Lleve a cabo el proceso de evaluación TISAX y comparta el resultado de la evaluación con sus socios

Publicado por

ENX Association
asociación según la ley francesa de 1901,
con núm. de registro w923004198 en la Sous-préfecture de Boulogne-Billancourt, Francia

Direcciones
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francia
Bockenheimer Landstraße 97-99, 60325 Fráncfort del Meno, Alemania

Autor

Florian Gleich

Contacto

tisax@enx.com
+49 69 9866927-77

Versión

Fecha:

06/01/2021

Versión:

2.3 beta

Clasificación:

Público

ID doc. ENX:

602-ES

Todos los derechos reservados por la ENX Association.
ENX, TISAX y los logotipos correspondientes son marcas registradas de la ENX Association.
Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios.

1. Sinopsis

1.1. Finalidad

Le damos la bienvenida a TISAX (Trusted Information Security Asessment Exchange o intercambio confiable de evaluación de seguridad de la información).

Uno de sus socios le ha solicitado que demuestre que su gestión de la seguridad de la información cumple un nivel definido de acuerdo con los requisitos de la “Evaluación de la seguridad de la información (ISA, por sus siglas en inglés) de la VDA[1]”. De forma que quiere comprobar si cumple estos requisitos.

El objetivo de este manual es permitirle satisfacer la solicitud de su socio o bien anticiparse antes de que se lo soliciten.

El manual describe los pasos que debe seguir para superar la evaluación TISAX y para compartir el resultado de la evaluación con sus socios.

Establecer y mantener un sistema de gestión de la seguridad de la información (ISMS, por sus siglas en inglés) ya es una tarea compleja. Demostrar a sus socios que ese sistema de gestión de la seguridad de la información está a la altura añade aún más complejidad. Este manual no le ayudará a gestionar la seguridad de la información. Sin embargo, pretende hacer que la tarea de demostrar a sus socios su empeño sea lo más fácil posible.

1.2. Alcance

Este manual hace referencia a todos los procesos TISAX en los que pueda participar.

Contiene todo lo que necesita saber para llevar a cabo el proceso TISAX.

El manual ofrece asesoramiento sobre cómo tratar los requisitos en materia de seguridad de la información en el marco de la evaluación. Sin embargo, no pretende informarle en general sobre lo que tiene que hacer para superar la evaluación de seguridad de la información.

1.3. Destinatarios

Los principales destinatarios de este manual son empresas que necesitan o quieren demostrar un nivel definido de gestión de la seguridad de la información de acuerdo con la “Evaluación de la seguridad de la información (ISA) de la VDA”.

Tan pronto como se involucre activamente en los procesos TISAX, se beneficiará de la información que contiene este manual.

También se beneficiarán las empresas que solicitan a sus proveedores que demuestren niveles definidos de gestión de la seguridad de la información. Este manual les permite entender qué deben hacer sus proveedores para satisfacer esa demanda.

1.4. Estructura

Empezaremos con una breve introducción a TISAX y, a continuación, pasaremos a dar instrucciones sobre CÓMO hacer las cosas. Encontrará todo lo que necesita saber para llevar a cabo el proceso, en el orden en que necesita saberlo.

El tiempo de lectura estimado de este documento es de 75-90 minutos.

1.5. Cómo usar este documento

Tarde o temprano, querrá entender la mayor parte de las cosas descritas en este documento. Para prepararse adecuadamente, le recomendamos la lectura del manual completo.

Hemos estructurado el manual según los tres pasos principales del proceso TISAX, de forma que puede ir la sección que necesita y leer el resto más tarde.

El manual utiliza ilustraciones para facilitar la comprensión. Los colores de las ilustraciones a menudo tienen un significado adicional. Por tanto, le recomendamos que lea el documento en una pantalla o como impresión a color.

Agradecemos sus comentarios. Si cree que falta algo en este manual o que no se entiende fácilmente, no dude en hacérnoslo saber. Nosotros y los futuros lectores agradecerán los comentarios.

Si ya ha usado una versión anterior del manual del participante de TISAX, encontrará algunas notas importantes al final del documento en la Sección 8, “Historial del documento”.

1.6. Contacto

Estamos a su disposición para guiarle a lo largo del proceso TISAX y para responder cualquier duda que se le plantee.

Envíenos un mensaje de correo electrónico a:

tisax@enx.com

O llámenos al:

+49 69 9866927-77

Nos podrá localizar durante el horario de oficina habitual de Alemania (UTC+01:00).

Todos hablamos Icono de la bandera del Reino Unido inglés y Icono de la bandera de Alemania alemán. Dos de nuestros compañeros son hablantes nativos de Icono de la bandera de Italia italiano.

1.7. El manual del participante de TISAX en otros idiomas y formatos

El manual del participante de TISAX está disponible en los siguientes idiomas y formatos:

Idioma Versión Formato Enlace Tamaño

Icono de la bandera del Reino Unido Inglés

2.4

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icono de la bandera de Alemania Alemán

2.4

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icono de la bandera de Francia Francés

2.3 beta

Online

https://www.enx.com/handbook/tph-fr.html

n/a

Offline

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icono de la bandera de China Chino

2.3 beta

Online

https://www.enx.com/handbook/tph-cn.html

n/a

Offline

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

Icono de advertencia importante

Nota importante:

La versión en inglés es la versión principal.
El resto de versiones son traducciones del texto inglés.
En caso de duda, la versión en inglés prevalece.

1.7.1. Acerca de la traducción al español

Este Manual del participante de TISAX es una traducción del texto inglés.

Todos los documentos que se utilizan en TISAX se han creado en inglés (p. ej., todos los contratos y requisitos para los proveedores de servicios de auditoría TISAX). Como resultado, su socio o proveedor de auditoría puede usar algunos términos específicos de TISAX en inglés.

Para que pueda asignarlos correctamente, o bien hemos dejado el término original TISAX en inglés en la traducción al español del Manual del participante de TISAX, o bien hemos incluido el término en inglés entre paréntesis detrás de la traducción al español.

1.7.2. Acerca del formato online

Cada sección tiene un ID único (formato: ID1234).
El ID hace referencia a una sección específica, independientemente del idioma.
Si quiere desplazarse a una sección específica, puede:

  • hacer clic con el botón derecho sobre el título de la sección y copiar el enlace, o bien

  • hacer clic sobre el título de la sección y copiar el enlace de la barra de dirección de su navegador.

La mayoría de figuras están disponibles en un tamaño mayor al mostrado de forma predeterminada. Haga clic sobre la figura para abrir la versión mayor.

1.7.3. Acerca del formato offline

El formato offline mantiene la mayoría de funciones del formato online. En particular, las figuras están incrustadas en el archivo HTML. Solo necesita un archivo para usar el formato offline.

En comparación con el formato online, el formato offline no cuenta con lo siguiente:

  • las imágenes de mayor tamaño

  • las fuentes originales del formato online
    Los ajustes predeterminados de su navegador definirán las fuentes.

1.7.4. Acerca del formato PDF

El formato PDF se basa en el formato online. Básicamente, hemos usado un navegador para guardar el formato online como PDF.

Si usa el formato PDF en su PC, podrá hacer clic en todas las referencias. Pero, si imprime la versión en PDF, no tendrá remisiones a través de los números de página y deberá buscar las referencias por su cuenta.

2. Introducción

Las siguientes secciones presentan el concepto TISAX.

Si tiene prisa, puede saltárselas y empezar directamente en la Sección 4.3, “Preparación del registro”.

2.1. ¿Por qué TISAX?

O, más bien, ¿por qué está usted aquí?

Para contestar a estas preguntas, empezaremos con algunas reflexiones sobre los negocios en general y la protección de la información en particular.

Imagínese a su socio. Tiene información confidencial. Quiere compartir esa información con su proveedor, usted. La cooperación entre usted y su socio crea valor. La información que su socio comparte con usted es una parte importante de esa creación de valor. Por tanto, quiere protegerla de forma adecuada. Y quiere asegurarse de que usted trata su información con el mismo cuidado.

Pero ¿cómo puede saber que su información está en buenas manos? No puede simplemente “creerle”. Su socio debe tener alguna prueba.

Llegados a este punto, hay dos cuestiones. ¿Quién define qué es un manejo “seguro” de la información? Y, ¿cómo se demuestra?

2.2. ¿Quién define qué significa "seguro"?

Usted y su socio no son los únicos que se enfrentan a estas cuestiones por primera vez. Prácticamente todo el mundo tiene que encontrarles respuesta, y la mayoría de respuestas se parecerán.

En lugar de crear una solución independiente cada vez a un problema común, un método estándar le evita tener que partir de cero. Si bien definir un estándar supone un gran esfuerzo, solo se hace una vez y los que vienen detrás se benefician de ello cada vez.

Seguro que hay distintas opiniones sobre lo que hay que hacer para proteger la información. Pero, por las ventajas indicadas antes, la mayoría de las empresas apuestan por los estándares. Un estándar contiene de forma condensada todas las mejores prácticas, probadas en el tiempo y acreditadas, para hacer frente a un reto concreto.

En nuestro caso, los estándares como ISO/IEC 27001 (sobre los sistemas de gestión de la seguridad de la información, o ISMS) y su implementación establecen una forma reconocida de manejar de forma segura la información confidencial. Un estándar como este le evita tener que reinventar la rueda cada vez. Y, aún más importante, los estándares constituyen una base común cuando dos empresas necesitan intercambiar datos confidenciales.

2.3. El camino de la automoción

Por naturaleza, los estándares independientes de la industria se diseñan como soluciones de talla única, y no a medida de las necesidades concretas de las empresas de automoción.

Hace cierto tiempo, el sector del automóvil formó asociaciones con el objetivo --entre otros-- de perfeccionar y definir estándares ajustados a sus necesidades específicas. La Asociación Alemana de la Industria Automotriz (VDA) es una de ellas. En el grupo de trabajo encargado de la seguridad de la información, diversos miembros del sector llegaron a la conclusión de que tienen necesidades similares suficientes como para ajustar a medida los estándares de gestión de la seguridad de la información.

Su esfuerzo conjunto se tradujo en un cuestionario que cubre los requisitos de seguridad de la información ampliamente aceptados por la industria del automóvil. Se llama “VDA Information Security Assessment” (ISA).

Con la ISA, tenemos una respuesta a la pregunta “¿Quién define qué significa ‘seguro’?” A través de la VDA, la industria automotriz ofrece esta respuesta a sus miembros.

2.4. ¿Cómo demostrar la seguridad de forma eficiente?

Mientras que algunas empresas usan la ISA únicamente con fines internos, otras la usan para evaluar la madurez de la gestión de la seguridad de la información de sus proveedores. En algunos casos, una autoevaluación es suficiente para la relación comercial. Sin embargo, en ciertos casos, las empresas llevan a cabo una evaluación completa de la gestión de la seguridad de la información de su proveedor (incluidas auditorías in situ).

Junto con la creciente conciencia de la necesidad de una gestión de la seguridad de la información y el aumento en la adopción de la ISA como herramienta para las evaluaciones de la seguridad de la información, cada vez más proveedores se enfrentaban a solicitudes similares de distintos socios.

Esos socios seguían aplicando estándares diferentes y tenían opiniones variadas sobre cómo interpretarlos. Sin embargo, los proveedores tenían que demostrar las mismas cosas, solo que de formas diferentes.

Y cuantos más proveedores debían probar a sus socios su nivel de gestión de la seguridad de la información, más fuertes se volvieron las quejas por tener que repetir el mismo esfuerzo una y otra vez. Mostrar a un auditor tras otro las mismas medidas de gestión de la seguridad de la información simplemente no es eficiente.

¿Qué se puede hacer para que esto sea más eficiente? ¿No ayudaría si el informe de un auditor pudiera reutilizarse para distintos socios?

Los OEM y los proveedores que integran el grupo de trabajo de la VDA responsable de mantener la ISA escucharon las quejas de los proveedores. Ahora ofrecen una respuesta a sus proveedores, así como al resto de empresas del sector del automóvil, para la pregunta “¿Cómo demostrar la seguridad?”

La respuesta es TISAX, la abreviatura de “Trusted Information Security Assessment Exchange” (Icono de la bandera de España intercambio confiable de evaluación de seguridad de la información).

3. El proceso TISAX

3.1. Sinopsis

El proceso TISAX habitualmente[2] empieza con que uno de sus socios le solicita que pruebe un nivel definido de gestión de la seguridad de la información de acuerdo con los requisitos de la “VDA Information Security Assessment” (ISA). Para responder a esta solicitud, debe completar el proceso TISAX de 3 pasos. Esta sección le proporciona un resumen de los pasos que deberá dar.

El proceso TISAX de 3 pasos consiste en:

Sinopsis del proceso TISAX
Figura 1. Sinopsis del proceso TISAX
img callout black 01

Paso 1
Registro

img callout black 02

Paso 2
Evaluación

img callout black 03

Paso 3
Intercambio

  1. Registro
    Recopilamos la información sobre su empresa y lo que debe formar parte de la evaluación.

  2. Evaluación
    Usted lleva a cabo la evaluación o las evaluaciones, a cargo de uno de nuestros proveedores de auditoría TISAX.

  3. Intercambio
    Comparte el resultado de la evaluación con sus socios.

Cada paso contiene subpasos. Estos se presentan en las tres secciones siguientes y se describen detalladamente en sus secciones correspondientes.

Icono de advertencia informativa

Recuerde:

Aunque nos gustaría poder decirle cuánto tiempo necesitará para obtener su resultado de evaluación TISAX, entienda que es algo que no podemos predecir de forma fiable. La duración total del proceso TISAX depende de demasiados factores. La gran variedad de tamaños de empresa y objetivos de evaluación, así como el respectivo grado de preparación del sistema de gestión de la seguridad de la información, hacen que sea imposible.

No obstante, TISAX define una duración máxima de nueve meses para todo el proceso de evaluación TISAX.

3.2. Registro

El primer paso es el registro TISAX.

El principal objetivo del registro TISAX es recopilar información sobre su empresa. Usamos un proceso de registro online para ayudarle a proporcionar esa información.

Es el requisito previo a todos los pasos siguientes. Está sujeto a una tasa.

Durante el proceso de registro online:

  • Le solicitamos información de contacto y de facturación.

  • Debe aceptar nuestras condiciones.

  • Puede definir el alcance de su evaluación de la seguridad de la información.

Para empezar directamente con este paso, consulte la Sección 4, “Registro (paso 1)”.

El proceso de registro online se describe en detalle en la Sección 4.5, “Proceso de registro online”. No obstante, si quiere empezar ahora mismo, vaya a Icono de la bandera del Reino Unido enx.com/en-US/TISAX/.

3.3. Evaluación

El segundo paso es llevar a cabo la evaluación de la seguridad de la información.

Existen cuatro subpasos:

  1. Preparación de la evaluación
    Ha de preparar la evaluación. El grado de preparación dependerá del nivel de madurez actual de su sistema de gestión de la seguridad de la información. La preparación se debe basar en el catálogo ISA.

  2. Selección del proveedor de auditoría
    Cuando esté listo para la evaluación, debe elegir a uno de nuestros proveedores de auditoría TISAX.

  3. Evaluación de la seguridad de la información
    Su proveedor de auditoría llevará a cabo la evaluación de acuerdo con el alcance necesario para cumplir los requisitos de su socio. Este proceso de evaluación constará de una auditoría inicial como mínimo.
    Si su empresa no supera la evaluación a la primera, el proceso de evaluación puede requerir pasos adicionales.

  4. Resultado de la evaluación
    Una vez que su empresa haya superado la evaluación, el proveedor de auditoría le facilitará el informe TISAX oficial. El resultado de su evaluación también recibirá “etiquetas TISAX”[3].

Para más información sobre este paso, consulte la Sección 5, “Evaluación (paso 2)”.

3.4. Intercambio

El tercer y último paso es compartir el resultado de la evaluación con su socio. El contenido del informe TISAX está estructurado en niveles. Puede decidir hasta qué nivel tendrá acceso su socio.

El resultado de la evaluación es válido durante tres años. Suponiendo que siga siendo proveedor del socio para entonces, tendrá que llevar a cabo el proceso de tres pasos de nuevo[4].

Para más información sobre este paso, consulte la Sección 6, “Intercambio (paso 3)”.


Ahora que ya tiene una idea básica del proceso TISAX, en las siguientes secciones encontrará información sobre cómo realizar cada paso.

4. Registro (paso 1)

El tiempo de lectura estimado de la sección de registro es de 30-40 minutos.

4.1. Sinopsis

El registro TISAX es el primer paso. Es el requisito previo a todos los pasos siguientes.

Las siguientes secciones le guiarán a través del registro:

  1. Empezaremos explicando un nuevo término fundamental.

  2. Después, le recomendaremos qué debería hacer para preparar el proceso de registro online.

  3. A continuación, le guiaremos a través del proceso de registro online.

4.2. Usted es un participante de TISAX

En primer lugar, permítanos presentarle un nuevo término que es imprescindible entender. Hasta ahora, usted era el “proveedor”. Ahora está aquí para cumplir el requisito de su “cliente”. Sin embargo, TISAX no distingue entre estos dos roles. Para TISAX, cualquiera que se registre es un “participante”. Usted --al igual que su socio-- “participa” en el intercambio de los resultados de la evaluación de la seguridad de la información.

Registro para convertirse en participante de TISAX
Figura 2. Registro para convertirse en participante de TISAX
img callout black 01

Su empresa

img callout black 02

Registro TISAX

img callout black 03

Participante de TISAX

Para diferenciar los dos roles desde el principio, nos referimos a usted, el proveedor, como “participante activo”. Nos referimos a su socio como “participante pasivo”. Como “participante activo”, usted se somete a una evaluación TISAX y comparte el resultado de la evaluación con otros participantes. El “participante pasivo” es quien ha solicitado que se someta a la evaluación TISAX. El “participante pasivo” recibe el resultado de la evaluación.

Participante pasivo y participante activo
Figura 3. Participante pasivo y participante activo
img callout black 01

1 Solicita una evaluación del

img callout black 02

Participante pasivo

img callout black 03

Participante activo

img callout black 04

2 Se somete a una evaluación TISAX

img callout black 05

3 Comparte los resultados con el

Cualquier empresa puede tener los dos roles. Puede compartir el resultado de su evaluación con su socio, a la vez que solicita a sus propios proveedores que se sometan a la evaluación TISAX.

Los participantes de TISAX pueden ser activos y pasivos al mismo tiempo
Figura 4. Los participantes de TISAX pueden ser activos y pasivos al mismo tiempo
img callout black 01

Su cliente
= pasivo

img callout black 02

Usted comparte con el cliente

img callout black 03

Participante activo

img callout black 04

Usted

img callout black 05

Participante pasivo

img callout black 06

Comparte con usted

img callout black 07

Su propio proveedor
= activo

Solicitar a sus propios proveedores que se sometan a una evaluación TISAX puede ser especialmente recomendable si estos también manejan la información confidencial de su socio.

4.3. Preparación del registro

En esta sección le damos consejos sobre cómo prepararse para el registro. Describimos el proceso de registro en detalle en la Sección 4.5, “Proceso de registro online”.

Antes de iniciar el proceso de registro online, le recomendamos encarecidamente:

  • que recopile la información por adelantado

  • y que tome algunas decisiones.

4.3.1. La base legal

Normalmente, tendrá que firmar dos contratos. El primer contrato que suscribe es entre usted y ENX Association: las “Condiciones generales de participación en TISAX” (TISAX Participant GTCs). El segundo contrato es entre usted y uno de nuestros proveedores de auditoría TISAX. Para el registro, solo nos centraremos en el primer contrato.

Las Condiciones generales de participación en TISAX rigen nuestra relación mutua y su relación con otros participantes de TISAX. Definen los derechos y las obligaciones de todos nosotros. Además de las cláusulas habituales que encontrará en la mayoría de contratos, definen con detalle el manejo de la información intercambiada y obtenida durante el proceso TISAX. Un objetivo clave de estas reglas es mantener confidenciales los resultados de la evaluación TISAX. Como todos los participantes de TISAX están sujetos a las mismas normas, puede esperar una protección adecuada del resultado de su evaluación TISAX por parte de su socio (en su rol de participante pasivo).

Relativamente pronto en el proceso de registro online, le pediremos que acepte las Condiciones generales de participación en TISAX. Como se trata de un contrato real, le recomendamos que lea las Condiciones generales de participación en TISAX al iniciar el proceso de registro online. Uno de los motivos es que, en función del cargo que ocupe en su empresa, necesitará obtener una autorización de un abogado interno o externo.

Puede descargar las “Condiciones generales de participación en TISAX”[5] en nuestro sitio web en:
Icono de la bandera del Reino Unido enx.com/en-US/TISAX/downloads/

Descarga directa en PDF:
Icono de la bandera del Reino Unido enx.com/tisaxgtcen.pdf

Durante el proceso de registro online, le pediremos que marque dos casillas de verificación obligatorias:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icono de la bandera de España Aceptamos las Condiciones generales de participación en TISAX

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icono de la bandera de España Como solicitante, confirmamos conocer la exención del proveedor de auditoría de su obligación de confidencialidad según la sección IX.5. y X.3 de las Condiciones generales de participación en TISAX;

Tenemos la segunda casilla de verificación porque algunos de nuestros proveedores de auditoría TISAX son auditores de cuentas. Los auditores de cuentas tienen requisitos especiales acerca del secreto profesional. Preste especial atención a dichas cláusulas antes de marcar la casilla de verificación.

Si suele exigir un acuerdo de confidencialidad (NDA, por sus siglas en inglés) entre usted y cualquiera que trate información confidencial, lea las secciones correspondientes de nuestras Condiciones generales. Deberían dar respuesta a todas sus inquietudes.

