Lleve a cabo el proceso de evaluación TISAX y comparta el resultado de la evaluación con sus socios
Publicado por
ENX Association
asociación según la ley francesa de 1901,
con núm. de registro w923004198 en la Sous-préfecture de Boulogne-Billancourt, Francia
Direcciones
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francia
Bockenheimer Landstraße 97-99, 60325 Fráncfort del Meno, Alemania
Autor
Florian Gleich
Contacto
Versión
Fecha: |
2023-12-07 |
Versión: |
2.7 |
Clasificación: |
Public |
ENX doc ID: |
602-ES |
Aviso de copyright
Todos los derechos reservados por ENX Association.
ENX, TISAX y los logotipos correspondientes son marcas registradas de ENX Association.
Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios.
1. Sinopsis
1.1. Finalidad
Le damos la bienvenida a TISAX (Trusted Information Security Asessment Exchange o intercambio confiable de evaluación de seguridad de la información).
Uno de sus socios le ha solicitado que demuestre que su gestión de la seguridad de la información cumple un nivel definido de acuerdo con los requisitos de la “Evaluación de la seguridad de la información” (ISA, por sus siglas en inglés). De forma que quiere comprobar si cumple estos requisitos.
El objetivo de este manual es permitirle satisfacer la solicitud de su socio o bien anticiparse antes de que se lo soliciten.
El manual describe los pasos que debe seguir para superar la evaluación TISAX y para compartir el resultado de la evaluación con sus socios.
Establecer y mantener un sistema de gestión de la seguridad de la información (ISMS, por sus siglas en inglés) ya es una tarea compleja. Demostrar a sus socios que ese sistema de gestión de la seguridad de la información está a la altura añade aún más complejidad. Este manual no le ayudará a gestionar la seguridad de la información. Sin embargo, pretende hacer que la tarea de demostrar a sus socios su empeño sea lo más fácil posible.
1.2. Alcance
Este manual hace referencia a todos los procesos TISAX en los que pueda participar.
Contiene todo lo que necesita saber para llevar a cabo el proceso TISAX.
El manual ofrece asesoramiento sobre cómo tratar los requisitos en materia de seguridad de la información en el marco de la evaluación. Sin embargo, no pretende informarle en general sobre lo que tiene que hacer para superar la evaluación de seguridad de la información.
1.3. Destinatarios
Los principales destinatarios de este manual son empresas que necesitan o quieren demostrar un nivel definido de gestión de la seguridad de la información de acuerdo con la “Evaluación de la seguridad de la información (ISA)”.
Tan pronto como se involucre activamente en los procesos TISAX, se beneficiará de la información que contiene este manual.
También se beneficiarán las empresas que solicitan a sus proveedores que demuestren niveles definidos de gestión de la seguridad de la información. Este manual les permite entender qué deben hacer sus proveedores para satisfacer esa demanda.
1.4. Estructura
Empezaremos con una breve introducción a TISAX y, a continuación, pasaremos a dar instrucciones sobre CÓMO hacer las cosas. Encontrará todo lo que necesita saber para llevar a cabo el proceso, en el orden en que necesita saberlo.
El tiempo de lectura estimado de este documento es de 75-90 minutos.
1.5. Cómo usar este documento
Tarde o temprano, querrá entender la mayor parte de las cosas descritas en este documento. Para prepararse adecuadamente, le recomendamos la lectura del manual completo.
Hemos estructurado el manual según los tres pasos principales del proceso TISAX, de forma que puede ir la sección que necesita y leer el resto más tarde.
El manual utiliza ilustraciones para facilitar la comprensión. Los colores de las ilustraciones a menudo tienen un significado adicional. Por tanto, le recomendamos que lea el documento en una pantalla o como impresión a color.
Agradecemos sus comentarios. Si cree que falta algo en este manual o que no se entiende fácilmente, no dude en hacérnoslo saber. Nosotros y los futuros lectores agradecerán los comentarios.
Si ya ha usado una versión anterior del manual del participante de TISAX, encontrará algunas notas importantes al final del documento en la Sección 8, “Historial del documento”.
1.6. Contacto
Estamos a su disposición para guiarle a lo largo del proceso TISAX y para responder cualquier duda que se le plantee.
Envíenos un mensaje de correo electrónico a: |
|
O llámenos al: |
Nos podrá localizar durante el horario de oficina habitual de Alemania (UTC+01:00).
Todos hablamos inglés y
alemán. Uno de nuestros compañeros es hablante nativo de
italiano.
Tenga en cuenta la Sección 7.13, “Anexo: Gestión de reclamaciones”.
1.7. El manual del participante de TISAX en otros idiomas y formatos
El manual del participante de TISAX está disponible en los siguientes idiomas y formatos:
Idioma | Versión | Formato | Enlace |
---|---|---|---|
|
2.7 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
|
2.7 |
Online |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
Important
|
Nota importante: La versión en inglés es la versión principal. |
1.7.1. Acerca de la traducción al español
Este Manual del participante de TISAX es una traducción del texto inglés.
Todos los documentos que se utilizan en TISAX se han creado en inglés (p. ej., todos los contratos y requisitos para los proveedores de servicios de auditoría TISAX). Como resultado, su socio o proveedor de auditoría puede usar algunos términos específicos de TISAX en inglés.
Para que pueda asignarlos correctamente, o bien hemos dejado el término original TISAX en inglés en la traducción del Manual del participante de TISAX, o bien hemos incluido el término en inglés entre paréntesis detrás de la traducción.
1.7.2. Acerca del formato online
Cada sección tiene un ID único (formato: ID1234).
El ID hace referencia a una sección específica, independientemente del idioma.
Si quiere desplazarse a una sección específica, puede:
-
hacer clic con el botón derecho sobre el título de la sección y copiar el enlace, o bien
-
hacer clic sobre el título de la sección y copiar el enlace de la barra de dirección de su navegador.
La mayoría de figuras están disponibles en un tamaño mayor al mostrado de forma predeterminada. Haga clic sobre la figura para abrir la versión mayor.
1.7.3. Acerca del formato offline
El formato offline mantiene la mayoría de funciones del formato online. En particular, las figuras están incrustadas en el archivo HTML. Solo necesita un archivo para usar el formato offline.
En comparación con el formato online, el formato offline no cuenta con lo siguiente:
-
las imágenes de mayor tamaño
-
las fuentes originales del formato online
Los ajustes predeterminados de su navegador definirán las fuentes.
1.7.4. Acerca del formato PDF
Si usa el formato PDF en su PC, podrá hacer clic en todas las referencias. Pero, si imprime la versión en PDF, no tendrá remisiones a través de los números de página y deberá buscar las referencias por su cuenta.
2. Introducción
Las siguientes secciones presentan el concepto TISAX.
Si tiene prisa, puede saltárselas y empezar directamente en la Sección 4.3, “Preparación del registro”.
2.1. ¿Por qué TISAX?
O, más bien, ¿por qué está usted aquí?
Para contestar a estas preguntas, empezaremos con algunas reflexiones sobre los negocios en general y la protección de la información en particular.
Imagínese a su socio. Tiene información confidencial. Quiere compartir esa información con su proveedor, usted. La cooperación entre usted y su socio crea valor. La información que su socio comparte con usted es una parte importante de esa creación de valor. Por tanto, quiere protegerla de forma adecuada. Y quiere asegurarse de que usted trata su información con el mismo cuidado.
Pero ¿cómo puede saber que su información está en buenas manos? No puede simplemente “creerle”. Su socio debe tener alguna prueba.
Llegados a este punto, hay dos cuestiones. ¿Quién define qué es un manejo “seguro” de la información? Y, ¿cómo se demuestra?
2.2. ¿Quién define qué significa "seguro"?
Usted y su socio no son los únicos que se enfrentan a estas cuestiones por primera vez. Prácticamente todo el mundo tiene que encontrarles respuesta, y la mayoría de respuestas se parecerán.
En lugar de crear una solución independiente cada vez a un problema común, un método estándar le evita tener que partir de cero. Si bien definir un estándar supone un gran esfuerzo, solo se hace una vez y los que vienen detrás se benefician de ello cada vez.
Seguro que hay distintas opiniones sobre lo que hay que hacer para proteger la información. Pero, por las ventajas indicadas antes, la mayoría de las empresas apuestan por los estándares. Un estándar contiene de forma condensada todas las mejores prácticas, probadas en el tiempo y acreditadas, para hacer frente a un reto concreto.
En nuestro caso, los estándares como ISO/IEC 27001 (sobre los sistemas de gestión de la seguridad de la información, o ISMS) y su implementación establecen una forma reconocida de manejar de forma segura la información confidencial. Un estándar como este le evita tener que reinventar la rueda cada vez. Y, aún más importante, los estándares constituyen una base común cuando dos empresas necesitan intercambiar datos confidenciales.
2.3. El camino de la automoción
Por naturaleza, los estándares independientes de la industria se diseñan como soluciones de talla única, y no a medida de las necesidades concretas de las empresas de automoción.
Hace cierto tiempo, el sector del automóvil formó asociaciones con el objetivo --entre otros-- de perfeccionar y definir estándares ajustados a sus necesidades específicas. La Asociación Alemana de la Industria Automotriz (VDA) es una de ellas. En el grupo de trabajo encargado de la seguridad de la información, diversos miembros del sector llegaron a la conclusión de que tienen necesidades similares suficientes como para ajustar a medida los estándares de gestión de la seguridad de la información.
Su esfuerzo conjunto se tradujo en un cuestionario que cubre los requisitos de seguridad de la información ampliamente aceptados por la industria del automóvil. Se llama la “Evaluación de la seguridad de la información” (ISA, por sus siglas en inglés).
Con la ISA, tenemos una respuesta a la pregunta “¿Quién define qué significa ‘seguro’?” A través de la VDA, la industria automotriz ofrece esta respuesta a sus miembros.
2.4. ¿Cómo demostrar la seguridad de forma eficiente?
Mientras que algunas empresas usan la ISA únicamente con fines internos, otras la usan para evaluar la madurez de la gestión de la seguridad de la información de sus proveedores. En algunos casos, una autoevaluación es suficiente para la relación comercial. Sin embargo, en ciertos casos, las empresas llevan a cabo una evaluación completa de la gestión de la seguridad de la información de su proveedor (incluidas auditorías in situ).
Junto con la creciente conciencia de la necesidad de una gestión de la seguridad de la información y el aumento en la adopción de la ISA como herramienta para las evaluaciones de la seguridad de la información, cada vez más proveedores se enfrentaban a solicitudes similares de distintos socios.
Esos socios seguían aplicando estándares diferentes y tenían opiniones variadas sobre cómo interpretarlos. Sin embargo, los proveedores tenían que demostrar las mismas cosas, solo que de formas diferentes.
Y cuantos más proveedores debían probar a sus socios su nivel de gestión de la seguridad de la información, más fuertes se volvieron las quejas por tener que repetir el mismo esfuerzo una y otra vez. Mostrar a un auditor tras otro las mismas medidas de gestión de la seguridad de la información simplemente no es eficiente.
¿Qué se puede hacer para que esto sea más eficiente? ¿No ayudaría si el informe de un auditor pudiera reutilizarse para distintos socios?
Los OEM y los proveedores que integran el grupo de trabajo de la ENX responsable de mantener la ISA escucharon las quejas de los proveedores. Ahora ofrecen una respuesta a sus proveedores, así como al resto de empresas del sector del automóvil, para la pregunta “¿Cómo demostrar la seguridad?”
La respuesta es TISAX, la abreviatura de “Trusted Information Security Assessment Exchange” ( “intercambio confiable de evaluación de seguridad de la información”).
3. El proceso TISAX
3.1. Sinopsis
El proceso TISAX habitualmente[1] empieza con que uno de sus socios le solicita que pruebe un nivel definido de gestión de la seguridad de la información de acuerdo con los requisitos de la “Evaluación de la seguridad de la información” (ISA). Para responder a esta solicitud, debe completar el proceso TISAX de 3 pasos. Esta sección le proporciona un resumen de los pasos que deberá dar.
El proceso TISAX de 3 pasos consiste en:
Paso 1 |
|
Paso 2 |
|
Paso 3 |
-
Registro
Recopilamos la información sobre su empresa y lo que debe formar parte de la evaluación. -
Evaluación
Usted lleva a cabo la evaluación o las evaluaciones, a cargo de uno de nuestros proveedores de auditoría TISAX. -
Intercambio
Comparte el resultado de la evaluación con sus socios.
Cada paso contiene subpasos. Estos se presentan en las tres secciones siguientes y se describen detalladamente en sus secciones correspondientes.
Nota
|
Recuerde: Aunque nos gustaría poder decirle cuánto tiempo necesitará para obtener su resultado de evaluación TISAX, entienda que es algo que no podemos predecir de forma fiable. La duración total del proceso TISAX depende de demasiados factores. La gran variedad de tamaños de empresa y objetivos de evaluación, así como el respectivo grado de preparación del sistema de gestión de la seguridad de la información, hacen que sea imposible. |
3.2. Registro
El primer paso es el registro TISAX.
El principal objetivo del registro TISAX es recopilar información sobre su empresa. Usamos un proceso de registro online para ayudarle a proporcionar esa información.
Es el requisito previo a todos los pasos siguientes. Está sujeto a una tasa.
Durante el proceso de registro online:
-
Le solicitamos información de contacto y de facturación.
-
Debe aceptar nuestras condiciones.
-
Puede definir el alcance de su evaluación de la seguridad de la información.
Para empezar directamente con este paso, consulte la Sección 4, “Registro (paso 1)”.
El proceso de registro online se describe en detalle en la Sección 4.5, “Proceso de registro online”. No obstante, si quiere empezar ahora mismo, vaya a enx.com/en-US/TISAX/.
3.3. Evaluación
El segundo paso es llevar a cabo la evaluación de la seguridad de la información.
Existen cuatro subpasos:
-
Preparación de la evaluación
Ha de preparar la evaluación. El grado de preparación dependerá del nivel de madurez actual de su sistema de gestión de la seguridad de la información. La preparación se debe basar en el catálogo ISA. -
Selección del proveedor de auditoría
Debe elegir uno de nuestros proveedores de auditoría TISAX. -
Evaluación de la seguridad de la información
Su proveedor de auditoría llevará a cabo la evaluación de acuerdo con el alcance necesario para cumplir los requisitos de su socio. Este proceso de evaluación constará de una auditoría inicial como mínimo.
Si su empresa no supera la evaluación a la primera, el proceso de evaluación puede requerir pasos adicionales. -
Resultado de la evaluación
Una vez que su empresa haya superado la evaluación, el proveedor de auditoría le facilitará el informe de evaluación TISAX oficial. El resultado de su evaluación también recibirá “etiquetas TISAX”[2].
Para más información sobre este paso, consulte la Sección 5, “Evaluación (paso 2)”.
3.4. Intercambio
El tercer y último paso es compartir el resultado de la evaluación con su socio. El contenido del informe de evaluación TISAX está estructurado en niveles. Puede decidir hasta qué nivel tendrá acceso su socio.
El resultado de la evaluación es válido durante tres años. Suponiendo que siga siendo proveedor del socio para entonces, tendrá que llevar a cabo el proceso de tres pasos de nuevo[3].
Para más información sobre este paso, consulte la Sección 6, “Intercambio (paso 3)”.
Ahora que ya tiene una idea básica del proceso TISAX, en las siguientes secciones encontrará información sobre cómo realizar cada paso.
4. Registro (paso 1)
El tiempo de lectura estimado de la sección de registro es de 30-40 minutos.
4.1. Sinopsis
El registro TISAX es el primer paso. Es el requisito previo a todos los pasos siguientes.
Las siguientes secciones le guiarán a través del registro:
-
Empezaremos explicando un nuevo término fundamental.
-
Después, le recomendaremos qué debería hacer para preparar el proceso de registro online.
-
A continuación, le guiaremos a través del proceso de registro online.
4.2. Usted es un participante de TISAX
En primer lugar, permítanos presentarle un nuevo término que es imprescindible entender. Hasta ahora, usted era el “proveedor”. Ahora está aquí para cumplir el requisito de su “cliente”. Sin embargo, TISAX no distingue entre estos dos roles. Para TISAX, cualquiera que se registre es un “participante”. Usted --al igual que su socio-- “participa” en el intercambio de los resultados de la evaluación de la seguridad de la información.
Su empresa |
|
Registro TISAX |
|
Participante de TISAX |
Para diferenciar los dos roles desde el principio, nos referimos a usted, el proveedor, como “participante activo”. Nos referimos a su socio como “participante pasivo”. Como “participante activo”, usted se somete a una evaluación TISAX y comparte el resultado de la evaluación con otros participantes. El “participante pasivo” es quien ha solicitado que se someta a la evaluación TISAX. El “participante pasivo” recibe el resultado de la evaluación.
1 Solicita una evaluación del |
|
Participante pasivo |
|
Participante activo |
|
2 Se somete a una evaluación TISAX |
|
3 Comparte los resultados con el |
Cualquier empresa puede tener los dos roles. Puede compartir el resultado de su evaluación con su socio, a la vez que solicita a sus propios proveedores que se sometan a la evaluación TISAX.
Su cliente |
|
Usted comparte con el cliente |
|
Participante activo |
|
Usted |
|
Participante pasivo |
|
Comparte con usted |
|
Su propio proveedor |
Solicitar a sus propios proveedores que se sometan a una evaluación TISAX puede ser especialmente recomendable si estos también manejan la información con necesidad de protección de su socio.
4.3. Preparación del registro
En esta sección le damos consejos sobre cómo prepararse para el registro. Describimos el proceso de registro en detalle en la Sección 4.5, “Proceso de registro online”.
Antes de iniciar el proceso de registro online, le recomendamos encarecidamente:
-
que recopile la información por adelantado
-
y que tome algunas decisiones.
4.3.1. La base legal
Normalmente, tendrá que firmar dos contratos. El primer contrato que suscribe es entre usted y ENX Association: las “Condiciones generales de participación en TISAX” (TISAX Participant GTCs). El segundo contrato es entre usted y uno de nuestros proveedores de auditoría TISAX. Para el registro, solo nos centraremos en el primer contrato.
Las Condiciones generales de participación en TISAX rigen nuestra relación mutua y su relación con otros participantes de TISAX. Definen los derechos y las obligaciones de todos nosotros. Además de las cláusulas habituales que encontrará en la mayoría de contratos, definen con detalle el manejo de la información intercambiada y obtenida durante el proceso TISAX. Un objetivo clave de estas reglas es mantener confidenciales los resultados de la evaluación TISAX. Como todos los participantes de TISAX están sujetos a las mismas normas, puede esperar una protección adecuada del resultado de su evaluación TISAX por parte de su socio (en su rol de participante pasivo).
Relativamente pronto en el proceso de registro online, le pediremos que acepte las Condiciones generales de participación en TISAX. Como se trata de un contrato real, le recomendamos que lea las Condiciones generales de participación en TISAX al iniciar el proceso de registro online. Uno de los motivos es que, en función del cargo que ocupe en su empresa, necesitará obtener una autorización de un abogado interno o externo.
Puede descargar las “Condiciones generales de participación en TISAX”[4] en nuestro sitio web en:
enx.com/en-US/TISAX/downloads/
Descarga directa en PDF:
enx.com/tisaxgtcen.pdf
Durante el proceso de registro online, le pediremos que marque dos casillas de verificación obligatorias:
-
❏ We accept the TISAX Participation General Terms and Conditions (
Aceptamos las Condiciones generales de participación en TISAX)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; (
Confirmamos conocer la exención del proveedor de auditoría de su obligación de confidencialidad según la sección IX.5. y X.3 de las Condiciones generales de participación en TISAX;)
Tenemos la segunda casilla de verificación porque algunos de nuestros proveedores de auditoría TISAX son auditores de cuentas. Los auditores de cuentas tienen requisitos especiales acerca del secreto profesional. Normalmente, los requisitos especiales acerca del secreto profesional prohíben a los auditores de cuentas de entre nuestros proveedores de auditoría compartir información con nosotros. En particular, esto anularía las opciones de control que necesitamos para desempeñar nuestra función de gobernanza. Por ese motivo necesitamos esa exención. Preste especial atención a dichas cláusulas antes de marcar la casilla de verificación.
Si suele exigir un acuerdo de confidencialidad (NDA, por sus siglas en inglés) entre usted y cualquiera que trate información confidencial, lea las secciones correspondientes de nuestras Condiciones generales. Deberían dar respuesta a todas sus inquietudes. Además, normalmente no tiene que facilitarnos ningún tipo de información confidencial.
Para finalizar la sección legal, entienda que el sistema depende de que todos acepten las mismas normas. Por tanto, no podemos aceptar condiciones generales adicionales[5].
4.3.2. El alcance de la evaluación TISAX
En el segundo paso del proceso TISAX, uno de nuestros proveedores de auditoría TISAX llevará a cabo la evaluación de la seguridad de la información. Para ello necesita saber dónde empezar y dónde acabar. Por tanto, debe definir un “alcance de la evaluación”.
El “alcance de la evaluación” describe el alcance que tendrá la evaluación de la seguridad de la información. Dicho de otra forma, cada parte de su empresa que maneje la información confidencial de su socio es parte del alcance de la evaluación. Puede considerarlo un elemento principal de la descripción de la tarea del proveedor de auditoría. Determina qué debe evaluar el proveedor de auditoría.
El alcance de la evaluación es importante por dos motivos:
-
El resultado de la evaluación solo satisfará los requisitos de su socio si su alcance cubre todas las partes de su empresa que manejan información del socio.
-
Un alcance de la evaluación definido con precisión es un requisito previo fundamental para el cálculo del coste por los proveedores de auditoría TISAX.
Important
|
Nota importante: ISO/IEC 27001 frente a TISAX En primer lugar, debemos diferenciar dos tipos de alcance: Para la certificación ISO/IEC 27001, usted define el alcance de su ISMS (en la “declaración del alcance”). Tiene total libertad para definir el alcance de su ISMS. Sin embargo, el alcance de la evaluación (también conocido como “alcance de la auditoría”) debe ser idéntico al alcance del ISMS. Para TISAX, también tiene que definir su ISMS. Pero el alcance de la evaluación puede ser diferente. Para la certificación ISO/IEC 27001, puede configurar libremente el alcance de la evaluación definiendo el alcance de su ISMS. Por contra, en el caso de TISAX, el alcance de la evaluación está predefinido. El alcance de la evaluación puede ser menor que el alcance de su ISMS. Pero debe encontrarse dentro del alcance de su ISMS. |
4.3.2.1. Descripción del alcance
La descripción del alcance define el alcance de la evaluación. Para la descripción del alcance, ha de elegir uno de los dos tipos de alcance:
-
Standard scope (
Alcance estándar)
-
Custom scope (
Alcance personalizado)
-
Custom extended scope (
Alcance ampliado personalizado)
-
Full custom scope (
Alcance completamente personalizado)
-
En la siguiente sección trataremos el alcance estándar. El alcance estándar es la elección adecuada para más del 99 % de los participantes. Por eso, solo tratamos los alcances personalizados en la Sección 7.8, “Anexo: Alcances personalizados”.
4.3.2.2. Alcance estándar
La descripción de alcance estándar es la base para la evaluación TISAX. Otros participantes de TISAX solo aceptarán resultados de la evaluación basados en la descripción del alcance estándar.
La descripción del alcance estándar está predefinida y no puede cambiarla.
Una gran ventaja de contar con un alcance estándar es que usted no necesita pensar en su propia definición.
Esta es la descripción del alcance estándar (versión 2.0):
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
El alcance de la evaluación TISAX define el alcance que tiene la evaluación. La evaluación incluye todos los procesos, procedimientos y recursos bajo la responsabilidad de la organización evaluada que son relevantes para la seguridad de los objetos de protección y sus objetivos de protección, tal y como se definen en los objetivos de evaluación enumerados en las ubicaciones enumeradas. La evaluación se lleva a cabo como mínimo en el nivel de evaluación más alto de cualquiera de los objetivos de evaluación enumerados. Todos los criterios de evaluación enumerados en los objetivos de evaluación se someten a evaluación. |
Le recomendamos encarecidamente que elija el alcance estándar. Todos los participantes de TISAX aceptan los resultados de la evaluación de la seguridad de la información basados en el alcance estándar.
4.3.2.3. Determinación del alcance
Su próxima tarea después de definir el alcance es decidir qué ubicaciones forman parte del alcance de la evaluación.
Si su empresa es pequeña (una ubicación), es una tarea fácil. Simplemente ha de añadir su ubicación al alcance de la evaluación.
Si su empresa es grande, puede considerar la posibilidad de registrar más de un alcance de la evaluación.
Tener un único alcance que contenga todas las ubicaciones tiene ventajas:
-
Tendrá un informe de evaluación, un resultado de la evaluación, una fecha de vencimiento.
-
Podrá beneficiarse de costes reducidos para la evaluación porque el proveedor de auditoría TISAX solo ha de evaluar sus procesos, procedimientos y recursos centrales una sola vez.
Sin embargo, un único alcance también puede conllevar desventajas como:
-
Todas las ubicaciones deben tener los mismos objetivos de evaluación.
-
El resultado de su evaluación solo estará disponible cuando el proveedor de auditoría TISAX haya evaluado todas las ubicaciones. Este hecho puede ser importante si necesita el resultado de la evaluación con urgencia.
-
El resultado de la evaluación dependerá de que todas las ubicaciones superen la evaluación. Si una sola ubicación no la supera, no obtendrá un resultado positivo de la evaluación. Para solventar esta situación puede: a) eliminar la ubicación del alcance, b) resolver los problemas, c) añadir la ubicación más tarde con una evaluación de ampliación del alcance.
4.3.2.4. Personalización del alcance
Solo usted puede dar respuesta a la pregunta de si le conviene tener un solo alcance o varios. Pero las preguntas del siguiente diagrama podrían ayudarle a decidir.
INICIO |
|
Paso 1: ¿Necesita una evaluación para más de una ubicación? |
|
Paso 2: ¿Tiene tiempo suficiente para preparar la evaluación de todas las ubicaciones? |
|
Paso 3: ¿Todas las ubicaciones comparten un ISMS central (p. ej., responsabilidades, infraestructura, políticas y procesos)? |
|
Paso 4: ¿Todas las sedes comparten el mismo objetivo de evaluación (p. ej., protección de vehículos prototipo o información con necesidad de protección muy alta)? |
|
Fin: Registre el alcance de la evaluación |
|
Separe las ubicaciones. |
|
No |
|
Sí |
Nota
|
Recuerde: No se deje intimidar por esta decisión. Puede cambiar cualquier alcance mientras el proveedor de auditoría no haya finalizado la evaluación. Por ejemplo, durante la preparación de la evaluación podría darse cuenta de que el alcance no se ajusta y cambiarlo en consecuencia. O su proveedor de auditoría podría recomendarle que cambie el alcance durante las primeras fases de la evaluación. Notas adicionales:
|
4.3.2.5. Ubicaciones dentro del alcance
Una vez que haya decidido qué ubicaciones son parte del alcance de la evaluación, puede seguir recopilando información específica de cada ubicación.
Para cada ubicación solicitamos información como el nombre de la empresa y la dirección. También solicitamos información adicional que permita a nuestros proveedores de auditoría TISAX hacerse una mejor idea de la estructura de su empresa. Las respuestas serán la base para sus cálculos.
Prepárese para dar los siguientes datos de cada una de sus ubicaciones (el asterisco rojo * indica información obligatoria en el proceso online):
Campo | Opciones |
---|---|
Nombre de la ubicación * |
n/a |
n/a |
|
Tipo de ubicación * |
Edificio(s) en propiedad y de uso exclusivo de la empresa |
Protección pasiva de la ubicación * |
Sí |
Industria |
Tecnología de la información
|
Gestión
|
|
Medios de comunicación
|
|
Investigación y desarrollo
|
|
Producción
|
|
Ventas y servicios posventa
|
|
Otra industria |
|
Empleados en la ubicación: en total * |
0 |
Empleados en la ubicación: TI * |
0 |
Empleados en la ubicación: seguridad informática * |
0 |
Empleados en la ubicación: seguridad de la ubicación * |
0 |
Certificaciones de esta ubicación |
ISO 27001 |
Nota
|
Recuerde: En el apartado “Industria”: seleccione una a su mejor saber y entender. No hay respuestas correctas y equivocadas al seleccionar las opciones. Si no encuentra una opción que se ajuste a su tipo de negocio, introduzca la opción adecuada en “Otra”. |
Para cada ubicación deberá especificar un “location name” ( “nombre de la ubicación”). El objetivo del nombre de la ubicación es que resulte más fácil referirse a la ubicación a la hora de asignarle un alcance de la evaluación.
Recomendamos que asigne nombres de ubicación siguiendo este esquema:
Esquema: |
[Referencia geográfica] |
Ejemplo: |
para la empresa ficticia “ACME”
|
4.3.2.6. Nombre del alcance
Para cada alcance ha de especificar un “scope name” ( “nombre del alcance”). La finalidad principal del nombre del alcance es facilitarle la identificación del alcance en la lista general de alcances del portal ENX. Le recomendamos que asigne un nombre que sea útil para el lector y sus compañeros. Para la comunicación externa, deberá utilizar el ID de alcance.
Puede especificar el nombre que quiera. Pero no dé el mismo nombre de alcance a más de un alcance.
Cuando más adelante quiera renovar su evaluación TISAX, necesitará crear un nuevo alcance (posiblemente, idéntico al actual). Por eso le recomendamos que añada el año de la evaluación al nombre del alcance.
Recomendamos asignar nombres de alcance siguiendo este esquema:
Esquema: |
[Referencia geográfica o funcional] [Año de la evaluación] |
Ejemplos: |
para la empresa ficticia “ACME”
|
4.3.2.7. Contactos
Para poder comunicarnos con usted, recopilamos información de los contactos de su empresa.
Le pedimos como mínimo un contacto de su empresa como participante de TISAX en general y uno para cada alcance de evaluación. También puede proporcionar contactos adicionales.
Durante los preparativos para el registro, deberá decidir qué persona o personas de su empresa serán los contactos.
Pedimos los siguientes datos de contacto:
Dato de contacto | ¿Obligatorio? | Ejemplo | |
---|---|---|---|
1. |
Tratamiento |
Sí |
Sra., Sr. |
2. |
Grado académico |
Dr., Ph.D., otros |
|
3. |
Nombre |
Sí |
John |
4. |
Apellido(s) |
Sí |
Doe |
5. |
Cargo |
Sí |
Responsable de TI |
6. |
Departamento |
Sí |
Tecnología de la información |
7. |
Número de teléfono principal |
Sí |
+49 69 986692777 |
8. |
Número de teléfono secundario |
||
9. |
Dirección de correo electrónico |
Sí |
john.doe@acme.com |
10. |
Idioma de preferencia |
Sí |
Inglés (predeterminado) |
11. |
Otros idiomas |
Alemán, español |
|
12. |
Identificador personal |
HPC 1234 |
|
13. |
Dirección postal |
Sí |
Bockenheimer Landstraße 97-99 |
14. |
Código postal |
Sí |
60325 |
15. |
Localidad |
Sí |
Fráncfort |
16. |
Estado/provincia |
||
17. |
País |
Sí |
Alemania |
Important
|
Nota importante: |
4.3.2.8. Publicación y divulgación
El principal objetivo de TISAX es publicar el resultado de la evaluación para otros participantes de TISAX y compartir el resultado con su(s) socio(s).
Puede decidir la forma de publicar y compartir el resultado de la evaluación durante el proceso de registro o en cualquier momento posterior.
Si lleva a cabo el proceso TISAX como medida preventiva, puede decidir ya si publicar el resultado de la evaluación para la comunidad de participantes de TISAX. Si no es así, no hay nada que preparar en esta fase.
Si su socio le ha solicitado que lleve a cabo el proceso TISAX, tarde o temprano deberá compartir el resultado de la evaluación. Puede compartir ya la información de estado con su socio durante el registro. En cuanto el resultado de la evaluación esté disponible, su socio tendrá permiso automáticamente para acceder al mismo[6].
Para compartir la información de estado, necesita dos cosas:
-
El ID de participante de TISAX de su socio
El ID de participante de TISAX identifica a su socio como participante de TISAX.
Normalmente, su socio debería proporcionarle su ID de participante de TISAX.
Para mayor comodidad, nuestro formulario de registro incluye una lista desplegable con los ID de participante de algunas empresas que suelen recibir resultados de evaluación.[7]
-
El nivel de divulgación requerido
El nivel de divulgación define hasta qué punto su socio puede acceder al resultado de la evaluación.
Puede que su socio exija un nivel de divulgación específico o que usted decida hasta qué nivel quiere proporcionar acceso al resultado de su evaluación.
Para más información sobre los niveles de divulgación, consulte la Sección 6.5, “Niveles de divulgación”.
Asegúrese de tener esta información.
Nota
|
Recuerde:
|
Important
|
Nota importante: Si no publica el resultado de la evaluación ni lo comparte, nadie podrá ver el resultado de la evaluación. |
Important
|
Nota importante: No puede revocar la publicación o divulgación. Para más información, consulte la Sección 6.4, “Permanencia de los resultados intercambiados”. |
Nota
|
Recuerde: Puede sonar extraño, pero de hecho puede compartir su “resultado de evaluación” incluso sin haber iniciado el proceso de evaluación todavía. En esta fase inicial, solo está compartiendo el “estado de la evaluación”. El participante con el que comparta su “resultado de evaluación” verá en qué punto del proceso de evaluación se encuentra. Algunos participantes de TISAX tienen que emitir un comunicado especial si usted tiene que mostrar etiquetas de TISAX, pero aún no ha terminado el proceso de evaluación. En ese caso, es posible que su socio necesite ver su “estado de la evaluación” en su cuenta del portal ENX. Para más información sobre el estado de la evaluación, consulte la Sección 7.6, “Anexo: Assessment status ( |
Para más información sobre cómo publicar y compartir el resultado de su evaluación, consulte la Sección 6, “Intercambio (paso 3)”.
4.3.3. Objetivos de evaluación
Tiene que definir el o los objetivos de la evaluación durante el proceso de registro. El objetivo de la evaluación ( assessment objective) determina los requisitos aplicables que debe cumplir su sistema de gestión de la seguridad de la información (ISMS). El objetivo de la evaluación se basa enteramente en el tipo de datos que trata por cuenta de su socio.
En las siguientes secciones, describimos los objetivos de evaluación y le aconsejamos para que pueda elegir el o los objetivos de evaluación correctos.
El uso de objetivos de evaluación facilita la comunicación con su socio y sus proveedores de auditoría TISAX porque hacen referencia a una entrada definida del proceso de evaluación TISAX.
Nota
|
Recuerde: Algunos socios le pedirán la evaluación TISAX con un “nivel de evaluación” (AL, por sus siglas en inglés) determinado, en lugar de especificar el objetivo de evaluación. Para más información sobre los niveles de evaluación, consulte la Sección 4.3.3.5, “Necesidad de protección y niveles de evaluación” (subsección “Información adicional”). |
4.3.3.1. Lista de objetivos de evaluación
Actualmente existen doce objetivos de evaluación TISAX. Debe seleccionar al menos un objetivo de evaluación. También puede seleccionar más de uno.
Considere el objetivo de evaluación como el punto de referencia para su sistema de gestión de la seguridad de la información. El objetivo de evaluación es una entrada clave del proceso TISAX. Todos los proveedores de auditoría TISAX basan su estrategia de evaluación en el objetivo de evaluación.
Los objetivos de evaluación TISAX actuales son:
Núm. | Nombre | Descripción |
---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
Ejemplo: Si realiza recorridos de prueba con vehículos en la vía pública, el objetivo de evaluación “Test vehicles” será uno de sus objetivos de evaluación.
Nota
|
Recuerde: Solo podrá seleccionar los objetivos de evaluación “Info high” e “Info very high” hasta el 31 de marzo de 2024. Podrá seleccionar los objetivos de evaluación “Confidential” y “Strictly confidential” a partir del 1 de abril de 2024. Para más información sobre este cambio, consulte el siguiente artículo de la sección de noticias de nuestro sitio web: |
Important
|
Nota importante: Dentro de TISAX, el “objetivo de evaluación” suele ser el punto de entrada del proceso. Sin embargo, algunos socios le pedirán que se someta a la evaluación TISAX según un “nivel de evaluación” (AL) determinado. Para más información sobre la relación entre las necesidades de protección y los niveles de evaluación, consulte la Sección 4.3.3.5, “Necesidad de protección y niveles de evaluación”. |
4.3.3.2. Objetivos de evaluación e ISA
La ISA contiene tres catálogos de criterios (seguridad de la información, protección de prototipos, protección de datos). Cada catálogo de criterios se compone de las llamadas “preguntas de control” y de los requisitos asociados.
Cada objetivo de evaluación define:
-
el o los catálogos de criterios ISA aplicables
-
las preguntas de control que debe responder
-
los requisitos que debe cumplir
Para algunos objetivos de evaluación, solo se aplica un subconjunto de las preguntas de control y requisitos.
Para obtener más información sobre los objetivos de evaluación TISAX y las preguntas de control y requisitos aplicables, consulte la Sección 5.2.2, “Entender el documento ISA”.
4.3.3.3. Objetivos de evaluación y etiquetas TISAX
Puede que su socio le hable de las “etiquetas TISAX”. “Objetivos de evaluación” y “etiquetas TISAX” son casi lo mismo. La diferencia es que usted inicia el proceso de evaluación con los “objetivos de evaluación” y, si supera la evaluación, recibe las correspondientes “etiquetas TISAX”.
Ejemplo: Su socio le exige que obtenga la etiqueta TISAX “Info high”. En ese caso, ha de seleccionar “Info high” como objetivo de evaluación.
La siguiente figura muestra el punto de entrada y salida del proceso TISAX:
Solicita |
|
Socio |
|
Recibe |
|
ENTRADA |
|
Objetivo |
|
Proceso TISAX |
|
SALIDA |
|
Etiqueta |
Para más información sobre las etiquetas TISAX, consulte la Sección 5.4.14, “Etiquetas TISAX”.
4.3.3.4. Selección de los objetivos de evaluación
Lo ideal es que su socio le diga exactamente qué objetivos de evaluación debe alcanzar.
Tendrá que seleccionar el objetivo de la evaluación a su propio juicio si:
-
quiere obtener la certificación TISAX antes de que un socio se la solicite, o
-
su socio no le dice qué objetivo de evaluación debe alcanzar.
Important
|
Nota importante: Llegados a este punto, le recomendamos que tenga en cuenta al resto de sus socios. ¿Tiene otros socios que exigen los mismos requisitos o similares? ¿Espera que sus socios futuros le exijan requisitos más altos? Tal vez deba considerar seleccionar objetivos de evaluación con mayor necesidad de protección. De esta forma, se evitará problemas cuando otros socios tengan mayores requisitos. |
Si ha de seleccionar el objetivo de evaluación a su propio juicio, tal vez le resulte útil tener en cuenta los siguientes aspectos:
Núm. | Objetivo de evaluación | Información |
---|---|---|
1. |
Info high |
Puede inferir la necesidad de protección (alta, muy alta) a partir de la clasificación de los documentos de su socio. |
2. |
Info very high |
|
3. |
Confidential |
Para todas las empresas que reciben y tratan información con necesidad de protección alta en el contexto de la confidencialidad o habitualmente clasificada como confidencial según el esquema de clasificación propio de la empresa (p. ej., el libro blanco de la VDA sobre armonización de niveles de clasificación). |
4. |
Strictly confidential |
Para todas las empresas que reciben y tratan información con necesidad de protección muy alta en el contexto de la confidencialidad o habitualmente clasificada como estrictamente confidencial o secreta según el esquema de clasificación propio de la empresa (p. ej., el libro blanco de la VDA sobre armonización de niveles de clasificación). |
5. |
High availability |
Para todas las empresas cuya capacidad de producción o de entrega de los clientes dependa de la disponibilidad de los productos o servicios de la empresa, y en las que un fallo causaría un daño considerable a los clientes en un corto periodo de tiempo. |
6. |
Very high availability |
Para todas las empresas cuya capacidad de producción y de entrega de los clientes dependa de la disponibilidad a corto plazo de los productos o servicios de la empresa, y en las que un fallo causaría un gran daño a los clientes en un periodo de tiempo muy corto. |
7. |
Proto parts |
Para todas las empresas que fabrican, almacenan o usan componentes o piezas suministradas por el cliente que requieren protección en sus propias ubicaciones. |
8. |
Proto vehicles |
Para todas las empresas que fabrican, almacenan o usan vehículos suministrados por el cliente que requieren protección en sus propias ubicaciones. |
9. |
Test vehicles |
Para todas las empresas que realizan pruebas y recorridos de prueba (p. ej., recorridos de prueba en la vía pública o en circuitos cerrados) con vehículos proporcionados por el cliente que requieren protección. |
10. |
Proto events |
Para todas las empresas que llevan a cabo presentaciones o eventos (p. ej., estudios de mercado, eventos, eventos de marketing) y rodajes o sesiones fotográficas con vehículos proporcionados por el cliente que requieren protección. |
11. |
Data |
Si trata datos personales como encargado del tratamiento según el artículo 28 del RGPD, seguramente deberá seleccionar “Data”. |
12. |
Special data |
Si trata categorías especiales de datos personales (como datos sobre salud o religión) como encargado del tratamiento según el artículo 28 del RGPD, seguramente deberá seleccionar “Special data”. |
Explicaciones adicionales:
-
Si tiene requisitos precisos de su socio, normalmente no tendrá que discutir los objetivos de evaluación con este. No obstante, si no tiene requisitos precisos por parte del socio, le recomendamos que lo consulte con él antes de empezar el proceso de evaluación.
-
La ISA describe la diferencia de implementación entre necesidad de protección “alta” y “muy alta” (si la hay) para cada requisito.
Para más información al respecto, consulte la Figura 11, “Captura de pantalla: Elementos principales de las preguntas en el catálogo de criterios ISA “Seguridad de la información””.
4.3.3.5. Necesidad de protección y niveles de evaluación
Su socio tiene varios tipos de información, de los cuales algunos necesitan un nivel de protección más alto que otros. La ISA lo contempla diferenciando tres “necesidades de protección” ( “protection needs”): normal, alta y muy alta. Su socio clasifica la información y habitualmente asigna necesidades de protección.
Cuanto mayores sean las necesidades de protección, más interés tendrá el socio en asegurarse de que es seguro dejarle manejar su información. Por tanto, TISAX diferencia tres “niveles de evaluación” (AL). El nivel de evaluación define qué método de evaluación debe aplicar el proveedor de auditoría. Un nivel de evaluación más alto aumenta el esfuerzo dedicado a la evaluación. El resultado es un mayor cuidado y precisión en la evaluación.
La siguiente tabla muestra los niveles de evaluación que se aplican a los objetivos de evaluación TISAX:
Núm. | Objetivo de evaluación TISAX | Nivel de evaluación (AL) |
---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
Nivel de evaluación 1 (AL 1):
Las evaluaciones en el nivel de evaluación 1 son principalmente para fines internos en el sentido de una autoevaluación ( self-assessment).
En las evaluaciones del nivel de evaluación 1, el auditor comprueba la existencia de una autoevaluación completada. No evalúa el contenido de la autoevaluación. No exige más evidencias.
Los resultados de las evaluaciones en el nivel de evaluación 1 tienen un nivel de confianza bajo y por eso no se usan en TISAX. Pero, lógicamente, es posible que su socio le solicite una autoevaluación de este tipo fuera de TISAX.
Nivel de evaluación 2 (AL 2):
Para una evaluación dentro del nivel de evaluación 2, el proveedor de auditoría lleva a cabo una comprobación de plausibilidad de su autoevaluación (para todas las ubicaciones dentro del alcance de la evaluación). Lo hace comprobando las evidencias[8] y entrevistando a la persona encargada de la seguridad de la información.
El proveedor de auditoría acostumbra a realizar esta entrevista por videoconferencia. Si usted lo solicita, puede realizar la entrevista en persona.
Si tiene evidencias que no quiere enviar al proveedor de auditoría, puede solicitar una inspección in situ. De esta forma, el proveedor de auditoría podrá comprobar esa evidencia ante usted con la máxima confidencialidad.
Nota
|
Recuerde: Existe un método alternativo para realizar una evaluación en el nivel de evaluación 2. En lugar de la comprobación de plausibilidad, el proveedor de auditoría lleva a cabo una evaluación remota completa. Este método se denomina a veces “nivel de evaluación 2.5”. En comparación con una evaluación en el nivel de evaluación 2, el auditor verifica si su ISMS cumple los requisitos aplicables. Sin embargo, a diferencia de una evaluación en el nivel de evaluación 3, el auditor no lleva a cabo las actividades in situ que se describen en la sección sobre el nivel de evaluación 3. Formalmente, dicha evaluación se valorará como una evaluación en el AL 2. La ventaja del AL 2.5 es que el enfoque es metódicamente compatible con el AL 3. Por lo tanto, permitirá pasar más adelante a una evaluación completa en el AL 3 con un esfuerzo asumible. Para ello, el auditor solo tiene que llevar a cabo las actividades in situ descritas en la sección sobre el AL 3. Recomendamos evaluaciones en el nivel de evaluación 2.5 en estos casos:
Para más información sobre cómo ampliar el nivel de evaluación, consulte la Sección 7.10, “Anexo: Evaluación de la ampliación del alcance”. Esta alternativa es opcional y no es necesaria para cumplir los requisitos del AL 2. La diferencia entre el AL 2 y el AL 2.5 no será visible para los socios con los que comparta el resultado de su evaluación. |
Nivel de evaluación 3 (AL 3):
Para una evaluación dentro del nivel de evaluación 3, el proveedor de auditoría lleva a cabo una verificación completa del cumplimiento de todos los requisitos aplicables por parte de su empresa. El auditor utiliza su autoevaluación y la documentación presentada para preparar la evaluación. Pero, a diferencia del nivel de evaluación 2, el auditor lo verificará todo. Esto incluye:
-
examinar documentos y pruebas
-
realizar entrevistas programadas con los propietarios de los procesos
-
observar las condiciones locales
-
observar la ejecución de los procesos
-
realizar entrevistas no programadas con participantes en los procesos
Nota
|
Recuerde: El texto siguiente hace referencia a varios conceptos que se explicarán más adelante en este documento. Con el AL 3, el proveedor de auditoría debe desplazarse a sus ubicaciones. Si esto no fuera posible temporalmente por alguna razón o requiriera un esfuerzo excesivo, su proveedor de auditoría puede utilizar el método de evaluación a distancia asistido por vídeo para llevar a cabo las actividades in situ de la evaluación. Su proveedor de auditoría deberá registrarlo en el informe de evaluación TISAX como una no conformidad menor. Tan pronto como su proveedor de auditoría pueda acudir a su ubicación, deberá realizar una evaluación de seguimiento que incluya todas las actividades in situ que no se habían podido realizar. Además, tiene que programar la evaluación de seguimiento aunque aún no haya completado las demás acciones correctivas. En comparación con esperar a que su proveedor de auditoría esté disponible para las actividades in situ, este enfoque le permite compartir ya etiquetas TISAX temporales con su socio. |
Niveles de evaluación y métodos de evaluación
La siguiente tabla proporciona un resumen simplificado de los métodos de auditoría asociados a cada nivel de evaluación:
Método de evaluación | Nivel de evaluación 1 (AL 1) |
Nivel de evaluación 2 (AL 2) |
Nivel de evaluación 3 (AL 3) |
---|---|---|---|
Autoevaluación |
Sí |
Sí |
Sí |
Evidencia |
No |
Comprobación de plausibilidad |
Verificación exhaustiva |
Entrevistas |
No |
Por videoconferencia[9] |
En persona, in situ |
Inspección in situ |
No |
Si lo solicita |
Sí |
Información adicional:
-
Diferencia entre AL 2 y AL 3
Metodológicamente, los dos enfoques se diferencian bastante. En el caso de las evaluaciones en el nivel de evaluación{npsp}2, el auditor no verificará todo. Solo comprobará la plausibilidad. Por lo tanto, el proveedor de auditoría no puede utilizar los resultados de una evaluación en el nivel de evaluación 2 como base para una ampliación al nivel de evaluación 3. Los esfuerzos necesarios para una actualización al nivel de evaluación 3 son prácticamente los mismos que para una nueva evaluación inicial. -
Comprobación de plausibilidad frente a verificación
Simplificando mucho, una comprobación de plausibilidad es comprobar si algo existe y parece correcto. Por el contrario, una verificación significa comprobar realmente que algo es lo que dice ser. -
Clasificación de la información y necesidades de protección
La asignación de la clasificación de la información (como confidencial o secreta) a las necesidades de protección puede ser diferente para distintos socios. Por tanto, por mucho que quisiéramos, no podemos proporcionar una tabla simple en la que la clasificación de la información de su socio se corresponda exactamente con una necesidad de protección. -
Saber el nivel de evaluación no es suficiente
Algunos socios pueden exigir la evaluación TISAX según un nivel de evaluación determinado. Sin embargo, entienda que conocer el nivel de evaluación no es suficiente para iniciar el proceso TISAX. Un nivel de evaluación solo tiene sentido en combinación con un catálogo de criterios ISA y una necesidad de protección. Habitualmente, los socios piden que se obtenga una etiqueta TISAX (catálogo de criterios más necesidad de protección) No obstante, como las necesidades de protección equivalen a los niveles de evaluación, sí es suficiente si conoce el catálogo de criterios y el nivel de evaluación. -
Jerarquía de los niveles de evaluación
Los niveles de evaluación superiores siempre incluyen los niveles de evaluación inferiores. Por ejemplo, si su evaluación se basa en el nivel de evaluación 3, automáticamente cumplirá todos los requisitos del nivel de evaluación 2. -
Nuestro consejo en materia de niveles de evaluación
Si ha seleccionado un objetivo de evaluación (y, con ello, el correspondiente nivel de evaluación) a su propio juicio, le recomendamos que seleccione objetivos de evaluación que impliquen un nivel de evaluación 3. El esfuerzo requerido para una evaluación TISAX en el nivel de evaluación 3 no suele ser mayor al requerido en el nivel de evaluación 2.
Los proveedores que tienen varios socios, a menudo seleccionan objetivos de evaluación que implican el nivel de evaluación 3. De esta forma, están preparados para todas las exigencias futuras y no tienen que preocuparse por los distintos niveles de evaluación. -
Otras consideraciones comerciales
En lo referente a los niveles de evaluación, el coste total de una evaluación TISAX es la suma del esfuerzo interno y del coste de la evaluación. Mientras que el coste de una evaluación en el nivel de evaluación 2 es inferior, el esfuerzo interno puede ser mayor. Esto se debe a que una evaluación en el nivel de evaluación 2 a menudo exige una autoevaluación más amplia y mejor documentación interna. Para las evaluaciones en el nivel de evaluación 3, mostrar cómo hace las cosas y presentar documentación básica suele ser evidencia suficiente para el auditor. Pero, sin una inspección in situ, el auditor le pedirá documentación muy precisa. Por tanto, es bastante frecuente optar por el nivel de evaluación 3 en lugar del nivel de evaluación 2. De todos modos, es una elección más habitual en las empresas pequeñas que en las grandes.
4.3.3.6. Objetivos de evaluación y sus propios proveedores
TISAX no exige que aplique los mismos requisitos a todos sus proveedores. Si su objetivo de evaluación es “Seguridad de la información con necesidad de protección muy alta”, esto NO significa automáticamente que sus propios proveedores deban alcanzar el mismo objetivo de evaluación. Ni siquiera significa que deban tener etiquetas TISAX.
Pero tendrá que comprobar para todos sus proveedores si usar sus servicios aumenta los riesgos o implica nuevos riesgos.
Dos ejemplos simplificados:
-
Según su política, el correo electrónico convencional no se puede utilizar para datos con necesidad de protección muy alta. Por tanto, su proveedor de correo electrónico no necesita obtener la etiqueta TISAX con necesidad de protección muy alta.
También puede llegar a la misma conclusión si únicamente envía mensajes de correo electrónico cifrados y su proveedor de correo electrónico no puede ver los datos con necesidad de protección muy alta. -
Usted elimina los datos impresos con necesidad de protección muy alta mediante una trituradora de papel. En ese caso, lógicamente, su proveedor de recogida de residuos no está obligado a cumplir los mismos requisitos que usted.
No obstante, una evaluación del riesgo podría mostrar que su proveedor también debe cumplir los requisitos para la necesidad de protección muy alta. En ese caso, las etiquetas TISAX son una opción para acreditarlo.
4.3.4. Tasa
Cobramos una tasa. Nuestra lista de precios informa de las tasas aplicables, los posibles descuentos y las condiciones de pago.
Puede descargar la lista de precios en nuestro sitio web en:
enx.com/en-US/TISAX/downloads/
Descarga directa en PDF:
enx.com/pricelist.pdf
Existen algunos aspectos relacionados con la facturación que deberá tener en cuenta durante los preparativos para el registro:
-
Selección de la dirección de facturación
De forma predeterminada, enviaremos la factura a la dirección que haya indicado como ubicación del participante. Sin embargo, puede proporcionar una dirección diferente para recibir la factura.ImportantNota importante:
Asegúrese de que la dirección de facturación es correcta. Las leyes sobre contabilidad requieren que la dirección en nuestra factura coincida exactamente con la dirección (de facturación) de su empresa. Por razones legales, no podemos cambiar la dirección de una factura una vez que la hemos emitido.
-
Referencia de pedido
Si necesita ver un número de pedido específico o algo similar en su factura, podrá proporcionarnos una referencia de pedido. -
NIF-IVA
Todos nuestros cargos están sujetos al impuesto sobre el valor añadido (IVA) alemán (si procede).
Necesitamos este número para procesar los pagos de la UE. Es obligatorio proporcionar un NIF-IVA si la dirección de facturación está en alguno de los siguientes países:
Alemania, Austria, Bélgica, Bulgaria, Croacia, Chipre (parte griega), Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Suecia, Reino Unido, República Checa -
Gestión de proveedores
ImportantNota importante:
Entienda que, dada la reciprocidad entre todos los participantes de TISAX, no podemos aceptar condiciones generales adicionales (como condiciones generales de compraventa o códigos de conducta).
Información adicional sobre nuestro proceso de facturación:
-
No podemos aceptar condiciones de compra individuales.
-
Aceptamos:
-
transferencias a la cuenta bancaria especificada en la factura
-
pagos con tarjeta de crédito (durante el proceso de registro a través de nuestro proveedor de servicios de pago “Stripe”)
-
-
Nuestra factura incluirá las siguientes referencias a su registro:
-
El nombre y la dirección de correo electrónico de la persona de contacto principal del participante
-
El nombre del alcance de la evaluación
Encontrará un ejemplo de factura en el anexo, en la Sección 7.1, “Anexo: Ejemplo de factura”.
-
-
La mayoría de datos que pueda necesitar para procesar la factura estarán incluidos en la misma. Estos y otros datos están disponibles en nuestro documento “Information for Members and Business Partners” (Información para miembros y socios comerciales). Envíenos un mensaje de correo electrónico y le haremos llegar la versión actual.
Nota
|
Recuerde: Somos conscientes de que el proceso de aprobación interno de pagos en algunas empresas requiere cierto tiempo. Por ese motivo, sus siguientes pasos inmediatos del proceso TISAX no dependen de que recibamos el pago. Sin embargo, tenga en cuenta que no podrá compartir el resultado de la evaluación hasta que no hayamos recibido el pago. |
Important
|
Nota importante: Nosotros --ENX Association-- facturamos la tasa. Esta tasa es solo una parte del coste total de una evaluación TISAX. Su proveedor de auditoría TISAX facturará el coste de la evaluación o las evaluaciones. Para más información sobre los costes relacionados con el proveedor de auditoría, consulte la Sección 5.3.4, “Valoración de las ofertas”. |
Important
|
Nota importante: Deberá pagar la tasa independientemente de que:
Por tanto, es posible que la factura le llegue antes de que empiece la evaluación inicial. |
4.4. Portal ENX
La siguiente sección describe el proceso de registro online en el que introduce todos los datos recopilados siguiendo las indicaciones de la sección anterior. Antes de iniciar el proceso de registro online, permítanos explicarle brevemente la finalidad y las ventajas del portal ENX.
El portal ENX nos permite mantener una base de datos de todos los participantes de TISAX y desempeña un papel importante a lo largo de todo el proceso TISAX. Durante el registro TISAX, usted introduce datos que los proveedores de auditoría TISAX pueden usar (si así lo autoriza) para calcular su oferta y planificar el procedimiento de evaluación. Una vez que lleve a cabo el proceso de evaluación TISAX, usará la plataforma de intercambio en el portal ENX para compartir el resultado de la evaluación con su socio.
El nombre del portal es “portal ENX” en lugar de “portal TISAX” porque también lo usamos para gestionar otras actividades empresariales (como la red ENX).
4.5. Proceso de registro online
Si se ha preparado según las indicaciones anteriores (Sección 4.3, “Preparación del registro”), estará listo para iniciar el proceso de registro online.
4.5.1. Tiempo necesario
El tiempo necesario depende en gran medida del número de alcances y ubicaciones que registre. Para su primer registro como participante con un alcance y una ubicación, cuente con un mínimo de 20 minutos.
Recomendamos que complete el registro en una sola sesión, porque actualmente no se pueden recuperar algunos pasos más tarde. En caso de que necesite pausar el proceso, nos pondremos en contacto con usted para obtener cualquier dato que falte.
4.5.2. Empiece aquí
Inicie el registro en nuestro sitio web en:
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
Básicamente, todo lo que tiene que hacer es seguir las instrucciones que aparecen en pantalla. No obstante, a continuación describimos el proceso brevemente.
4.5.3. Cuenta en el portal
El primer paso es crearse una cuenta en el portal ENX. Necesitará la cuenta en el portal para poder gestionar los “datos de participante” de su empresa.
Nota
|
Recuerde: Si el portal ENX le indica que su dirección de correo electrónico ya está en uso, póngase en contacto con nosotros. Este mensaje puede indicar que, por algún motivo, su nombre ya está registrado en nuestro sistema. |
Nota
|
Recuerde: Como se ha descrito, las cuentas del portal no son necesariamente “contactos del participante” o “contactos del alcance” (vea más abajo) con un rol activo en el proceso de evaluación. Y viceversa, un “contacto del participante” o “contacto del alcance” no incluye automáticamente los mismos derechos para gestionar los datos del participante que con una cuenta del portal. Es decir, los empleados designados como “contacto del participante” o “contacto del alcance” no puede acceder automáticamente a los datos del participante en el portal ENX. Si quiere asignar el derecho de gestionar los datos del participante a un contacto que ya ha creado en el portal ENX (independientemente de si le asignó un rol), debe invitar al contacto. Para más información, consulte la última nota en la Sección 4.5.5, “Contacto del participante”. |
4.5.4. Registro como participante
El segundo paso es registrar su empresa como participante de TISAX. El “participante de TISAX” es la empresa que intercambiará los resultados de la evaluación con otros participantes.
4.5.5. Contacto del participante
En general, será la persona responsable en su empresa para todos los temas relacionados con la evaluación de la seguridad de la información. Puede ser usted u otra persona de su empresa.
Normalmente, todo lo que necesitamos es el contacto principal del participante. Sin embargo, si prefiere que todas las comunicaciones que enviemos nosotros y los proveedores de auditoría TISAX en el contexto de este registro lleguen también a otras personas, añada contactos del participante adicionales.
Important
|
Nota importante: |
Nota
|
Recuerde: Siempre podrá añadir o eliminar contactos más adelante (incluso tras haber completado el proceso de registro online e incluso después de haber finalizado la evaluación). |
Nota
|
Recuerde: No puede usar direcciones de correo electrónico genéricas para los contactos del participante (como “info@acme.com” o “IT@acme.com”). Esta regla es conforme con los requisitos ISA sobre el registro de usuarios. |
Nota
|
Recuerde: Puede elegir si cada contacto debe tener acceso a los datos de participante de su empresa. O bien:
Para crear un nuevo contacto: Inicio de sesión > MY TISAX (MI TISAX) > ADMINISTRATORS (ADMINISTRADORES) > Create new TISAX Administrator (Crear nuevo administrador TISAX) Para invitar a un contacto: Inicio de sesión > MY TISAX (MI TISAX) > ADMINISTRATORS (ADMINISTRADORES) > Vaya al final de la fila de la tabla del contacto y haga clic en el botón con la flecha hacia abajo > Edit TISAX Administrator (Editar administrador TISAX) > Vaya al apartado “ENX PORTAL ACCESS” (ACCESO AL PORTAL ENX) > Ajuste “INVITE THIS CONTACT” (INVITAR A ESTE CONTACTO) a “Yes” (Sí) > Haga clic en “Save Contact” (Guardar contacto) |
4.5.6. Condiciones generales
El tercer paso es aceptar las “TISAX Participation General Terms and Conditions” (Condiciones generales de participación en TISAX).
Puede volver a consultar las notas explicativas en la Sección 4.3.1, “La base legal”.
4.5.7. Registro del alcance de la evaluación
El cuarto paso es registrar el alcance de la evaluación para su evaluación de la seguridad de la información.
Le pedimos que:
-
asigne un nombre al alcance de la evaluación.
La finalidad principal del nombre del alcance es facilitarle la identificación del alcance en la lista general de alcances del portal ENX.
Puede volver a consultar las notas explicativas en la Sección 4.3.2.6, “Nombre del alcance” -
elija un tipo de alcance de la evaluación.
(Estándar, personalizado)
Puede volver a consultar las notas explicativas en la Sección 4.3.2, “El alcance de la evaluación TISAX”. -
especifique el contacto principal del alcance.
Será la persona generalmente responsable de la evaluación de un alcance en particular. Puede ser usted u otra persona de su empresa.
Normalmente, todo lo que necesitamos es el contacto principal del alcance. Sin embargo, si prefiere que todas las comunicaciones que enviemos nosotros en el contexto de este alcance lleguen también a otras personas, puede añadir contactos del participante adicionales. -
seleccione el o los objetivos de la evaluación.
Puede volver a consultar las notas explicativas en la Sección 4.3.3, “Objetivos de evaluación”. -
añada la o las ubicaciones del alcance de la evaluación.
Le pedimos que especifique todas las ubicaciones que forman parte del alcance de la evaluación.
Puede volver a consultar las notas explicativas en la Sección 4.3.2, “El alcance de la evaluación TISAX”.NotaRecuerde:
Una vez que haya creado una ubicación, ya no podrá editarla. Para cambios menores (cambio del nombre de la empresa, erratas en el nombre de la calle, el código postal, la localidad, etc.), póngase en contacto con nosotros. Nosotros lo editaremos.
ImportantNota importante:
Esta nota solo es relevante si está renovando las etiquetas TISAX.
Vuelva a utilizar los registros de ubicación existentes que creó y utilizó durante el registro de su alcance anterior. No cree un nuevo registro de ubicación con la misma dirección.
Motivo: Algunos participantes de TISAX procesan los resultados de evaluación de sus socios automáticamente. A tal fin, sincronizan su propio sistema con el portal ENX. Incluso las diferencias más insignificantes pueden provocar un fallo de sincronización. Además, no debería recargar sus datos de participante con duplicados innecesarios. -
seleccione los niveles de publicación y divulgación (opcional).
Puede decidir ya si quiere publicar el resultado de la evaluación para otros participantes de TISAX y compartirlo con su(s) socio(s). Lo normal es permitir que mostremos que su empresa es un participante y que ha superado con éxito el proceso TISAX.
Puede saltar sin problemas este paso durante su registro inicial. Siempre puede definir el acceso al resultado de su evaluación más tarde.
Puede volver a consultar las notas explicativas en la Sección 4.3.2.8, “Publicación y divulgación”.ImportantNota importante:
No puede revocar los permisos de publicación o divulgación.
Para más información, consulte la Sección 6.4, “Permanencia de los resultados intercambiados”. -
especifique quién recibe la factura.
Le pedimos que especifique quién recibirá nuestra(s) factura(s).
Puede volver a consultar las notas explicativas en la Sección 4.3.4, “Tasa”.
Nota
|
Recuerde: No puede equivocarse mucho aquí. Si más tarde descubre que debería haber registrado un alcance ligeramente diferente (ha olvidado una ubicación, tiene otro objetivo de evaluación, etc.), el proveedor de auditoría podrá realizar la evaluación de todos modos. Ejemplo: El auditor determina que el ámbito debe contener una ubicación adicional que usted no añadió originalmente al alcance. El auditor llevará a cabo la auditoría y posteriormente actualizará el alcance de su evaluación en el portal ENX cuando cargue el resultado de su evaluación. |
Nota
|
Recuerde: Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, el alcance de la evaluación tiene el estado “Incompleto”, “Pendiente del pedido” o “Pendiente de aprobación”. Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5.1, “Sinopsis: Assessment scope status ( |
Nota
|
Recuerde: Para las empresas grandes con muchas ubicaciones, TISAX ofrece la evaluación en grupo simplificada. Puede plantearse esta opción si: Para una evaluación en grupo simplificada, el esfuerzo inicial es mayor. No obstante, se compensa cuantas más ubicaciones tenga. Para más información sobre la “evaluación en grupo simplificada”, consulte el documento “TISAX Simplified Group Assessment” (Evaluación en grupo simplificada TISAX). Puede descargar el documento “TISAX Simplified Group Assessment” en nuestro sitio web en: Descarga directa en PDF: |
Nota
|
Recuerde: Una vez registrado el alcance de la evaluación, ya no podrá cambiarlo usted mismo. Si puede asegurar de forma fehaciente que todavía NO ha enviado su “TISAX Scope Excerpt” a nuestros proveedores de auditoría, póngase en contacto con nosotros. Lo cambiaremos por usted. Si ya ha enviado su “TISAX Scope Excerpt” a (uno de) nuestros proveedores de auditoría, deberá simplemente crear la nueva ubicación en el portal ENX (si procede) y discutir los posibles cambios con el proveedor de auditoría. Su proveedor de auditoría llevará a cabo la evaluación basándose en los cambios y actualizará la información sobre el alcance en el portal ENX. |
Nota
|
Recuerde: Usted no puede borrar un alcance de evaluación en el portal ENX. Si ha creado un alcance de evaluación por error, póngase en contacto con nosotros. Lo borraremos por usted. |
4.5.8. Mensaje de correo electrónico de confirmación
Una vez que haya completado los pasos obligatorios anteriores, comprobaremos su solicitud. A continuación, le enviaremos un mensaje de correo electrónico de confirmación.
Este mensaje de correo electrónico tiene dos elementos importantes:
-
Una lista de contacto con todos los proveedores de auditoría TISAX
Deberá elegir uno de nuestros proveedores de auditoría TISAX para llevar a cabo la evaluación de su alcance. Puede usar los contactos para solicitar ofertas.
Para más información sobre la selección del proveedor de auditoría, consulte la Sección 5.3, “Selección del proveedor de auditoría”. -
El “TISAX Scope Excerpt” como archivo PDF adjunto
Contiene:
-
La información que hemos almacenado en nuestra base de datos
-
Su ID de participante
Consulte la Sección 4.5.8.1, “Participant ID (ID de participante)” más abajo.
-
Su(s) ID de alcance
Consulte la Sección 4.5.8.2, “Scope ID (ID de alcance)” más abajo.
-
Para ver un ejemplo de nuestro mensaje de correo electrónico de confirmación, consulte la Sección 7.2, “Anexo: Ejemplo de mensaje de correo electrónico de confirmación”.
Para ver un ejemplo del “TISAX Scope Excerpt”, consulte la Sección 7.3, “Anexo: Ejemplo de TISAX Scope Excerpt”.
Por norma general, recibirá nuestro mensaje de confirmación en un plazo de tres días hábiles.
Si no tiene noticias nuestras en un plazo de siete días laborables, compruebe que a) ha facilitado toda la información y b) el estado del alcance de la evaluación es “Awaiting ENX approval” (Pendiente de aprobación ENX). Solo empezaremos a procesar su registro cuando todo esté completo. Si cree que todo está completo, pero no nos hemos puesto en contacto con usted, póngase en contacto con nosotros.
Enviamos nuestro mensaje de confirmación al contacto principal del participante.
Nota
|
Recuerde: Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, su alcance de la evaluación tiene el estado “Awaiting ENX approval” (Pendiente de aprobación ENX). Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5.5, “Assessment scope status “Awaiting your payment” ( |
Las dos subsecciones siguientes proporcionan información detallada sobre la finalidad de su ID de participante e ID de alcance.
4.5.8.1. Participant ID (
ID de participante)
El ID de participante:
-
identifica a un participante de TISAX.
-
es único para cada participante.
-
se asigna una vez completado el registro.
-
es un requisito previo para pedir una evaluación de la seguridad de la información a cualquiera de nuestros proveedores de auditoría TISAX.
-
tiene esta estructura:
Figura 7. Formato del ID de participante[12]
Prefijo “P” del ID de participante |
|
Secuencia aleatoria única, compuesta solo por los caracteres alfanuméricos: |
Nota
|
Recuerde: Hay dos formas de encontrar el ID de participante:
|
4.5.8.2. Scope ID (
ID de alcance)
El ID de alcance:
-
identifica un alcance de la evaluación.
-
es único para cada alcance de la evaluación.
-
se asigna una vez completado el registro.
-
es un requisito previo para que pueda pedir una evaluación de la seguridad de la información a cualquiera de nuestros proveedores de auditoría TISAX.
-
tiene esta estructura:
Prefijo “S” del ID de alcance |
|
Secuencia aleatoria única, compuesta solo por los caracteres alfanuméricos: |
Nota
|
Recuerde: Hay dos formas de encontrar el ID de alcance:
|
Nota
|
Recuerde: Cada alcance de la evaluación (identificado por su ID de alcance) tiene un ciclo de vida. Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5, “Anexo: Assessment scope status ( |
4.5.9. Información de estado
Llegados a este punto, hay dos estados relevantes para describir su posición en el proceso TISAX:
-
Estado del participante
-
Estado del alcance de la evaluación
El siguiente diagrama ilustra las condiciones que deben cumplirse para alcanzar un determinado estado:
Sus acciones |
|
Nuestras acciones |
|
Registro |
|
Participante: |
|
Alcance de la evaluación: |
|
No |
|
Sí |
|
¿Completo? |
|
¿Completo? |
|
No |
|
Sí |
|
Comprobación + aprobación (mensaje de confirmación) |
|
Factura |
|
[ ] Pago |
|
¿Pagado? |
|
ID de participante |
|
ID de alcance |
|
Estado del participante: |
|
Estado del alcance de la evaluación: |
|
1. Incompleto |
|
2. Pendiente de aprobación |
|
3. Preliminar |
|
Registrado |
|
Expirado |
|
1. Incompleto |
|
2. Pendiente del pedido |
|
3. Pendiente de aprobación ENX |
|
4. Pendiente de pago |
|
5. Registrado |
|
6. Activo |
|
7. Expirado |
Podrá encontrar las definiciones de los estados y qué ha de hacer para avanzar hasta el siguiente estado en el anexo.
Para más información sobre:
-
el estado del participante, consulte la Sección 7.4, “Anexo: Participant status (
Estado del participante)”.
-
el estado del alcance de la evaluación, consulte la Sección 7.5, “Anexo: Assessment scope status (
Estado del alcance de la evaluación)”.
4.5.10. Cambios en su información de registro
Nota
|
Recuerde: Para las cuestiones relacionadas con el ciclo de vida de los datos, consulte la Sección 7.9, “Anexo: Gestión del ciclo de vida de los datos del participante”. Contiene instrucciones para aquellos casos en los que quiera cambiar o actualizar datos como el nombre de la empresa o la información de contacto. |
Felicidades, ya es un participante de TISAX registrado. Está listo para continuar con el siguiente paso del proceso TISAX.
5. Evaluación (paso 2)
El tiempo de lectura estimado de la sección de evaluación es de 30-35 minutos.
5.1. Sinopsis
La evaluación TISAX es el segundo paso. Aquí es donde realiza la mayor parte del trabajo para obtener su evaluación TISAX.
Las siguientes secciones le guiarán a través de la evaluación:
-
Empezaremos explicando cómo puede usar la autoevaluación ISA para comprobar si está preparado para una evaluación TISAX.
-
A continuación, le recomendaremos cómo elegir uno de nuestros proveedores de auditoría TISAX.
-
Más adelante, describiremos su recorrido a lo largo del proceso de evaluación.
-
Por último, explicaremos el “resultado del proceso”: el resultado de la evaluación y las correspondientes etiquetas TISAX.
5.2. Autoevaluación basada en la ISA
Para estar listo para una evaluación TISAX, en primer lugar necesita tener el sistema de gestión de la seguridad de la información (ISMS) a punto. Para averiguar si su ISMS tiene el nivel de madurez esperado, ha de llevar a cabo una autoevaluación basada en la ISA.
La “evaluación de la seguridad de la información” (ISA, por sus siglas en inglés) es un catálogo de criterios publicado por la Asociación alemana de la industria automotriz (Verband der Automobilindustrie e.V., VDA). Es el estándar del sector del automóvil para las evaluaciones de la seguridad de la información.
Las siguientes secciones proporcionan instrucciones prácticas para llevar a cabo una autoevaluación basada en la ISA.
Las explicaciones, los ejemplos y las capturas de pantalla de este manual se basan en la Versión 5 de la ISA.
Nota
|
Recuerde: Encontrará información sobre los cambios respecto a versiones anteriores de la ISA en la hoja de Excel “Change history” (Historial de cambios). |
Nota
|
Recuerde: Para más información sobre la versión de la ISA aplicable a su evaluación cuando la VDA publique una nueva versión, consulte la Sección 7.11, “Anexo: Gestión del ciclo de vida ISA”. |
5.2.1. Descarga del documento ISA
Empiece su autoevaluación descargando el documento ISA.
Puede descargarlo de nuestro sitio web en:
enx.com/en-US/TISAX/downloads/
Descarga directa del archivo Excel:
portal.enx.com/isa5-en.xlsx
El documento ISA también está disponible en alemán:
enx.com/de-de/TISAX/downloads/
5.2.2. Entender el documento ISA
Antes de empezar la autoevaluación, le damos algunas explicaciones que podrían resultarle útiles. Son adicionales a las explicaciones y definiciones oficiales del documento ISA y hacen hincapié en el uso para las evaluaciones TISAX.
5.2.2.1. Catálogos de criterios
La ISA cuenta actualmente con tres “catálogos de criterios”[13]:
1. |
Seguridad de la información |
Information Security |
2. |
Protección de prototipos |
Prototype Protection |
3. |
Protección de datos |
Data Protection |
Cada catálogo de criterios tiene su propia hoja de Excel:
¿Qué catálogo de criterios es relevante para usted? Esto depende de su(s) objetivo(s) de evaluación.
Cada objetivo de evaluación determina qué requisitos de cada catálogo de criterios aplicar. Para algunos objetivos de evaluación, solo se aplican los requisitos de un catálogo de criterios; para otros, se aplican los requisitos de más de un catálogo de criterios.
Los objetivos de evaluación indicados anteriormente se corresponden con estos catálogos de criterios:
Núm. | Objetivo de evaluación ( |
Catálogo(s) de criterios ISA |
---|---|---|
1. |
Info high |
Information Security ( |
2. |
Info very high |
Information Security ( |
3. |
Confidential |
Information Security ( |
4. |
Strictly confidential |
Information Security ( |
5. |
High availability |
Information Security ( |
6. |
Very high availability |
Information Security ( |
7. |
Proto parts |
Prototype Protection ( |
8. |
Proto vehicles |
Prototype Protection ( |
9. |
Test vehicles |
Prototype Protection ( |
10. |
Proto events |
Prototype Protection ( |
11. |
Data |
Information Security ( |
12. |
Special data |
Information Security ( |
Ejemplo: Si ha seleccionado el objetivo de evaluación “Protección de datos”, tendrá que contestar a las preguntas de los catálogos de criterios “Seguridad de la información” Y “Protección de datos”.
Habrá notado que hay más de un objetivo de evaluación para cada catálogo de criterios. ¿Cómo saber qué requisitos son aplicables a cada objetivo de evaluación?
La siguiente tabla le muestra qué requisitos son aplicables:
Núm. | Objetivo de evaluación ( |
Requisitos aplicables |
---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
Nota
|
Recuerde: Cada requisito de las dos columnas “Requisitos adicionales para necesidad de protección alta” y “Requisitos adicionales para necesidad de protección muy alta” está marcado con una “C” de Confidentiality ( Cuando la tabla anterior reduce los requisitos de estas dos columnas a los marcados con una de las letras mencionadas, esto incluye siempre los requisitos que también están marcados con más de una letra. Ejemplo: Todos los requisitos marcados con “(C)”, “(C, I, A)” o “(C, I)” se aplican cuando se especifica “C” en la tabla superior (por ejemplo, en el objetivo de evaluación “Special data”). |
La captura de pantalla que aparece a continuación muestra los principales elementos de las preguntas de control en el catálogo de criterios “Seguridad de la información”. (Los demás catálogos de criterios solo tienen un subconjunto de estos elementos.) Explicaremos todos los elementos más adelante.
Nivel de madurez |
|
Capítulo |
|
Pregunta de control |
|
Requisitos |
|
Objetivo |
|
Todas las necesidades de protección |
|
Necesidad de protección alta |
|
Necesidad de protección muy alta |
5.2.2.2. Capítulos
Cada catálogo de criterios agrupa las preguntas en capítulos.
Ejemplo: “2 Recursos humanos”
La agrupación se basa en las responsabilidades típicas en una empresa. Estos departamentos se especifican en la columna “Responsable habitual de la aplicación del proceso” (“RR. HH.” en el ejemplo anterior).
5.2.2.3. Preguntas de control
Encontrará las preguntas para cada catálogo de criterios en las correspondientes hojas de Excel.
Ejemplo: “4.1.2 ¿Hasta qué nivel está protegido el acceso de usuarios a los servicios de red, sistemas informáticos y aplicaciones informáticas?”
Las preguntas de control también se denominan “controles”. Esto es “jerga de auditor”. Las normas ISO en las que se basa la ISA utilizan el término “control”.
5.2.2.4. Campos del formulario de autoevaluación
Entre las columnas “Maturity level” ( “Nivel de madurez”) y “Control question” (
“Pregunta de control”) hay campos que deberá completar al llevar a cabo la autoevaluación:
Campo del formulario | Finalidad | ¿Obligatorio? |
---|---|---|
Implementation description ( |
Aquí deberá describir brevemente qué ha implementado en su empresa para dar respuesta a esta pregunta de control. |
Sí |
Reference Documentation ( |
Aquí deberá especificar qué documento(s) prueba(n) esa implementación. |
Sí |
Findings/Result ( |
Aquí puede anotar aquellos hallazgos en los que crea que existe una brecha entre la situación real y la situación ideal. |
No |
Solo son obligatorias la descripción breve de la implementación y la referencia a la documentación. Esta información ayudará a nuestros proveedores de auditoría TISAX a entender mejor su empresa y preparar la evaluación.
Hay más columnas opcionales como ayuda a su autoevaluación:
-
Measures/recommendations (
Medidas/Recomendaciones) (columna R)
-
Date of assessment (
Fecha de evaluación) (columna S)
-
Date of completion (
Fecha de finalización) (columna T)
-
Responsible department (
Departamento responsable) (columna U)
-
Contact (
Contacto) (columna V)
Important
|
Nota importante: Si abre el archivo de Excel descargado y selecciona una de las hojas de trabajo del catálogo de criterios (p. ej., Seguridad de la información), es probable que no vea de inmediato los campos del formulario de autoevaluación. Para mostrarlos, tendrá que hacer clic en el botón de agrupamiento para el nivel “2”[14]. El botón se encuentra por encima y a la izquierda de la celda C1. Esto expandirá la vista para mostrar los campos del formulario de autoevaluación. Otro consejo es usar las teclas de flecha para desplazarse. Debido al tamaño de las celdas, desplazarse con la barra de desplazamiento exige excelentes habilidades de motricidad fina. Si utiliza la función de desplazamiento del dispositivo señalador, podría saltarse accidentalmente alguna de las celdas. |
5.2.2.5. Objetivo
A la derecha de la columna “Pregunta de control” se encuentra la columna “Objetivo” (columna J). Su contenido describe qué debe alcanzar en ese aspecto de su gestión de la seguridad de la información.
Ejemplo (para la pregunta de control 4.1.2): “Solo los usuarios identificados de forma segura (autenticados) pueden tener acceso a los sistemas informáticos. Para este fin, la identidad de un usuario se determina de forma segura con procedimientos adecuados”.
5.2.2.6. Requisitos
Los requisitos que debería cumplir para alcanzar este objetivo.
Los requisitos se reparten en cuatro columnas:
-
Requirements (must) (
Requisitos (obligatorios)) (columna K)
-
Requirements (should) (
Requisitos (optativos)) (columna L)
-
Additional requirements for high protection needs (
Requisitos adicionales para necesidad de protección alta) (columna M)
-
Additional requirements for very high protection needs (
Requisitos adicionales para necesidad de protección muy alta) (columna N)
Debe cumplir todos los requisitos hasta la necesidad de protección que debe alcanzar (que podrá deducir a partir de su objetivo de evaluación).
Para algunos objetivos de evaluación, solo se aplica un subconjunto de requisitos. Para más información sobre la aplicabilidad de los requisitos, consulte la Tabla 8, “Aplicabilidad de los requisitos a los objetivos de evaluación” en la Sección 5.2.2.1, “Catálogos de criterios” y, especialmente, la note al final de la sección.
Para más información sobre las definiciones ISA de los niveles de requisito “obligatorio” y “opcional”, consulte los “términos clave” en la hoja de Excel “Definiciones”.
Important
|
Nota importante: Es muy importante que comprenda que debe interpretar cada requisito en el contexto y el espíritu del objetivo. Incluso cumplir un requisito al pie de la letra no garantiza que el proveedor de auditoría confirme que usted lo cumple en el contexto y el espíritu del objetivo (columna J). Los requisitos y las descripciones se basan en una implementación teórica por parte de una empresa ficticia normal de tamaño desconocido. El proveedor de auditoría siempre debe sopesar el objetivo respecto a la implementación única en su empresa. Algo que sea adecuado para una empresa promedio podría no ser suficiente en su situación particular. Para más información, consulte la Sección 5.2.5, “Examine el resultado de la autoevaluación”. |
5.2.2.7. Niveles de madurez
La ISA utiliza el concepto de “maturity levels” ( “niveles de madurez”) para puntuar la calidad de todos los aspectos de su sistema de gestión de la seguridad de la información. Cuanto más sofisticado sea su sistema de gestión de la seguridad de la información, mayor será el nivel de madurez.
La ISA distingue seis niveles de madurez. Podrá encontrar la definición detallada en la hoja de Excel “Maturity levels” ( “Niveles de madurez”). Para una visión conjunta de los niveles de madurez, citamos a continuación las descripciones informales que se recogen en la ISA:
Maturity level ( |
En una palabra | Descripción |
---|---|---|
0 |
Incomplete ( |
No existe ningún proceso o el proceso no logra los objetivos porque no se sigue o no es adecuado. |
1 |
Performed ( |
Se sigue un proceso no documentado o documentado de forma incompleta y existen indicadores de que se han logrado los objetivos. |
2 |
Managed ( |
Se sigue un proceso que alcanza los objetivos. Se dispone de documentación del proceso y de la evidencia de la implementación del proceso. |
3 |
Established ( |
Se sigue un proceso estándar integrado en el sistema global. Las dependencias de otros procesos están documentadas y se han creado las interfaces necesarias. Existe evidencia de que el proceso se ha utilizado de forma sostenible y activa durante un periodo extenso. |
4 |
Predictable ( |
Se sigue un proceso establecido. La efectividad del proceso se controla de forma continua recopilando cifras clave. Se han definido valores límite a partir de los cuales se considera que el proceso no es lo suficientemente efectivo y requiere ajustes. (Indicadores clave de rendimiento) |
5 |
Optimizing ( |
Se sigue un proceso predecible con la mejora continua como objetivo principal. La mejora se impulsa activamente mediante recursos específicos. |
Ha de valorar el nivel de madurez de su sistema de gestión de la seguridad de la información para cada pregunta. Introduzca su nivel de madurez en la columna “Maturity level” ( “Nivel de madurez”) (columna E).
Su nivel de madurez |
Para más información sobre los niveles de madurez objetivo y su impacto en el resultado de la evaluación, consulte la Sección 5.2.4, “Interpretar el resultado de la autoevaluación”.
Con estos conocimientos, ahora está listo para iniciar la autoevaluación.
5.2.3. Realizar la autoevaluación
Abra el archivo de Excel y responda a todas las preguntas de control de cada catálogo de criterios aplicable a su(s) objetivo(s) de evaluación y determine el nivel de madurez que corresponda al estado actual de su sistema de gestión de la seguridad de la información. Responda según su entender. No hay respuestas correctas y equivocadas en esta fase.
Una vez completada la autoevaluación, la columna “Resultado” (H) de la hoja de Excel “Resultados (ISA5)” debería estar completamente cumplimentada, con números (0-5) o con “n.a.” (”no aplicable”).
Verde |
Si tiene preguntas sobre la ISA, póngase en contacto con nosotros.
5.2.4. Interpretar el resultado de la autoevaluación
Las siguientes cinco subsecciones explican cómo analizar e interpretar el resultado de la autoevaluación. El análisis le dirá si está listo o no para una evaluación TISAX.
5.2.4.1. Análisis
La puntuación final resume el resultado de la autoevaluación.
Encontrará la puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) en la hoja de Excel “Resultados (ISA5)” (celda D6). Explicaremos la “reducción” pronto.
Su puntuación final |
|
Resultado máximo |
Para entender e interpretar el resultado de la autoevaluación y su puntuación final, debe diferenciar dos niveles de análisis:
-
Nivel de pregunta
Este nivel tiene todas las preguntas. Para cada pregunta, hay un nivel de madurez objetivo y su nivel de madurez. -
Nivel de puntuación
En este nivel, hay un resultado total que resume los resultados de todas las preguntas. Existe un resultado máximo y su puntuación final.
La figura inferior muestra los niveles de análisis:
Análisis |
|
Nivel de pregunta |
|
Nivel de madurez objetivo |
|
Su nivel de madurez |
|
Nivel de puntuación |
|
Resultado máximo |
|
Su puntuación final |
La figura inferior muestra dónde encontrará los resultados a nivel de puntuación y los resultados a nivel de pregunta:
Nivel de puntuación |
|
Nivel de pregunta |
La siguiente figura muestra una vista simplificada de los niveles de análisis, las definiciones de objetivos de la ISA y sus propios resultados:
Nivel de madurez objetivo |
|
Su nivel de madurez |
|
Nivel de pregunta |
|
Q (Pregunta) |
|
TML (Nivel de madurez objetivo) |
|
YML (Su nivel de madurez) |
|
Resultado máximo |
|
Su puntuación final |
|
Nivel de puntuación |
Las siguientes secciones explican el resultado y su análisis en detalle.
5.2.4.2. El nivel de madurez objetivo (a nivel de pregunta)
La ISA define un “nivel de madurez objetivo” de 3 para cada pregunta.
Para más información sobre la definición de cada nivel de madurez, consulte la Sección 5.2.2, “Entender el documento ISA”.
La ISA define los niveles de madurez objetivo en la hoja de Excel “Resultados (ISA5)” (empezando por la columna G, fila 22, vea la figura más abajo).
Nivel de madurez objetivo |
5.2.4.3. Su resultado (a nivel de pregunta)
Para recibir etiquetas TISAX, normalmente debe tener para cada pregunta un nivel de madurez igual o superior al nivel de madurez objetivo.
Ejemplo: Si el nivel de madurez objetivo para la pregunta X es “3”, su nivel de madurez para esa pregunta debería ser “3” o superior. Si su nivel de madurez para la pregunta está por debajo de “3”, podría no recibir etiquetas TISAX.
Esto ha de ser así para cada pregunta. Si el nivel de madurez objetivo de dos preguntas es “3”, no puede compensar un nivel de madurez “2” en una pregunta con un nivel de madurez “4” en otra pregunta.
El documento ISA automáticamente transfiere los niveles de madurez de la hoja de Excel “Seguridad de la información” (columna E) a la hoja de Excel “Resultados (ISA5)” (empezando por la columna H, fila 23):
Su nivel de madurez objetivo |
Su nivel de madurez se somete a un cálculo antes de que el documento ISA lo resuma en la puntuación final. Básicamente, su nivel de madurez se “reduce” al nivel de madurez objetivo. Esto se hace así de forma que las preguntas en las que su nivel de madurez está por encima del nivel de madurez objetivo no compensen las preguntas en las que el nivel de madurez está por debajo del nivel de madurez objetivo.
Así calcula la ISA su resultado a nivel de pregunta:
-
Toma su nivel de madurez y lo compara con el nivel de madurez objetivo de la pregunta.
-
Si su nivel de madurez es superior al nivel de madurez objetivo, lo “reduce” al nivel de madurez objetivo.
-
Si su nivel de madurez es igual o inferior al nivel de madurez objetivo, no se hace nada a la pregunta.
Ejemplo (vea la figura más abajo): El nivel de madurez objetivo es “3”. Su nivel de madurez es “4”. Su “resultado reducido” para esa pregunta será “3”.
Entrada |
|
Cálculo |
|
Salida |
|
(Nivel de pregunta) |
|
Nivel de madurez objetivo (TML) |
|
Su nivel de madurez (YML) |
|
¿YML > TML? |
|
Sí: reducción a TML |
|
No: sin reducción |
|
Nivel de madurez resultante (RML) |
La siguiente figura muestra que, si su nivel de madurez es superior al nivel de madurez objetivo, la ISA lo reduce (los colores verde, naranja y rojo coinciden con los colores usados en la columna “Resultado”, véase la Figura 19, “Sus niveles de madurez en la hoja de Excel “Resultados (ISA5)””).
Ejemplo: |
|
YML |
|
TML |
|
Reducción |
A continuación se muestra otra forma de ver los niveles de madurez a nivel de pregunta. Los colores de los círculos ilustran el nivel de madurez objetivo o la “distancia” hasta dicho nivel (ejemplo: el círculo es naranja si el nivel de madurez está “-1” por debajo del nivel de madurez objetivo). Las marcas de verificación ilustran su nivel de madurez.
Nivel de madurez |
|
Pregunta |
|
Reducción |
|
Nivel de madurez objetivo (TML) |
|
Uno o más por encima del TML |
|
Uno por debajo del TML |
|
Dos o más por debajo del TML |
|
Su nivel de madurez (YML) |
|
Reducción al TML |
Nota
|
Recuerde: Es posible superar la evaluación TISAX incluso si no alcanza el nivel de madurez objetivo para todas las preguntas. En ese caso, la principal pregunta será si tiene un riesgo relevante. Si su nivel de madurez está por debajo del valor objetivo pero no existe ningún riesgo, podría ser suficiente. |
5.2.4.4. El objetivo (a nivel de puntuación)
La ISA define un nivel de madurez global “ideal”: el “resultado máximo” (o “Puntuación máxima”, celda G6).
Resultado máximo |
En teoría, el nivel de madurez global es la media de todos los niveles de madurez objetivo (a nivel de pregunta). Esto daría un resultado máximo de “3,0”.
Sin embargo, solo es “3,0” si todas las preguntas son aplicables a su situación. En cuanto una pregunta no es aplicable a su situación, el promedio cambia y el resultado máximo será inferior a “3,0”.
A partir de la vista mostrada (Figura 22, “Niveles de madurez a nivel de pregunta”), a continuación verá qué se incluye en el promedio para el resultado máximo:
Nivel de madurez |
|
Pregunta |
|
Reducción |
|
Resultado máximo |
5.2.4.5. Su resultado (a nivel de puntuación)
Su puntuación final total (“Resultado con reducción a los niveles de madurez objetivo”, celda D6):
-
resume el nivel de madurez total de su sistema de gestión de la seguridad de la información.
-
es la media de sus niveles de madurez (a nivel de pregunta).
-
puede ser igual o inferior al resultado máximo.
-
debería estar lo más cerca posible del resultado máximo. Cuanto más lejos esté su puntuación final del resultado máximo, menos probable es que reciba etiquetas TISAX.
Su puntuación final |
De nuevo a partir de la vista mostrada (Figura 22, “Niveles de madurez a nivel de pregunta”), a continuación verá qué se incluye en el promedio para la puntuación final:
Nivel de madurez |
|
Pregunta |
|
Reducción |
|
Su puntuación final |
La puntuación final le dice si:
-
está listo para una evaluación TISAX.
-
puede esperar recibir etiquetas TISAX.
Si su puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) está por debajo de “3,0”, significa que al menos en una pregunta su nivel de madurez no coincide con el nivel de madurez objetivo. En ese caso, es probable que tenga que mejorar su sistema de gestión de la seguridad de la información antes de estar listo para su evaluación TISAX.
Nota
|
Recuerde: Para la puntuación total, existen límites formales para una “distancia” aceptable entre su puntuación final y el resultado máximo (“Resultado con reducción a los niveles de madurez objetivo”). Si su puntuación final se encuentra más:
|
Important
|
Nota importante: Tener una puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) de “3” no es garantía de que superará la evaluación TISAX sin hallazgos negativos. Tenga en cuenta que el proveedor de auditoría puede ver ciertos aspectos de forma diferente a usted. |
5.2.4.6. ¿Está listo?
El objetivo del análisis anterior es saber si está listo para una evaluación TISAX.
Estará listo para una evaluación TISAX si su puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) es de “3,0” (o cercano a ese valor). En ese caso, todos los valores de la columna “Resultados” (H) estarán en verde (no en naranja o rojo).
Si no están en verde, deberá seguir analizando el resultado de la autoevaluación (consulte la Sección 5.2.5, “Examine el resultado de la autoevaluación”).
La siguiente figura muestra un diagrama de telaraña ISA de la hoja de Excel “Resultados (ISA5)”. La línea verde marca el nivel de madurez objetivo por cada capítulo. Si sus niveles de madurez están en esa línea o por encima, está listo para una evaluación TISAX. Si están por debajo de esa línea, podría no ser suficiente para obtener etiquetas TISAX.
Está listo para la evaluación TISAX |
|
Niveles de madurez objetivo |
|
¡Los niveles de madurez pueden no bastar para obtener etiquetas TISAX! |
Si “despliega” la telaraña ISA al nivel de pregunta, obtendrá una imagen verde/roja similar a nivel de pregunta:
Nivel de madurez |
|
Pregunta |
|
Su puntuación final puede no bastar para obtener etiquetas TISAX |
|
Está listo para la evaluación TISAX |
5.2.5. Examine el resultado de la autoevaluación
El resultado de su autoevaluación podría mostrar que necesita mejorar su sistema de gestión de la seguridad de la información antes de poder recibir las etiquetas TISAX.
Es posible que ya sepa cómo cerrar algunas brechas entre su nivel de madurez y el nivel de madurez objetivo. Para otras, puede que necesite asesoramiento externo. En ese caso, puede solicitar servicios de consultoría a nuestros proveedores de auditoría TISAX. TISAX permite que actúen como consultores, pero no lo exige. Recuerde que un proveedor de auditoría que le preste servicios de consultoría ya no podrá encargarse de su evaluación TISAX.
Important
|
Nota importante: No analizar correctamente el resultado de la autoevaluación antes de la evaluación supone un gran escollo para muchas empresas. No subestime los esfuerzos necesarios para adaptar su sistema de gestión de la seguridad de la información a los requisitos. Muchas empresas necesitan iniciar un proyecto de envergadura para prepararse para una evaluación TISAX. |
Nota
|
Recuerde: Si busca ayuda externa para llevar a cabo el proceso TISAX, verá que existen muchas empresas que ofrecen servicios de consultoría y formación. Ninguna de esas empresas están asociadas con nosotros. A día de hoy:
|
Nota
|
Recuerde: |
5.3. Selección del proveedor de auditoría
Solo los proveedores de auditoría autorizados por nosotros pueden llevar a cabo evaluaciones TISAX[15]. Los proveedores de auditoría TISAX solo están autorizados a llevar a cabo sus evaluaciones TISAX si previamente no le han prestado servicios de consultoría.
Todos nuestros proveedores de auditoría TISAX están obligados a llevar a cabo evaluaciones TISAX únicamente a empresas que son participantes registrados de TISAX.
Important
|
Nota importante: En cuanto haya registrado un alcance de la evaluación TISAX, deberá empezar a ponerse en contacto con nuestros proveedores de auditoría. Tienen ciertos tiempos de espera en lo que respecta a su disponibilidad. Ponerse en contacto con ellos después de terminar los preparativos podría suponer un retraso innecesario. |
Nota
|
Recuerde: Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, su alcance de la evaluación debe tener el estado “Approved” (Aprobado) o “Registered” (Registrado) Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5.5, “Assessment scope status “Awaiting your payment” ( |
5.3.1. Información de contacto
Una vez que haya registrado un alcance de la evaluación TISAX, podrá ponerse en contacto con todos los proveedores de auditoría TISAX y solicitar ofertas. La información de contacto figura en el mensaje de confirmación del registro que ha recibido[16] (consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación”).
Nota
|
Recuerde: Solicite ofertas a nuestros proveedores de auditoría TISAX solo DESPUÉS de haberse registrado. Los proveedores de auditoría comprobarán si está registrado. Sin registro, han de rechazar las peticiones. Este es el motivo por el que recibe la información de contacto de los proveedores de auditoría en el mensaje de confirmación del registro y no en nuestro sitio web público. |
5.3.2. Cobertura
Aunque actualmente un gran número de los proveedores de auditoría están en Alemania, recuerde que todos nuestros proveedores de auditoría son capaces de llevar a cabo evaluaciones TISAX en todo el mundo. La mayoría tiene incluso empleados propios en muchos países.
En nuestro sitio web, ofrecemos una página en la que puede seleccionar su país y ver qué proveedor de auditoría tiene personal de ventas local y/o auditores locales ( enx.com/en-US/TISAX/xap/).
5.3.3. Solicitud de ofertas
Para que nuestros proveedores de auditoría TISAX puedan calcular correctamente los esfuerzos de evaluación esperados, siempre deberá incluir el “TISAX Scope Excerpt”.
Para más información, consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación”.
Nota
|
Recuerde: La imparcialidad es una característica clave de nuestros proveedores de auditoría TISAX. Ellos se asegurarán de que no haya conflictos de intereses. Téngalo en cuenta cuando se ponga en contacto con ellos. Si su empresa tiene algún tipo de relación con un proveedor de auditoría, no espere que se encargue de su evaluación. |
5.3.4. Valoración de las ofertas
Puede elegir libremente entre todos nuestros proveedores de auditoría TISAX. Todos están sujetos al mismo contrato. Todos llevan a cabo evaluaciones basadas en los mismos criterios y los mismos métodos de auditoría. En términos del resultado de la evaluación, no habrá diferencias independientemente del proveedor de auditoría que elija. El resultado de su evaluación será aceptado por todos los participantes de TISAX.
Aparte de factores obvios como precio, reputación y simpatía, hay algunos aspectos de las ofertas en los que se puede fijar:
-
Disponibilidad:
¿Cuándo puede empezar el proceso de evaluación? Este puede ser un aspecto importante si obtener su evaluación TISAX es urgente. -
Costes de viajes para sesiones in situ:
Los proveedores de auditoría con oficinas en su país probablemente tendrán costes de viajes más bajos. -
Idioma:
¿Usted y el resto de personas entrevistadas de su empresa podrán comunicarse con el auditor en su idioma nativo? -
Alcance de la oferta:
¿Qué evaluaciones están incluidas?
Para más información sobre las evaluaciones, consulte la Sección 5.4.3, “Tipos de evaluación TISAX”.
Normalmente, las ofertas incluyen la evaluación inicial y la evaluación del plan de acciones correctivas. Como resulta difícil predecir el esfuerzo de las evaluaciones de seguimiento, este servicio se suele ofrecer una vez finalizadas las otras evaluaciones.
Al final, todo se reduce a la confianza. Ha de forjar una relación de confianza con su proveedor de auditoría, puesto que tendrá una visión bastante exhaustiva de su empresa.
Nota
|
Recuerde: |
Nota
|
Recuerde: Aunque nos gustaría poder decirle cuánto cobrarán nuestros proveedores de auditoría por la evaluación, entienda que es una información que no podemos proporcionar. Los costes dependen de demasiados factores. Además, nuestros proveedores de auditoría son libres a la hora de realizar sus cálculos comerciales. No obstante, podemos mencionar algunas estimaciones bastante aproximadas sobre el número de jornadas que le cobrarán nuestros proveedores de auditoría. Para una pequeña empresa promedia con una sola ubicación, deberá contar con entre tres jornadas y media y cuatro jornadas para una evaluación en el nivel de evaluación 2 y entre cinco y seis jornadas para una evaluación en el nivel de evaluación 3. |
Nota
|
Recuerde: Cada evaluación tiene un ciclo de vida. Para más información sobre el estado de una evaluación, consulte la Sección 7.6, “Anexo: Assessment status ( |
Una vez que haya escogido a uno de nuestros proveedores de auditoría TISAX, podrá finalmente iniciar el proceso de evaluación TISAX.
5.4. Proceso de evaluación TISAX
5.4.1. Sinopsis
El proceso de evaluación TISAX consiste en varios tipos de evaluación. En la mayoría de los casos habrá más de una evaluación.
Deberá ver el proceso de evaluación como una secuencia interconectada de pasos en la que:
-
Usted prepara su sistema de gestión de la seguridad de la información para que esté en plena forma.
-
El proveedor de auditoría comprueba si su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos. El auditor puede encontrar brechas.
-
Usted cierra esas brechas en un periodo definido.
-
El proveedor de auditoría comprueba de nuevo si se han cerrado las brechas.
Estos pasos se repiten hasta que todas las brechas se han cerrado.
Es importante entender que usted inicia cada paso intermedio en el proceso de evaluación. Todo el proceso de evaluación está bajo su control. Y, lógicamente, usted puede decidir parar y finalizar el proceso de evaluación en cualquier momento.[17]
El proceso de evaluación TISAX tiene la siguiente macroestructura:
-
Reunión inicial
Usted y el proveedor de auditoría planifican los detalles del proceso de evaluación -
Fase de evaluación 1
El proveedor de auditoría comprueba la autoevaluación -
Fase de evaluación 2
El proveedor de auditoría lleva a cabo la o las evaluaciones
5.4.2. Reunión inicial
El proceso de evaluación TISAX comienza con la reunión inicial. Aquí se planifican los detalles del proceso de evaluación. Normalmente, la reunión inicial se realiza por teleconferencia. El proveedor de auditoría le guiará a lo largo de la reunión.
En el orden del día figuran, entre otros, los siguientes temas:
-
¿Quiénes son los participantes de la reunión?
-
¿Quién es la empresa evaluada?
-
¿Cómo funciona el proceso de evaluación TISAX?
-
¿Cuál es el alcance de la evaluación y es correcto?
-
¿Existen conflictos de intereses?
-
¿Cómo es una buena autoevaluación?
-
¿Quién es responsable de qué?
-
¿Cómo nos vamos a comunicar?
-
¿Cuándo se llevará a cabo la evaluación (y otra planificación temporal)?
-
¿Quién debe participar en la o las evaluaciones?
-
¿A quién puede dirigirse si tiene una reclamación?
El periodo de tiempo entre el final de la reunión inicial y la entrega de la autoevaluación suele ser de uno a tres meses. Pero un plazo de seis meses tampoco es inusual. Depende del estado de preparación. TISAX no impone plazos para este periodo. Puede tomarse todo el tiempo que necesite para preparar la autoevaluación y para prepararse para la evaluación.
5.4.3. Tipos de evaluación TISAX
El proceso de evaluación TISAX consta de estos tres tipos de evaluación TISAX:
-
Evaluación inicial (
Initial assessment)
-
Evaluación del plan de acciones correctivas (
Corrective action plan assessment)
-
Evaluación de seguimiento (
Follow-up assessment) [18]
La evaluación inicial siempre se llevará a cabo. Las otras dos evaluaciones TISAX pueden o no darse y pueden darse más de una vez. Se llevarán a cabo:
-
hasta que cierre todas las brechas
-
o hasta que abandone el proceso de evaluación TISAX
-
o bien hasta que alcance el periodo máximo de nueve meses desde la finalización de la reunión final de la evaluación inicial (en ese momento, se requerirá otra evaluación inicial).
Todas las evaluaciones TISAX se describen en las secciones siguientes.
Nota
|
Recuerde: Cada evaluación tiene un ciclo de vida. Para más información sobre el estado de una evaluación, consulte la Sección 7.6, “Anexo: Assessment status ( |
5.4.4. Elementos de la evaluación TISAX
Cada evaluación TISAX consta de los siguientes elementos:
-
Reunión inicial formal[19][20]
-
Pretende cubrir todos los temas organizativos.
-
No tiene por qué ser una reunión presencial.
-
Los temas se pueden tratar en una sesión o bien repartirse a lo largo de varias sesiones.
-
Es un “contenedor lógico” para todos los temas organizativos previos a la evaluación.
-
-
Procedimiento de evaluación
-
Su proveedor de auditoría comprobará todos los requisitos.
-
Se seleccionarán los métodos de evaluación de acuerdo con el nivel de evaluación en cuestión.
-
-
Reunión final formal[21]
-
Cierra la evaluación TISAX.
-
El proveedor de auditoría presenta sus hallazgos.
-
El proveedor de auditoría anuncia el resultado de la evaluación.
-
No tiene por qué ser una reunión presencial.
-
Es un “contenedor lógico” para todos los temas organizativos posteriores a la evaluación.
-
Después de la “reunión final”, el proveedor de auditoría prepara y le envía el borrador del “informe de evaluación TISAX” actualizado. Usted puede expresar sus objeciones si opina que el proveedor de auditoría ha malinterpretado algo.[22] A continuación, el proveedor de auditoría emite el “informe de evaluación TISAX” definitivo.
Todos estos elementos se describirán en las próximas secciones.
5.4.5. Acerca de la conformidad
Antes de continuar con el proceso de evaluación TISAX, queremos explicar un concepto clave esencial para que entienda las siguientes secciones.
El objetivo de una evaluación TISAX es determinar si su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos. El proveedor de auditoría comprueba si su sistema de gestión de la seguridad de la información es “conforme” ( “conforms”) con los requisitos.
Paso 1: Se comprueba cada requisito aplicable individualmente.
Si su enfoque es “conforme” con todos los requisitos, usted supera la evaluación y recibe las etiquetas TISAX correspondientes a sus objetivos de evaluación.
Todo aquello que esté por debajo de la conformidad plena o ideal se denominará “hallazgo” ( finding). TISAX distingue entre cuatro tipos de hallazgo:
Núm. | Tipo | Definición | Reacción | Ejemplos |
---|---|---|---|---|
1. |
No conformidad mayor ( |
Una no conformidad mayor:
|
Debe:
|
|
2. |
No conformidad menor ( |
Una no conformidad menor:
|
Debe:
|
|
3. |
Observación ( |
Una observación es un incumplimiento de los requisitos de sus propias políticas que no supone un riesgo inmediato para la seguridad de su información pero que puede suponerlo en el futuro. |
Debe:
|
n/a |
4. |
Margen de mejora ( |
Una desviación que no pertenezca a los tipos anteriores y que no supone un riesgo para la seguridad de su información, pero que ofrece un margen de mejora evidente. |
Usted puede decidir si aborda este tipo de hallazgo y cómo. |
n/a |
Paso 2: Todos los resultados del paso previo “por requisito” se agrupan en un resultado global de la evaluación.
El resultado global de la evaluación puede ser:
-
Conforme (
Conform)
El resultado global de la evaluación es “conforme”. Todos los requisitos se cumplen -
No conforme con una desviación mínima (
Minor non-conform)
El resultado global de la evaluación es “no conforme con una desviación mínima” si tiene al menos una “no conformidad menor” para uno de los requisitos. -
No conforme con una desviación importante (
Major non-conform)
El resultado global de la evaluación es “no conforme con una desviación importante” si tiene al menos una “no conformidad mayor” para uno de los requisitos.
(Si no se dispone de un plan de acciones correctivas aprobado, cualquier no conformidad dará un resultado global de la evaluación de “no conforme con una desviación importante”.)
Si su resultado global de la evaluación es:
-
“no conforme con una desviación mínima”, podrá recibir etiquetas TISAX temporales hasta que se resuelvan todas las no conformidades.
-
“no conforme con una desviación importante”, ha de resolver el tema correspondiente antes de poder recibir etiquetas TISAX.
Con medidas de compensación adecuadas y acciones correctivas aprobadas por el proveedor de auditoría, es posible cambiar el resultado global de la evaluación de “no conforme con una desviación importante” a “no conforme con una desviación mínima” y recibir las etiquetas TISAX temporales.
Es importante que entienda que el resultado global de la evaluación mejorará durante el transcurso del proceso de evaluación TISAX.
Tenga en cuenta este ejemplo simplificado: puede que tenga un resultado global de la evaluación de “no conforme con una desviación importante” después de la evaluación inicial. A continuación, mitiga el riesgo correspondiente. Esto cambiará el resultado global de la evaluación de “no conforme con una desviación importante” a “no conforme con una desviación mínima”. Y una vez que haya eliminado el riesgo, su resultado global de la evaluación final será “conforme”.
Todo esto se explicará más adelante con mucho más detalle. Y también podrá encontrar más información sobre las etiquetas TISAX en: Sección 5.4.14, “Etiquetas TISAX”.
5.4.6. Su preparación para el proceso de evaluación TISAX
El proveedor de auditoría preparará la evaluación en función de su autoevaluación. Por tanto, tenga en cuenta que deberá facilitar la autoevaluación a su proveedor de auditoría con antelación. Las fechas de entrega exactas se acuerdan durante la reunión inicial.
Un proveedor de auditoría bien preparado reducirá el tiempo necesario para la evaluación. Además de la autoevaluación, también solicitará documentación pertinente antes de la evaluación. Esta puede ser la documentación que haya citado en la autoevaluación o cualquier otra documentación que el proveedor de auditoría considere relevante.
A partir de esta información, su proveedor de auditoría planificará el procedimiento de evaluación.
5.4.7. Evaluación inicial
Esta es la primera evaluación TISAX y marca el inicio formal del proceso de evaluación TISAX.
Important
|
Nota importante: La evaluación inicial marca el inicio de dos periodos importantes:
Ambos periodos comienzan el día de la reunión final de la evaluación inicial. |
Nota
|
Recuerde: Aparte de los dos periodos descritos anteriormente, no existen otras limitaciones temporales. Por ejemplo, ni completar el proceso de registro online, ni ponerse en contacto con nuestros proveedores de auditoría, ni siquiera celebrar la reunión inicial, activan ningún plazo. Depende de usted comenzar con la evaluación inicial. |
5.4.7.1. La primera reunión inicial formal
Como todas las evaluaciones TISAX, la evaluación inicial empieza con una reunión inicial formal. La reunión inicial formal suele realizarse mediante teleconferencia o videoconferencia. Para pequeñas empresas, posiblemente con alguna experiencia de otras auditorías, no lleva mucho tiempo.
El objetivo de esta reunión es:
-
comprobar los requisitos previos de la evaluación
-
presentar al jefe del proyecto de evaluación y al equipo de evaluación
-
planificar la evaluación
5.4.7.2. Procedimiento de evaluación
Según el plan elaborado, el proveedor de auditoría llevará a cabo la evaluación inicial. Los detalles concretos dependerán de sus objetivos de evaluación. La evaluación consiste principalmente en teleconferencias, entrevistas in situ e inspecciones in situ con diferentes grados de exhaustividad[23].
El proveedor de auditoría presentará todos sus hallazgos durante la evaluación inicial.
5.4.7.3. Reunión final
En la reunión final, su proveedor de auditoría resumirá de nuevo todos sus hallazgos.
5.4.7.4. Informe de evaluación TISAX
Después de la reunión final, el proveedor de auditoría preparará y le enviará el borrador del “informe de evaluación TISAX”. Usted puede expresar sus objeciones si opina que el proveedor de auditoría ha malinterpretado algo.[24] A continuación, el proveedor de auditoría emite el “informe de evaluación TISAX”.
En esta fase, el resultado global de la evaluación actual será:
-
Conforme, o
-
No conforme con una desviación importante
Cualquier no conformidad (menor) sin abordar siempre conlleva un resultado global de la evaluación de “no conforme con una desviación importante”. Su resultado global de la evaluación solo puede ser “no conforme con una desviación mínima” una vez que haya definido acciones que implementen medidas para abordar las no conformidades.
Para más información sobre cómo lograrlo, consulte la Sección 5.4.9.4, “Etiquetas TISAX temporales”.
Si su resultado global de la evaluación es “conforme” tras la evaluación inicial, puede saltarse el resto de la sección sobre las evaluaciones y proceder al intercambio de su resultado.
Si su resultado global de la evaluación es “no conforme con una desviación importante”, la próxima tarea será elaborar un plan para abordar los hallazgos y cerrar las brechas encontradas por el proveedor de auditoría. Este plan se llama oficialmente “plan de acciones correctivas” ( “corrective action plan”).
Nota
|
Recuerde: Si, antes de que comience la evaluación, sabe de una situación que dará lugar a una no conformidad y no podrá solucionarla antes de la evaluación, podría planificar ya una acción correctiva (incluida una fecha de implementación) y presentarla al proveedor de auditoría durante la evaluación. Esto, teóricamente, podría conducir a un resultado de evaluación global de "no conforme con una desviación mínima". No obstante, sería una situación excepcional. |
5.4.8. Preparación del plan de acciones correctivas
Su “plan de acciones correctivas” ( “corrective action plan”) define cómo prevé abordar los hallazgos de la evaluación inicial. Su proveedor de auditoría evaluará la adecuación de su “plan de acciones correctivas” (vea la siguiente sección).
Para crear su “plan de acciones correctivas”, debería considerar los siguientes requisitos:
-
Hallazgo
-
Debe indicar qué hallazgo aborda la acción correctiva.
-
-
Causa raíz
-
Debe identificar y describir la causa raíz del hallazgo.
-
-
Acciones correctivas
-
Por cada no conformidad deberá definir una o más “acciones correctivas” que implementarán medidas para abordar la no conformidad.
-
-
Fecha de implementación
-
Debe definir una fecha de implementación para cada acción correctiva.
-
El periodo de implementación debe dar tiempo suficiente para implementar las medidas a fondo.
-
-
Medidas de compensación
-
Para todas las no conformidades que crean riesgos críticos, deberá definir medidas de compensación que aborden las no conformidades hasta que las acciones correctivas se hayan implementado.
-
-
Periodo de implementación
-
Para todas las acciones correctivas que necesiten más de tres meses de implementación deberá justificar el periodo de implementación.
-
Para todas las acciones correctivas que necesiten más de seis meses, además deberá presentar evidencias de que una implementación más rápida no es posible.
-
El periodo de implementación para cualquier acción correctiva no puede ser superior a nueve meses.
-
Una vez completado el plan de acciones correctivas, podrá solicitar la “evaluación del plan de acciones correctivas”.
Important
|
Nota importante: Recomendamos que inicie la implementación lo antes posible. No hace falta esperar el resultado de la “evaluación del plan de acciones correctivas”. |
Nota
|
Recuerde: TISAX solo tiene requisitos en cuanto al contenido, no en cuanto a la forma de los planes de acciones correctivas. |
5.4.9. Evaluación del plan de acciones correctivas
La finalidad de la “evaluación del plan de acciones correctivas” es verificar que su “plan de acciones correctivas” (vea la información anterior) cumple los requisitos TISAX.
Usted envía el “plan de acciones correctivas” a su proveedor de auditoría. El proveedor de auditoría evaluará el plan según los requisitos (consulte más abajo). Si el plan cumple los requisitos, el proveedor de auditoría emitirá el “informe de evaluación TISAX” actualizado.
Esta evaluación no acostumbra a requerir mucho tiempo. En la mayoría de los casos, se tratará de una teleconferencia o videoconferencia. A veces incluso se gestiona tan solo por correo electrónico.
5.4.9.1. Motivos de una evaluación del plan de acciones correctivas
Los motivos de una “evaluación del plan de acciones correctivas” son:
-
Sigue habiendo no conformidades después de
-
una evaluación inicial
-
una evaluación de seguimiento
-
una evaluación de la ampliación del alcance
-
-
Un “plan de acciones correctivas” que ya se había evaluado pero no cumplía los requisitos
-
Los factores de influencia en los que se basa el cálculo de los plazos de implementación de un plan de medidas correctivas han cambiado
5.4.9.2. Combinación con la evaluación inicial
La “evaluación del plan de acciones correctivas” no es obligatoriamente un evento independiente. Tiene la opción de presentar el “plan de acciones correctivas” durante la reunión final de la evaluación inicial. El proveedor de auditoría puede entonces llevar a cabo la “evaluación del plan de acciones correctivas” directamente.
Si combina la “evaluación del plan de acciones correctivas” con la evaluación inicial y su “plan de acciones correctivas” cumple los requisitos, podrá acordar con el proveedor de auditoría que no necesita un “informe de evaluación inicial”. En su lugar, el proveedor de auditoría simplemente prepararía el “informe de evaluación del plan de acciones correctivas”. Este informe le permite recibir etiquetas TISAX temporales.
5.4.9.3. Requisitos del plan de acciones correctivas
El proveedor de auditoría evalúa su “plan de acciones correctivas” de acuerdo con los siguientes requisitos:
-
Las medidas son adecuadas
-
El proveedor de auditoría evaluará la idoneidad de una acción correctiva en función de si resolverá la causa raíz de la no conformidad.
-
-
Los riesgos críticos se mitigan con medidas de compensación adecuadas[25]
-
Los periodos de implementación son adecuados
-
Los periodos de implementación empiezan el día en que se concluye la evaluación inicial
-
-
Ningún periodo de implementación es superior a:
-
tres meses sin justificación adicional
-
seis meses sin justificación adicional y evidencias
-
nueve meses
-
5.4.9.4. Etiquetas TISAX temporales
Si su resultado global de la evaluación es “no conforme con una desviación mínima”, recibirá etiquetas TISAX temporales.
La ventaja de las etiquetas TISAX temporales es que su socio habitualmente las acepta bajo la condición de que más adelante usted reciba las etiquetas TISAX definitivas. Esto puede resultar útil si le urge demostrar a su socio la efectividad de su sistema de gestión de la seguridad de la información.
El requisito previo para obtener etiquetas TISAX temporales es la existencia de un informe de evaluación del plan de acciones correctivas con el resultado global de la evaluación “no conforme con una desviación mínima”.
Las etiquetas temporales TISAX equivalen a las etiquetas TISAX definitivas. La única diferencia es el periodo de validez más corto de las etiquetas temporales TISAX.
Las etiquetas temporales TISAX pueden ser válidas hasta nueve meses después de la reunión final de la evaluación inicial. El periodo de validez de las etiquetas temporales TISAX está determinado por el mayor periodo de implementación de las acciones correctivas.
Ejemplos:
-
Solo tiene una no conformidad. Debe llevar a cabo una revisión de la política. El periodo de implementación asociado es de dos meses.
En ese caso, sus etiquetas temporales TISAX son válidas durante dos meses. -
Tiene la no conformidad de la revisión de la política mencionada anteriormente. Además, tiene una no conformidad por la que tiene que construir un nuevo muro exterior como acción correctiva. Debido al tiempo que se tarda en obtener los permisos necesarios del ayuntamiento, el periodo de implementación asociado es de ocho meses.
En ese caso, sus etiquetas temporales TISAX son válidas durante ocho meses.
Para más información sobre los requisitos de los periodos de implementación, consulte la Sección 5.4.9.3, “Requisitos del plan de acciones correctivas”
Nota
|
Recuerde: La “evaluación del plan de acciones correctivas” es opcional. Puede ir directamente a la evaluación de seguimiento si:
|
Una vez que haya completado todas las acciones correctivas, deberá solicitar una “evaluación de seguimiento”.
5.4.10. Evaluación de seguimiento
El objetivo de la “evaluación de seguimiento” es evaluar si se han resuelto todas las no conformidades identificadas previamente. Por lo general, usted solicitará la evaluación de seguimiento cuando esté seguro de que todas las no conformidades están resueltas.
Pero puede tener tantas evaluaciones de seguimiento como necesite. Si durante una evaluación de seguimiento el proveedor de auditoría sigue identificando no conformidades o incluso detecta nuevas, usted simplemente deberá actualizar el plan de acciones correctivas e iniciar esta parte del proceso de evaluación de nuevo.
La evaluación puede ser una reunión presencial o una teleconferencia o videoconferencia.
5.4.10.1. Calendario
Su proveedor de auditoría puede realizar la o las evaluaciones de seguimiento durante los nueve meses siguientes a concluir la evaluación inicial[26].
5.4.10.2. Requisitos previos
Si no necesita etiquetas TISAX temporales, puede solicitar directamente una evaluación de seguimiento. No necesita tener una “evaluación del plan de acciones correctivas” antes de la evaluación de seguimiento.
5.4.10.3. Vencimiento de las etiquetas TISAX temporales
En caso de que necesite etiquetas TISAX temporales, asegúrese de que no haya un lapso temporal hasta recibir las etiquetas TISAX definitivas. Por este motivo, le recomendamos que solicite la evaluación de seguimiento con mucha antelación respecto a la última fecha posible[27]. Querrá tener suficiente margen de tiempo para ocuparse de cualquier hallazgo menor identificado durante la evaluación de seguimiento.
5.4.11. Diagrama del proceso de evaluación TISAX
Las secciones anteriores se resumen en el siguiente diagrama de proceso:
Sus acciones |
|
Acciones del proveedor de auditoría |
|
Inicio |
|
Preparación de la evaluación |
|
Iniciado por usted |
|
Inicio de la duración máxima de nueve meses |
|
Evaluación inicial |
|
Informe de evaluación inicial |
|
¿No conformidades encontradas? |
|
No |
|
e) |
|
Sí |
|
Redactar el plan de acciones correctivas |
|
d) |
|
Iniciado por usted |
|
Iniciar/continuar con las acciones correctivas |
|
Evaluación del plan de acciones correctivas |
|
Informe de evaluación del plan de acciones correctivas |
|
No (incompleto o inadecuado) |
|
¿Plan de acciones correctivas correcto? |
|
c) |
|
b) |
|
a) |
|
Etiquetas TISAX temporales posibles |