou zřídil sdružení, jejichž cílem bylo — mimo jiné — zdokonalit a definovat normy, které by vyhovovaly konkrétnějším potřebám. Jedním z nich je „Verband der Automobilindustrie“ (VDA). V pracovní skupině, která se věnuje zabezpečení informací, dospělo několik členů z automobilového průmyslu k závěru, že mají podobné potřeby přizpůsobit stávající normy správě zabezpečení informací.

Jejich společné úsilí vedlo k vypracování dotazníku, který zahrnuje všeobecně přijímané požadavky automobilového průmyslu na zabezpečení informací. Nazývá se Hodnocení zabezpečení informací (ISA – Information Security Assessment).

Díky ISA máme nyní odpověď na otázku „Kdo definuje význam slova „bezpečný“?“ Skrze VDA tuto otázku zodpovídá svým členům samotný automobilový průmysl.

2.4. Jak efektivně prokázat zabezpečení?

Zatímco některé společnosti používají ISA pouze k interním účelům, jiné jej využívají k hodnocení vyspělosti správy zabezpečení informací u svých dodavatelů. V některých případech je pro obchodní vztah plně dostačující vlastní hodnocení. V jistých situacích však společnosti provádějí kompletní hodnocení správy zabezpečení informací u svých dodavatelů (včetně auditů na místě).

Spolu se všeobecně rostoucím povědomím o potřebě správy zabezpečení informací a rozšiřujícím se zaváděním ISA jako nástroje k hodnocení zabezpečení informací se stále více dodavatelů střetávalo s podobnými požadavky ze strany různých partnerů.

Tito partneři nadále uplatňovali různé normy a na jejich výklad měli různé názory. Dodavatelé ale museli v zásadě prokazovat totéž, jen různými způsoby.

A čím častěji byli dodavatelé svými partnery vyzýváni, aby prokázali úroveň správy zabezpečení informací, tím hlasitější byly jejich stížnosti ve formě opakovaného úsilí. Předvádět auditorovi za auditorem stejná opatření v oblasti správy zabezpečení informací prostě není efektivní.

Co lze udělat pro to, aby to bylo efektivnější? Nepomohlo by, kdyby zprávu každého auditora bylo možné použít opakovaně pro různé partnery?

Výrobci originálního zařízení a dodavatelé v pracovní skupině ENX, která odpovídá za udržování ISA, vyslyšeli stížnosti svých dodavatelů. Teď svým dodavatelům i všem ostatním společnostem v automobilovém průmyslu nabízejí odpověď na otázku „Jak prokázat zabezpečení?“

Odpovědí je TISAX, zkratka pro „Trusted Information Security Assessment Exchange” ({img-czflag-alt} „Výměna hodnocení zabezpečení důvěrných informací“).

3. Proces TISAX

3.1. Přehled

Proces TISAX obvykle[1] začíná tím, že jeden z vašich partnerů vás požádá, abyste prokázali, že deklarovaná úroveň správy zabezpečení informací je v souladu s požadavky „hodnocení zabezpečení informací“ (ISA). Abyste tomuto požadavku vyhověli, musíte dokončit třístupňový proces TISAX. V této části najdete přehled kroků, které musíte provést.

Třístupňový proces TISAX se skládá z následujících kroků:

Přehled procesu TISAX
Obrázek 1. Přehled procesu TISAX
img callout black 01

1. krok
Registrace

img callout black 02

2. krok
Hodnocení

img callout black 03

3. krok
Výměna

  1. Registrace
    Shromažďujeme informace o vaší společnosti a o tom, co musí být obsahem hodnocení.

  2. Hodnocení
    Procházíte hodnocením (hodnoceními), které provádí některý z našich poskytovatelů auditu TISAX.

  3. Výměna
    Výsledek hodnocení sdělíte svému partnerovi.

Každý krok se skládá z hodnocení několika dílčích kroků. Ty jsou nastíněny ve třech níže uvedených částech a podrobně popsány v příslušných oddílech níže.

Poznámka

Upozorňujeme:

Ačkoli bychom vám samozřejmě rádi sdělili, za jak dlouho získáte výsledek hodnocení TISAX, žádáme vás o pochopení, jelikož není v našich silách to spolehlivě předpovědět. Celková doba trvání procesu TISAX závisí na příliš mnoha faktorech. Vzhledem k velké různorodosti velikostí společností a cílů hodnocení spolu s danou připraveností systému správy zabezpečení informací je to nemožné.