Para finalizar la sección legal, entienda que el sistema depende de que todos acepten las mismas normas. Por tanto, no podemos aceptar condiciones generales adicionales[6].

4.3.2. El alcance de la evaluación TISAX

En el segundo paso del proceso TISAX, uno de nuestros proveedores de auditoría TISAX llevará a cabo la evaluación de la seguridad de la información. Para ello necesita saber dónde empezar y dónde acabar. Por tanto, debe definir un “alcance de la evaluación”.

El “alcance de la evaluación” describe el alcance que tendrá la evaluación de la seguridad de la información. Dicho de otra forma, cada parte de su empresa que maneje la información confidencial de su socio es parte del alcance de la evaluación. Puede considerarlo un elemento principal de la descripción de la tarea del proveedor de auditoría. Determina qué debe evaluar el proveedor de auditoría.

El alcance de la evaluación es importante por dos motivos:

  1. El resultado de la evaluación solo satisfará los requisitos de su socio si su alcance cubre todas las partes de su empresa que manejan información del socio.

  2. Un alcance de la evaluación definido con precisión es un requisito previo fundamental para el cálculo del coste por los proveedores de auditoría TISAX.

Icono de advertencia importante

Nota importante:

Si su empresa está certificada según ISO/IEC 27001: la definición del “alcance de la evaluación TISAX” y la definición de alcance exigida por la certificación ISO/IEC 27001 son similares. La diferencia es que en TISAX el alcance se define con antelación.

4.3.2.1. Descripción del alcance

La descripción del alcance define el alcance de la evaluación. Para la descripción del alcance, ha de elegir uno de los dos tipos de alcance:

  1. Standard scope (Icono de la bandera de España Alcance estándar)

  2. Custom scope (Icono de la bandera de España Alcance personalizado)

    1. Extended scope (Icono de la bandera de España Alcance ampliado)

    2. Narrowed scope (Icono de la bandera de España Alcance reducido)

4.3.2.2. Alcance estándar

La descripción de alcance estándar es la base para la evaluación TISAX. Otros participantes de TISAX solo aceptarán resultados de la evaluación basados en la descripción del alcance estándar.

La descripción del alcance estándar está predefinida y no puede cambiarla. Si quiere usar una descripción de alcance personalizado, puede elegir entre ampliar o reducir el alcance de su evaluación.

Una gran ventaja de contar con un alcance estándar es que usted no necesita pensar en su propia definición.

Esta es la descripción del alcance estándar[7]:

Icono de la bandera del Reino Unido

Icono de la bandera de España

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
El alcance estándar abarca todos los procesos y recursos implicados en las sedes definidas más abajo sujetas a requisitos de seguridad por socios del sector del automóvil. Los procesos y recursos implicados incluyen la recopilación de información, el almacenamiento de información y el procesamiento de información.

Ejemplos de recursos implicados: equipos de trabajo, empleados, sistemas de TI, incluidos servicios en la nube como infraestructuras/plataformas/software como servicio, sedes físicas, contratistas relevantes

Ejemplos de sedes: oficinas, centros de desarrollo, plantas de producción, centros de datos

Le recomendamos encarecidamente que elija el alcance estándar. Todos los participantes de TISAX aceptan los resultados de la evaluación de la seguridad de la información basados en el alcance estándar.

4.3.2.3. Determinación del alcance

Su próxima tarea después de definir el alcance es decidir qué ubicaciones forman parte del alcance de la evaluación.

Si su empresa es pequeña (una ubicación), es una tarea fácil. Simplemente ha de añadir su ubicación al alcance de la evaluación.

Si su empresa es grande, considere la opción de registrar más de un alcance de la evaluación.

Tener un único alcance que contenga todas las ubicaciones tiene ventajas:

  • Tendrá un informe de evaluación, un resultado de la evaluación, una fecha de vencimiento.

  • Podrá beneficiarse de costes reducidos para la evaluación porque el proveedor de auditoría TISAX solo ha de evaluar sus procesos, procedimientos y recursos centrales una sola vez.

Sin embargo, un único alcance también puede conllevar desventajas como:

  • El resultado de su evaluación solo estará disponible cuando el proveedor de auditoría TISAX haya evaluado todas las ubicaciones. Este hecho puede ser importante si necesita el resultado de la evaluación con urgencia.

  • El resultado de la evaluación dependerá de que todas las ubicaciones superen la evaluación. Si una sola ubicación no la supera, no obtendrá un resultado positivo de la evaluación.[8]

4.3.2.4. Personalización del alcance

Solo usted puede dar respuesta a la pregunta de si le conviene tener un solo alcance o varios. Pero las preguntas del siguiente diagrama podrían ayudarle a decidir.

Diagrama de flujo de personalización del alcance
Figura 5. Diagrama de flujo de personalización del alcance
img callout black 01

INICIO
Todas las ubicaciones que necesitarán una evaluación en el futuro

img callout black 02

Paso 1: ¿Necesita una evaluación para más de una ubicación?

img callout black 03

Paso 2: ¿Tiene tiempo suficiente para preparar la evaluación de todas las ubicaciones?

img callout black 04

Paso 3: ¿Todas las ubicaciones comparten un ISMS central (p. ej., responsabilidades, infraestructura, políticas y procesos)?

img callout black 05

Paso 4: ¿Todas las sedes comparten el mismo objetivo de evaluación (p. ej., protección de vehículos prototipo o información con necesidad de protección muy alta)?

img callout black 06

Fin: Registre el alcance de la evaluación
El alcance de la evaluación registrado deberá incluir las ubicaciones restantes.

img callout black 07

Separe las ubicaciones.
Vuelva a empezar para cada conjunto de ubicaciones.

img callout black 08

No

img callout black 09

Icono de advertencia informativa

Recuerde:

No se deje intimidar por esta decisión. Puede cambiar cualquier alcance mientras el proveedor de auditoría no haya finalizado la evaluación.

Por ejemplo, durante la preparación de la evaluación podría darse cuenta de que el alcance no se ajusta y cambiarlo en consecuencia. O su proveedor de auditoría podría recomendarle que cambie el alcance durante las primeras fases de la evaluación.

Recuerde: Ampliar el alcance incrementa la tasa pero, si elimina alguna ubicación del alcance, no recibirá un reembolso.

4.3.2.5. Ubicaciones dentro del alcance

Una vez que haya decidido qué ubicaciones son parte del alcance de la evaluación, puede seguir recopilando información específica de cada ubicación.

Para cada ubicación solicitamos información como el nombre de la empresa y la dirección. También solicitamos información adicional que permita a nuestros proveedores de auditoría TISAX hacerse una mejor idea de la estructura de su empresa. Las respuestas serán la base para sus cálculos.

Prepárese para dar los siguientes datos de cada una de sus ubicaciones (el asterisco rojo * indica información obligatoria en el proceso online):

Tabla 1. Información específica de la ubicación
Campo Opciones

Nombre de la ubicación *

n/a

Número D-U-N-S de D&B

n/a

Tipo de ubicación *

Edificio(s) en propiedad y de uso exclusivo de la empresa
Edificio(s) alquilado(s) por la empresa
Planta/oficina alquilada por la empresa en un edificio compartido
Oficina compartida con otras empresas
Centro de datos propio
Centro de datos compartido

Protección pasiva de la ubicación *


No

Industria
(Se permite la selección múltiple)

Tecnología de la información

  • ❏ Servicios informáticos

  • ❏ Servicios de telecomunicación

  • ❏ Desarrollo de software

Gestión

  • ❏ Consultoría

Medios de comunicación

  • ❏ Marketing

  • ❏ Agencia

  • ❏ Servicios de impresión

  • ❏ Fotografía

  • ❏ Servicios de traducción

Investigación y desarrollo

  • ❏ Inspección de vehículos

  • ❏ Simulación de vehículos

  • ❏ Construcción de prototipos

  • ❏ Modelos de coches en miniatura

  • ❏ Servicios de desarrollo

  • ❏ Servicios de desarrollo CAx

Producción

  • ❏ Servicios de producción

  • ❏ Fabricación por encargo

  • ❏ Taller

  • ❏ Logística

Ventas y servicios posventa

  • ❏ Importación, NSC

  • ❏ Concesionario

  • ❏ Servicios financieros

  • ❏ Seguros

  • ❏ Liquidación de siniestros

Otra industria
(indique cuál)

Empleados en la ubicación: en total *

0
1-10
11-100
101-1000
1001-5000
Más de 5000

Empleados en la ubicación: TI *

0
1-10
11-25
26-50
Más de 50

Empleados en la ubicación: seguridad informática *

0
A tiempo parcial
1-5
6-25
Más de 25

Empleados en la ubicación: seguridad de la ubicación *

0
A tiempo parcial
1-3
4-10
Más de 10

Certificaciones de esta ubicación

ISO 27001
Otra (indique cuál)
ISAE 3402
SOC2

Icono de advertencia informativa

Recuerde:

En el apartado “Industria”: seleccione una a su mejor saber y entender. No hay respuestas correctas y equivocadas al seleccionar las opciones. Si no encuentra una opción que se ajuste a su tipo de negocio, introduzca la opción adecuada en “Otra”.

Para cada ubicación deberá especificar un “location name” (Icono de la bandera de España nombre de la ubicación). El objetivo del nombre de la ubicación es que resulte más fácil referirse a la ubicación a la hora de asignarle un alcance de la evaluación.

Recomendamos que asigne nombres de ubicación siguiendo este esquema:

Esquema:

[Referencia geográfica]

Ejemplo:

para la empresa ficticia “ACME”

  • Fráncfort
    (para una ubicación en la ciudad alemana de Fráncfort)

4.3.2.6. Nombre del alcance

Para cada alcance ha de especificar un “scope name” (Icono de la bandera de España nombre del alcance). El objetivo del nombre del alcance es que resulte más fácil referirse al alcance en las comunicaciones relativas a TISAX (p. ej., con su proveedor de auditoría TISAX).

Puede especificar el nombre que quiera. Pero no dé el mismo nombre de alcance a más de un alcance.

Cuando más adelante quiera renovar su evaluación TISAX, necesitará crear un nuevo alcance (posiblemente, idéntico al actual). Por eso le recomendamos que añada el año de la evaluación al nombre del alcance.

Recomendamos asignar nombres de alcance siguiendo este esquema:

Esquema:

[Referencia geográfica o funcional] [Año de la evaluación]

Ejemplos:

para la empresa ficticia “ACME”

  • 2020
    (sin referencia geográfica si su empresa solo tiene una ubicación)

  • Fráncfort 2020
    (para un alcance con varias ubicaciones en la localidad alemana de Fráncfort)

  • Baja Sajonia 2020
    (para un alcance con varias ubicaciones en el estado alemán de Baja Sajonia)

  • Alemania 2020
    (para un alcance con varias ubicaciones en el país Alemania)

  • EMEA 2020
    (para un alcance con todas las ubicaciones en la región EMEA (“Europa, Oriente Medio, Asia”))

  • Desarrollo de prototipos 2020
    (referencia funcional para un alcance con todas las ubicaciones implicadas en el desarrollo de prototipos)

4.3.2.7. Contactos

Para poder comunicarnos con usted, recopilamos información de los contactos de su empresa.

Le pedimos como mínimo un contacto de su empresa como participante de TISAX en general y uno para cada alcance de evaluación. También puede proporcionar contactos adicionales.

Durante los preparativos para el registro, deberá decidir qué persona o personas de su empresa serán los contactos.

Pedimos los siguientes datos de contacto:

Tabla 2. Datos de contacto
Dato de contacto ¿Obligatorio? Ejemplo

1.

Tratamiento

Sra., Sr.

2.

Grado académico

Dr., Ph.D., otros

3.

Nombre

John

4.

Apellido(s)

Doe

5.

Cargo

Responsable de TI

6.

Departamento

Tecnología de la información

7.

Número de teléfono principal

+49 69 986692777

8.

Número de teléfono secundario

9.

Dirección de correo electrónico

john.doe@acme.com

10.

Idioma de preferencia

Inglés (predeterminado)

11.

Otros idiomas

Alemán, español

12.

Identificador personal

HPC 1234

13.

Dirección postal

Bockenheimer Landstraße 97-99

14.

Código postal

60325

15.

Localidad

Fráncfort

16.

Estado/provincia

17.

País

Alemania

Icono de advertencia importante

Nota importante:
 
Recomendamos asignar al menos un sustituto para cada contacto. Si un contacto no está disponible temporalmente o abandona la empresa, otra persona podrá gestionar los datos de participante de su empresa.
Si necesita asignar un nuevo contacto (sin tener ningún otro contacto válido), deberá seguir un proceso complejo. Nuestro proceso asegura que solo las personas con autoridad legal para representar a la empresa puedan aprobar la asignación de un nuevo contacto principal.

4.3.2.8. Publicación y divulgación

El principal objetivo de TISAX es publicar el resultado de la evaluación para otros participantes de TISAX y compartir el resultado con su(s) socio(s).

Puede decidir la forma de publicar y compartir el resultado de la evaluación durante el proceso de registro o en cualquier momento posterior.

Si lleva a cabo el proceso TISAX como medida preventiva, puede decidir ya si publicar el resultado de la evaluación para la comunidad de participantes de TISAX. Si no es así, no hay nada que preparar en esta fase.

Si su socio le ha solicitado que lleve a cabo el proceso TISAX, tarde o temprano deberá compartir el resultado de la evaluación. Puede compartir ya la información de estado con su socio durante el registro. En cuanto el resultado de la evaluación esté disponible, su socio tendrá permiso automáticamente para acceder al mismo[9].

Para compartir la información de estado, necesita dos cosas:

  1. El ID de participante de TISAX de su socio

    El ID de participante de TISAX identifica a su socio como participante de TISAX.

    Normalmente, su socio debería proporcionarle su ID de participante de TISAX.

    Para mayor comodidad, nuestro formulario de registro incluye una lista desplegable con los ID de participante de algunas empresas que suelen recibir resultados de evaluación.[10]

    Sin embargo, si su socio es un OEM grande, a veces hay departamentos que solicitan la evaluación TISAX pero desconocen el ID de participante de su propia empresa. En ese caso, puede ponerse en contacto con nosotros. Podemos facilitarle el ID de participante de su socio.

  2. El nivel de divulgación requerido

    El nivel de divulgación define hasta qué punto su socio puede acceder al resultado de la evaluación.

    Puede que su socio exija un nivel de divulgación específico o que usted decida hasta qué nivel quiere proporcionar acceso al resultado de su evaluación.

    Para más información sobre los niveles de divulgación, consulte la Sección 6.5, “Niveles de divulgación”.

Asegúrese de tener esta información.

Icono de advertencia informativa

Recuerde:

  • Siempre puede optar por publicar el resultado de la evaluación más tarde.

  • Siempre puede crear un permiso para su socio más tarde.

Icono de advertencia importante

Nota importante:

Si no publica el resultado de la evaluación ni lo comparte, nadie podrá ver el resultado de la evaluación.

Icono de advertencia importante

Nota importante:

No puede revocar la publicación o divulgación.

Para más información sobre cómo publicar y compartir el resultado de su evaluación, consulte la Sección 6, “Intercambio (paso 3)”.

4.3.3. Objetivos de evaluación

Tiene que definir el o los objetivos de la evaluación durante el proceso de registro. El objetivo de la evaluación (Icono de la bandera del Reino Unido assessment objective) determina los requisitos aplicables que debe cumplir su sistema de gestión de la seguridad de la información (ISMS). El objetivo de la evaluación se basa enteramente en el tipo de datos que trata por cuenta de su socio.

En las siguientes secciones, describimos los objetivos de evaluación y le aconsejamos para que pueda elegir el o los objetivos de evaluación correctos.

El uso de objetivos de evaluación facilita la comunicación con su socio y sus proveedores de auditoría TISAX porque hacen referencia a una entrada definida del proceso de evaluación TISAX.

Icono de advertencia informativa

Recuerde:

Algunos socios le pedirán la evaluación TISAX con un “nivel de evaluación” (AL, por sus siglas en inglés) determinado, en lugar de especificar el objetivo de evaluación. Para más información sobre los niveles de evaluación, consulte la Sección 4.3.3.6, “Necesidad de protección y niveles de evaluación” (subsección “Información adicional”).

4.3.3.1. Lista de objetivos de evaluación

Actualmente existen ocho objetivos de evaluación TISAX. Debe seleccionar al menos un objetivo de evaluación. También puede seleccionar más de uno.

Considere el objetivo de evaluación como el punto de referencia para su sistema de gestión de la seguridad de la información. El objetivo de evaluación es una entrada clave del proceso TISAX. Todos los proveedores de auditoría TISAX basan su estrategia de evaluación en el objetivo de evaluación.

Los objetivos de evaluación TISAX actuales son:

Tabla 3. Objetivos de evaluación TISAX actuales
Núm. Objetivo de evaluación (Icono de la bandera del Reino Unido Assessment objective) Abreviatura

1.

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

Info high

2.

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

Info very high

3.

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

Piezas prototipo

4.

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

Vehículos prototipo

5.

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

Vehículos de prueba

6.

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

Eventos + Rodajes

7.

Icono de la bandera de España Protección de datos
En virtud del artículo 28 (“Encargado del tratamiento”) del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Datos

8.

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
En virtud del artículo 28 (“Encargado del tratamiento”) con categorías especiales de datos personales como se define en el artículo 9 del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Datos especiales

Ejemplo: Si realiza recorridos de prueba con vehículos en la vía pública, el objetivo de evaluación núm. 7 «Manejo de vehículos de prueba» será uno de sus objetivos de evaluación.

Para algunas de las ilustraciones siguientes, utilizaremos una representación en forma de tabla de los ocho objetivos de evaluación TISAX. Además, acortaremos los nombres para facilitar la representación visual.

Objetivos de evaluación TISAX (representación en forma de tabla: nombre completo y abreviado)
Figura 6. Objetivos de evaluación TISAX (representación en forma de tabla: nombre completo y abreviado)
img callout black 01

Información con necesidad de protección alta

img callout black 02

Información con necesidad de protección muy alta

img callout black 03

Protección de piezas y componentes prototipo

img callout black 04

Protección de vehículos prototipo

img callout black 05

Manejo de vehículos de prueba

img callout black 06

Protección de prototipos durante eventos y rodajes o sesiones fotográficas

img callout black 07

Protección de datos

img callout black 08

Protección de datos con categorías especiales de datos personales

Icono de advertencia importante

Nota importante:

Dentro de TISAX, el “objetivo de evaluación” suele ser el punto de entrada del proceso. Sin embargo, algunos socios le pedirán que se someta a la evaluación TISAX según un “nivel de evaluación” (AL) determinado.

Para más información sobre la relación entre las necesidades de protección y los niveles de evaluación, consulte la Sección 4.3.3.6, “Necesidad de protección y niveles de evaluación”.

4.3.3.2. Objetivos de evaluación e ISA

Cada objetivo de evaluación se corresponde con un catálogo de criterios ISA.

Ejemplo: Los dos objetivos de evaluación “Información” con necesidad de protección alta o muy alta apuntan al catálogo de criterios ISA “Seguridad de la información”. La hoja de Excel es la misma para ambos objetivos de evaluación. Puede diferenciar la necesidad de protección (alta, muy alta) a partir de la descripción de cada requisito (debajo de cada subapartado “Adicionalmente, en caso de necesidad de protección (muy) alta:”, consulte la Sección 5.2.2, “Entender el documento ISA”.

Para obtener más información sobre los objetivos de evaluación TISAX en relación con los catálogos de criterios ISA y los niveles de evaluación, consulte la Sección 5.2.2, “Entender el documento ISA”.

4.3.3.3. Objetivos de evaluación y etiquetas TISAX

Puede que su socio le hable de las “etiquetas TISAX”. “Objetivos de evaluación” y “etiquetas TISAX” son casi lo mismo. La diferencia es que usted inicia el proceso de evaluación con los “objetivos de evaluación” y, si supera la evaluación, recibe las correspondientes “etiquetas TISAX”.

Ejemplo: Su socio le exige que obtenga la etiqueta TISAX “Información con necesidad de protección alta”. En ese caso, ha de seleccionar “Información con necesidad de protección alta” como objetivo de evaluación.

La siguiente figura muestra el punto de entrada y salida del proceso TISAX:

Objetivos de evaluación y etiquetas TISAX
Figura 7. Objetivos de evaluación y etiquetas TISAX
img callout black 01

Solicita

img callout black 02

Socio

img callout black 03

Recibe

img callout black 04

ENTRADA

img callout black 05

Objetivo

img callout black 06

Proceso TISAX

img callout black 07

SALIDA

img callout black 08

Etiqueta

Para más información sobre las etiquetas TISAX, consulte la Sección 5.4.13, “Etiquetas TISAX”.

4.3.3.4. Objetivos de evaluación y sus dependencias

El objetivo de evaluación “Información con necesidad de protección alta” es el mínimo para una evaluación TISAX. Los objetivos de evaluación adicionales son opcionales. Sin embargo, en función de la información que maneje, tendrá que añadir más objetivos de evaluación. Encontrará más información sobre los objetivos de evaluación que puede necesitar más adelante.

Algunos objetivos de evaluación están interrelacionados con otros. Tanto el objetivo de evaluación “Información con necesidad de protección alta” como “Información con necesidad de protección muy alta” son la base para el resto de objetivos de evaluación.

Ejemplo: Si debe alcanzar el objetivo de evaluación “Protección de piezas y componentes prototipo”, automáticamente tendrá que alcanzar también el objetivo de evaluación “Información con necesidad de protección alta”. Encontrará más información sobre las dependencias más adelante.

Los objetivos de evaluación y sus dependencias
Figura 8. Los objetivos de evaluación y sus dependencias
img callout black 01

Objetivos

img callout black 02

Dependencias

img callout black 03

Esto requiere eso

4.3.3.5. Selección de los objetivos de evaluación

Lo ideal es que su socio le diga exactamente qué objetivos de evaluación debe alcanzar.

Tendrá que seleccionar el objetivo de la evaluación a su propio juicio si:

  1. quiere obtener la certificación TISAX antes de que un socio se la solicite, o

  2. su socio no le dice qué objetivo de evaluación debe alcanzar.

Icono de advertencia importante

Nota importante:

Llegados a este punto, le recomendamos que tenga en cuenta al resto de sus socios. ¿Tiene otros socios que exigen los mismos requisitos o similares? ¿Espera que sus socios futuros le exijan requisitos más altos?

Tal vez deba considerar seleccionar objetivos de evaluación con una necesidad de protección más elevada. De esta forma, se evitará problemas cuando otros socios tengan mayores requisitos.

Si ha de seleccionar el objetivo de evaluación a su propio juicio, tal vez le resulte útil tener en cuenta los siguientes aspectos:

Tabla 4. Consejos para seleccionar el objetivo de evaluación
Núm. Objetivo de evaluación Información

1.

Información con necesidad de protección alta
(Info high)

Puede inferir la necesidad de protección (alta, muy alta) a partir de la clasificación de los documentos de su socio.

2.

Información con necesidad de protección muy alta
(Info very high)

3.

Protección de piezas y componentes prototipo
(Piezas prototipo)

Para todas las empresas que fabrican, almacenan o usan componentes o piezas suministradas por el cliente que requieren protección en sus propias ubicaciones.

Los requisitos de seguridad física y del entorno, los requisitos organizativos y los requisitos especiales para la manipulación de prototipos son parte de la evaluación.

4.

Protección de vehículos prototipo
(Vehículos prototipo)

Para todas las empresas que fabrican, almacenan o usan vehículos suministrados por el cliente que requieren protección en sus propias ubicaciones.

Los requisitos de seguridad física y del entorno (incluida la existencia de garajes y zonas de taller con protección), los requisitos organizativos y los requisitos especiales para la manipulación de prototipos son parte de la evaluación.

Tras superar la evaluación, automáticamente recibe la etiqueta TISAX “Protección de piezas y componentes prototipo”.

5.

Manejo de vehículos de prueba
(Vehículos de prueba)

Para todas las empresas que realizan pruebas y recorridos de prueba (p. ej., recorridos de prueba en la vía pública o en circuitos cerrados) con vehículos proporcionados por el cliente que requieren protección.

Los requisitos organizativos y los requisitos específicos de la manipulación de prototipos, incluidos el camuflaje y la manipulación del vehículo durante los recorridos de prueba en la vía pública y en circuitos cerrados, son parte de la evaluación.

Los requisitos de seguridad física y del entorno no son necesariamente parte de la evaluación. Si sus ubicaciones están equipadas en consecuencia, le recomendamos que también seleccione el objetivo de evaluación “Protección de vehículos prototipo”.

6.

Protección de prototipos durante eventos y rodajes o sesiones fotográficas
(Eventos + Rodajes)

Para todas las empresas que llevan a cabo presentaciones o eventos (p. ej., estudios de mercado, eventos, eventos de marketing) y rodajes o sesiones fotográficas con vehículos proporcionados por el cliente que requieren protección.

Los requisitos organizativos y los requisitos específicos de la manipulación de prototipos, incluidos los requisitos para presentaciones, eventos, rodajes y sesiones fotográficas en espacios protegidos o en público, son parte de la evaluación.

Los requisitos de seguridad física y del entorno no son necesariamente parte de la evaluación. Si sus ubicaciones están equipadas en consecuencia, le recomendamos que también seleccione el objetivo de evaluación “Protección de vehículos prototipo”.

7.

Protección de datos
(Datos)

Si trata datos personales como encargado del tratamiento según el artículo 28 del RGPD, seguramente deberá seleccionar “Protección de datos”.

8.

Protección de datos con categorías especiales de datos personales
(Datos especiales)

Si trata categorías especiales de datos personales (como datos sobre salud o religión) como encargado del tratamiento según el artículo 28 del RGPD, seguramente deberá seleccionar “Protección de datos con categorías especiales de datos personales”.

Explicaciones adicionales:

  • Si tiene requisitos precisos de su socio, normalmente no tendrá que discutir los objetivos de evaluación con este. No obstante, si no tiene requisitos precisos por parte del socio, le recomendamos que lo consulte con él antes de empezar el proceso de evaluación.

  • La ISA describe la diferencia de implementación entre necesidad de protección “alta” y “muy alta” (si la hay) para cada requisito.
    Para más información al respecto, consulte la Figura 13, “Captura de pantalla: Elementos principales de las preguntas en los catálogos de criterios ISA”.

4.3.3.6. Necesidad de protección y niveles de evaluación

Su socio tiene varios tipos de información, de los cuales algunos necesitan un nivel de protección más alto que otros. La ISA lo contempla diferenciando tres “necesidades de protección” (Icono de la bandera del Reino Unido Protection needs): normal, alta y muy alta. Su socio clasifica la información y habitualmente asigna necesidades de protección.

Los objetivos de evaluación TISAX vinculan un catálogo de criterios ISA con las necesidades de protección “alta” o “muy alta”.

Tabla 5. Asignación de los catálogos de criterios ISA y las necesidades de protección a los objetivos de evaluación TISAX
Núm. Catálogo de criterios ISA Necesidad de protección Objetivo de evaluación TISAX

1.

Seguridad de la información

alta

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

2.

Seguridad de la información

muy alta

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

3.

Protección de prototipos

alta

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

4.

Protección de prototipos

alta

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

5.

Protección de prototipos

alta

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

6.

Protección de prototipos

alta

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

7.

Protección de datos

alta

Icono de la bandera de España Protección de datos
En virtud del artículo 28 (“Encargado del tratamiento”) del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

8.

Protección de datos

muy alta

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
En virtud del artículo 28 (“Encargado del tratamiento”) con categorías especiales de datos personales como se define en el artículo 9 del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Cuanto mayores sean las necesidades de protección, más interés tendrá el socio en asegurarse de que es seguro dejarle manejar su información. Por tanto, TISAX diferencia tres “niveles de evaluación” (AL). El nivel de evaluación define la profundidad del análisis del proveedor de auditoría TISAX y qué métodos de auditoría debe utilizar. En términos sencillos: un mayor nivel de evaluación se traduce en una mayor intensidad de la evaluación y en el uso de métodos de evaluación avanzados.

Tabla 6. Asignación de los objetivos de evaluación TISAX a los niveles de evaluación
Núm. Objetivo de evaluación TISAX Nivel de evaluación (AL)

1.

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

AL 2

2.

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

AL 3

3.

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

AL 3

4.

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

AL 3

5.

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

AL 3

6.

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

AL 3

7.

Icono de la bandera de España Protección de datos
En virtud del artículo 28 (“Encargado del tratamiento”) del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

AL 2

8.

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
En virtud del artículo 28 (“Encargado del tratamiento”) con categorías especiales de datos personales como se define en el artículo 9 del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

AL 3

Nivel de evaluación 1 (AL 1):

Las evaluaciones en el nivel de evaluación 1 son principalmente para fines internos en el sentido de una autoevaluación (Icono de la bandera del Reino Unido self-assessment).

En las evaluaciones del nivel de evaluación 1, el auditor comprueba la existencia de una autoevaluación completada. No evalúa el contenido de la autoevaluación. No exige más evidencias.

Los resultados de las evaluaciones en el nivel de evaluación 1 tienen un nivel de confianza bajo y por eso no se usan en TISAX. Pero, lógicamente, es posible que su socio le solicite una autoevaluación de este tipo fuera de TISAX.

Nivel de evaluación 2 (AL 2):

Para una evaluación dentro del nivel de evaluación 2, el proveedor de auditoría lleva a cabo una comprobación de plausibilidad de su autoevaluación (para todas las ubicaciones dentro del alcance de la evaluación). Lo hace comprobando las evidencias[11] y realizando entrevistas con usted y otros compañeros.

El proveedor de auditoría acostumbra a realizar estas entrevistas por teleconferencia. Si usted lo solicita, puede realizar las entrevistas en persona.

Las evaluaciones en el nivel de evaluación 2 no acostumbran a incluir una inspección in situ. No obstante, las evaluaciones siempre incluirán una inspección in situ si ha seleccionado alguno de los objetivos de evaluación de “prototipos”.

Si tiene evidencias que no quiere enviar al proveedor de auditoría, puede solicitar una inspección in situ. De esta forma, el proveedor de auditoría podrá comprobar esa evidencia ante usted con la máxima confidencialidad.

Nivel de evaluación 3 (AL 3):

Para una evaluación en el nivel de evaluación 3, el proveedor de auditoría lleva a cabo todas las comprobaciones de una evaluación en el nivel de evaluación 2. No obstante, estas comprobaciones serán más amplias, verificará a fondo el resultado de la autoevaluación y llevará a cabo una inspección in situ y entrevistas en persona.

La siguiente tabla proporciona un resumen simplificado de los métodos de auditoría asociados a cada nivel de evaluación:

Tabla 7. Aplicabilidad de los métodos de evaluación a los distintos niveles de evaluación
Método de evaluación Nivel de evaluación 1
(AL 1)
Nivel de evaluación 2
(AL 2)
Nivel de evaluación 3
(AL 3)

Autoevaluación

Evidencia

No

Comprobación de plausibilidad

Verificación exhaustiva

Entrevistas

No

Por teleconferencia[12]

En persona, in situ

Inspección in situ

No

Si lo solicita

Información adicional:

  • Clasificación de la información y necesidades de protección
    La asignación de la clasificación de la información (como confidencial o secreta) a las necesidades de protección puede ser diferente para distintos socios. Por tanto, por mucho que quisiéramos, no podemos proporcionar una tabla simple en la que la clasificación de la información de su socio se corresponda exactamente con una necesidad de protección.

  • Saber el nivel de evaluación no es suficiente
    Algunos socios pueden exigir la evaluación TISAX según un nivel de evaluación determinado. Sin embargo, entienda que conocer el nivel de evaluación no es suficiente para iniciar el proceso TISAX. Un nivel de evaluación solo tiene sentido en combinación con un catálogo de criterios ISA y una necesidad de protección. Habitualmente, los socios piden que se obtenga una etiqueta TISAX (catálogo de criterios más necesidad de protección) No obstante, como las necesidades de protección equivalen a los niveles de evaluación, sí es suficiente si conoce el catálogo de criterios y el nivel de evaluación.

  • Jerarquía de los niveles de evaluación
    Los niveles de evaluación superiores siempre incluyen los niveles de evaluación inferiores. Por ejemplo, si su evaluación se basa en el nivel de evaluación 3, automáticamente cumplirá todos los requisitos del nivel de evaluación 2.

  • Nuestro consejo en materia de niveles de evaluación
    Si ha seleccionado un objetivo de evaluación (y, con ello, el correspondiente nivel de evaluación) a su propio juicio, le recomendamos que seleccione objetivos de evaluación que impliquen un nivel de evaluación 3. El esfuerzo requerido para una evaluación TISAX en el nivel de evaluación 3 no suele ser mayor al requerido en el nivel de evaluación 2.
    Los proveedores que tienen varios socios, a menudo seleccionan objetivos de evaluación que implican el nivel de evaluación 3. De esta forma, están preparados para todas las exigencias futuras y no tienen que preocuparse por los distintos niveles de evaluación.

  • Otras consideraciones comerciales
    En lo referente a los niveles de evaluación, el coste total de una evaluación TISAX es la suma del esfuerzo interno y del coste de la evaluación. Mientras que el coste de una evaluación en el nivel de evaluación 2 es inferior, el esfuerzo interno puede ser mayor. Esto se debe a que una evaluación en el nivel de evaluación 2 a menudo exige una autoevaluación más amplia y mejor documentación interna. Para las evaluaciones en el nivel de evaluación 3, mostrar todas las cosas junto con cierta documentación básica suele ser evidencia suficiente para el auditor. Pero, sin una inspección in situ, el auditor le pedirá documentación muy precisa. Por tanto, es bastante frecuente optar por el nivel de evaluación 3 en lugar del nivel de evaluación 2. De todos modos, es una elección más habitual en las empresas pequeñas que en las grandes.

4.3.3.7. Objetivos de evaluación y sus propios proveedores

TISAX no exige que aplique los mismos requisitos a todos sus proveedores. Si su objetivo de evaluación es “Seguridad de la información con necesidad de protección muy alta”, esto NO significa automáticamente que sus propios proveedores deban alcanzar el mismo objetivo de evaluación. Ni siquiera significa que deban tener etiquetas TISAX.

Pero tendrá que comprobar para todos sus proveedores si usar sus servicios aumenta los riesgos o implica nuevos riesgos.

Dos ejemplos simplificados:

  1. Según su política, el correo electrónico convencional no se puede utilizar para datos con necesidad de protección muy alta. Por tanto, su proveedor de correo electrónico no necesita obtener la etiqueta TISAX con necesidad de protección muy alta.
    También puede llegar a la misma conclusión si únicamente envía mensajes de correo electrónico cifrados y su proveedor de correo electrónico no puede ver los datos con necesidad de protección muy alta.

  2. Usted elimina los datos impresos con necesidad de protección muy alta mediante una trituradora de papel. En ese caso, lógicamente, su proveedor de recogida de residuos no está obligado a cumplir los mismos requisitos que usted.

No obstante, una evaluación del riesgo podría mostrar que su proveedor también debe cumplir los requisitos para la necesidad de protección muy alta. En ese caso, las etiquetas TISAX son una opción para acreditarlo.

4.3.4. Tasa

Cobramos una tasa. Nuestra lista de precios informa de las tasas aplicables, los posibles descuentos y las condiciones de pago.

Puede descargar la lista de precios en nuestro sitio web en:
Icono de la bandera del Reino Unido enx.com/en-US/TISAX/downloads/
Descarga directa en PDF:
Icono de la bandera del Reino Unido enx.com/tisaxgtcen.pdf

Existen algunos aspectos relacionados con la facturación que deberá tener en cuenta durante los preparativos para el registro:

  • Selección de la dirección de facturación
    De forma predeterminada, enviaremos la factura a la dirección que haya indicado como ubicación del participante. Sin embargo, puede proporcionar una dirección diferente para recibir la factura.
    No olvide comprobar la dirección de facturación. Las leyes sobre contabilidad requieren que la dirección en nuestra factura coincida exactamente con la dirección (de facturación) de su empresa.

  • Cambio de la dirección de facturación
    A diferencia del resto de información que proporcione, no podemos cambiar la dirección de facturación una vez que la haya seleccionado en el proceso. Póngase en contacto con nosotros si necesita recibir la factura en otra dirección.
    Recuerde: Si interrumpe el proceso de registro y lo retoma antes de haber seleccionado una dirección de facturación, no podrá hacerlo más tarde. Nos daremos cuenta de la falta de la dirección de facturación, nos pondremos en contacto con usted para obtener esa información y la añadiremos por usted.

  • Referencia de pedido
    Si necesita ver un número de pedido específico o algo similar en su factura, podrá proporcionarnos una referencia de pedido.

  • NIF-IVA
    Todos nuestros cargos están sujetos al impuesto sobre el valor añadido (IVA) alemán (si procede).
    Necesitamos este número para procesar los pagos de la UE. Es obligatorio proporcionar un NIF-IVA si la dirección de facturación está en alguno de los siguientes países:
    Alemania, Austria, Bélgica, Bulgaria, Croacia, Chipre (parte griega), Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Suecia, Reino Unido, República Checa

  • Gestión de proveedores

    Icono de advertencia importante

    Nota importante:

    Entienda que, dada la reciprocidad entre todos los participantes de TISAX, no podemos aceptar condiciones generales adicionales (como condiciones generales de compraventa o códigos de conducta).

Información adicional sobre nuestro proceso de facturación:

  • No podemos aceptar condiciones de compra individuales.

  • Aceptamos:

    • transferencias a la cuenta bancaria especificada en la factura

    • pagos con tarjeta de crédito (durante el proceso de registro a través del enlace de nuestro proveedor de servicios de pago:https://stripe.com[“Stripe”])

  • Nuestra factura incluirá las siguientes referencias a su registro:

    • El nombre y la dirección de correo electrónico de la persona de contacto principal del participante

    • El nombre del alcance de la evaluación

    Encontrará un ejemplo de factura en el anexo, en la Sección 7.1, “Anexo: Ejemplo de factura”.

  • La mayoría de datos que pueda necesitar para procesar la factura estarán incluidos en la misma. Estos y otros datos están disponibles en nuestro documento “Information for Members and Business Partners” (Información para miembros y socios comerciales). Envíenos un mensaje de correo electrónico y le haremos llegar la versión actual.

Icono de advertencia informativa

Recuerde:

Somos conscientes de que el proceso de aprobación interno de pagos en algunas empresas requiere cierto tiempo. Por ese motivo, sus siguientes pasos inmediatos del proceso TISAX no dependen de que recibamos el pago. Sin embargo, tenga en cuenta que no podrá compartir el resultado de la evaluación hasta que no hayamos recibido el pago.
Por ese motivo, le recomendamos que se asegure de enviar la factura al destinatario adecuado y de que contenga una referencia de pedido en caso aplicable. También puede hacer un seguimiento interno del pago de la factura.

Icono de advertencia importante

Nota importante:

Nosotros --ENX Association-- facturamos la tasa. Esta tasa es solo una parte del coste total de una evaluación TISAX. Su proveedor de auditoría TISAX facturará el coste de la evaluación o las evaluaciones.

Para más información sobre los costes relacionados con el proveedor de auditoría, consulte la Sección 5.3.4, “Valoración de las ofertas”.

Icono de advertencia importante

Nota importante:

Deberá pagar la tasa independientemente de que:

  • continúe o no con el proceso TISAX.

  • supere con éxito el proceso de evaluación TISAX.

Por tanto, es posible que la factura le llegue antes de que empiece la evaluación inicial.

4.4. Portal ENX

La siguiente sección describe el proceso de registro online en el que introduce todos los datos recopilados siguiendo las indicaciones de la sección anterior. Antes de iniciar el proceso de registro online, permítanos explicarle brevemente la finalidad y las ventajas del portal ENX.

El portal ENX nos permite mantener una base de datos de todos los participantes de TISAX y desempeña un papel importante a lo largo de todo el proceso TISAX. Durante el registro TISAX, usted introduce datos que los proveedores de auditoría TISAX pueden usar (si así lo autoriza) para calcular su oferta y planificar el procedimiento de evaluación. Una vez que lleve a cabo el proceso de evaluación TISAX, usará la plataforma de intercambio en el portal ENX para compartir el resultado de la evaluación con su socio.

El nombre del portal es “portal ENX” en lugar de “portal TISAX” porque también lo usamos para gestionar otras actividades empresariales (como la red ENX).

4.5. Proceso de registro online

Si se ha preparado según las indicaciones anteriores (Sección 4.3, “Preparación del registro”), estará listo para iniciar el proceso de registro online.

4.5.1. Tiempo necesario

El tiempo necesario depende en gran medida del número de alcances y ubicaciones que registre. Para un registro como participante con un alcance y una ubicación, cuente con un mínimo de 20 minutos.

Recomendamos que complete el registro en una sola sesión, porque actualmente no se pueden recuperar algunos pasos más tarde. En caso de que necesite pausar el proceso, nos pondremos en contacto con usted para obtener cualquier dato que falte.

4.5.2. Empiece aquí

Básicamente, todo lo que tiene que hacer es seguir las instrucciones que aparecen en pantalla. No obstante, a continuación describimos el proceso brevemente.

4.5.3. Cuenta en el portal

El primer paso es crearse una cuenta en el portal ENX. Esta es una tarea meramente administrativa. Necesitará la cuenta en el portal para poder gestionar los “datos de participante” de su empresa.

Crear esta cuenta no le convierte automáticamente en un contacto TISAX oficial dentro de su empresa[13]. Por ahora, solo está completando formularios online. Más adelante, podrá definir un “contacto del participante” y un “contacto del alcance” en el proceso de registro online y asignar esos roles a otros.

Icono de advertencia informativa

Recuerde:

Si el portal ENX le indica que su dirección de correo electrónico ya está en uso, póngase en contacto con nosotros. Este mensaje puede indicar que, por algún motivo, su nombre ya está registrado en nuestro sistema.

Icono de advertencia informativa

Recuerde:

Como se ha descrito, las cuentas del portal no son necesariamente “contactos del participante” o “contactos del alcance” (vea más abajo) con un rol activo en el proceso de evaluación.

Y viceversa, un “contacto del participante” o “contacto del alcance” no incluye automáticamente los mismos derechos para gestionar los datos del participante que con una cuenta del portal. Es decir, los empleados designados como “contacto del participante” o “contacto del alcance” no puede acceder automáticamente a los datos del participante en el portal ENX.

Si quiere asignar el derecho de gestionar los datos del participante a un contacto que ya ha creado en el portal ENX (independientemente de qué rol le ha asignado), póngase en contacto con nosotros.. Enviaremos un mensaje de correo electrónico con una invitación al contacto. El mensaje de correo electrónico contiene un enlace que lleva a la creación de una cuenta en el portal para ese contacto.

Asegúrese de haber creado el nuevo contacto antes de pedirnos que le asignemos ese derecho.

4.5.4. Registro como participante

El segundo paso es registrar su empresa como participante de TISAX. El “participante de TISAX” es la empresa que intercambiará los resultados de la evaluación con otros participantes.

4.5.5. Contacto del participante

Le pedimos que especifique el contacto principal del participante.

En general, será la persona responsable en su empresa para todos los temas relacionados con la evaluación de la seguridad de la información. Puede ser usted u otra persona de su empresa.

Normalmente, todo lo que necesitamos es el contacto principal del participante. Sin embargo, si prefiere que todas las comunicaciones que enviemos nosotros y los proveedores de auditoría TISAX en el contexto de este registro lleguen también a otras personas, añada contactos del participante adicionales.

Icono de advertencia importante

Nota importante:
 
Recomendamos asignar al menos un sustituto para cada contacto. Si un contacto no está disponible temporalmente o abandona la empresa, otra persona podrá gestionar los datos de participante de su empresa.
Si necesita asignar un nuevo contacto (sin tener ningún otro contacto válido), deberá seguir un proceso complejo. Nuestro proceso asegura que solo las personas con autoridad legal para representar a la empresa puedan aprobar la asignación de un nuevo contacto principal.

Icono de advertencia informativa

Recuerde:

Siempre podrá añadir o eliminar contactos más adelante (incluso tras haber completado el proceso de registro online e incluso después de haber finalizado la evaluación).

Icono de advertencia informativa

Recuerde:

No puede usar direcciones de correo electrónico genéricas para los contactos del participante (como “info@acme.com” o “IT@acme.com”).

Esta regla es conforme con los requisitos ISA sobre el registro de usuarios.

Icono de advertencia informativa

Recuerde:

Puede elegir si cada contacto debe tener acceso a los datos de participante de su empresa. O bien:

  1. Solo añade el contacto. El contacto se almacena en nuestro sistema pero no puede iniciar sesión ni gestionar datos.

  2. O invita al contacto. En ese caso, el portal ENX envía una invitación al contacto por correo electrónico. El contacto debe seguir el enlace de invitación que figura en el mensaje de correo electrónico. Una vez que el contacto ha creado su propia cuenta personal para el portal ENX, podrá gestionar los datos de participante de su empresa.

4.5.6. Condiciones generales

El tercer paso es aceptar las “TISAX Participation General Terms and Conditions” (Condiciones generales de participación en TISAX).

Puede volver a consultar las notas explicativas en la Sección 4.3.1, “La base legal”.

4.5.7. Registro del alcance de la evaluación

El cuarto paso es registrar el alcance de la evaluación para su evaluación de la seguridad de la información.

Le pedimos que:

  • asigne un nombre al alcance de la evaluación.
    Usaremos el “nombre del alcance” para referirnos a ese alcance en la comunicación posterior.

  • elija un tipo de alcance de la evaluación.
    (Estándar, personalizado)
    Puede volver a consultar las notas explicativas en la Sección 4.3.2, “El alcance de la evaluación TISAX”.

  • especifique el contacto principal del alcance.
    Será la persona generalmente responsable de la evaluación de un alcance en particular. Puede ser usted u otra persona de su empresa.
    Normalmente, todo lo que necesitamos es el contacto principal del alcance. Sin embargo, si prefiere que todas las comunicaciones que enviemos nosotros y los proveedores de auditoría TISAX en el contexto de este alcance lleguen también a otras personas, puede añadir contactos del participante adicionales.

  • seleccione el o los objetivos de la evaluación.
    Puede volver a consultar las notas explicativas en la Sección 4.3.3, “Objetivos de evaluación”.

  • añada la o las ubicaciones del alcance de la evaluación.
    Le pedimos que especifique todas las ubicaciones que forman parte del alcance de la evaluación.
    Puede volver a consultar las notas explicativas en la Sección 4.3.2, “El alcance de la evaluación TISAX”.

  • seleccione los niveles de publicación y divulgación (opcional).
    Puede decidir ya si quiere publicar el resultado de la evaluación para otros participantes de TISAX y compartirlo con su(s) socio(s). Lo normal es permitir que mostremos que su empresa es un participante y que ha superado con éxito el proceso TISAX.
    Puede saltar sin problemas este paso durante su registro inicial. Siempre puede definir el acceso al resultado de su evaluación más tarde.
    Puede volver a consultar las notas explicativas en la Sección 4.3.2.8, “Publicación y divulgación”.

    Icono de advertencia importante

    Nota importante:

    No puede revocar los permisos de publicación o divulgación.
    Para más información, consulte la Sección 6.4, “Permanencia de los resultados intercambiados”.

  • especifique quién recibe la factura.
    Le pedimos que especifique quién recibirá nuestra(s) factura(s).
    Puede volver a consultar las notas explicativas en la Sección 4.3.4, “Tasa”.

Icono de advertencia informativa

Recuerde:

Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, el alcance de la evaluación tiene el estado “Incompleto”, “Pendiente del pedido” o “Pendiente de aprobación”.

Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5.1, “Sinopsis: Estado del alcance de la evaluación.

Icono de advertencia informativa

Recuerde:

Para las empresas grandes con muchas ubicaciones, TISAX ofrece la evaluación en grupo simplificada. Puede plantearse esta opción si:

  • tiene al menos tres ubicaciones en su alcance[14] y

  • si su sistema de gestión de la seguridad de la información está organizado de forma centralizada y a punto[15].

Para una evaluación en grupo simplificada, el esfuerzo inicial es mayor. No obstante, se compensa cuantas más ubicaciones tenga.

Para más información sobre la “evaluación en grupo simplificada”, consulte el documento “TISAX Simplified Group Assessment” (Evaluación en grupo simplificada TISAX).

Puede descargar el documento “TISAX Simplified Group Assessment” en nuestro sitio web en:
Icono de la bandera del Reino Unido enx.com/en-US/TISAX/downloads/

Descarga directa en PDF:
Icono de la bandera del Reino Unido enx.com/sga.pdf

Icono de advertencia informativa

Recuerde:

Una vez registrado el alcance de la evaluación, ya no podrá cambiarlo usted mismo.

Si puede asegurar de forma fehaciente que todavía NO ha enviado su “TISAX Scope Excerpt” a nuestros proveedores de auditoría, póngase en contacto con nosotros. Lo cambiaremos por usted.

Si ya ha enviado su “TISAX Scope Excerpt” a (uno de) nuestros proveedores de auditoría, deberá simplemente crear la nueva ubicación en el portal ENX (si procede) y discutir los posibles cambios con el proveedor de auditoría. El proveedor de auditoría llevará a cabo la evaluación de acuerdo con los cambios. Junto con el resultado de la evaluación, el proveedor de auditoría nos hará llegar los cambios necesarios en el alcance de la evaluación.

Icono de advertencia informativa

Recuerde:

Una vez que haya creado una ubicación, ya no podrá editarla. Para cambios menores (cambio del nombre de la empresa, erratas en el nombre de la calle, el código postal, la localidad, etc.), póngase en contacto con nosotros. Nosotros lo editaremos.

Icono de advertencia informativa

Recuerde:

Usted no puede borrar un alcance de evaluación en el portal ENX. Si ha creado un alcance de evaluación por error, póngase en contacto con nosotros. Lo borraremos por usted.

4.5.8. Mensaje de correo electrónico de confirmación

Una vez que haya completado los pasos obligatorios anteriores, comprobaremos su solicitud. A continuación, le enviaremos un mensaje de correo electrónico de confirmación.

Este mensaje de correo electrónico tiene dos elementos importantes:

Para ver un ejemplo de nuestro mensaje de correo electrónico de confirmación, consulte la Sección 7.2, “Anexo: Ejemplo de mensaje de correo electrónico de confirmación”.

Para ver un ejemplo del “TISAX Scope Excerpt”, consulte la Sección 7.3, “Anexo: Ejemplo de TISAX Scope Excerpt”.

Por norma general, recibirá nuestro mensaje de confirmación en un plazo de 3 días hábiles.

Si no recibe ninguna noticia nuestra en un plazo de 7 días hábiles, compruebe que haya proporcionado toda la información. Solo empezaremos a procesar su registro cuando todo esté completo. Si cree que todo está completo pero no nos hemos puesto en contacto con usted, diríjase a nosotros.

Enviamos nuestro mensaje de confirmación al contacto principal del participante y a todos los contactos del participante adicionales.

Icono de advertencia informativa

Recuerde:

Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, su alcance de la evaluación tiene el estado “Approved” (Aprobado).

Las dos subsecciones siguientes proporcionan información detallada sobre la finalidad de su ID de participante e ID de alcance.

4.5.8.1. Participant ID (Icono de la bandera de España ID de participante)

El ID de participante:

  • identifica a un participante de TISAX.

  • es único para cada participante.

  • se asigna una vez completado el registro.

  • es un requisito previo para pedir una evaluación de la seguridad de la información a cualquiera de nuestros proveedores de auditoría TISAX.

  • tiene esta estructura:

    Formato del ID de participante
    Figura 9. Formato del ID de participante[16]
img callout black 01

Prefijo “P” del ID de participante

img callout black 02

Secuencia aleatoria única, compuesta solo por los caracteres alfanuméricos:
CFHKLMNPRTVWXYZ
0123456789

Icono de advertencia informativa

Recuerde:

Hay dos formas de encontrar el ID de participante:

  1. Compruebe su “TISAX Scope Excerpt”.
    Consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación” más arriba.
    Si no tiene su “TISAX Scope Excerpt” a mano, póngase en contacto con nosotros para obtenerlo.

  2. Inicie sesión en el portal ENX, vaya a la barra de navegación principal y seleccione “DASHBOARD” (Icono de la bandera de España PANEL). Allí encontrará su ID de participante.

4.5.8.2. Scope ID (Icono de la bandera de España ID de alcance)

El ID de alcance:

  • identifica un alcance de la evaluación.

  • es único para cada alcance de la evaluación.

  • se asigna una vez completado el registro.

  • es un requisito previo para que pueda pedir una evaluación de la seguridad de la información a cualquiera de nuestros proveedores de auditoría TISAX.

  • tiene esta estructura:

    Formato del ID de alcance
    Figura 10. Formato del ID de alcance
img callout black 01

Prefijo “S” del ID de alcance

img callout black 02

Secuencia aleatoria única, compuesta solo por los caracteres alfanuméricos:
CFHKLMNPRTVWXYZ
0123456789

Icono de advertencia informativa

Recuerde:

Hay dos formas de encontrar el ID de alcance:

  1. Compruebe su “TISAX Scope Excerpt”.
    Consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación” más arriba.
    Si no tiene su “TISAX Scope Excerpt” a mano, póngase en contacto con nosotros para obtenerlo.

  2. Inicie sesión en el portal ENX, vaya a la barra de navegación principal, seleccione “MY TISAX” (MI TISAX) y, a continuación, “SCOPES AND ASSESSMENTS” (ALCANCES Y EVALUACIONES). Allí encontrará su(s) ID de alcance.

Icono de advertencia informativa

Recuerde:

Cada alcance de la evaluación (identificado por su ID de alcance) tiene un ciclo de vida.

Para más información sobre el estado de un alcance de la evaluación, consulte la Sección 7.5, “Anexo: Assessment scope status (Icono de la bandera de España Estado del alcance de la evaluación)”.

4.5.9. Información de estado

Llegados a este punto, hay dos estados relevantes para describir su posición en el proceso TISAX:

  1. Estado del participante

  2. Estado del alcance de la evaluación

El siguiente diagrama ilustra las condiciones que deben cumplirse para alcanzar un determinado estado:

Condiciones para el estado del participante y el estado del alcance de la evaluación
Figura 11. Condiciones para el estado del participante y el estado del alcance de la evaluación
img callout black 01

Sus acciones

img callout black 02

Nuestras acciones

img callout black 03

Registro

img callout black 04

Participante:
[ ] Empresa
[ ] Ubicación
[ ] Contacto(s)
[ ] Condiciones generales

img callout black 05

Alcance de la evaluación:
[ ] Contacto(s)
[ ] Objetivos de evaluación
[ ] Ubicaciones de la evaluación
[ ] Publicación + divulgación

img callout black 06

No

img callout black 07

img callout black 08

¿Completo?

img callout black 09

¿Completo?

img callout black 10

No

img callout black 11

img callout black 12

Comprobación + aprobación (mensaje de confirmación)

img callout black 13

Factura

img callout black 14

[ ] Pago

img callout black 15

¿Pagado?

img callout black 16

ID de participante

img callout black 17

ID de alcance

img callout black 18

Estado del participante:

img callout black 19

Estado del alcance de la evaluación:

img callout black 20

1. Incompleto

img callout black 21

2. Pendiente de aprobación

img callout black 22

3. Preliminar

img callout black 23

Registrado

img callout black 24

Expirado

img callout black 25

1. Incompleto

img callout black 26

2. Pendiente del pedido

img callout black 27

3. Pendiente de aprobación ENX

img callout black 28

4. Pendiente de pago

img callout black 29

5. Registrado

img callout black 30

6. Activo

img callout black 31

7. Expirado

Podrá encontrar las definiciones de los estados y qué ha de hacer para avanzar hasta el siguiente estado en el anexo.

Para más información sobre:

4.5.10. Cambios en su información de registro

Icono de advertencia informativa

Recuerde:

Para las cuestiones relacionadas con el ciclo de vida de los datos, consulte la Sección 7.8, “Anexo: Gestión del ciclo de vida de los datos del participante”. Contiene instrucciones para aquellos casos en los que quiera cambiar o actualizar datos como el nombre de la empresa o la información de contacto.


Felicidades, ya es un participante de TISAX registrado. Está listo para continuar con el siguiente paso del proceso TISAX.

5. Evaluación (paso 2)

El tiempo de lectura estimado de la sección de evaluación es de 30-35 minutos.

5.1. Sinopsis

La evaluación TISAX es el segundo paso. Aquí es donde realiza la mayor parte del trabajo para obtener su evaluación TISAX.

Las siguientes secciones le guiarán a través de la evaluación:

  1. Empezaremos explicando cómo puede usar la autoevaluación ISA para comprobar si está preparado para una evaluación TISAX.

  2. A continuación, le recomendaremos cómo elegir uno de nuestros proveedores de auditoría TISAX.

  3. Más adelante, describiremos su recorrido a lo largo del proceso de evaluación.

  4. Por último, explicaremos el “resultado del proceso”: el resultado de la evaluación y las correspondientes etiquetas TISAX.

5.2. Autoevaluación basada en la ISA

Para estar listo para una evaluación TISAX, en primer lugar necesita tener el sistema de gestión de la seguridad de la información (ISMS) a punto. Para averiguar si su ISMS tiene el nivel de madurez esperado, ha de llevar a cabo una autoevaluación basada en la ISA.

La “evaluación de la seguridad de la información” (ISA, por sus siglas en inglés) es un catálogo de criterios publicado por la Asociación alemana de la industria automotriz (Verband der Automobilindustrie e.V., VDA). Es el estándar del sector del automóvil para las evaluaciones de la seguridad de la información.

Las siguientes secciones proporcionan instrucciones prácticas para llevar a cabo una autoevaluación basada en la ISA.

Las explicaciones, los ejemplos y las capturas de pantalla de este manual se basan en la “Versión: 5.0.3” del documento ISA.

Icono de advertencia informativa

Recuerde:

Encontrará información sobre los cambios respecto a versiones anteriores de la ISA en la hoja de Excel “Change history” (Historial de cambios).

Icono de advertencia informativa

Recuerde:

Para más información sobre la versión de la ISA aplicable a su evaluación cuando la VDA publique una nueva versión, consulte la Sección 7.9, “Anexo: Gestión del ciclo de vida ISA”.

5.2.1. Descarga del documento ISA

Empiece su autoevaluación descargando el documento ISA.

Puede descargarlo del sitio web de la VDA:
Icono de la bandera del Reino Unido portal.enx.com/isa5-en.xlsx

La ISA también está disponible en alemán:
Icono de la bandera de Alemania portal.enx.com/isa5-de.xlsx

5.2.2. Entender el documento ISA

Antes de empezar la autoevaluación, le damos algunas explicaciones que podrían resultarle útiles. Son adicionales a las explicaciones y definiciones oficiales del documento ISA y hacen hincapié en el uso para las evaluaciones TISAX.

5.2.2.1. Catálogos de criterios

La ISA cuenta actualmente con tres “catálogos de criterios”[17]:

Icono de la bandera de España Icono de la bandera del Reino Unido

1.

Seguridad de la información

Information Security

2.

Protección de prototipos

Prototype Protection

3.

Protección de datos

Data Protection

Cada catálogo de criterios tiene su propia hoja de Excel:

Captura de pantalla: catálogos de criterios ISA como hojas de Excel
Figura 12. Captura de pantalla: catálogos de criterios ISA como hojas de Excel

El núcleo de la ISA es el catálogo de criterios “Seguridad de la información”. Las preguntas de este catálogo de criterios son obligatorias para todas las evaluaciones TISAX.

Los otros catálogos de criterios son opcionales. Su aplicabilidad depende de su(s) objetivo(s) de evaluación.

Los objetivos de evaluación indicados anteriormente se corresponden con estos catálogos de criterios:

Tabla 8. Correspondencia entre los objetivos de evaluación TISAX y los catálogos de criterios ISA
Núm. Objetivo de evaluación (Icono de la bandera del Reino Unido Assessment objective) Catálogo de criterios ISA

1.

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

Information Security (Icono de la bandera de España Seguridad de la información)

2.

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

Information Security (Icono de la bandera de España Seguridad de la información)

3.

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

Prototype Protection (Icono de la bandera de España Protección de prototipos)

4.

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

Prototype Protection (Icono de la bandera de España Protección de prototipos)

5.

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

Prototype Protection (Icono de la bandera de España Protección de prototipos)

6.

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

Prototype Protection (Icono de la bandera de España Protección de prototipos)

7.

Icono de la bandera de España Protección de datos
En virtud del artículo 28 (“Encargado del tratamiento”) del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Data Protection (Icono de la bandera de España Protección de datos)

8.

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
En virtud del artículo 28 (“Encargado del tratamiento”) con categorías especiales de datos personales como se define en el artículo 9 del Reglamento General de Protección de Datos europeo (RGPD)
Icono de la bandera del Reino Unido Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Data Protection (Icono de la bandera de España Protección de datos)

Ejemplo: Si ha seleccionado el objetivo de evaluación “Protección de datos”, tendrá que contestar a las preguntas de los catálogos de criterios “Seguridad de la información” Y “Protección de datos”.

Habrá notado que hay más de un objetivo de evaluación para cada catálogo de criterios. ¿Cómo saber qué requisitos son aplicables a cada objetivo de evaluación?

La siguiente tabla le muestra qué requisitos son aplicables:

Tabla 9. Aplicabilidad de los requisitos a los objetivos de evaluación
Núm. Objetivo de evaluación (Icono de la bandera del Reino Unido Assessment objective) Requisitos aplicables

1.

Icono de la bandera de España Información con necesidad de protección alta
Icono de la bandera del Reino Unido Handling of information with high protection needs

  • Todos los requisitos del catálogo de criterios “Information Security” (Icono de la bandera de España Seguridad de la información) (columnas “Requirements (must)” (Icono de la bandera de España Requisitos (obligatorios)) y “Requirements (should)” (Icono de la bandera de España Requisitos (opcionales)))

  • Más los requisitos adicionales de la columna “Additional requirements for high protection needs” (Icono de la bandera de España Requisitos adicionales para necesidad de protección alta) (si procede)

2.

Icono de la bandera de España Información con necesidad de protección muy alta
Icono de la bandera del Reino Unido Handling of information with very high protection needs

  • Todos los requisitos del catálogo de criterios “Information Security” (Icono de la bandera de España Seguridad de la información) (columnas “Requirements (must)” (Icono de la bandera de España Requisitos (obligatorios)) y “Requirements (should)” (Icono de la bandera de España Requisitos (opcionales)))

  • Más los requisitos adicionales de la columna “Additional requirements for very high protection needs” (Icono de la bandera de España Requisitos adicionales para necesidad de protección muy alta) (si procede)

3.

Icono de la bandera de España Protección de piezas y componentes prototipo
Icono de la bandera del Reino Unido Protection of prototype parts and components

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección alta”

  • Más los requisitos de los siguientes capítulos del catálogo de criterios “Prototype Protection” (Icono de la bandera de España Protección de prototipos):

    • 8.1 Physical and Environmental Security (Icono de la bandera de España Seguridad física y del entorno)

    • 8.2 Organizational Requirements (Icono de la bandera de España Requisitos organizativos)

    • 8.3 Handling of vehicles, components and parts (Icono de la bandera de España Manejo de vehículos, componentes y piezas)

4.

Icono de la bandera de España Protección de vehículos prototipo
Icono de la bandera del Reino Unido Protection of prototype vehicles

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección alta”

  • Más los requisitos de los siguientes capítulos del catálogo de criterios “Prototype Protection” (Icono de la bandera de España Protección de prototipos):

    • 8.1 Physical and Environmental Security (Icono de la bandera de España Seguridad física y del entorno)

    • 8.2 Organizational Requirements (Icono de la bandera de España Requisitos organizativos)

    • 8.3 Handling of vehicles, components and parts (Icono de la bandera de España Manejo de vehículos, componentes y piezas)

  • Más los requisitos adicionales de la columna “Additional requirements for vehicles classified as requiring protection” (Icono de la bandera de España Requisitos adicionales para vehículos que requieren protección) (si procede)

5.

Icono de la bandera de España Manejo de vehículos de prueba
Icono de la bandera del Reino Unido Handling of test vehicles

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección alta”

  • Más los requisitos de los siguientes capítulos del catálogo de criterios “Prototype Protection” (Icono de la bandera de España Protección de prototipos):

    • 8.2 Organizational Requirements (Icono de la bandera de España Requisitos organizativos)

    • 8.3 Handling of vehicles, components and parts (Icono de la bandera de España Manejo de vehículos, componentes y piezas)

    • 8.4 Requirements for trial vehicles (Icono de la bandera de España Requisitos para vehículos de prueba)

6.

Icono de la bandera de España Protección de prototipos durante eventos y rodajes o sesiones fotográficas
Icono de la bandera del Reino Unido Protection of prototypes during events and film or photo shoots

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección alta”

  • Más los requisitos de los siguientes capítulos del catálogo de criterios “Prototype Protection” (Icono de la bandera de España Protección de prototipos):

    • 8.2 Organizational Requirements (Icono de la bandera de España Requisitos organizativos)

    • 8.3 Handling of vehicles, components and parts (Icono de la bandera de España Manejo de vehículos, componentes y piezas)

    • 8.5 Requirements for events and shootings (Icono de la bandera de España Requisitos para eventos y rodajes)

7.

Icono de la bandera de España Protección de datos
Icono de la bandera del Reino Unido Data protection

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección alta”

  • Todos los requisitos del catálogo de criterios “Data Protection” (Icono de la bandera de España Protección de datos)

8.

Icono de la bandera de España Protección de datos con categorías especiales de datos personales
Icono de la bandera del Reino Unido Data protection with special categories of personal data

  • Todos los requisitos aplicables al objetivo de evaluación “Información con necesidad de protección muy alta”

  • Todos los requisitos del catálogo de criterios “Data Protection” (Icono de la bandera de España Protección de datos)

Las capturas de pantalla que aparecen a continuación muestran los principales elementos de las preguntas en cada catálogo de criterios. Explicaremos todos los elementos más adelante.

Captura de pantalla: Elementos principales de las preguntas en los catálogos de criterios ISA
Figura 13. Captura de pantalla: Elementos principales de las preguntas en los catálogos de criterios ISA
img callout black 01

Nivel de madurez

img callout black 02

Capítulo

img callout black 03

Pregunta de control

img callout black 04

Requisitos

img callout black 05

Objetivo

img callout black 06

Todas las necesidades de protección

img callout black 07

Necesidad de protección alta

img callout black 08

Necesidad de protección muy alta

5.2.2.2. Capítulos

Cada catálogo de criterios agrupa las preguntas en capítulos.

Ejemplo: “4 Gestión de identidad y acceso”

El agrupamiento se basa en los distintos aspectos de los sistemas de gestión de la seguridad de la información.

5.2.2.3. Preguntas de control

Encontrará las preguntas para cada catálogo de criterios en las correspondientes hojas de Excel.

Ejemplo: “4.1.2 ¿Hasta qué nivel está protegido el acceso de usuarios a los servicios de red, sistemas informáticos y aplicaciones informáticas?”

Las preguntas de control también se denominan “controles”. Esto es “jerga de auditor”. Las normas ISO en las que se basa la ISA utilizan el término “control”.

5.2.2.4. Campos del formulario de autoevaluación

Entre las columnas “Maturity level” (Icono de la bandera de España Nivel de madurez) y “Control question” (Icono de la bandera de España Pregunta de control) hay campos que deberá completar al llevar a cabo la autoevaluación:

Tabla 10. Campos del formulario de autoevaluación y su finalidad
Campo del formulario Finalidad ¿Obligatorio?

Implementation description (Icono de la bandera de España Descripción de la implementación)
(Columna F)

Aquí deberá describir brevemente qué ha implementado en su empresa para dar respuesta a esta pregunta de control.

Reference Documentation (Icono de la bandera de España Referencia a la documentación)
(Columna G)

Aquí deberá especificar qué documento(s) prueba(n) esa implementación.

Findings/Result (Icono de la bandera de España Hallazgos/Resultado)
(Columna H)

Aquí puede anotar aquellos hallazgos en los que crea que existe una brecha entre la situación real y la situación ideal.

No

Solo son obligatorias la descripción breve de la implementación y la referencia a la documentación. Esta información ayudará a nuestros proveedores de auditoría TISAX a entender mejor su empresa y preparar la evaluación.

Hay más columnas opcionales como ayuda a su autoevaluación:

  • Measures/recommendations (Icono de la bandera de España Medidas/Recomendaciones) (columna R)

  • Date of assessment (Icono de la bandera de España Fecha de evaluación) (columna S)

  • Date of completion (Icono de la bandera de España Fecha de finalización) (columna T)

  • Responsible department (Icono de la bandera de España Departamento responsable) (columna U)

  • Contact (Icono de la bandera de España Contacto) (columna V)

Icono de advertencia importante

Nota importante:

Si abre el archivo de Excel descargado y selecciona una de las hojas de trabajo del catálogo de criterios (p. ej., Seguridad de la información), es probable que no vea de inmediato los campos del formulario de autoevaluación. Para mostrarlos, tendrá que hacer clic en el botón de agrupamiento para el nivel “2”[18]. El botón se encuentra por encima y a la izquierda de la celda C1. Esto expandirá la vista para mostrar los campos del formulario de autoevaluación.

Captura de pantalla: Botón de agrupamiento de Excel

Otro consejo es usar las teclas de flecha para desplazarse. Debido al tamaño de las celdas, desplazarse con la barra de desplazamiento exige excelentes habilidades de motricidad fina. Si utiliza la función de desplazamiento del dispositivo señalador, podría saltarse accidentalmente alguna de las celdas.

5.2.2.5. Objetivo

A la derecha de la columna “Pregunta de control” se encuentra la columna “Objetivo” (columna J). Su contenido describe qué debe alcanzar en ese aspecto de su gestión de la seguridad de la información.

Ejemplo (para la pregunta de control 4.1.2): “Solo los usuarios identificados de forma segura (autenticados) pueden tener acceso a los sistemas informáticos. Para este fin, la identidad de un usuario se determina de forma segura con procedimientos adecuados”.

5.2.2.6. Requisitos

Los requisitos que debería cumplir para alcanzar este objetivo.

Los requisitos se reparten en cuatro columnas:

  1. Requirements (must) (Icono de la bandera de España Requisitos (obligatorios)) (columna K)

  2. Requirements (should) (Icono de la bandera de España Requisitos (optativos)) (columna L)

  3. Additional requirements for high protection needs (Icono de la bandera de España Requisitos adicionales para necesidad de protección alta) (columna M)

  4. Additional requirements for very high protection needs (Icono de la bandera de España Requisitos adicionales para necesidad de protección muy alta) (columna N)

Debe cumplir todos los requisitos hasta la necesidad de protección que debe alcanzar (que podrá deducir a partir de su objetivo de evaluación).

Para más información sobre las definiciones ISA de los niveles de requisito “obligatorio” y “opcional”, consulte los “términos clave” en la hoja de Excel “Definiciones”.

Icono de advertencia importante

Nota importante:

Es muy importante que entienda que cumplir todos los requisitos NO garantiza obligatoriamente que el proveedor de auditoría confirmará que ha alcanzado el objetivo.

Los requisitos y las descripciones se basan en una implementación teórica por parte de una empresa ficticia normal de tamaño desconocido.

El proveedor de auditoría siempre debe sopesar el objetivo respecto a la implementación única en su empresa. Algo que sea adecuado para una empresa promedio podría no ser suficiente en su situación particular.

En caso de dudas, consulte a nuestros proveedores de auditoría TISAX.

5.2.2.7. Niveles de madurez

La ISA utiliza el concepto de “maturity levels” (Icono de la bandera de España niveles de madurez) para puntuar la calidad de todos los aspectos de su sistema de gestión de la seguridad de la información. Cuanto más sofisticado sea su sistema de gestión de la seguridad de la información, mayor será el nivel de madurez.

La ISA distingue seis niveles de madurez. Podrá encontrar la definición detallada en la hoja de Excel “Maturity levels” (Icono de la bandera de España Niveles de madurez). Para una visión conjunta de los niveles de madurez, citamos a continuación las descripciones informales que se recogen en la ISA:

Tabla 11. Descripción informal de los niveles de madurez
Maturity level (Icono de la bandera de España Nivel de madurez) En una palabra Descripción

0

Incomplete (Icono de la bandera de España Incompleto)

No existe ningún proceso o el proceso no logra los objetivos porque no se sigue o no es adecuado.

1

Performed (Icono de la bandera de España Realizado)

Se sigue un proceso no documentado o documentado de forma incompleta y existen indicadores de que se han logrado los objetivos.

2

Managed (Icono de la bandera de España Controlado)

Se sigue un proceso que alcanza los objetivos. Se dispone de documentación del proceso y de la evidencia de la implementación del proceso.

3

Established (Icono de la bandera de España Establecido)

Se sigue un proceso estándar integrado en el sistema global. Las dependencias de otros procesos están documentadas y se han creado las interfaces necesarias. Existe evidencia de que el proceso se ha utilizado de forma sostenible y activa durante un periodo extenso.

4

Predictable (Icono de la bandera de España Predecible)

Se sigue un proceso establecido. La efectividad del proceso se controla de forma continua recopilando cifras clave. Se han definido valores límite a partir de los cuales se considera que el proceso no es lo suficientemente efectivo y requiere ajustes. (Indicadores clave de rendimiento)

5

Optimizing (Icono de la bandera de España Optimizando)

Se sigue un proceso predecible con la mejora continua como objetivo principal. La mejora se impulsa activamente mediante recursos específicos.

Ha de valorar el nivel de madurez de su sistema de gestión de la seguridad de la información para cada pregunta. Introduzca su nivel de madurez en la columna “Maturity level” (Icono de la bandera de España Nivel de madurez) (columna E).

Captura de pantalla: Ejemplo de selección del nivel de madurez en el documento ISA (hoja de Excel “Seguridad de la información”)
Figura 14. Captura de pantalla: Ejemplo de selección del nivel de madurez en el documento ISA (hoja de Excel “Seguridad de la información”)
img callout black 01

Su nivel de madurez

Para más información sobre los niveles de madurez objetivo y su impacto en el resultado de la evaluación, consulte la Sección 5.2.4, “Interpretar el resultado de la autoevaluación”.


Con estos conocimientos, ahora está listo para iniciar la autoevaluación.

5.2.3. Realizar la autoevaluación

Abra el archivo de Excel y responda a todas las preguntas de control de cada catálogo de criterios aplicable a su(s) objetivo(s) de evaluación y determine el nivel de madurez que corresponda al estado actual de su sistema de gestión de la seguridad de la información. Responda según su entender. No hay respuestas correctas y equivocadas en esta fase.

Una vez completada la autoevaluación, la columna “Resultado” (H) de la hoja de Excel “Resultados (ISA5)” debería estar completamente cumplimentada, con números (0-5) o con “n.a.” (”no aplicable”).

Captura de pantalla: Ejemplo de la hoja “Resultados (ISA5)” del documento ISA
Figura 15. Captura de pantalla: Ejemplo de la hoja “Resultados (ISA5)” del documento ISA
img callout black 01

Verde

Si tiene preguntas sobre la ISA, póngase en contacto con nosotros.

5.2.4. Interpretar el resultado de la autoevaluación

Las siguientes cinco subsecciones explican cómo analizar e interpretar el resultado de la autoevaluación. El análisis le dirá si está listo o no para una evaluación TISAX.

5.2.4.1. Análisis

La puntuación final resume el resultado de la autoevaluación.

Encontrará la puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) en la hoja de Excel “Resultados (ISA5)” (celda D6). Explicaremos la “reducción” pronto.

Captura de pantalla: Su puntuación final y el resultado máximo (hoja de Excel “Resultados (ISA5)”
Figura 16. Captura de pantalla: Su puntuación final y el resultado máximo (hoja de Excel “Resultados (ISA5)”, celda D6 y G6).
img callout black 01

Su puntuación final

img callout black 02

Resultado máximo

Para entender e interpretar el resultado de la autoevaluación y su puntuación final, debe diferenciar dos niveles de análisis:

  1. Nivel de pregunta
    Este nivel tiene todas las preguntas. Para cada pregunta, hay un nivel de madurez objetivo y su nivel de madurez.

  2. Nivel de puntuación
    En este nivel, hay un resultado total que resume los resultados de todas las preguntas. Existe un resultado máximo y su puntuación final.

La figura inferior muestra los niveles de análisis:

Análisis del resultado de la autoevaluación a nivel de pregunta y nivel de puntuación
Figura 17. Análisis del resultado de la autoevaluación a nivel de pregunta y nivel de puntuación
img callout black 01

Análisis

img callout black 02

Nivel de pregunta

img callout black 03

Nivel de madurez objetivo

img callout black 04

Su nivel de madurez

img callout black 05

Nivel de puntuación

img callout black 06

Resultado máximo

img callout black 07

Su puntuación final

La figura inferior muestra dónde encontrará los resultados a nivel de puntuación y los resultados a nivel de pregunta:

Nivel de puntuación y nivel de pregunta en la hoja de Excel “Resultados (ISA5)”
Figura 18. Nivel de puntuación y nivel de pregunta en la hoja de Excel “Resultados (ISA5)”
img callout black 01

Nivel de puntuación

img callout black 02

Nivel de pregunta

La siguiente figura muestra una vista simplificada de los niveles de análisis, las definiciones de objetivos de la ISA y sus propios resultados:

Los objetivos y sus resultados a nivel de pregunta y nivel de puntuación
Figura 19. Los objetivos y sus resultados a nivel de pregunta y nivel de puntuación
img callout black 01

Nivel de madurez objetivo

img callout black 02

Su nivel de madurez

img callout black 03

Nivel de pregunta

img callout black 04

Q (Pregunta)

img callout black 05

TML (Nivel de madurez objetivo)

img callout black 06

YML (Su nivel de madurez)

img callout black 07

Resultado máximo

img callout black 08

Su puntuación final

img callout black 09

Nivel de puntuación

Las siguientes secciones explican el resultado y su análisis en detalle.

5.2.4.2. El nivel de madurez objetivo (a nivel de pregunta)

La ISA define un “nivel de madurez objetivo” de 3 para cada pregunta.

Para más información sobre la definición de cada nivel de madurez, consulte la Sección 5.2.2, “Entender el documento ISA”.

La ISA define los niveles de madurez objetivo en la hoja de Excel “Resultados (ISA5)” (empezando por la columna G, fila 22, vea la figura más abajo).

La definición de nivel de madurez objetivo en la hoja de Excel “Resultados (ISA5)”
Figura 20. La definición de nivel de madurez objetivo en la hoja de Excel “Resultados (ISA5)”
img callout black 01

Nivel de madurez objetivo

5.2.4.3. Su resultado (a nivel de pregunta)

Para recibir etiquetas TISAX, normalmente debe tener para cada pregunta un nivel de madurez igual o superior al nivel de madurez objetivo.

Ejemplo: Si el nivel de madurez objetivo para la pregunta X es “3”, su nivel de madurez para esa pregunta debería ser “3” o superior. Si su nivel de madurez para la pregunta está por debajo de “3”, podría no recibir etiquetas TISAX.

Esto ha de ser así para cada pregunta. Si el nivel de madurez objetivo de dos preguntas es “3”, no puede compensar un nivel de madurez “2” en una pregunta con un nivel de madurez “4” en otra pregunta.

El documento ISA automáticamente transfiere los niveles de madurez de la hoja de Excel “Seguridad de la información” (columna E) a la hoja de Excel “Resultados (ISA5)” (empezando por la columna H, fila 23):

Sus niveles de madurez en la hoja de Excel “Resultados (ISA5)”
Figura 21. Sus niveles de madurez en la hoja de Excel “Resultados (ISA5)”
img callout black 01

Su nivel de madurez objetivo

Su nivel de madurez se somete a un cálculo antes de que el documento ISA lo resuma en la puntuación final. Básicamente, su nivel de madurez se “reduce” al nivel de madurez objetivo. Esto se hace así de forma que las preguntas en las que su nivel de madurez está por encima del nivel de madurez objetivo no compensen las preguntas en las que el nivel de madurez está por debajo del nivel de madurez objetivo.

Así calcula la ISA su resultado a nivel de pregunta:

  • Toma su nivel de madurez y lo compara con el nivel de madurez objetivo de la pregunta.

  • Si su nivel de madurez es superior al nivel de madurez objetivo, lo “reduce” al nivel de madurez objetivo.

  • Si su nivel de madurez es igual o inferior al nivel de madurez objetivo, no se hace nada a la pregunta.

Ejemplo (vea la figura más abajo): El nivel de madurez objetivo es “3”. Su nivel de madurez es “4”. Su “resultado reducido” para esa pregunta será “3”.

Reducción del nivel de madurez resultante
Figura 22. Reducción del nivel de madurez resultante
img callout black 01

Entrada

img callout black 02

Cálculo

img callout black 03

Salida

img callout black 04

(Nivel de pregunta)

img callout black 05

Nivel de madurez objetivo (TML)

img callout black 06

Su nivel de madurez (YML)

img callout black 07

¿YML > TML?

img callout black 08

Sí: reducción a TML

img callout black 09

No: sin reducción

img callout black 10

Nivel de madurez resultante (RML)

La siguiente figura muestra que, si su nivel de madurez es superior al nivel de madurez objetivo, la ISA lo reduce (los colores verde, naranja y rojo coinciden con los colores usados en la columna “Resultado”, véase la Figura 21, “Sus niveles de madurez en la hoja de Excel “Resultados (ISA5)””).

Ilustración de la reducción con los colores usados en la hoja de Excel “Resultados (ISA5)”
Figura 23. Ilustración de la reducción con los colores usados en la hoja de Excel “Resultados (ISA5)”
img callout black 01

Ejemplo:

img callout black 02

YML

img callout black 03

TML

img callout black 04

Reducción

A continuación se muestra otra forma de ver los niveles de madurez a nivel de pregunta. Los colores de los círculos ilustran el nivel de madurez objetivo o la “distancia” hasta dicho nivel (ejemplo: el círculo es naranja si el nivel de madurez está “-1” por debajo del nivel de madurez objetivo). Las marcas de verificación ilustran su nivel de madurez.

Niveles de madurez a nivel de pregunta
Figura 24. Niveles de madurez a nivel de pregunta
img callout black 01

Nivel de madurez

img callout black 02

Pregunta

img callout black 03

Reducción

img callout black 04

Nivel de madurez objetivo (TML)

img callout black 05

Uno o más por encima del TML

img callout black 06

Uno por debajo del TML

img callout black 07

Dos o más por debajo del TML

img callout black 08

Su nivel de madurez (YML)

img callout black 09

Reducción al TML

Icono de advertencia informativa

Recuerde:

Es posible superar la evaluación TISAX incluso si no alcanza el nivel de madurez objetivo para todas las preguntas. En ese caso, la principal pregunta será si tiene un riesgo relevante. Si su nivel de madurez está por debajo del valor objetivo pero no existe ningún riesgo, podría ser suficiente.

5.2.4.4. El objetivo (a nivel de puntuación)

La ISA define un nivel de madurez global “ideal”: el “resultado máximo” (o “Puntuación máxima”, celda G6).

Resultado máximo (hoja de Excel “Resultados (ISA5)”)
Figura 25. Resultado máximo (hoja de Excel “Resultados (ISA5)”)
img callout black 01

Resultado máximo

En teoría, el nivel de madurez global es la media de todos los niveles de madurez objetivo (a nivel de pregunta). Esto daría un resultado máximo de “3,0”.

Sin embargo, solo es “3,0” si todas las preguntas son aplicables a su situación. En cuanto una pregunta no es aplicable a su situación, el promedio cambia y el resultado máximo será inferior a “3,0”.

A partir de la vista mostrada (Figura 24, “Niveles de madurez a nivel de pregunta”), a continuación verá qué se incluye en el promedio para el resultado máximo:

El resultado máximo (a nivel de puntuación)
Figura 26. El resultado máximo (a nivel de puntuación)
img callout black 01

Nivel de madurez

img callout black 02

Pregunta

img callout black 03

Reducción

img callout black 04

Resultado máximo

5.2.4.5. Su resultado (a nivel de puntuación)

Su puntuación final total (“Resultado con reducción a los niveles de madurez objetivo”, celda D6):

  • resume el nivel de madurez total de su sistema de gestión de la seguridad de la información.

  • es la media de sus niveles de madurez (a nivel de pregunta).

  • puede ser igual o inferior al resultado máximo.

  • debería estar lo más cerca posible del resultado máximo. Cuanto más lejos esté su puntuación final del resultado máximo, menos probable es que reciba etiquetas TISAX.

Su puntuación final (hoja de Excel “Resultados (ISA5)”)
Figura 27. Su puntuación final (hoja de Excel “Resultados (ISA5)”)
img callout black 01

Su puntuación final

De nuevo a partir de la vista mostrada (Figura 24, “Niveles de madurez a nivel de pregunta”), a continuación verá qué se incluye en el promedio para la puntuación final:

Su puntuación final (a nivel de puntuación)
Figura 28. Su puntuación final (a nivel de puntuación)
img callout black 01

Nivel de madurez

img callout black 02

Pregunta

img callout black 03

Reducción

img callout black 04

Su puntuación final

La puntuación final le dice si:

  • está listo para una evaluación TISAX.

  • puede esperar recibir etiquetas TISAX.

Si su puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) está por debajo de “3,0”, significa que al menos en una pregunta su nivel de madurez no coincide con el nivel de madurez objetivo. En ese caso, es probable que tenga que mejorar su sistema de gestión de la seguridad de la información antes de estar listo para su evaluación TISAX.

Icono de advertencia informativa

Recuerde:

Para la puntuación total, existen límites formales para una “distancia” aceptable entre su puntuación final y el resultado máximo (“Resultado con reducción a los niveles de madurez objetivo”).

Si su puntuación final se encuentra más:

  • del 10 % por debajo, el resultado global de la evaluación será “no conforme con una desviación mínima”.

  • del 30 % por debajo, el resultado global de la evaluación será “no conforme con una desviación importante”.

Icono de advertencia importante

Nota importante:

Tener una puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) de “3” no es garantía de que superará la evaluación TISAX sin hallazgos negativos. Tenga en cuenta que el proveedor de auditoría puede ver ciertos aspectos de forma diferente a usted.

5.2.4.6. ¿Está listo?

El objetivo del análisis anterior es saber si está listo para una evaluación TISAX.

Estará listo para una evaluación TISAX si su puntuación final (“Resultado con reducción a los niveles de madurez objetivo”) es de “3,0” (o cercano a ese valor). En ese caso, todos los valores de la columna “Resultados” (H) estarán en verde (no en naranja o rojo).

Si no están en verde, deberá seguir analizando el resultado de la autoevaluación (consulte la Sección 5.2.5, “Examine el resultado de la autoevaluación”).

La siguiente figura muestra un diagrama de telaraña ISA de la hoja de Excel “Resultados (ISA5)”. La línea verde marca el nivel de madurez objetivo por cada capítulo. Si sus niveles de madurez están en esa línea o por encima, está listo para una evaluación TISAX. Si están por debajo de esa línea, podría no ser suficiente para obtener etiquetas TISAX.

Captura de pantalla: Cumplimiento del nivel de madurez objetivo en el diagrama de telaraña ISA (hoja de Excel “Resultados (ISA5)”)
Figura 29. Captura de pantalla: Cumplimiento del nivel de madurez objetivo en el diagrama de telaraña ISA (hoja de Excel “Resultados (ISA5)”)
img callout black 01

Está listo para la evaluación TISAX

img callout black 02

Niveles de madurez objetivo

img callout black 03

¡Los niveles de madurez pueden no bastar para obtener etiquetas TISAX!

Si “despliega” la telaraña ISA al nivel de pregunta, obtendrá una imagen verde/roja similar a nivel de pregunta:

“Despliegue” del diagrama de telaraña ISA
Figura 30. “Despliegue” del diagrama de telaraña ISA
img callout black 01

Nivel de madurez

img callout black 02

Pregunta

img callout black 03

Su puntuación final puede no bastar para obtener etiquetas TISAX

img callout black 04

Está listo para la evaluación TISAX

5.2.5. Examine el resultado de la autoevaluación

El resultado de su autoevaluación podría mostrar que necesita mejorar su sistema de gestión de la seguridad de la información antes de poder recibir las etiquetas TISAX.

Es posible que ya sepa cómo cerrar algunas brechas entre su nivel de madurez y el nivel de madurez objetivo. Para otras, puede que necesite asesoramiento externo. En ese caso, puede solicitar servicios de consultoría a nuestros proveedores de auditoría TISAX. TISAX permite que actúen como consultores, pero no lo exige. Recuerde que un proveedor de auditoría que le preste servicios de consultoría ya no podrá encargarse de su evaluación TISAX.

Icono de advertencia importante

Nota importante:

No analizar correctamente el resultado de la autoevaluación antes de la evaluación supone un gran escollo para muchas empresas. No subestime los esfuerzos necesarios para adaptar su sistema de gestión de la seguridad de la información a los requisitos. Muchas empresas necesitan iniciar un proyecto de envergadura para prepararse para una evaluación TISAX.

Icono de advertencia informativa

Recuerde:

Si busca ayuda externa para llevar a cabo el proceso TISAX, verá que existen muchas empresas que ofrecen servicios de consultoría y formación. Ninguna de esas empresas están asociadas con nosotros.

A día de hoy:

  • no ofrecemos cursos de formación oficiales, ni directamente ni a través de terceros.

  • no valoramos la calidad de los servicios de terceros, por lo que aconsejamos precaución.

5.3. Selección del proveedor de auditoría

Solo los proveedores de auditoría autorizados por nosotros pueden llevar a cabo evaluaciones TISAX[19] para averiguar qué necesitan para convertirse en proveedor de auditoría TISAX.]. Los proveedores de auditoría TISAX solo están autorizados a llevar a cabo sus evaluaciones TISAX si previamente no le han prestado servicios de consultoría.

Todos nuestros proveedores de auditoría TISAX están obligados a llevar a cabo evaluaciones TISAX únicamente a empresas que son participantes registrados de TISAX.

Icono de advertencia informativa

Recuerde:

Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, su alcance de la evaluación debe tener el estado “Approved” (Aprobado) o “Registered” (Registrado)

5.3.1. Información de contacto

Una vez que se haya registrado, podrá ponerse en contacto con todos los proveedores de auditoría TISAX y solicitar ofertas. La información de contacto figura en el mensaje de confirmación del registro que ha recibido[20] (consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación”).

Icono de advertencia informativa

Recuerde:

Solicite ofertas a nuestros proveedores de auditoría TISAX solo DESPUÉS de haberse registrado. Los proveedores de auditoría comprobarán si está registrado. Sin registro, han de rechazar las peticiones.

Este es el motivo por el que recibe la información de contacto de los proveedores de auditoría en el mensaje de confirmación del registro y no en nuestro sitio web público.

5.3.2. Cobertura

Aunque actualmente un gran número de los proveedores de auditoría están en Alemania, recuerde que todos nuestros proveedores de auditoría son capaces de llevar a cabo evaluaciones TISAX en todo el mundo. La mayoría tiene incluso empleados propios en muchos países.

En nuestro sitio web, ofrecemos una página en la que puede seleccionar su país y ver qué proveedor de auditoría tiene personal de ventas local y/o auditores locales (Icono de la bandera del Reino Unido enx.com/en-US/TISAX/xap/).

5.3.3. Solicitud de ofertas

Para que nuestros proveedores de auditoría TISAX puedan calcular correctamente los esfuerzos de evaluación esperados, siempre deberá incluir el “TISAX Scope Excerpt”.

Miniatura de un “TISAX Scope Excerpt” (primera página)
Figura 31. Miniatura de un “TISAX Scope Excerpt” (primera página)
Icono de advertencia informativa

Recuerde:

La imparcialidad es una característica clave de nuestros proveedores de auditoría TISAX. Ellos se asegurarán de que no haya conflictos de intereses. Téngalo en cuenta cuando se ponga en contacto con ellos. Si su empresa tiene algún tipo de relación con un proveedor de auditoría, no espere que se encargue de su evaluación.

5.3.4. Valoración de las ofertas

Puede elegir libremente entre todos nuestros proveedores de auditoría TISAX. Todos están sujetos al mismo contrato. Todos llevan a cabo evaluaciones basadas en los mismos criterios y los mismos métodos de auditoría. En términos del resultado de la evaluación, no habrá diferencias independientemente del proveedor de auditoría que elija. El resultado de su evaluación será aceptado por todos los participantes de TISAX.

Aparte de factores obvios como precio, reputación y simpatía, hay algunos aspectos de las ofertas en los que se puede fijar:

  • Disponibilidad: ¿cuándo puede empezar el proceso de evaluación? Este puede ser un aspecto importante si obtener su evaluación TISAX es urgente.

  • Costes de viajes para sesiones in situ: los proveedores de auditoría con oficinas en su país probablemente tendrán costes de viajes más bajos.

  • Idioma: ¿usted y el resto de personas entrevistadas de su empresa podrán comunicarse con el auditor en su idioma nativo?

  • ¿Qué evaluaciones están incluidas?
    Para más información sobre las evaluaciones, consulte la Sección 5.4.2, “Tipos de evaluación TISAX y elementos”.
    Normalmente, las ofertas incluyen la evaluación inicial y la evaluación del plan de acciones correctivas. Como resulta difícil predecir el esfuerzo de las evaluaciones de seguimiento, este servicio se suele ofrecer una vez finalizadas las otras evaluaciones.

Al final, todo se reduce a la confianza. Ha de forjar una relación de confianza con su proveedor de auditoría, puesto que tendrá una visión bastante exhaustiva de su empresa.

Icono de advertencia informativa

Recuerde:

No recomendamos solicitar partidas como “pre-evaluación”. Si bien entendemos el deseo de prepararse para la evaluación de esa forma, en la mayoría de los casos es más útil empezar la evaluación directamente. En cuestión de precio no debería haber mucha diferencia entre una “pre-evaluación” y la evaluación real. Y, en la última, siempre tendrá la oportunidad de mejorar los hallazgos con acciones correctivas. Esto quedará más claro cuando lea la siguiente sección.

Icono de advertencia informativa

Recuerde:

Cada evaluación tiene un ciclo de vida.

Para más información sobre el estado de una evaluación, consulte la Sección 7.6, “Anexo: Assessment status (Icono de la bandera de España Estado de la evaluación)”.

Una vez que haya escogido a uno de nuestros proveedores de auditoría TISAX, podrá finalmente iniciar el proceso de evaluación TISAX.

5.4. Proceso de evaluación TISAX

5.4.1. Sinopsis

El proceso de evaluación TISAX consiste en varios tipos de evaluación. En la mayoría de los casos habrá más de una evaluación.

Deberá ver el proceso de evaluación como una secuencia interconectada de pasos en la que:

  • Usted prepara su sistema de gestión de la seguridad de la información para que esté en plena forma.

  • El proveedor de auditoría comprueba si su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos. El auditor puede encontrar brechas.

  • Usted cierra esas brechas en un periodo definido.

  • El proveedor de auditoría comprueba de nuevo si se han cerrado las brechas.

Estos pasos se repiten hasta que todas las brechas se han cerrado.

Es importante entender que usted inicia cada paso intermedio en el proceso de evaluación. Todo el proceso de evaluación está bajo su control. Y, lógicamente, usted puede decidir parar y finalizar el proceso de evaluación en cualquier momento.[21]

5.4.2. Tipos de evaluación TISAX y elementos

El proceso de evaluación TISAX consta de estos tres tipos de evaluación TISAX:

  • Evaluación inicial (Icono de la bandera del Reino Unido Initial assessment)

  • Evaluación del plan de acciones correctivas (Icono de la bandera del Reino Unido Corrective action plan assessment)

  • Evaluación de seguimiento (Icono de la bandera del Reino Unido Follow-up assessment) [22]

La evaluación inicial marca el comienzo del proceso de evaluación TISAX.

Las otras dos evaluaciones TISAX pueden o no darse y pueden darse más de una vez. Se llevarán a cabo:

  • hasta que cierre todas las brechas

  • o hasta que abandone el proceso de evaluación TISAX

  • o bien hasta que alcance el periodo máximo de nueve meses (en ese momento, se requerirá otra evaluación inicial).

Todas las evaluaciones TISAX se describen en las secciones siguientes.

Icono de advertencia informativa

Recuerde:

Cada evaluación tiene un ciclo de vida.

Para más información sobre el estado de una evaluación, consulte la Sección 7.6, “Anexo: Assessment status (Icono de la bandera de España Estado de la evaluación)”.

5.4.3. Elementos de la evaluación TISAX

Cada evaluación TISAX consta de los siguientes elementos:

  • Reunión inicial formal[23][24]

    • Pretende cubrir todos los temas organizativos.

    • No tiene por qué ser una reunión presencial.

    • Los temas se pueden tratar en una sesión o bien repartirse a lo largo de varias sesiones.

    • Es un “contenedor lógico” para todos los temas organizativos previos a la evaluación.

  • Procedimiento de evaluación

    • Su proveedor de auditoría comprobará todos los requisitos.

    • Se seleccionarán los métodos de evaluación de acuerdo con el nivel de evaluación en cuestión.

  • Reunión final formal[25]

    • Cierra la evaluación TISAX.

    • El proveedor de auditoría presenta sus hallazgos.

    • El proveedor de auditoría anuncia el resultado de la evaluación.

    • No tiene por qué ser una reunión presencial.

    • Es un “contenedor lógico” para todos los temas organizativos posteriores a la evaluación.

Después de la “reunión final”, el proveedor de auditoría prepara y le envía el borrador del “informe TISAX” actualizado. Usted puede expresar sus objeciones si opina que el proveedor de auditoría ha malinterpretado algo.[26] A continuación, el proveedor de auditoría emite el “informe TISAX” definitivo.

Todos estos elementos se describirán en las próximas secciones.

5.4.4. Acerca de la conformidad

Antes de continuar con el proceso de evaluación TISAX, queremos explicar un concepto clave esencial para que entienda las siguientes secciones.

El objetivo de una evaluación TISAX es determinar si su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos. El proveedor de auditoría comprueba si su sistema de gestión de la seguridad de la información es “conforme” (Icono de la bandera del Reino Unido to conform) con los requisitos.

Paso 1: Se comprueba cada requisito aplicable individualmente.

Si su enfoque es “conforme” con todos los requisitos, usted supera la evaluación y recibe las etiquetas TISAX correspondientes a sus objetivos de evaluación.

Si su enfoque no es conforme a un requisito dado, el proveedor de auditoría distingue entre dos tipos de “no conformidad” (Icono de la bandera del Reino Unido non-conformity):

  1. Menor (Icono de la bandera del Reino Unido Minor non-conformity)
    Esto se aplica cuando la no conformidad no afecta a la efectividad global de su sistema de gestión de la seguridad de la información ni genera un riesgo importante para la seguridad de la información.
    Ejemplos: fallos aislados o esporádicos, déficits de implementación

  2. Mayor (Icono de la bandera del Reino Unido Major non-conformity)
    Esto se aplica cuando la no conformidad genera dudas sobre la efectividad global de su sistema de gestión de la seguridad de la información o genera un riesgo importante para la seguridad de la información.
    Ejemplos: no conformidad sistemática, déficits de implementación que suponen riesgos críticos para la seguridad de la información confidencial, déficits de implementación que no se someten a un plan de acciones correctivas adecuado

Icono de advertencia informativa

Recuerde:

A efectos del resultado de la evaluación, todo aquello que esté por debajo de la conformidad plena o ideal se denominará “hallazgo”. TISAX distingue entre cuatro tipos de hallazgo:

  • Observación (Icono de la bandera del Reino Unido Observation)

  • Margen de mejora (Icono de la bandera del Reino Unido Room for improvement)

  • No conformidad menor (Icono de la bandera del Reino Unido Minor non-conformity)

  • No conformidad mayor (Icono de la bandera del Reino Unido Major non-conformity)

Solo las dos no conformidades son relevantes para el resultado de la evaluación.

Paso 2: Todos los resultados del paso previo “por requisito” se agrupan en un resultado global de la evaluación.

El resultado global de la evaluación puede ser:

  1. Conforme (Icono de la bandera del Reino Unido Conform)
    El resultado global de la evaluación es “conforme”. Todos los requisitos se cumplen

  2. No conforme con una desviación mínima (Icono de la bandera del Reino Unido Minor non-conform)
    El resultado global de la evaluación es “no conforme con una desviación mínima” si tiene al menos una “no conformidad menor” para uno de los requisitos.

  3. No conforme con una desviación importante (Icono de la bandera del Reino Unido Major non-conform)
    El resultado global de la evaluación es “no conforme con una desviación importante” si tiene al menos una “no conformidad mayor” para uno de los requisitos.
    (Si no se dispone de un plan de acciones correctivas aprobado, cualquier no conformidad dará un resultado global de la evaluación de “no conforme con una desviación importante”.)

Si su resultado global de la evaluación es:

  • “no conforme con una desviación mínima”, podrá recibir etiquetas TISAX temporales hasta que se resuelvan todas las no conformidades.

  • “no conforme con una desviación importante”, ha de resolver el tema correspondiente antes de poder recibir etiquetas TISAX.
    Con medidas de compensación adecuadas y acciones correctivas aprobadas por el proveedor de auditoría, es posible cambiar el resultado global de la evaluación de “no conforme con una desviación importante” a “no conforme con una desviación mínima” y recibir las etiquetas TISAX temporales.

Es importante que entienda que el resultado global de la evaluación mejorará durante el transcurso del proceso de evaluación TISAX.

Tenga en cuenta este ejemplo simplificado: puede que tenga un resultado global de la evaluación de “no conforme con una desviación importante” después de la evaluación inicial. A continuación, mitiga el riesgo correspondiente. Esto cambiará el resultado global de la evaluación de “no conforme con una desviación importante” a “no conforme con una desviación mínima”. Y una vez que haya eliminado el riesgo, su resultado global de la evaluación final será “conforme”.

Todo esto se explicará más adelante con mucho más detalle. Y también podrá encontrar más información sobre las etiquetas TISAX en: Sección 5.4.13, “Etiquetas TISAX”.

5.4.5. Su preparación para el proceso de evaluación TISAX

El proveedor de auditoría preparará la evaluación en función de su autoevaluación. Por tanto, tenga en cuenta que deberá facilitar la autoevaluación a su proveedor de auditoría con antelación. Las fechas de entrega exactas se acuerdan durante la reunión inicial formal.

Un proveedor de auditoría bien preparado reducirá el tiempo necesario para la evaluación. Además de la autoevaluación, también solicitará documentación pertinente antes de la evaluación. Esta puede ser la documentación que haya citado en la autoevaluación o cualquier otra documentación que el proveedor de auditoría considere relevante.

A partir de esta información, su proveedor de auditoría planificará el procedimiento de evaluación.

5.4.6. Evaluación inicial

Esta es la primera evaluación TISAX y marca el inicio formal del proceso de evaluación TISAX.

Icono de advertencia importante

Nota importante:

La evaluación inicial marca el inicio de dos periodos importantes:

  1. Periodo máximo de validez de tres años para las etiquetas TISAX

  2. Duración máxima de nueve meses para todo el proceso de evaluación TISAX
    Este periodo empieza con la evaluación inicial. Finaliza con la última evaluación de seguimiento.
    Se trata de un plazo fijo. Si no logra finalizar el proceso de evaluación dentro de este plazo, no recibirá etiquetas TISAX.

Estos periodos empiezan el día de la reunión final.

5.4.6.1. La primera reunión inicial formal

Como todas las evaluaciones TISAX, la evaluación inicial empieza con una reunión inicial formal. A diferencia de los otros tipos de evaluación TISAX, esta reunión cubre la mayoría de temas ya que es el inicio de la interacción con su proveedor de auditoría. La reunión inicial formal suele realizarse mediante teleconferencia o videoconferencia.

El objetivo de esta reunión es:

  • comprobar los requisitos previos de la evaluación

  • presentar al jefe del proyecto de evaluación y al equipo de evaluación

  • planificar la evaluación


Los requisitos previos de la evaluación que deben comprobarse son:

  • ¿Tiene un registro TISAX válido?

  • ¿Está firmado el contrato entre usted y el proveedor de auditoría?


La planificación de la evaluación incluye:

  • Verificación del alcance de la evaluación

    • ¿Está registrado su alcance y es adecuado?[27]

  • Comprobación del objetivo de evaluación

    • ¿El objetivo de la evaluación coincide con sus propios requisitos y/o los de su socio?

  • Personal de su parte

    • A partir de los roles relativos al ISMS de su empresa, ¿quién debe estar disponible para entrevistas (telefónicas o en persona durante las evaluaciones in situ)?

  • Comunicación entre usted y el proveedor de auditoría

    • ¿Cómo intercambiará la información confidencial? Usted enviará documentación confidencial al proveedor de auditoría y este le enviará informes de evaluación confidenciales.

    • ¿A quién se incluirá en las comunicaciones?

    • En caso aplicable: ¿cómo se celebrarán las teleconferencias y videoconferencias para las entrevistas?

  • Temas clave de la evaluación

    • A partir de su autoevaluación, el proveedor de auditoría presentará los temas clave en los que se centrará.

  • Planificación temporal

    • Plazos para la documentación que ha de enviar (incluida la autoevaluación basada en la ISA y la documentación relacionada, si no se ha enviado ya)

    • Citas para las entrevistas y las inspecciones in situ (si procede)

    • Plazos para los informes de evaluación (borrador y definitivo)

5.4.6.2. Procedimiento de evaluación

Según el plan elaborado, el proveedor de auditoría llevará a cabo la evaluación inicial. Los detalles concretos dependerán de sus objetivos de evaluación. La evaluación consiste principalmente en teleconferencias, entrevistas in situ e inspecciones in situ con diferentes grados de exhaustividad[28].

El proveedor de auditoría presentará todos sus hallazgos durante la evaluación inicial.

5.4.6.3. Reunión final

En la reunión final, su proveedor de auditoría resumirá de nuevo todos sus hallazgos.

5.4.6.4. Informe TISAX

Después de la reunión final, el proveedor de auditoría preparará y le enviará el borrador del “informe TISAX”. Usted puede expresar sus objeciones si opina que el proveedor de auditoría ha malinterpretado algo.[29] A continuación, el proveedor de auditoría emitirá el “informe TISAX”.

En esta fase, el resultado global de la evaluación actual será:

  • Conforme, o

  • No conforme con una desviación importante
    Cualquier no conformidad (menor) sin abordar siempre conlleva un resultado global de la evaluación de “no conforme con una desviación importante”. Su resultado global de la evaluación solo puede ser “no conforme con una desviación mínima” una vez que haya definido acciones que implementen medidas para abordar las no conformidades.
    Para más información sobre cómo lograrlo, consulte la Sección 5.4.8.4, “Etiquetas TISAX temporales”.

Si su resultado global de la evaluación es “conforme” tras la evaluación inicial, puede saltarse el resto de la sección sobre las evaluaciones y proceder al intercambio de su resultado.

Si su resultado global de la evaluación es “no conforme con una desviación importante”, la próxima tarea será elaborar un plan para abordar los hallazgos y cerrar las brechas encontradas por el proveedor de auditoría. Este plan se llama oficialmente “plan de acciones correctivas” (Icono de la bandera del Reino Unido “corrective action plan”).

5.4.7. Preparación del plan de acciones correctivas

Su “plan de acciones correctivas” (Icono de la bandera del Reino Unido “corrective action plan”) define cómo prevé abordar los hallazgos de la evaluación inicial. Su proveedor de auditoría evaluará la adecuación de su “plan de acciones correctivas” (vea la siguiente sección).

Para crear su “plan de acciones correctivas”, debería considerar los siguientes requisitos:

  • Acciones correctivas

    • Por cada no conformidad deberá definir una o más “acciones correctivas” que implementarán medidas para abordar la no conformidad.

  • Fecha de implementación

    • Debe definir una fecha de implementación para cada acción correctiva.

    • El periodo de implementación debe dar tiempo suficiente para implementar las medidas a fondo.

  • Medidas de compensación

    • Para todas las no conformidades que crean riesgos críticos, deberá definir medidas de compensación que aborden las no conformidades hasta que las acciones correctivas se hayan implementado.

  • Periodo de implementación

    • Para todas las acciones correctivas que necesiten más de tres meses de implementación deberá justificar el periodo de implementación.

    • Para todas las acciones correctivas que necesiten más de seis meses, además deberá presentar evidencias de que una implementación más rápida no es posible.

    • El periodo de implementación para cualquier acción correctiva no puede ser superior a nueve meses.

Una vez completado el plan de acciones correctivas, podrá solicitar la “evaluación del plan de acciones correctivas”.

Icono de advertencia importante

Nota importante:

Recomendamos que inicie la implementación lo antes posible. No hace falta esperar el resultado de la “evaluación del plan de acciones correctivas”.
La “evaluación del plan de acciones correctivas” suele llevarse a cabo una vez que ha entregado el plan de acciones correctivas a su proveedor de auditoría.

5.4.8. Evaluación del plan de acciones correctivas

La finalidad de la “evaluación del plan de acciones correctivas” es verificar que su “plan de acciones correctivas” (vea la información anterior) cumple los requisitos TISAX.

Usted envía el “plan de acciones correctivas” a su proveedor de auditoría. El proveedor de auditoría evaluará el plan según los requisitos (consulte más abajo). Si el plan cumple los requisitos, el proveedor de auditoría emitirá el “informe TISAX” actualizado.

Esta evaluación no acostumbra a requerir mucho tiempo. Puede ser una reunión presencial o una teleconferencia o videoconferencia.

5.4.8.1. Requisitos previos para una evaluación del plan de acciones correctivas

Los requisitos previos para una “evaluación del plan de acciones correctivas” son:

  • una evaluación inicial reciente[30] con no conformidades

  • o un “plan de acciones correctivas” que ya se había evaluado pero no cumplía los requisitos.

5.4.8.2. Combinación con la evaluación inicial

La “evaluación del plan de acciones correctivas” no es obligatoriamente un evento independiente. Tiene la opción de presentar el “plan de acciones correctivas” durante la reunión final de la evaluación inicial. El proveedor de auditoría puede entonces llevar a cabo la “evaluación del plan de acciones correctivas” directamente.

Si combina la “evaluación del plan de acciones correctivas” con la evaluación inicial y su “plan de acciones correctivas” cumple los requisitos, podrá acordar con el proveedor de auditoría que no necesita un “informe de evaluación inicial”. En su lugar, el proveedor de auditoría simplemente prepararía el “informe de evaluación del plan de acciones correctivas”. Este informe le permite recibir etiquetas TISAX temporales.

5.4.8.3. Requisitos del plan de acciones correctivas

El proveedor de auditoría evalúa su “plan de acciones correctivas” de acuerdo con los siguientes requisitos:

  • Las medidas son adecuadas

  • Los riesgos críticos se mitigan con medidas de compensación adecuadas[31]

  • Los periodos de implementación son adecuados

    • Los periodos de implementación empiezan el día en que se concluye la evaluación inicial

  • Ningún periodo de implementación es superior a:

    • tres meses sin justificación adicional

    • seis meses sin justificación adicional y evidencias

    • nueve meses

5.4.8.4. Etiquetas TISAX temporales

Si su resultado global de la evaluación es “no conforme con una desviación mínima”, recibirá etiquetas TISAX temporales.

La ventaja de las etiquetas TISAX temporales es que su socio habitualmente las acepta bajo la condición de que más adelante usted reciba las etiquetas TISAX definitivas. Esto puede resultar útil si le urge demostrar a su socio la efectividad de su sistema de gestión de la seguridad de la información.

El requisito previo para obtener etiquetas TISAX temporales es la existencia de un informe de evaluación del plan de acciones correctivas con el resultado global de la evaluación “no conforme con una desviación mínima”.

En cuanto al periodo de validez, las etiquetas TISAX temporales:

  • expiran transcurridos nueve meses tras la reunión final de la evaluación inicial.

  • son válidas hasta que se resuelven todas las no conformidades.

    • Esto se establece en la evaluación de seguimiento y se documenta en el informe de la evaluación de seguimiento.

  • no se pueden renovar.

Icono de advertencia informativa

Recuerde:

La “evaluación del plan de acciones correctivas” es opcional.

Puede ir directamente a la evaluación de seguimiento si:

  • no necesita etiquetas TISAX temporales y

  • confía en implementar acciones correctivas sin necesidad de que el proveedor de auditoría apruebe el plan

Una vez que haya completado todas las acciones correctivas, deberá solicitar una “evaluación de seguimiento”.

5.4.9. Evaluación de seguimiento

El objetivo de la “evaluación de seguimiento” es evaluar si se han resuelto todas las no conformidades identificadas previamente. Por lo general, usted solicitará la evaluación de seguimiento cuando esté seguro de que todas las no conformidades están resueltas.

Pero puede tener tantas evaluaciones de seguimiento como necesite. Si durante una evaluación de seguimiento el proveedor de auditoría sigue identificando no conformidades o incluso detecta nuevas, usted simplemente deberá actualizar el plan de acciones correctivas e iniciar esta parte del proceso de evaluación de nuevo.

La evaluación puede ser una reunión presencial o una teleconferencia o videoconferencia.

5.4.9.1. Calendario

Su proveedor de auditoría puede realizar la o las evaluaciones de seguimiento durante los nueve meses siguientes a concluir la evaluación inicial[32].

5.4.9.2. Requisitos previos

Si no necesita etiquetas TISAX temporales, puede solicitar directamente una evaluación de seguimiento. No necesita tener una “evaluación del plan de acciones correctivas” antes de la evaluación de seguimiento.

5.4.9.3. Vencimiento de las etiquetas TISAX temporales

En caso de que necesite etiquetas TISAX temporales, asegúrese de que no haya un lapso temporal hasta recibir las etiquetas TISAX definitivas. Por este motivo, le recomendamos que solicite la evaluación de seguimiento con mucha antelación respecto a la última fecha posible[33]. Querrá tener suficiente margen de tiempo para ocuparse de cualquier hallazgo menor identificado durante la evaluación de seguimiento.

5.4.10. Diagrama del proceso de evaluación TISAX

Las secciones anteriores se resumen en el siguiente diagrama de proceso:

Diagrama del proceso de evaluación TISAX (parte 1/2)
Figura 32. Diagrama del proceso de evaluación TISAX (parte 1/2)
img callout black 01

Sus acciones

img callout black 02

Acciones del proveedor de auditoría

img callout black 03

Inicio

img callout black 04

Preparación de la evaluación

img callout black 05

Iniciada por usted

img callout black 06

Inicio de la duración máxima de nueve meses

img callout black 07

Evaluación inicial

img callout black 08

Informe de evaluación inicial

img callout black 09

¿No conformidades encontradas?

img callout black 10

No

img callout black 11

e)

img callout black 12

img callout black 13

Redactar el plan de acciones correctivas

img callout black 14

d)

img callout black 15

Iniciado por usted

img callout black 16

Iniciar/continuar con las acciones correctivas

img callout black 17

Evaluación del plan de acciones correctivas

img callout black 18

Informe de evaluación del plan de acciones correctivas

img callout black 19

No (incompleto o inadecuado)

img callout black 20

¿Plan de acciones correctivas correcto?

img callout black 21

c)

img callout black 22

b)

img callout black 24

a)

img callout black 25

Etiquetas TISAX temporales posibles

Diagrama del proceso de evaluación TISAX (parte 2/2)
Figura 33. Diagrama del proceso de evaluación TISAX (parte 2/2)
img callout black 01

c)

img callout black 02

b)

img callout black 03

a)

img callout black 04

No

img callout black 05

¿Acciones correctivas implementadas?

img callout black 06

Sí, iniciado por usted

img callout black 07

Evaluación de seguimiento

img callout black 08

Informe de la evaluación de seguimiento

img callout black 09

e)

img callout black 10

¿Resultado de la evaluación “conforme”?

img callout black 11

d)

img callout black 12

Fin de la duración máxima de nueve meses

img callout black 13

img callout black 14

Etiquetas TISAX

img callout black 15

Proveedor de auditoría: carga el resultado en la plataforma de intercambio

img callout black 16

Usted: comparte el resultado en la plataforma de intercambio

img callout black 17

Usted: activa el recordatorio de renovación

img callout black 18

Fin

5.4.11. Assessment ID (Icono de la bandera de España ID de evaluación)

Cada evaluación TISAX de un alcance de la evaluación se identifica mediante un “ID de evaluación”. El ID remite a su resultado de evaluación y al correspondiente informe TISAX.

El ID de evaluación tiene este aspecto:

Formato del ID de evaluación
Figura 34. Formato del ID de evaluación
img callout black 01

Prefijo “A” del ID de evaluación

img callout black 02

Prefijo del proveedor de auditoría asignado por la ENX Association

img callout black 03

Secuencia aleatoria única, compuesta solo por los caracteres alfanuméricos:
CFHKLMNPRTVWXYZ
0123456789

img callout black 04

Contador de evaluación
- En blanco para la evaluación inicial
- Incrementado en uno con cada evaluación sucesiva (como la evaluación del plan de acciones correctivas)

El ID de evaluación se usa normalmente cuando el proveedor de auditoría se comunica con usted.

5.4.12. Informe TISAX

El “informe TISAX” (Icono de la bandera del Reino Unido TISAX report):

  • se (actualiza y) expide tras cada evaluación TISAX.

  • documenta los hallazgos de su proveedor de auditoría.

  • contiene el resultado global de la evaluación (conforme, no conforme con una desviación mínima, no conforme con una desviación importante).

  • contiene el resto de información relacionada con su evaluación TISAX (como el objetivo de la evaluación, el alcance, las personas implicadas y las ubicaciones).

El “informe TISAX” puede ser de los siguientes tipos (dependiendo del tipo de evaluación):

  • Informe de evaluación inicial (Icono de la bandera del Reino Unido Initial assessment report)

  • Informe de evaluación del plan de acciones correctivas (Icono de la bandera del Reino Unido Corrective action plan assessment report)

  • Informe de evaluación de seguimiento (Icono de la bandera del Reino Unido Follow-up assessment report) [34]

El “informe TISAX” siempre tiene la misma estructura[35]. Su proveedor de auditoría únicamente lo amplía tras cada evaluación. Esto significa que solo tendrá que tratar con la última versión del informe TISAX, ya que siempre incluirá el contenido de las versiones anteriores.

Las primeras secciones del “informe TISAX” son lo que finalmente comparte con su socio.

Una de las características clave de TISAX es que usted decide qué partes del informe TISAX quiere compartir con su socio u otro participante. La estructura del informe TISAX está diseñada para permitir esta divulgación selectiva. Cada sección incrementa el nivel de detalle.

Así es la estructura del “informe TISAX”:

  • A: Información relacionada con la evaluación
    Nombre de la empresa, alcance de la evaluación, ID de alcance, ID de evaluación, nivel de evaluación, objetivo(s) de evaluación, fecha(s) de evaluación, proveedor de auditoría
    Esta sección no contiene el resultado de la evaluación.

  • B: Resultado global de la evaluación
    Resumen de gestión del resultado de la evaluación (conforme, no conforme con una desviación mínima, no conforme con una desviación importante), número de hallazgos, categorización abstracta de los riesgos resultantes

  • C: Resumen del resultado de la evaluación
    Resumen del resultado de la evaluación por cada capítulo (por ejemplo, “9 Control de acceso”) y por cada catálogo de criterios (por ejemplo, “Seguridad de la información”).

  • D: Resultados detallados de la evaluación
    Descripción detallada de todos los hallazgos, resultados de la evaluación de riesgos, medidas necesarias, periodo de implementación

  • E: Niveles de madurez de la ISA (pestaña de resultados de la ISA)
    Nivel de madurez para cada requisito
    En el paso “intercambio” (detallado más abajo), usted decide hasta qué nivel tendrá acceso su socio respecto al contenido del informe TISAX.

5.4.13. Etiquetas TISAX

Hemos tratado brevemente este tema en la sección dedicada a los preparativos para el registro. Como habíamos explicado, los objetivos de la evaluación se convierten en etiquetas TISAX.

Objetivos de evaluación y etiquetas TISAX
Figura 35. Objetivos de evaluación y etiquetas TISAX
img callout black 01

Solicita

img callout black 02

Socio

img callout black 03

Recibe

img callout black 04

ENTRADA

img callout black 05

Objetivo

img callout black 06

Proceso TISAX

img callout black 07

SALIDA

img callout black 08

Etiqueta

Las etiquetas TISAX:

  • son el producto del proceso de evaluación TISAX.

  • resumen el resultado de la evaluación.

  • son la confirmación de que su sistema de gestión de la seguridad de la información cumple un conjunto determinado de requisitos.

El uso de etiquetas TISAX facilita la comunicación relativa a TISAX con su socio y con el proveedor de auditoría TISAX porque remite a un resultado definido del proceso de evaluación TISAX.

5.4.13.1. Jerarquía de las etiquetas TISAX

La correspondencia entre cualquier objetivo de evaluación y las respectivas etiquetas TISAX es bastante clara. Pero también hay un aspecto importante: algunas etiquetas TISAX tienen relaciones jerárquicas. Esto significa que, si recibe una determinada etiqueta TISAX, automáticamente recibirá todas las etiquetas TISAX “por debajo” de esa etiqueta.

Ejemplo (con los nombres abreviados de las etiquetas): si su objetivo de evaluación era “Info very high”, recibirá la correspondiente etiqueta TISAX “Info very high”. Pero, como el objetivo de evaluación “Info very high” es una ampliación de “Info high”, automáticamente también recibirá la etiqueta TISAX “Info high”.

Objetivos de evaluación TISAX y etiquetas TISAX (dependencias y jerarquía)
Figura 36. Objetivos de evaluación TISAX y etiquetas TISAX (dependencias y jerarquía)
img callout black 01

Objetivos

img callout black 02

Se convierten en

img callout black 03

Etiquetas

img callout black 04

Dependencias

img callout black 05

Jerarquía

img callout black 06

Esto requiere eso

img callout black 07

Esto se incluye en eso

Esta cuestión puede no ser importante para algunos participantes. Pero imagine que un socio le solicita que le muestre la etiqueta TISAX “Info very high” y otro le pide la etiqueta TISAX “Info high”. En ese caso, tener ambas etiquetas TISAX se lo pone fácil a todos, ya que así nadie tiene que entender que “Info high” es un subconjunto de “Info very high”. Este caso puede darse especialmente en socios para los que disponer de ciertas etiquetas TISAX forma parte de un proceso de compra bastante rígido. Seguramente preferirá no tener que explicar que “Info very high” es “mejor” que “Info high”. Bastará con que le muestre todas sus etiquetas TISAX a la persona que le evalúa y esta podrá marcar el requisito “Debe tener la etiqueta TISAX 'Info high'”.

5.4.13.2. Periodo de validez de las etiquetas TISAX

Las etiquetas TISAX suelen ser válidas durante tres años. El periodo de validez empieza al final del proceso de evaluación (incluso antes de que se emita el informe TISAX).

El periodo de validez puede incluso ser menor si se han producido cambios importantes en el alcance de la evaluación TISAX.

Ejemplos: reubicación de su empresa, nuevas ubicaciones. (Para recibir instrucciones sobre qué hacer en esos casos, consulte la Sección 7.8.4, “Reubicaciones” y la Sección 7.8.5, “Ubicación adicional (evaluación de ampliación del alcance)”.)

Icono de advertencia informativa

Recuerde:

Solo puede ver sus etiquetas TISAX en el portal ENX. No están registradas en el informe TISAX.

5.4.13.3. Renovación de las etiquetas TISAX

Para mantener sus etiquetas TISAX a largo plazo, deberá renovarlas[36] cada tres años.

Para ello, básicamente debe pasar el proceso TISAX de nuevo (registrar un alcance de la evaluación, obtener de nuevo la evaluación TISAX y compartir el resultado de la evaluación). El registro es algo más fácil porque no tendrá que volver a crear su empresa como participante de TISAX. Y, lógicamente, puede reusar todos los contactos y ubicaciones guardados en la base de datos TISAX.

Icono de advertencia importante

Nota importante:

Registre un NUEVO alcance ANTES de dirigirse a su proveedor de auditoría. Su proveedor de auditoría solo puede iniciar un nuevo proceso de evaluación si puede facilitarle un nuevo ID de alcance.

En la mayoría de los casos, registrar un nuevo alcance es fácil. Solo tiene que asignar un nuevo nombre de alcance, añadir contactos, seleccionar el o los objetivos de evaluación y añadir ubicaciones. Puede reusar los contactos y las ubicaciones que ya están en el sistema de un alcance registrado con anterioridad.

Icono de advertencia importante

Nota importante:

Si su socio le requiere que siempre tenga etiquetas TISAX válidas durante su relación, le recomendamos encarecidamente que fije un recordatorio en su agenda para iniciar el proceso de renovación necesario.

Le recomendamos que empiece con la renovación al menos un año antes del vencimiento de sus etiquetas TISAX.


Ahora que ya ha recibido sus etiquetas TISAX, puede proceder con el último paso y compartirlas con su socio.

6. Intercambio (paso 3)

El tiempo de lectura estimado de la sección de intercambio es de 7 minutos.

Ha recorrido el proceso TISAX, pero su socio todavía no ha visto ninguna “prueba” de que su sistema de gestión de la seguridad de la información es capaz de proteger sus datos confidenciales. Esta sección describe cómo compartir el resultado de la evaluación con su socio y presentar la prueba solicitada.

6.1. Premisa

Una de las características clave de TISAX es que el resultado de la evaluación está bajo su control. Sin su permiso explícito, la información relacionada con su evaluación no se comparte con nadie.

6.2. La plataforma de intercambio

El portal ENX alberga la plataforma de intercambio.

Su proveedor de auditoría subirá las dos primeras secciones (A y B) de su informe TISAX.. En esta fase, la información solo está disponible para usted.

Usted puede usar la cuenta que creó durante el registro para acceder al portal y usar la plataforma de intercambio.

Puede acceder al portal en esta dirección:
Icono de la bandera del Reino Unido enx.com/en-US/SignIn

6.3. Requisitos previos generales

Puede compartir el resultado de la evaluación con sus socios solo si se cumplen estos dos requisitos previos:

  1. Su proveedor de auditoría ha subido el resultado de la evaluación a la plataforma de intercambio.
    El resultado de la evaluación estará disponible en la plataforma de intercambio unos 5-10 días hábiles después de la emisión del informe TISAX.

  2. Hemos recibido su pago de la tasa (si procede).

El estado del alcance de la evaluación será “Activo” cuando se cumplen ambos requisitos previos.

Icono de advertencia informativa

Recuerde:

Cada alcance de la evaluación tiene un ciclo de vida. Llegados a este punto, su alcance de la evaluación debe tener el estado “Activo”.

Para comprobar si su resultado de la evaluación está listo para compartir (estado del alcance de la evaluación = Activo), siga estos pasos:

  1. Inicie sesión en el portal ENX.

  2. Vaya a la barra de navegación principal y seleccione “MY TISAX” (Icono de la bandera de España “MI TISAX”).

  3. En el menú desplegable, seleccione “SCOPES AND ASSESSMENTS” (Icono de la bandera de España “ALCANCES Y EVALUACIONES”).

  4. Vaya a la tabla y seleccione la fila con el alcance de la evaluación.

  5. Compruebe que el alcance de la evaluación tiene el estado “Active” (Icono de la bandera de España “Activo”) (columna “Scope Status” (Icono de la bandera de España “Estado del alcance”)).

6.4. Permanencia de los resultados intercambiados

Icono de advertencia importante

Nota importante:

No puede revocar los permisos de publicación o divulgación.

El motivo de esto es que queremos que todos los participantes pasivos dispongan de un acceso continuo a cualquier resultado de evaluación que hayan recibido. De lo contrario, tendrían que gestionar y archivar los resultados de evaluación por su propia cuenta.

El permiso seguirá siendo válido durante todo el periodo de validez de su evaluación TISAX.

Si ha creado un permiso de publicación o divulgación por error, póngase en contacto con nosotros de inmediato.

6.5. Niveles de divulgación

Los niveles de divulgación equivalen a las secciones principales A-E del informe TISAX.

Tabla 12. Secciones principales del informe TISAX y niveles de divulgación en la plataforma de intercambio
Secciones principales del informe TISAX Niveles de divulgación en la plataforma de intercambio

1

A: Información relacionada con la evaluación (Icono de la bandera del Reino Unido Assessment-related information)

2

B: Resultado global de la evaluación (Icono de la bandera del Reino Unido Overall assessment result)

3

C: Resumen del resultado de la evaluación (Icono de la bandera del Reino Unido Assessment result summary)

4

D: Resultados detallados de la evaluación (Icono de la bandera del Reino Unido Detailed assessment results)

5

E: Niveles de madurez de la ISA (pestaña de resultados de la ISA) (Icono de la bandera del Reino Unido Maturity levels of ISA (result tab of ISA))

Cuanto más alto es el nivel de divulgación, más detalles sobre su evaluación TISAX estarán disponibles para el correspondiente participante.

Para más detalles sobre el contenido de cada sección del informe TISAX, consulte la Sección 5.4.6.4, “Informe TISAX”.

6.6. Publicar el resultado de la evaluación en la plataforma de intercambio

Puede compartir el resultado de la evaluación con otros participantes de TISAX publicándolo en la plataforma de intercambio. De esta forma, el resto de participantes de TISAX podrán acceder al resultado de su evaluación hasta el nivel concedido.

Solo podrá publicar el resultado de su evaluación si el resultado global de la evaluación es “conforme”.

Los niveles de divulgación para publicar el resultado de evaluación en la plataforma de intercambio están limitados a estas opciones:

  • Do not publish (Default) (Icono de la bandera de España No publicar (opción predeterminada))

  • A: Assessment-Related Information (Icono de la bandera de España A: Información relacionada con la evaluación)

  • A + Labels (Icono de la bandera de España A + Etiquetas)

  • A + Labels + B: Overall Assessment Result (Icono de la bandera de España A + Etiquetas + B: Resultado global de la evaluación)

Recomendamos el nivel de divulgación “A + Labels” (Icono de la bandera de España “A + Etiquetas”) para el tipo general de publicación.

Icono de advertencia importante

Nota importante:

Solo podrá publicar el resultado de la evaluación si se cumplen los requisitos previos descritos en la Sección 6.3, “Requisitos previos generales”.

Para publicar el resultado de la evaluación en la plataforma de intercambio, siga estos pasos:

  1. Inicie sesión en el portal ENX.

  2. Vaya a la barra de navegación principal y seleccione “MY TISAX” (Icono de la bandera de España “MI TISAX”).

  3. En el menú desplegable, seleccione “SCOPES AND ASSESSMENTS” (Icono de la bandera de España “ALCANCES Y EVALUACIONES”).

  4. Vaya a la tabla y seleccione la fila con el alcance de la evaluación.

  5. Compruebe que el alcance de la evaluación tiene el estado “Active” (Icono de la bandera de España “Activo”) (columna “Scope Status” (Icono de la bandera de España “Estado del alcance”)).

  6. Vaya al final de la fila de la tala de su alcance de evaluación y haga clic en el botón con la flecha hacia abajo ENX portal icon down image.

  7. Seleccione “Scope Information” (Icono de la bandera de España “Información del alcance”).

  8. En la nueva ventana (“Scope Information” (Icono de la bandera de España “Información del alcance”)), seleccione la pestaña “EXCHANGE” (Icono de la bandera de España “INTERCAMBIO”).
    figure screenshot portal exchange es

  9. Vaya a la sección “PUBLISHING” (Icono de la bandera de España “PUBLICACIÓN”), abra el menú desplegable y seleccione el nivel de divulgación que desee (vea la recomendación anterior).

Icono de advertencia informativa

Recuerde:

Los resultados de la evaluación solo se publican en la plataforma de intercambio. Solo podrán acceder a ellos otros participantes de TISAX. No existe un listado público con todos los participantes de TISAX. En el sitio web público solo se menciona el número aproximado de participantes de TISAX.

6.7. Compartir el resultado de la evaluación con un participante concreto

Además de la opción mencionada anteriormente de publicar el resultado de la evaluación TISAX en la plataforma de intercambio, también puede compartirlo de forma selectiva con participantes de TISAX concretos con un nivel de divulgación superior.

A diferencia de la publicación mencionada anteriormente, podrá compartir el resultado de la evaluación incluso si el resultado global de la evaluación es no conforme (con una desviación mínima/importante).

Compartir los resultados de la evaluación es una parte fundamental de TISAX. Usted solo ha evaluado su sistema de gestión de la seguridad de la información una vez, pero ahora puede compartir el resultado de la evaluación con tantos socios como desee.

Las opciones para compartir el resultado de la evaluación en la plataforma de intercambio son:

  • A: Assessment Related Information (Icono de la bandera de España A: Información relacionada con la evaluación)

  • A + Labels (Icono de la bandera de España A + Etiquetas)

  • A + Labels + B: Assessment Summary (Icono de la bandera de España A + Etiquetas + B: Resumen de la evaluación)

  • A + Labels + B + C: Summarized Results (Icono de la bandera de España A + Etiquetas + B + C: Resultados resumidos)

  • A + Labels + B + C + D: Detailed Assessment Results (Icono de la bandera de España A + Etiquetas + B + C + D: Resultados detallados de la evaluación)

  • A + Labels + B + C + D + E: Maturity Levels according to ISA (Icono de la bandera de España A + Etiquetas + B + C + D + E: Niveles de madurez según la ISA)

Recomendamos el nivel de divulgación “A + Labels” (Icono de la bandera de España “A + Etiquetas”). Este nivel es suficiente para la mayoría de socios. Siempre podrá cambiar el nivel de divulgación más tarde.

Icono de advertencia informativa

Recuerde:

Algunos participantes de TISAX procesan los resultados de evaluación de sus socios automáticamente. A tal fin, sincronizan su propio sistema con el portal ENX. Solo se sincronizarán los resultados de evaluación compartidos específicamente con dichos participantes. Su mera publicación, como se describe anteriormente en la Sección 6.6, “Publicar el resultado de la evaluación en la plataforma de intercambio”, no se reconocerá.

Entre los OEM que usan TISAX, BMW es un ejemplo de este procedimiento. Si usted es socio de BMW, asegúrese de compartir (y no solo de publicar) el resultado de su evaluación con BMW.

6.7.1. Requisitos previos

Estos son los requisitos previos para compartir el resultado de su evaluación con su socio (o cualquier otro participante de TISAX):

  • Solo puede compartir el resultado de la evaluación TISAX con otros participantes de TISAX.

  • Su socio tiene que ser un participante de TISAX.

  • Usted necesitará el ID de participante de su socio.[37]

  • Tiene que pagar la tasa (si procede).

Icono de advertencia importante

Nota importante:

Solo podrá compartir el resultado de la evaluación si se cumplen los requisitos generales descritos en la Sección 6.3, “Requisitos previos generales”.

6.7.2. Cómo crear permisos de divulgación

Para compartir el resultado de la evaluación con otros participantes de TISAX siga estos pasos:

  1. Inicie sesión en el portal ENX.

  2. Vaya a la barra de navegación principal y seleccione “MY TISAX” (Icono de la bandera de España “MI TISAX”).

  3. En el menú desplegable, seleccione “SCOPES AND ASSESSMENTS” (Icono de la bandera de España “ALCANCES Y EVALUACIONES”).

  4. Vaya a la tabla y seleccione la fila con el alcance de la evaluación.

  5. Compruebe que el alcance de la evaluación tiene el estado “Active” (Icono de la bandera de España “Activo”) (columna “Scope Status” (Icono de la bandera de España “Estado del alcance”)).

  6. Vaya al final de la fila de la tala de su alcance de evaluación y haga clic en el botón con la flecha hacia abajo ENX portal icon down image.

  7. Seleccione “Scope Information” (Icono de la bandera de España “Información del alcance”).

  8. En la nueva ventana (“Scope Information” (Icono de la bandera de España “Información del alcance”)), seleccione la pestaña “EXCHANGE” (Icono de la bandera de España “INTERCAMBIO”).
    figure screenshot portal exchange share es

  9. Vaya a la sección “SHARING” (Icono de la bandera de España “DIVULGACIÓN”) y haga clic en el botón “Share” (Icono de la bandera de España “Compartir”).

  10. En la nueva ventana (“SHARE THIS SCOPE” (Icono de la bandera de España “COMPARTIR ESTE ALCANCE”)), introduzca el ID de participante de su socio (o selecciónelo en la lista de participantes disponible en el cuadro de búsqueda de al lado).

  11. Seleccione el nivel de divulgación que desee.

  12. Haga clic en el botón “Next” (Icono de la bandera de España “Siguiente”).

  13. Lea y entienda las instrucciones sobre la permanencia del permiso de divulgación.

  14. Marque las dos casillas de verificación “confirm” (Icono de la bandera de España “confirmar”).

  15. Haga clic en el botón “Submit” (Icono de la bandera de España “Enviar”).

Del resto se ocupa la plataforma de intercambio. Para los niveles de divulgación A y B, la información estará disponible en la plataforma de intercambio. Su socio podrá iniciar sesión en el portal ENX y ver el resultado de la evaluación que usted ha compartido[38].

Para los niveles de divulgación superiores (C-E), la plataforma de intercambio notificará a su proveedor de auditoría. A continuación, el proveedor de auditoría enviará la información (de acuerdo con el nivel de divulgación seleccionado) al contacto principal del participante estipulado por su socio.

6.8. Compartir el resultado de la evaluación fuera de TISAX

La norma[39] establece que usted puede usar la plataforma de intercambio TISAX únicamente para dar a conocer a otros participantes de TISAX el resultado de su evaluación.

6.8.1. Las razones de este estricto mecanismo de intercambio

TISAX proporciona un mecanismo estandarizado de intercambio de los resultados de evaluación. Esto ofrece un valor añadido en comparación con el intercambio de los resultados de otras certificaciones (p. ej., ISO), que se lleva a cabo de formas distintas y que no siempre incluye toda la información necesaria para tener una imagen completa.

Los OEM valoran especialmente esta estandarización. Pero otras empresas también se benefician de procedimientos claramente definidos.

6.8.2. Una guía para escribir en público sobre TISAX

Si bien no puede hablar públicamente de los resultados de su evaluación, sí puede mencionar sus esfuerzos relacionados con TISAX. En el portal ENX proporcionamos consejos sobre cómo llevar a cabo declaraciones públicas. También proporcionamos logotipos TISAX que puede utilizar.

Tras iniciar sesión en el portal ENX, puede acceder a la información aquí:
Icono de la bandera del Reino Unido enx.com/en-US/myenxportal/marketing/
Descarga directa de archivo ZIP (documento y logotipos):
Icono de la bandera del Reino Unido enx.com/myenxportal/marketing/tisax-trademark-and-logos-guidelines

En caso de que se esté preguntando si existe un certificado que pueda colgar en la pared:
Debido al proceso de intercambio estandarizado mencionado arriba, no proporcionamos ese tipo de certificado.

6.8.3. Cómo compartir el resultado con un socio que todavía no es participante de TISAX

Si quiere compartir el resultado de su evaluación TISAX con un socio en particular que a) todavía no es participante de TISAX y b) todavía no ha recibido etiquetas TISAX (después de superar el proceso de evaluación), puede seguir estos pasos:

  1. Indique a su socio que se registre como participante de TISAX.
    Solo tiene que registrarse como participante de TISAX. No es necesario que registre un alcance de evaluación.

  2. Indique a su socio que se ponga en contacto con nosotros.
    Normalmente, solo procesamos un nuevo registro si la empresa también registra un alcance de evaluación. Si lo solicita su socio, procesaremos su registro. De esta forma, se convertirá en un participante de TISAX. Ahora ya podrá recibir el resultado de su evaluación TISAX a través del proceso de intercambio habitual.

El objetivo de este proceso es asegurar que el socio observará las “Condiciones generales de participación en TISAX” que rigen el intercambio de los resultados de la evaluación TISAX.

Solo se incurre en costes si se registra un alcance de evaluación. Por tanto, dado que registrarse como participante de TISAX es gratuito, su socio podrá recibir el resultado de su evaluación sin coste. No obstante, si su socio no dispone de su propio resultado de evaluación, solo podrá recibir hasta cinco resultados de evaluación y no podrá ver las publicaciones.

6.8.4. Cómo compartir el resultado con empleados de su socio que no tienen acceso directo al portal ENX

Solo aquellos empleados de su socio que tengan una cuenta en nuestro portal ENX podrán ver directamente su resultado. Si ha de mostrar etiquetas TISAX a un empleado de su socio sin acceso al portal, podrá usar un documento PDF especial con este fin. Para obtener el documento, siga los siguientes pasos:

  1. Comparta el resultado de la evaluación con su socio como se describe en la Sección 6.7, “Compartir el resultado de la evaluación con un participante concreto”.

  2. Inicie sesión en el portal ENX.

  3. Vaya a la barra de navegación principal y seleccione “MY TISAX” (Icono de la bandera de España “MI TISAX”).

  4. En el menú desplegable, seleccione “SCOPES AND ASSESSMENTS” (Icono de la bandera de España “ALCANCES Y EVALUACIONES”).

  5. Vaya a la tabla y seleccione la fila con el alcance de la evaluación.

  6. Compruebe que el alcance de la evaluación tiene el estado “Active” (Icono de la bandera de España “Activo”) (columna “Scope Status” (Icono de la bandera de España “Estado del alcance”)).

  7. Vaya al final de la fila de la tala de su alcance de evaluación y haga clic en el botón con la flecha hacia abajo ENX portal icon down image.

  8. Seleccione “Scope Information” (Icono de la bandera de España “Información del alcance”).

  9. En la nueva ventana (“Scope Information” (Icono de la bandera de España “Información del alcance”)), seleccione la pestaña “EXCHANGE” (Icono de la bandera de España “INTERCAMBIO”).
    figure screenshot portal exchange es

  10. Vaya al apartado “SHARING” (Icono de la bandera de España “DIVULGACIÓN”) y localice la fila de la tabla con el permiso de divulgación (como se había creado en el paso 1).

  11. Vaya al final de la fila de la tala de su permiso de divulgación y haga clic en el botón con la flecha hacia abajo ENX portal icon down image.

  12. Seleccione “Edit” (Icono de la bandera de España “Editar”)

  13. En la nueva ventana (“SHARE THIS SCOPE” (Icono de la bandera de España “COMPARTIR ESTE ALCANCE”)), desplácese hasta la parte inferior y seleccione “Request Shared Information as PDF” (Icono de la bandera de España “Solicitar información compartida como PDF”).

  14. Espere un momento hasta que se genere el documento.

  15. Descargue el documento (“Copy of information shared with ACME.pdf (66.84 KB)” (Icono de la bandera de España “Copia de la información compartida con ACME.pdf (66,84 KB)”))

7. Anexos

7.1. Anexo: Ejemplo de factura

Este es un ejemplo de la factura que enviamos.

Para más información, consulte la Sección 4.3.4, “Tasa”.

Invoice example

7.2. Anexo: Ejemplo de mensaje de correo electrónico de confirmación

Le enviaremos el mensaje electrónico de confirmación una vez que haya completado todos los pasos obligatorios durante el proceso de registro online.

Para más información sobre cuándo enviamos el mensaje de correo electrónico de confirmación, consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación”.

Asunto: [TISAX] Alcance S3ZY5V aprobado

Hola, John Doe:

Gracias por registrar el alcance de la evaluación TISAX. Acabo de registrar y aprobar su alcance. En el anexo encontrará el TISAX Scope Excerpt, incluidas la información sobre el alcance y la lista actual de proveedores de auditoría TISAX.

¿Cuál es el siguiente paso?

Con el TISAX Scope Excerpt adjunto, puede solicitar presupuestos para su alcance a todos los proveedores de auditoría TISAX.

¿Necesita ayuda?

Si tiene preguntas sobre TISAX, lea las preguntas frecuentes de TISAX en el Manual del participante de TISAX (https://enx.com/en-US/TISAX/faqs/). Si necesita más ayuda para el proceso TISAX, no dude en ponerse en contacto con nuestra línea directa TISAX por correo electrónico (tisax@enx.com) o teléfono (+49 69 986692-777).

Atentamente,

Su equipo de TISAX

7.3. Anexo: Ejemplo de TISAX Scope Excerpt

Recibirá el “TISAX Scope Excerpt” adjunto al mensaje de correo electrónico de confirmación.

figure scope excerpt first page es

7.4. Anexo: Participant status (Icono de la bandera de España Estado del participante)

7.4.1. Sinopsis: Estado del participante

El “estado del participante” define en qué punto se encuentra (como empresa) dentro del proceso TISAX.

Su “estado del participante” puede ser:

  1. Incomplete (Icono de la bandera de España Incompleto)

  2. Awaiting approval (Icono de la bandera de España Pendiente de aprobación)

  3. Preliminary (Icono de la bandera de España Preliminar)

  4. Registered (Icono de la bandera de España Registrado)

  5. Expired (Icono de la bandera de España Expirado)

Las siguientes tablas relativas a los estados describen:

  • su situación
    (su situación real en este momento cuando tiene este estado)

  • su próxima acción
    (lo que debe hacer para avanzar al siguiente estado, si procede)

  • nuestra próxima acción
    (lo que tenemos que hacer nosotros para aumentar su estado, si procede)

  • el siguiente estado
    (si procede)

La siguiente ilustración muestra las acciones que llevan a avanzar de un estado al siguiente:

figure-participant-status-overview
Figura 37. Sinopsis de estados del participante
img callout black 01

Usted

img callout black 02

Nosotros

img callout black 03

Estado del participante

img callout black 04

1. Incompleto

img callout black 05

Con los datos de registro todavía incompletos

img callout black 06

Registro

img callout black 07

2. Pendiente de aprobación

img callout black 08

Comprobación + confirmación

img callout black 09

3. Preliminar

img callout black 10

Resultado de la evaluación publicado y compartido

img callout black 11

4. Registrado

img callout black 12

5. Expirado

img callout black 13

Facturas sin pagar, contrato cancelado

7.4.2. Participant status “Incomplete” (Icono de la bandera de España Estado del participante “Incompleto”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Incompleto

No ha completado el registro TISAX.
O bien no ha aceptado las condiciones generales.
O no ha especificado la ubicación principal del participante.
O no ha asignado el contacto principal del participante.
O falta otra información necesaria.

Continúe en Icono de la bandera del Reino Unido enx.com/en-US/SignIn

Le enviaremos un recordatorio por correo electrónico (habitualmente en unos días).

Pendiente de aprobación

7.4.3. Participant status “Awaiting approval” (Icono de la bandera de España Estado del participante “Pendiente de aprobación”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Pendiente de aprobación

Su registro TISAX está completo.
Tal vez ya ha registrado el alcance de la evaluación o no.

Espere a nuestra próxima acción.

Comprobaremos su solicitud y normalmente la aprobaremos.
No obstante, si registra un alcance de evaluación, pondrá en marcha nuestra comprobación.
Asignaremos un ID de participante y el o los ID de alcance.
Le enviaremos un mensaje de correo electrónico de confirmación. El “TISAX Scope Excerpt” (PDF) adjunto resume la información que tenemos en la base de datos.

Preliminar

7.4.4. Participant status “Preliminary” (Icono de la bandera de España Estado del participante “Preliminar”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Preliminar

Ha finalizado correctamente el proceso de registro TISAX.

Pagar la tasa (si procede).
Llevar a cabo el proceso de evaluación TISAX.
Publicar y compartir el resultado de la evaluación.

Ninguna

Registrado

7.4.5. Participant status “Registered” (Icono de la bandera de España Estado del participante “Registrado”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Registrado

Ha completado correctamente el proceso de evaluación TISAX y ha recibido las etiquetas TISAX.
Ha publicado y compartido el resultado de la evaluación.
Solo recibirá etiquetas TISAX cuando haya superado el proceso de evaluación TISAX. En el portal ENX, esto se refleja con el estado “Activo” del alcance de la evaluación.

Ninguna

Ninguna

(Expirado)

Icono de advertencia informativa

Recuerde:

Si quiere acceder a los resultados de la evaluación de su(s) socio(s):

El requisito previo para poder recibir resultados de evaluación de otros participantes es:

  • Usted comparte sus propios resultados de evaluación (esto “prueba” que es un participante de TISAX serio y un miembro de la comunidad del automóvil).

  • Le reconocemos por su reputación en el sector del automóvil (como a los OEM o proveedores tier 1).

  • Usted demuestra que tiene un interés legítimo en recibir resultados de evaluación de otros participantes. Tendremos que verificarlo mediante un proceso elaborado que puede suponer una tasa sustancial. Para más información, póngase en contacto con nosotros.

7.4.6. Participant status “Expired” (Icono de la bandera de España Estado del participante “Expirado”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Expirado

No ha pagado la tasa.
O bien se ha rescindido el contrato (las Condiciones generales).

Ninguna

Ninguna

n/a

7.5. Anexo: Assessment scope status (Icono de la bandera de España Estado del alcance de la evaluación)

7.5.1. Sinopsis: Estado del alcance de la evaluación

El “estado del alcance de la evaluación” define en qué punto se encuentra su alcance de evaluación dentro de su ciclo de vida.

Tenga en cuenta que el “estado del alcance de la evaluación” es diferente al “estado de la evaluación”. Para más información sobre el “estado de la evaluación”, consulte la Sección 7.6, “Anexo: Assessment status (Icono de la bandera de España Estado de la evaluación)”.

Su “estado del alcance de la evaluación” puede ser:

  1. Incomplete (Icono de la bandera de España Incompleto)

  2. Awaiting your order (Icono de la bandera de España Pendiente del pedido)

  3. Awaiting ENX approval (Icono de la bandera de España Pendiente de aprobación ENX)

  4. Awaiting your payment (Icono de la bandera de España Pendiente de pago)

  5. Registered (Icono de la bandera de España Registrado)

  6. Active (Icono de la bandera de España Activo)

  7. Expired (Icono de la bandera de España Expirado)

Las siguientes tablas relativas a los estados describen:

  • su situación
    (su situación real en este momento cuando tiene este estado)

  • su próxima acción
    (lo que debe hacer para avanzar al siguiente estado, si procede)

  • nuestra próxima acción
    (lo que tenemos que hacer nosotros para aumentar su estado, si procede)

  • el siguiente estado
    (si procede)

La siguiente ilustración muestra las acciones que llevan a avanzar de un estado al siguiente:

Sinopsis de estados del alcance de la evaluación
Figura 38. Sinopsis de estados del alcance de la evaluación
img callout black 01

Usted

img callout black 02

Nosotros

img callout black 03

Estado del alcance de la evaluación

img callout black 04

1. Incompleto

img callout black 05

Con los datos de registro todavía incompletos

img callout black 06

Entrada de datos

img callout black 07

2. