Příručka pro účastníky systému TISAX

Popis rozsahu definuje rozsah hodnocení. K popisu rozsahu je třeba zvolit jeden ze dvou typů rozsahu:

Standardní rozsah probereme v následující části. Standardní rozsah je správnou volbou více než 99 % všech účastníků. Proto se budeme zabývat pouze vlastními rozsahy v Část 7.8, “Příloha: Vlastní rozsahy”.

Popis standardního rozsahu je základem hodnocení TISAX. Ostatní účastníci systému TISAX přijímají výsledky hodnocení pouze na základě standardního popisu rozsahu.

Standardní popis rozsahu je předdefinován a nelze jej měnit.

Hlavní výhodou standardního rozsahu je, že nemusíte vymýšlet vlastní definici.

Toto je standardní popis rozsahu (verze 2.0):

Důrazně doporučujeme zvolit standardní rozsah. Všichni účastníci TISAX přijímají výsledky hodnocení zabezpečení informací na základě standardního rozsahu.

Dalším úkolem po definování typu rozsahu je rozhodnout, které lokality patří do rozsahu hodnocení.

Pokud je vaše společnost malá (jedna lokalita), je tento úkol snadný. Jednoduše přidáte svou lokalitu do rozsahu hodnocení.

Pokud je vaše společnost velká, můžete zvážit registraci více než jednoho rozsahu hodnocení.

Mít jeden rozsah, který obsahuje všechny vaše lokality, má své výhody:

Jeden rozsah však může mít také nevýhody, například:

Na otázku, zda mít pouze jeden rozsah nebo více rozsahů, můžete odpovědět pouze vy. Odpovědi na otázky v následujícím diagramu vám však mohou pomoci při rozhodování.

Poté, co jste se rozhodli, které lokality jsou součástí rozsahu hodnocení, můžete pokračovat ve shromažďování určitých informací o lokalitách.

U každé lokality požadujeme takové informace, jako je název a adresa společnosti. Požadujeme také některé další informace, které našim poskytovatelům auditu TISAX umožní získat lepší představu o struktuře vaší společnosti. Vaše odpovědi budou základem jejich odhadu vynaloženého úsilí.

Připravte se na to, že pro každou z vašich provozoven poskytnete následující údaje (červená hvězdička * označuje povinné informace v procesu online):

Pro každou lokalitu musíte zadat „location name” ( „název lokality“). Účelem názvu lokality je usnadnit odkaz na lokalitu, až ji budete přiřazovat k rozsahu hodnocení.

Doporučujeme přiřadit názvy lokalit podle následujícího vzoru:

Pro každý rozsah musíte zadat „scope name” ( „název rozsahu“). Hlavním účelem názvu rozsahu je usnadnit vám identifikaci oboru v přehledovém seznamu rozsahů na portálu ENX. Měli byste přiřadit název, který bude užitečný pro čtenáře a vaše kolegy. K externí komunikaci byste měli používat ID rozsahu.

Můžete zadat libovolný název. Stejný název rozsahu byste však měli přiřadit pouze jednomu rozsahu.

Když budete chtít později hodnocení TISAX obnovit, musíte vytvořit nový rozsah (pokud možno totožný s aktuálním rozsahem). Doporučujeme proto do názvu rozsahu přidat rok hodnocení.

Doporučujeme přiřazovat názvy rozsahů podle následujícího vzoru:

Abychom s vámi mohli komunikovat, shromažďujeme informace o kontaktech ve vaší společnosti.

Žádáme o alespoň jeden přímý kontakt na vaši společnost jako účastníka TISAX obecně a jeden kontakt pro každý rozsah hodnocení. Máte možnost poskytnout další kontakty.

Během příprav na registraci byste se měli rozhodnout, kdo ve vaší společnosti bude kontaktní osobou.

Žádáme vás o následující kontaktní údaje:

Hlavním účelem systému TISAX je zpřístupnit výsledek vašeho hodnocení ostatním účastníkům systému TISAX a sdílet výsledek vašeho hodnocení s vaším partnerem (partnery).

O zveřejnění a sdílení vašeho výsledku hodnocení můžete rozhodnout buď během procesu registrace, nebo kdykoli později.