3.2. Registrace

Vaším prvním krokem je registrace do systému TISAX.

Hlavním účelem registrace TISAX je získat informace o vaší společnosti. Abyste nám tyto informace mohli poskytnout, používáme registrační proces online.

Je to předpoklad všech následných kroků. Jako takový je zpoplatněn.

Během procesu registrace online:

  • Vás požádáme o kontaktní a fakturační údaje.

  • Jste nuceni přijmout naše smluvní podmínky.

  • Můžete vymezit rozsah hodnocení zabezpečení informací.

Přímé zahájení tohoto kroku viz Část 4, “Registrace (1. krok)”.

Proces registrace online je podrobně popsán viz Část 4.5, “Proces registrace online”. Pokud však chcete začít ihned, přejděte na Icon of the flag of the United Kingdom enx.com/en-US/TISAX/.

3.3. Hodnocení

Druhým krokem je hodnocení zabezpečení informací.

To se skládá ze čtyř dílčích kroků:

  1. Příprava hodnocení
    Hodnocení musíte připravit. Rozsah této přípravy závisí na aktuální úrovni vyspělosti vašeho systému správy zabezpečení informací. Vaše příprava musí vycházet z katalogu ISA.

  2. Výběr poskytovatele auditu
    Je třeba vybrat si některého z našich poskytovatelů auditu TISAX.

  3. Hodnocení zabezpečení informací
    Váš poskytovatel auditu provede hodnocení na základě rozsahu hodnocení, který vyhovuje požadavkům vašeho partnera. Proces hodnocení bude sestávat přinejmenším z úvodního auditu.
    Pokud vaše společnost neprojde hodnocením hned, je možné, že proces hodnocení bude vyžadovat další kroky.

  4. Výsledek hodnocení
    Jakmile vaše společnost úspěšně projde hodnocením, poskytovatel auditu vám předá oficiální zprávu o hodnocení TISAX. Za výsledek hodnocení navíc obdržíte známky TISAX[2].

Další informace o tomto kroku viz Část 5, “Hodnocení (2. krok)”.

3.4. Výměna

Vaším třetím a posledním krokem je sdílení výsledku hodnocení s partnerem. Obsah zprávy o hodnocení TISAX je strukturován do úrovní. Můžete si určit, do které úrovně bude mít váš partner přístup.

Váš výsledek hodnocení je platný po dobu tří let. Za předpokladu, že pak budete stále dodavatelem vašeho partnera, musíte znovu absolvovat třístupňový proces[3].

Další informace o tomto kroku viz Část 6, “Výměna (3. krok)”.


Teď, když máte základní představu o tom, co to proces TISAX je, jsou Vám v dalších částech k dispozici pokyny k provedení jednotlivých kroků.

4. Registrace (1. krok)

Odhadovaná doba na přečtení části registrace je 30–40 minut.

4.1. Přehled

Registrace do systému TISAX je váš první krok. Je to předpoklad všech následných kroků.

Průvodce registrací se nachází v následujících oddílech:

  1. Začínáme vysvětlením nového zásadního pojmu.

  2. Pak vám poradíme, co byste měli udělat, abyste byli připraveni na proces registrace online.

  3. Dále vás procesem registrace online provedeme.

4.2. Jste účastníkem TISAX

Nejprve si představme nový pojem, kterému je třeba porozumět. Doposud jste byli „dodavatelem“. Přicházíte, abyste splnili požadavek svého „zákazníka“. TISAX samotný však mezi těmito dvěma rolemi ve skutečnosti nerozlišuje. Pro TISAX je účastníkem každý, kdo se zaregistroval. Vy — i váš partner — se účastníte výměny výsledků hodnocení zabezpečení informací.

Zaregistrujte se a staňte se účastníkem systému TISAX
Obrázek 2. Zaregistrujte se a staňte se účastníkem systému TISAX
img callout black 01

Vaše společnost

img callout black 02

Registrace do systému TISAX

img callout black 03

Účastník TISAX

K rozlišení obou těchto rolí vás jakožto dodavatele budeme od počátku označovat jako „aktivního účastníka“. Vašeho partnera označujeme jako „pasivního účastníka“. Jako „aktivní účastník“ se necháváte hodnotit systémem TISAX a výsledek hodnocení sdílíte s ostatními účastníky. „Pasivním účastníkem“ je ten, kdo požádal o vaše hodnocení systémem TISAX. „Pasivní účastník“ obdrží výsledek vašeho hodnocení.

Pasivní účastník a aktivní účastník
Obrázek 3. Pasivní účastník a aktivní účastník
img callout black 01

1. Vyžádá si hodnocení od

img callout black 02

Pasivní účastník

img callout black 03

Aktivní účastník

img callout black 04

2. Nechá si provést hodnocení TISAX

img callout black 05

3. Sdílí výsledek s

Jakákoli společnost může plnit obě role. Výsledek hodnocení můžete sdílet se svým partnerem a současně požádat své vlastní dodavatele o provedení hodnocení TISAX.

Účastníci systému TISAX mohou být aktivní i pasivní zároveň
Obrázek 4. Účastníci systému TISAX mohou být aktivní i pasivní zároveň
img callout black 01

Váš zákazník
= pasivní

img callout black 02

Sdílíte se zákazníkem

img callout black 03

Aktivní účastník

img callout black 04

Vy

img callout black 05

Pasivní účastník

img callout black 06

Sdílí s vámi

img callout black 07

Váš vlastní dodavatel
= aktivní

Požadavek na vlastní dodavatele, aby se nechali hodnotit systémem TISAX, může být dokonce obzvláště vhodný, pokud vaši vlastní dodavatelé nakládají také s informacemi vašeho partnera vyžadujícími ochranu.

4.3. Příprava registrace

V této části vám přinášíme doporučení, jak se na registraci připravit. Vlastní proces registrace detailně popisujeme v Část 4.5, “Proces registrace online”.

Dříve, než se do procesu registrace online pustíte, důrazně doporučujeme:

  • si předem shromáždit informace

  • a učinit některá rozhodnutí.

4.3.1. Právní základ

Zpravidla musíte podepsat dvě smlouvy. První smlouva, kterou uzavřete, je mezi vámi a sdružením ENX Association: „Všeobecné podmínky a pravidla účasti v programu TISAX“ (VPP pro účastníky programu TISAX). Druhá smlouva je uzavřena mezi vámi a jedním z našich poskytovatelů auditu TISAX. Pro účely registrace se budeme zabývat pouze první smlouvou.

VPP pro účastníky programu TISAX upravují náš vzájemný vztah a váš vztah s ostatními účastníky TISAX. Stanovují práva a povinnosti nás všech. Vedle obvyklých ustanovení, která najdete ve většině smluv, podrobně definují nakládání s informacemi vyměněnými a získanými během procesu TISAX. Hlavním cílem těchto pravidel je zachovat důvěrnost výsledků hodnocení TISAX. Vzhledem k tomu, že se na všechny účastníky systému TISAX vztahují stejná pravidla, lze očekávat odpovídající ochranu výsledků hodnocení TISAX ze strany vašeho partnera (v jeho roli pasivního účastníka).

Poměrně brzy v procesu registrace online vás požádáme o přijetí VPP účastníka TISAX. Jelikož se jedná o skutečnou smlouvu, doporučujeme přečíst si VPP účastníka TISAX ještě před zahájením procesu registrace online. Jeden z důvodů je ten, že v závislosti na vaší funkci ve firmě bude možná nutné získat povolení od interního nebo externího právníka.

Můžete si stáhnout „Všeobecné podmínky a pravidla účasti v programu TISAX “[4] na našich webových stránkách na adrese:
Icon of the flag of the United Kingdom enx.com/en-US/TISAX/downloads/

Přímo ke stažení ve formátu PDF:
Icon of the flag of the United Kingdom enx.com/tisaxgtcen.pdf

Při registraci online vás požádáme o zaškrtnutí dvou povinných políček:

  • ❏ We accept the TISAX Participation General Terms and Conditions ({img-czflag-alt} Souhlasíme se všeobecnými podmínkami a pravidly účasti v TISAX)

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ({img-czflag-alt} Potvrzujeme, že víme o zbavení profesní povinnosti mlčenlivosti poskytovatelů auditu podle oddílu IX.5 a X.3 všeobecných podmínek a pravidel účasti v systému TISAX;)

Druhé zaškrtávací políčko máme proto, že někteří z našich poskytovatelů auditu TISAX jsou certifikovaní účetní. Mají zvláštní požadavky týkající se zachování profesního tajemství. Zvláštní požadavky týkající se profesního tajemství obvykle zakazují certifikovaným účetním mezi našimi poskytovateli auditu sdílet s námi informace. Tím by se zejména zrušily možnosti kontroly, které potřebujeme k vykonávání své řídicí role. Proto toto zpřístupnění potřebujeme. Před zaškrtnutím políčka je vhodné věnovat těmto doložkám zvláštní pozornost.

Jestliže běžně vyžadujete uzavření dohody o mlčenlivosti (NDA) mezi vámi a kýmkoli, kdo nakládá s důvěrnými informacemi, prostudujte si příslušné oddíly našich VPP. Měly by řešit všechny vaše připomínky. Navíc nám zpravidla nemusíte poskytovat vůbec žádné důvěrné informace.

Závěrem právní části vás žádáme o pochopení, neboť systém závisí na tom, zda všichni přijmou stejná pravidla. Nemůžeme tedy přijímat žádné další všeobecné podmínky a pravidla[5].

4.3.2. Rozsah hodnocení systémem TISAX

Ve druhém kroku procesu TISAX provede jeden z našich poskytovatelů auditu TISAX hodnocení zabezpečení informací. Musí vědět, kde začít a kde skončit. Proto je třeba definovat „rozsah hodnocení“.

„Rozsah hodnocení“ popisuje rozsah hodnocení zabezpečení informací. Zjednodušeně řečeno, do rozsahu hodnocení spadá každá část vaší společnosti, která nakládá s důvěrnými informacemi vašeho partnera. To můžete považovat za hlavní součást popisu úkolu poskytovatele auditu. Určuje, co poskytovatel auditu musí posoudit.

Rozsah hodnocení je důležitý ze dvou důvodů:

  1. Výsledek hodnocení vyhoví požadavku vašeho partnera pouze tehdy, pokud příslušný rozsah hodnocení zahrnuje všechny části vaší společnosti, které pracují s informacemi o partnerovi.

  2. Přesně definovaný rozsah hodnocení je základním předpokladem smysluplných výpočtů nákladů našimi poskytovateli auditu TISAX.

Důležité

Důležité upozornění:

ISO/IEC 27001 vs. TISAX

Předně musíme rozlišovat dva typy rozsahů:
1) rozsah vašeho systému správy zabezpečení informací (ISMS)
2) rozsah hodnocení.
Tyto dva aspekty nemusí být nutně totožné.

V případě certifikace podle normy ISO/IEC 27001 definujete rozsah svého systému ISMS (v „prohlášení o rozsahu“). Rozsah vašeho ISMS můžete definovat zcela libovolně. Rozsah hodnocení (známý také jako „rozsah auditu“) však musí být totožný s rozsahem vašeho ISMS.

V případě systému TISAX musíte definovat také svůj ISMS. Rozsah hodnocení se však může lišit.

Pro certifikaci podle normy ISO/IEC 27001 můžete rozsah hodnocení volně formovat způsobem, jakým definujete rozsah svého ISMS.

Naproti tomu u certifikace TISAX je rozsah hodnocení předem definován. Rozsah hodnocení může být menší než rozsah vašeho ISMS. Musí však odpovídat rozsahu vašeho systému ISMS.

4.3.2.1. Popis oblasti působnosti

Popis rozsahu definuje rozsah hodnocení. K popisu rozsahu je třeba zvolit jeden ze dvou typů rozsahu:

  1. Standard scope ({img-czflag-alt} Standardní rozsah)

  2. Custom scope ({img-czflag-alt} Vlastní rozsah)

    1. Custom extended scope ({img-czflag-alt} Vlastní rozšířený rozsah)

    2. Full custom scope ({img-czflag-alt} Úplný vlastní rozsah)

Standardní rozsah probereme v následující části. Standardní rozsah je správnou volbou více než 99 % všech účastníků. Proto se budeme zabývat pouze vlastními rozsahy v Část 7.8, “Příloha: Vlastní rozsahy”.

4.3.2.2. Standardní rozsah

Popis standardního rozsahu je základem hodnocení TISAX. Ostatní účastníci systému TISAX přijímají výsledky hodnocení pouze na základě standardního popisu rozsahu.

Standardní popis rozsahu je předdefinován a nelze jej měnit.

Hlavní výhodou standardního rozsahu je, že nemusíte vymýšlet vlastní definici.

Toto je standardní popis rozsahu (verze 2.0):

Icon of the flag of the United Kingdom

{img-czflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
Rozsah hodnocení TISAX definuje rozsah hodnocení. Hodnocení zahrnuje všechny procesy, postupy a zdroje spadající do okruhu odpovědnosti hodnocené organizace, které jsou relevantní k zabezpečení objektů ochrany a jejich cílů ochrany definovaných v uvedených cílech hodnocení na vyjmenovaných místech.
Hodnocení se provádí alespoň v nejvyšší úrovni hodnocení uvedené v některém z uvedených cílů hodnocení. Hodnocení podléhají všechna kritéria hodnocení jmenovaná v uvedených cílech hodnocení.

Důrazně doporučujeme zvolit standardní rozsah. Všichni účastníci TISAX přijímají výsledky hodnocení zabezpečení informací na základě standardního rozsahu.

4.3.2.3. Stanovení rozsahu

Dalším úkolem po definování typu rozsahu je rozhodnout, které lokality patří do rozsahu hodnocení.

Pokud je vaše společnost malá (jedna lokalita), je tento úkol snadný. Jednoduše přidáte svou lokalitu do rozsahu hodnocení.

Pokud je vaše společnost velká, můžete zvážit registraci více než jednoho rozsahu hodnocení.

Mít jeden rozsah, který obsahuje všechny vaše lokality, má své výhody:

  • Máte jednu zprávu o hodnocení, jeden výsledek hodnocení a jedno datum vypršení platnosti.

  • Můžete využít nižších nákladů na hodnocení, protože poskytovatel auditu TISAX musí vaše centrální procesy, postupy a zdroje posoudit pouze jednou.

Jeden rozsah však může mít také nevýhody, například:

  • všechny lokality musí mít stejné cíle hodnocení.

  • Výsledek hodnocení je dostupný až poté, co poskytovatel auditu TISAX posoudí všechny lokality. Tato skutečnost může být relevantní, pokud výsledek hodnocení neodkladně potřebujete.

  • Výsledek hodnocení závisí na tom, zda všechny lokality projdou hodnocením. Pokud by jen jedna lokalita neuspěla, nebudete mít pozitivní výsledek hodnocení. Obejít tuto situaci lze: a) odstraněním lokality z rozsahu, b) vyřešením problémů, c) přidáním další lokality pomocí hodnocení rozšíření rozsahu.

4.3.2.4. Přizpůsobení rozsahu

Na otázku, zda mít pouze jeden rozsah nebo více rozsahů, můžete odpovědět pouze vy. Odpovědi na otázky v následujícím diagramu vám však mohou pomoci při rozhodování.

Rozhodovací strom přizpůsobení rozsahu
Obrázek 5. Rozhodovací strom přizpůsobení rozsahu
img callout black 01

ZAHÁJENÍ
Všechny lokality, které budou v budoucnu potřebovat hodnocení

img callout black 02

1. krok: Potřebujete hodnocení více než jedné lokality?

img callout black 03

2. krok: Máte dostatek času na přípravu hodnocení ve všech lokalitách?

img callout black 04

3. krok: Sdílejí všechny lokality centrální systém ISMS (tj. povinnosti, infrastrukturu, zásady a procesy)?

img callout black 05

4. krok: Mají všechny lokality stejný cíl hodnocení (tj. ochrana prototypových vozidel nebo informací s velmi vysokou potřebou ochrany)?

img callout black 06

Ukončení: Registrace rozsahu hodnocení
Váš registrovaný rozsah hodnocení by měl obsahovat zbývající lokality.

img callout black 07

Jednotlivé lokality od sebe oddělte.
S každou sadou lokalit začněte znovu.

img callout black 08

ne

img callout black 09

ano

Poznámka

Upozorňujeme:

Nenechte se tímto rozhodnutím zastrašit. Můžete změnit jakýkoli rozsah, pokud poskytovatel auditu hodnocení neuzavřel.

Během přípravy hodnocení můžete například zjistit, že vám rozsah nevyhovuje, — a odpovídajícím způsobem jej změnit. Případně vám může poskytovatel auditu navrhnout změnu rozsahu v dřívějších fázích hodnocení.

Doplňující poznámky:

  • Technicky se rozsah hodnocení, který jste definovali během registrace online na portálu ENX, nedá změnit. Poskytovatel auditu však může rozsah vašeho hodnocení aktualizovat, pokud nahraje výsledek vašeho hodnocení na portál ENX.

  • Přidáním rozsahu se zvýší poplatek a při odebrání lokalit z rozsahu vám nebude vrácen. Jelikož poskytovatelé auditu používají při výpočtu nákladů původní rozsah jako základ, měli byste počítat i se změnami.

4.3.2.5. Lokality rozsahu

Poté, co jste se rozhodli, které lokality jsou součástí rozsahu hodnocení, můžete pokračovat ve shromažďování určitých informací o lokalitách.

U každé lokality požadujeme takové informace, jako je název a adresa společnosti. Požadujeme také některé další informace, které našim poskytovatelům auditu TISAX umožní získat lepší představu o struktuře vaší společnosti. Vaše odpovědi budou základem jejich odhadu vynaloženého úsilí.

Připravte se na to, že pro každou z vašich provozoven poskytnete následující údaje (červená hvězdička * označuje povinné informace v procesu online):

Tabulka 1. Údaje specifické pro danou lokalitu
Oblast Možnosti

Název lokality *

nehodí se

ČÍSLO D&B D-U-N-S

nehodí se

Typ lokality *

Budova/budovy ve vlastnictví a výhradním užívání společnosti
Budova/budovy pronajatá/pronajaté společností
Patro/kancelář pronajaté společností ve sdílené budově
Kancelář sdílená s jinými společnostmi
Vlastní datové centrum
Sdílené datové centrum

Pasivní ochrana lokality *

ano
ne

Odvětví
(Několik možných voleb)

Informační technologie

  • ❏ Služby IT

  • ❏ Telekomunikační služby

  • ❏ Vývoj softwaru

Management

  • ❏ Poradenství

Média

  • ❏ Marketing

  • ❏ Agentura

  • ❏ Tiskové služby

  • ❏ Fotografování

  • ❏ Překladatelské služby

Výzkum a vývoj

  • ❏ Testování vozidel

  • ❏ Simulace vozidel

  • ❏ Konstrukce prototypů

  • ❏ Miniaturní modely automobilů

  • ❏ Vývojové služby

  • ❏ Vývojové služby CAx

Výroba

  • ❏ Výrobní služby

  • ❏ Smluvní výroba

  • ❏ Výrobní hala

  • ❏ Logistika

Prodej a poprodejní služby

  • ❏ Dovoz, NSC

  • ❏ Prodejní místa

  • ❏ Finanční služby

  • ❏ Pojištění

  • ❏ Vyřizování pojistných událostí

Ostatní odvětví
(vyplňte zde)

Zaměstnanci v lokalitě: celkem *

0
1–10
11–100
101–1 000
1 001–5 000
Více než 5 000

Zaměstnanci v lokalitě: IT *

0
1–10
11–25
26–50
Více než 50

Zaměstnanci v lokalitě: zabezpečení IT *

0
Částečný úvazek
1–5
6–25
více než 25

Zaměstnanci v lokalitě: zabezpečení lokality *

0
Částečný úvazek
1–3
4–10
Více než 10

Certifikace dané lokality

ISO 27001
Jiné (vyplňte zde)
ISAE 3402
SOC2

Poznámka

Upozorňujeme:

Pokud jde o „odvětví“, vybírejte podle svých nejlepších vědomostí. Při výběru z výše uvedených možností neexistuje správná nebo špatná volba. Pokud nemůžete najít možnost, která by odpovídala vašemu typu podnikání, stačí zadat příslušnou možnost v položce „Jiné“.

Pro každou lokalitu musíte zadat „location name” ({img-czflag-alt} „název lokality“). Účelem názvu lokality je usnadnit odkaz na lokalitu, až ji budete přiřazovat k rozsahu hodnocení.

Doporučujeme přiřadit názvy lokalit podle následujícího vzoru:

Vzor:

[Zeměpisný odkaz]

Příklad:

pro fiktivní společnost „ACME“

  • Frankfurt
    (pro lokalitu v německém městě Frankfurt)

4.3.2.6. Název rozsahu

Pro každý rozsah musíte zadat „scope name” ({img-czflag-alt} „název rozsahu“). Hlavním účelem názvu rozsahu je usnadnit vám identifikaci oboru v přehledovém seznamu rozsahů na portálu ENX. Měli byste přiřadit název, který bude užitečný pro čtenáře a vaše kolegy. K externí komunikaci byste měli používat ID rozsahu.

Můžete zadat libovolný název. Stejný název rozsahu byste však měli přiřadit pouze jednomu rozsahu.

Když budete chtít později hodnocení TISAX obnovit, musíte vytvořit nový rozsah (pokud možno totožný s aktuálním rozsahem). Doporučujeme proto do názvu rozsahu přidat rok hodnocení.

Doporučujeme přiřazovat názvy rozsahů podle následujícího vzoru:

Vzor:

[Zeměpisný nebo funkční odkaz] [Rok hodnocení]

Příklady:

pro fiktivní společnost „ACME“

  • 2024
    (bez zeměpisného odkazu, pokud má vaše společnost jen jednu lokalitu)

  • Frankfurt 2024
    (pro rozsah působnosti s několika lokalitami v německém městě Frankfurt)

  • Dolní Sasko 2024
    (pro rozsah se všemi lokalitami v německé spolkové zemi Dolní Sasko)

  • Německo 2024
    (pro rozsah se všemi lokalitami v zemi Německo)

  • EMEA 2024
    (pro rozsah se všemi lokalitami v regionu EMEA (Evropa, Blízký východ, Afrika))

  • Vývoj prototypu 2024
    (funkční reference pro rozsah se všemi lokalitami zapojenými do vývoje prototypů)

4.3.2.7. Kontakty

Abychom s vámi mohli komunikovat, shromažďujeme informace o kontaktech ve vaší společnosti.

Žádáme o alespoň jeden přímý kontakt na vaši společnost jako účastníka TISAX obecně a jeden kontakt pro každý rozsah hodnocení. Máte možnost poskytnout další kontakty.

Během příprav na registraci byste se měli rozhodnout, kdo ve vaší společnosti bude kontaktní osobou.

Žádáme vás o následující kontaktní údaje:

Tabulka 2. Kontaktní údaje
Kontaktní údaj Povinné? Příklad

1.

Oslovení

ano

Paní/pane

2.

Akademický titul

Dr., PhDr., jiné

3.

Jméno

ano

John

4.

Příjmení

ano

Doe

5.

Pracovní pozice

ano

Vedoucí oddělení IT

6.

Oddělení

ano

Informační technologie

7.

Hlavní telefonní číslo

ano

+49 69 986692777

8.

Sekundární telefonní číslo

9.

E-mailová adresa

ano

john.doe@acme.com

10.

Preferovaný jazyk

ano

Angličtina (výchozí)

11.

Další jazyky

Němčina, francouzština

12.

Identifikátor osobní adresy

HPC 1234

13.

Adresa ulice

ano

Bockenheimer Landstraße 97-99

14.

PSČ

ano

60325

15.

Město

ano

Frankfurt

16.

Stát/provincie

17.

Země

ano

Německo

Důležité

Důležité upozornění:
 
Ke každému kontaktu doporučujeme přiřadit alespoň jednoho náhradníka. Pokud je kontakt dočasně nedostupný nebo společnost opustí, může údaje účastníků vaší společnosti spravovat někdo jiný.
Jestliže potřebujete přiřadit nový kontakt (bez dalších zbývajících aktuálních kontaktů), musíte projít složitým procesem. Díky našemu postupu je zajištěno, že přiřazení nového hlavního kontaktu mohou schválit pouze osoby, které se prokážou jako osoby oprávněné k právnímu zastupování společnosti.

4.3.2.8. Zveřejňování a sdílení

Hlavním účelem systému TISAX je zpřístupnit výsledek vašeho hodnocení ostatním účastníkům systému TISAX a sdílet výsledek vašeho hodnocení s vaším partnerem (partnery).

O zveřejnění a sdílení vašeho výsledku hodnocení můžete rozhodnout buď během procesu registrace, nebo kdykoli později.

Pokud procházíte procesem TISAX jako předběžným krokem, můžete se již nyní rozhodnout pro zveřejnění výsledku vašeho hodnocení komunitě účastníků TISAX. Jinak se v této fázi není na co připravovat.

Pokud vás váš partner požádal, abyste podstoupili proces TISAX, musíte mu dříve či později sdělit výsledek hodnocení. Informace o stavu můžete s partnerem sdílet již během registrace. Jakmile bude váš výsledek hodnocení k dispozici, váš partner bude mít automaticky oprávnění k přístupu k němu.[6].

Ke sdílení informací o stavu jsou potřeba dvě věci:

  1. ID účastníka systému TISAX vašeho partnera.

    ID účastníka systému TISAX identifikuje vašeho partnera jako účastníka systému TISAX.

    Obvykle by vám měl váš partner poskytnout svůj identifikátor účastníka TISAX.

    Pro vaše pohodlí poskytuje náš registrační formulář rozbalovací seznam identifikátorů účastníka pro některé společnosti, které často dostávají sdílené výsledky hodnocení.[7]

  2. Požadovaná úroveň sdílení

    Úroveň sdílení určuje, do jaké míry má váš partner přístup k výsledkům hodnocení.

    Buď váš partner požádá o konkrétní úroveň sdílení, nebo vy sami rozhodnete, do jaké úrovně chcete partnerovi přístup k výsledku hodnocení umožnit.

    Další informace o úrovních sdílení viz Část 6.5, “Úrovně sdílení”.

Možná si tedy budete chtít tyto informace zkontrolovat.

Poznámka

Upozorňujeme:

  • se vždy můžete rozhodnout, že svůj výsledek hodnocení zveřejníte později.

  • Oprávnění ke sdílení můžete pro partnera vždy vytvořit později.

Důležité

Důležité upozornění:

Pokud svůj výsledek hodnocení nezveřejníte nebo jej nebudete sdílet, nikdo váš výsledek hodnocení neuvidí.

Důležité

Důležité upozornění:

Zveřejnění ani sdílení nelze odvolat.

Poznámka

Upozorňujeme:

Může to znít zvláštně, ale ve skutečnosti můžete sdílet svůj „výsledek hodnocení“, přestože jste ještě nezahájili proces hodnocení. V této rané fázi pouze sdílíte „stav hodnocení“. Účastník, se kterým sdílíte svůj „výsledek hodnocení“, uvidí, v jaké fázi procesu hodnocení se nacházíte.

Někteří účastníci systému TISAX musí vystavit zvláštní uvolnění, pokud se musí prokazovat známkami TISAX, ale ještě proces hodnocení nedokončili. V takovém případě váš partner může požadovat zobrazení vašeho „stavu hodnocení“ na svém účtu pro portál ENX.

Další informace o stavu hodnocení viz Část 7.6, “Příloha: Assessment status ({img-czflag-alt} Stav hodnocení)”.

Další informace o zveřejňování a sdílení výsledku hodnocení viz Část 6, “Výměna (3. krok)”.

4.3.3. Cíle hodnocení

V rámci procesu registrace musíte definovat svůj cíl (cíle) hodnocení. Cíl hodnocení (Icon of the flag of the United Kingdom assessment objective) stanoví platné požadavky, které musí váš systém správy zabezpečení informací (ISMS) splňovat. Cíl hodnocení je zcela založen na typu údajů, se kterými jménem svého partnera nakládáte.

V následujících částech popisujeme cíle hodnocení a poskytujeme rady, jak vybrat správný cíl (cíle) hodnocení.

Používání cílů hodnocení usnadňuje komunikaci v rámci systému TISAX s vaším partnerem a našimi poskytovateli auditu TISAX, protože se vztahují k definovanému vstupu do procesu hodnocení TISAX.

Poznámka

Upozorňujeme:

Někteří partneři mohou požadovat, abyste si nechali provést hodnocení TISAX s určitou „úrovní hodnocení“ (AL) namísto zadání cíle hodnocení.

Další informace o úrovních hodnocení jsou uvedeny v Část 4.3.3.5, “Potřeba ochrany a úrovně hodnocení” (pododdíle „Další informace“).

4.3.3.1. Seznam cílů hodnocení

V současnosti je stanoveno dvanáct cílů hodnocení TISAX. Je třeba si vybrat alespoň jeden cíl hodnocení. Můžete si jich vybrat více.

Svůj cíl hodnocení považujte za měřítko pro svůj systém správy zabezpečení informací. Cíl hodnocení je klíčovým vstupem do procesu TISAX. Všichni poskytovatelé auditů TISAX vycházejí ve své strategii hodnocení především z cíle hodnocení.

Současné cíle hodnocení TISAX jsou následující:

Tabulka 3. Aktuální cíle hodnocení TISAX
č. Název Popis

1.

 Info high