Pokud procházíte procesem TISAX jako předběžným krokem, můžete se již nyní rozhodnout pro zveřejnění výsledku vašeho hodnocení komunitě účastníků TISAX. Jinak se v této fázi není na co připravovat.

Pokud vás váš partner požádal, abyste podstoupili proces TISAX, musíte mu dříve či později sdělit výsledek hodnocení. Informace o stavu můžete s partnerem sdílet již během registrace. Jakmile bude váš výsledek hodnocení k dispozici, váš partner bude mít automaticky oprávnění k přístupu k němu.^[6].

Ke sdílení informací o stavu jsou potřeba dvě věci:

Možná si tedy budete chtít tyto informace zkontrolovat.

Další informace o zveřejňování a sdílení výsledku hodnocení viz Část 6, “Výměna (3. krok)”.

V současnosti je stanoveno dvanáct cílů hodnocení TISAX. Je třeba si vybrat alespoň jeden cíl hodnocení. Můžete si jich vybrat více.

Svůj cíl hodnocení považujte za měřítko pro svůj systém správy zabezpečení informací. Cíl hodnocení je klíčovým vstupem do procesu TISAX. Všichni poskytovatelé auditů TISAX vycházejí ve své strategii hodnocení především z cíle hodnocení.

Současné cíle hodnocení TISAX jsou následující:

Příklad: Pokud provádíte zkušební jízdy na veřejných komunikacích, pak je jedním z cílů hodnocení cíl „Test vehicles“.

ISA obsahuje tři katalogy kritérií (zabezpečení informací, ochrana prototypů, ochrana údajů). Každý katalog kritérií se skládá z tzv. kontrolních otázek a souvisejících požadavků.

Každý cíl hodnocení definuje:

Pro některé cíle hodnocení je použitelná pouze podmnožina kontrolních otázek a požadavků.

Další základní informace o cílech hodnocení TISAX a použitelných kontrolních otázkách a požadavcích viz Část 5.2.2, “Porozumění dokumentu ISA”.

Váš partner se může zmínit o „známkách TISAX“. „Cíle hodnocení“ a „známky TISAX“ je téměř totéž. Rozdíl spočívá v tom, že do procesu hodnocení vstupujete s „cíli hodnocení“, a pokud hodnocením úspěšně projdete, obdržíte odpovídající „známky TISAX“.

Příklad: Váš partner požaduje, abyste získali známku TISAX „Info high“. Pak si jako cíl hodnocení vyberete „Info high“.

Na obrázku níže je znázorněn vstup a výstup procesu TISAX:

Další informace o známkách TISAX viz Část 5.4.14, “Známky TISAX”.

V optimálním případě vám partner přesně sdělí, kterých cílů hodnocení byste měli dosáhnout.

Cíl hodnocení si musíte vybrat na základě vlastního úsudku, pokud:

Pokud musíte cíl hodnocení vybrat na základě vlastního úsudku, může pro vás být užitečné zvážit následující aspekty:

Doplňující vysvětlení:

Váš partner disponuje různými druhy informací, z nichž některé si mohou zasloužit vyšší úroveň ochrany než jiné. Systém ISA tomu vychází vstříc tím, že rozlišuje tři „potřeby ochrany“ ( „protection needs”): normální, vysokou a velmi vysokou. Váš partner své informace klasifikuje a obvykle jim přiřazuje příslušnou potřebu ochrany.

Čím vyšší tato potřeba ochrany je, tím větší má váš partner zájem na tom, aby se ujistil o bezpečnosti požadavku na vámi zajištěnou ochranu jeho informací. Proto systém TISAX rozlišuje tři „úrovně hodnocení“ (AL). Úroveň hodnocení určuje, jakou metodu hodnocení musí poskytovatel auditu použít. Vyšší úroveň hodnocení zvyšuje úsilí, které je do hodnocení vloženo. Výsledkem je větší pečlivost a přesnost hodnocení.

Následující tabulka uvádí úrovně hodnocení, které se vztahují k cílům hodnocení TISAX:

Úroveň hodnocení 1 (AL 1):

Posouzení úrovně hodnocení 1 slouží především k interním účelům v pravém slova smyslu sebehodnocení ( self-assessment).

U hodnocení na úrovni hodnocení 1 auditor kontroluje existenci dokončeného sebehodnocení. Obsah sebehodnocení neposuzuje. Nevyžaduje další důkazy.

Výsledky hodnocení na úrovni hodnocení 1 mají nízkou úroveň důvěryhodnosti, a proto se v systému TISAX nepoužívají. Je však samozřejmě možné, že si partner takové sebehodnocení vyžádá mimo systém TISAX.

Úroveň hodnocení 2 (AL 2):

U hodnocení na úrovni 2 provádí poskytovatel auditu kontrolu věrohodnosti vašeho sebehodnocení (pro všechny lokality v rozsahu hodnocení). Podporuje to kontrolou důkazů^[8] také vedení pohovoru s osobou odpovědnou za zabezpečení informací.

Poskytovatel auditu provádí rozhovor zpravidla prostřednictvím webové konference. Na vaši žádost může rozhovor provést osobně.

Pokud máte důkazy, které nechcete posílat poskytovateli auditu, můžete požádat o kontrolu na místě. Tímto způsobem může poskytovatel auditu i nadále prověřovat důkazy určené „jen pro vaše oči“.

Úroveň hodnocení 3 (AL 3):

Při hodnocení na úrovni hodnocení 3 provede poskytovatel auditu komplexní ověření souladu vaší firmy s platnými požadavky. Při přípravě hodnocení vychází auditor z vašeho sebehodnocení a předložené dokumentace. Na rozdíl od úrovně hodnocení 2 však auditor ověří vše. Provede tyto úkony:

Úrovně a metody hodnocení

Následující tabulka poskytuje zjednodušený přehled metod auditu souvisejících s jednotlivými úrovněmi hodnocení:

Další informace:

TISAX neukládá povinnost podrobit všechny vaše dodavatele stejným požadavkům. Pokud je vaším cílem hodnocení „ zabezpečení informací s velmi vysokými nároky na ochranu“, neznamená to automaticky, že stejného cíle hodnocení musí dosáhnout i vaši dodavatelé. Dokonce to vůbec neznamená, že musí mít známku TISAX.

Přesto však musíte u všech svých dodavatelů ověřit, zda využívání jejich služeb nezvyšuje stávající rizika nebo nepřináší rizika nová.

Dva velmi zjednodušené příklady:

Z hodnocení rizik však může vyplynout, že váš dodavatel musí splňovat také požadavky na velmi vysokou potřebu ochrany. V tomto případě jsou známky TISAX možností, jak vám to odpovídajícím způsobem prokázat.

ID účastníka:

Identifikátor rozsahu:

V současné době má ISA tři „katalogy kritérií“^[13]:

Každý katalog kritérií má svůj vlastní list v aplikaci Excel:

Který katalog kritérií je pro vás relevantní? To závisí na vašem cíli (cílech) hodnocení.

Každý cíl hodnocení definuje, které požadavky z kterého katalogu kritérií se použijí. U některých cílů hodnocení platí požadavky pouze z jednoho katalogu kritérií, u jiných platí požadavky z více než jednoho katalogu kritérií.

Výše uvedené cíle hodnocení jsou přiřazeny k těmto katalogům kritérií:

Příklad: Pokud jste si jako cíl hodnocení zvolili „Ochrana údajů“, budete muset odpovědět na otázky v katalozích kritérií „ Zabezpečení informací“ a „Ochrana údajů“.

Možná jste si všimli, že pro každý katalog kritérií existuje více než jeden cíl hodnocení. Jak poznáte, které požadavky se vztahují ke kterému cíli hodnocení?

Následující tabulka vám ukáže, které požadavky jsou uplatnitelné:

Následující snímek obrazovky ukazuje hlavní prvky kontrolních otázek v katalogu kritérií „Zabezpečení informací“. (Ostatní katalogy kritérií obsahují pouze podmnožinu těchto prvků.) Vysvětlení všech prvků najdete v dalším textu.

Každý katalog kritérií seskupuje otázky do kapitol.

Příklad: „2 lidské zdroje“

Rozdělení do skupin vychází z obvyklých úkolů dané organizace. Tato oddělení jsou uvedena ve sloupci „Obvyklá osoba odpovědná za realizaci procesu“ („HR“ ve výše uvedeném příkladu).

Otázky pro jednotlivé katalogy kritérií najdete v příslušných listech aplikace Excel.

Příklad: 4.1.2 „Do jaké míry je zabezpečen přístup uživatelů k síťovým službám, systémům a aplikacím IT?“

Kontrolní otázky se také označují jako „kontroly“. Jedná se o „řeč auditorů“. Normy ISO, z nichž ISA vychází, používají termín „kontrola“.

Mezi sloupci „Maturity level” ( „Úroveň vyspělosti“) a „Control question” ( „Kontrolní otázka“) jsou ve formuláři pole, která je při provádění sebehodnocení třeba vyplnit:

Povinný je pouze stručný popis vaší realizace a odkaz na dokumentaci. Tyto informace pomohou našim poskytovatelům auditu TISAX lépe porozumět vaší společnosti a připravit hodnocení.

K dispozici je více nepovinných sloupců, které podpoří vaše sebehodnocení:

Vpravo od sloupce „Kontrolní otázka“ se nachází sloupec „Cíl“ (sloupec J). Jeho obsah uvádí, čeho musíte dosáhnout, pokud jde o tento aspekt správy zabezpečení informací.

Příklad (pro kontrolní otázku 4.1.2): „Přístup do informačních systémů mají mít pouze bezpečně identifikovaní (autorizovaní) uživatelé. Totožnost uživatele se k tomuto účelu bezpečně zjišťuje vhodnými postupy.“

Požadavky jsou to, co se očekává, že splníte, abyste dosáhli cíle.

Požadavky jsou rozděleny do čtyř sloupců:

Musíte splnit všechny požadavky až do výše potřeby ochrany, které potřebujete dosáhnout (kterou můžete odvodit z cíle hodnocení).

Pro některé cíle hodnocení je relevantní pouze podmnožina požadavků. Další informace o uplatnitelnosti požadavků najdete Tabulka 8, “Uplatnitelnost požadavků na cíle hodnocení” v Část 5.2.2.1, “Katalogy kritérií” a zejména o note na konci této části.

Další informace o definicích úrovní požadavků ISA „musí“ a „měl by“ najdete v části „Klíčové pojmy“ v listu „Definice“ v souboru aplikace Excel.

ISA používá koncept „maturity levels” ( „úrovní vyspělosti“) k hodnocení kvality všech aspektů vašeho systému správy zabezpečení informací. Čím propracovanější je váš systém správy zabezpečení informací, tím vyšší je úroveň vyspělosti.

ISA rozlišuje šest úrovní vyspělosti. Podrobnou definici naleznete v listu „Maturity levels” ( „Úrovně vyspělosti“) v souboru aplikace Excel. Pro ucelený pohled na úrovně vyspělosti uvádíme neformální popisy, jak je uvádí ISA:

Úroveň vyspělosti vašeho systému správy zabezpečení informací musíte ohodnotit podle jednotlivých otázek. Zadejte svou úroveň vyspělosti do sloupce „Maturity level” ( „Úroveň vyspělosti“) (sloupec E).

Další informace o cílových úrovních vyspělosti a jejich vlivu na výsledek vašeho hodnocení viz Část 5.2.4, “Interpretace výsledku sebehodnocení”.

S tímto lepším porozuměním jste nyní připraveni zahájit sebehodnocení.

Vaše výsledné skóre je shrnutím výsledku sebehodnocení.

Výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“) najdete v listu „Výsledky (ISA5)“, (buňka D6) v souboru aplikace Excel. Pojem „omezení“ si zakrátko vysvětlíme.

Pro pochopení a následnou interpretaci výsledku vašeho sebehodnocení a výsledného skóre je třeba rozlišovat dvě úrovně analýzy:

Na níže uvedeném obrázku jsou znázorněny úrovně analýzy:

Obrázek uvedený níže ukazuje, kde najdete výsledky na úrovni skóre a výsledky na úrovni otázek:

Další obrázek ukazuje zjednodušený pohled na úrovně analýzy, cílové definice ISA a  vaše vlastní výsledky:

Následující části podrobně vysvětlují výsledky a jejich analýzu.

ISA definuje „cílovou úroveň vyspělosti“ 3 pro každou otázku.

Další informace o definici jednotlivých úrovní vyspělosti viz Část 5.2.2, “Porozumění dokumentu ISA”.

ISA definuje cílové úrovně vyspělosti v listu „Výsledky (ISA5)“ (počínaje sloupcem G, řádek 22; údaje viz obrázek níže) v souboru aplikace Excel.

Abyste mohli získat známky TISAX, musíte mít zpravidla pro každou otázku úroveň vyspělosti, která se rovná cílové úrovni vyspělosti nebo je vyšší.

Příklad: Pokud je cílová úroveň vyspělosti pro otázku X „3“, vaše úroveň vyspělosti pro tuto otázku by měla být „3“ nebo vyšší. Pokud je vaše úroveň vyspělosti pro danou otázku nižší než „3“, nemusíte známky TISAX obdržet.

To platí pro všechny otázky. Pokud je cílová úroveň vyspělosti pro dvě otázky „3“, nelze úroveň vyspělosti „2“ pro jednu otázku kompenzovat úrovní vyspělosti „4“ pro druhou otázku.

Dokument ISA automaticky přenese vaše úrovně vyspělosti z listu aplikace Excel „Zabezpečení informací“ (sloupec E) do listu aplikace Excel „Výsledky (ISA5)“ (počínaje sloupcem H, řádek 23):

Vaše úroveň vyspělosti je před shrnutím do výsledného skóre v dokumentu ISA předmětem výpočtu. Vaše úroveň vyspělosti se v podstatě „sníží“ na cílovou úroveň vyspělosti. To se provádí proto, aby otázky, u nichž je vaše úroveň vyspělosti vyšší než cílová úroveň vyspělosti, nenahrazovaly otázky, u nichž je vaše úroveň vyspělosti nižší než cílová úroveň vyspělosti.

ISA vypočítá váš výsledek na úrovni otázky takto:

Příklad (viz obrázek níže): cílová úroveň vyspělosti je „3“. Vaše úroveň vyspělosti je „4“. Váš „výsledek omezení“ u této otázky bude „3“.

Obrázek níže ukazuje, že pokud je vaše úroveň vyspělosti vyšší než cílová úroveň vyspělosti, ISA ji sníží (zelené, oranžové a červené barvy odpovídají barvám použitým ve sloupci „Výsledek“, viz Obrázek 19, “Vaše úrovně vyspělosti v listu aplikace Excel „Výsledky (ISA5)“”).

Níže je uveden další způsob zobrazení úrovní vyspělosti na úrovni otázek. Barvy kruhů ilustrují cílovou úroveň vyspělosti nebo „vzdálenost“ k ní (příklad: kruh je oranžový, pokud je úroveň vyspělosti „-1“ pod cílovou úrovní vyspělosti). Zaškrtnutí znázorňují vaši úroveň vyspělosti.

ISA definuje celkovou „ideální“ úroveň vyspělosti jako — „maximální výsledné skóre“ (nebo „maximální skóre“, buňka G6).

Teoreticky je tato celková úroveň vyspělosti průměrem všech cílových úrovní vyspělosti (na úrovni otázky). To by znamenalo maximální výsledné skóre „3,0“.

Je to však „3,0“ pouze tehdy, pokud se na vaši situaci vztahují všechny otázky. Jakmile se některá otázka na vaši situaci nevztahuje, průměr se změní a maximální výsledné skóre je nižší než „3,0“.

Na základě zobrazení uvedeného výše (Obrázek 22, “Úrovně vyspělosti na úrovni otázek”) dále uvidíte, co je zařazeno do průměru pro maximální výsledné skóre:

Vaše celkové výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“, buňka D6):

A opět na zobrazení uvedeném výše (Obrázek 22, “Úrovně vyspělosti na úrovni otázek”) uvidíte dále, co je zařazeno do průměru pro výsledné skóre:

Výsledné skóre vám sdělí, zda:

Pokud je vaše výsledné skóre („Výsledek s omezením na cílovou úroveň vyspělosti“) nižší než „3,0“, pak minimálně u jedné otázky vaše úroveň zralosti neodpovídá cílové úrovni vyspělosti. V tomto případě musíte nejspíš zlepšit svůj systém správy zabezpečení informací, než budete připraveni na hodnocení TISAX.

Účelem výše uvedené analýzy je zjistit, zda jste na hodnocení TISAX připraveni.

Na hodnocení TISAX jste určitě připraveni, pokud je vaše výsledné skóre („Výsledek s omezením na cílové úrovně vyspělosti“) (blízké hodnotě) „3,0“. V tomto případě jsou všechny hodnoty ve sloupci „Výsledky“ (H) zelené (žádná oranžová ani červená).

Nejsou-li zelené, je třeba zabývat se výsledkem sebehodnocení (viz Část 5.2.5, “Zabývejte se výsledkem sebehodnocení”).

Na obrázku níže je zobrazen pavoučí diagram ISA na listu aplikace Excel „Výsledky (ISA5)“. Zelená čára znázorňuje cílovou úroveň vyspělosti v jednotlivých kapitolách. Pokud je vaše úroveň vyspělosti na této čáře nebo nad ní, jste na hodnocení TISAX připraveni. Pokud se nachází pod touto čarou, je možné, že to na získání známek TISAX nestačí.

Když pavučinu ISA „rozbalíte“ na úroveň otázek, získáte podobný zelený/červený pohled na úroveň otázek:

Jako všechna hodnocení TISAX, také úvodní hodnocení otevírá formální úvodní schůzka. Formální zahajovací schůzka obvykle probíhá formou konferenčního hovoru nebo webové konference. U malých společností, které mají případně nějaké zkušenosti z jiných auditů, to netrvá dlouho.

Účelem této schůzky je:

Poskytovatel auditu provede úvodní hodnocení podle připraveného plánu. To, jak bude podrobně vypadat, závisí na cílech hodnocení. Hodnocení se většinou skládá z konferenčních hovorů, rozhovorů na místě a kontrol na místě s různou mírou hloubky^[23].

Poskytovatel auditu prezentuje všechna svá zjištění během úvodního hodnocení.

Na závěrečné schůzce váš poskytovatel auditu opět shrne všechny své nálezy.

Po závěrečné schůzce poskytovatel auditu vypracuje a zašle vám pracovní verzi „zprávy o hodnocení TISAX“. Pokud si myslíte, že poskytovatel auditu něčemu nesprávně porozuměl, můžete vznést námitku.^[24] Poskytovatel auditu následně vydá „zprávu o hodnocení TISAX“.

V této fázi bude celkový výsledek aktuálního hodnocení buď:

Pokud je celkový výsledek vašeho hodnocení „vyhovuje“ hned při úvodním hodnocení, můžete zbývající část hodnocení přeskočit a přejít k výměně výsledku.

Pokud je celkový výsledek vašeho hodnocení „závažná neshoda“, je vaším dalším úkolem vypracovat plán na vyřešení nálezů a na odstranění nedostatků, které poskytovatel auditu zjistil. Tento plán se oficiálně nazývá „plán nápravných opatření“ ( „corrective action plan”).

Důvody „hodnocení plánu nápravných opatření“ jsou následující:

„Hodnocení plánu nápravných opatření“ nemusí nutně být samostatnou akcí. „Plán nápravných opatření“ máte možnost představit již během závěrečného setkání v rámci úvodního hodnocení. Poskytovatel auditu pak může rovnou zpracovat „hodnocení plánu nápravných opatření“.

Pokud spojíte „hodnocení plánu nápravných opatření“ s úvodním hodnocením a „plán nápravných opatření“ splňuje požadavky, můžete se s poskytovatelem auditu dohodnout, že „zprávu o úvodním hodnocení“ nepotřebujete. Místo toho váš poskytovatel auditu může vypracovat pouze „zprávu o hodnocení plánu nápravných opatření“. Tato zpráva vám zajistí přímé získání dočasných známek TISAX.

Poskytovatel auditu posoudí váš „plán nápravných opatření“ podle následujících požadavků:

Pokud je celkový výsledek hodnocení „drobná neshoda“, získáte dočasné známky TISAX.

Výhodou dočasných známek TISAX je, že je váš partner zpravidla akceptuje pod podmínkou, že následně získáte trvalé známky TISAX. To vám může pomoci, pokud je prokázání účinnosti vašeho systému správy zabezpečení informací pro vašeho partnera naléhavé.

Předpokladem získání dočasných známek TISAX je zpráva o hodnocení plánu nápravných opatření s celkovým výsledkem hodnocení „drobná neshoda“.

Dočasné známky TISAX jsou rovnocenné trvalým známkám TISAX. Jediným rozdílem je kratší doba platnosti dočasných známek TISAX.

Dočasné známky TISAX mohou být platné až devět měsíců po uzavírací schůzce úvodního hodnocení. Doba platnosti dočasných známek TISAX je dána nejdelší dobou realizace nápravných opatření.

Příklady:

Další informace o požadavcích na lhůty realizace viz Část 5.4.9.3, “Požadavky na plán nápravných opatření”

Jakmile dokončíte všechna nápravná opatření, měli byste požádat o „následné hodnocení“.

Váš poskytovatel auditu může provést jedno následné hodnocení (více následných hodnocení) až do devíti měsíců od ukončení původního hodnocení^[26].

Pokud dočasné známky TISAX nepotřebujete, můžete o následné hodnocení požádat přímo. Před následným hodnocením nemusíte mít „hodnocení plánu nápravných opatření“.

Pokud potřebujete dočasné známky TISAX, možná se budete chtít ujistit, že se do doby získání trvalých známek TISAX neobjeví žádný nedostatek. Doporučujeme proto požádat o následné hodnocení v dostatečném předstihu před nejzazším možným datem^[27]. Důvod spočívá v tom, že chcete mít dostatečnou časovou rezervu, abyste mohli řešit případné drobné nálezy zjištěné při následném hodnocení.

Mapování mezi cíli hodnocení a odpovídajícími známkami TISAX je poměrně jednoduché. Je tu však ještě jeden důležitý aspekt: Některé známky TISAX jsou hierarchicky propojeny. To znamená, že pokud získáte určitou známku TISAX, automaticky dostanete i známky TISAX „pod“ touto konkrétní známkou.

Příklad: Pokud váš cíl hodnocení byl „Very high availability“, obdržíte odpovídající známku TISAX „Very high availability“. Jelikož cíl hodnocení je však „Very high availability“ nadmnožinou „High availability“, automaticky obdržíte také známku TISAX „High availability“.

Tato hierarchie momentálně existuje pro tyto známky TISAX:

Tyto hierarchické vztahy můžete odvodit porovnáním platných požadavků uvedených v Tabulka 8, “Uplatnitelnost požadavků na cíle hodnocení”.

To se každému účastníkovi nemusí zdát důležité. Představte si ale, že jeden partner po vás požaduje předložení známky TISAX „Very high availability“ a jiný partner požaduje známku TISAX „High availability“. Pak existence obou známek TISAX usnadní práci všem, protože už žádný z nich nemusí chápat, že „High availability“ je podmnožinou „Very high availability“. To se může týkat zejména partnerů, u nichž je existence jistých známek TISAX součástí poměrně přísného nákupního procesu. Určitě nebudete chtít vysvětlovat, že „Very high availability“ je „lepší“ než „High availability“. Prostě ukážete všechny své známky TISAX a osoba provádějící hodnocení může jednoduše odškrtnout požadavek „musí mít známku TISAX „High availability“.

Známky TISAX mají zpravidla platnost tři roky. Doba platnosti začíná na konci procesu hodnocení (ještě před vydáním zprávy o hodnocení TISAX).

Doba platnosti může být kratší, pokud se změní nějaká významná skutečnost týkající se rozsahu hodnocení TISAX.

Příklady: stěhování společnosti, nové lokality. (Pokyny, jak v takových případech postupovat, viz Část 7.9.3.2, “Jak požádat o změnu lokality” a Část 7.9.3.4, “Jak přidat další lokalitu”.)

Chcete-li si známky TISAX udržet dlouhodobě, musíte je obnovit^[30] je každé tři roky.

Proto musíte znovu projít procesem TISAX (zaregistrovat rozsah hodnocení, nechat se znovu posoudit systémem TISAX, sdílet výsledek hodnocení). Registrace je o něco snazší, protože nemusíte znovu vytvářet svou společnost jako účastníka systému TISAX. A pochopitelně můžete znovu použít všechny své kontakty a lokality, které jsou již uloženy v databázi TISAX.

Teď, když jste obdrželi známky TISAX, můžete přistoupit k poslednímu kroku a sdílet je se svým partnerem.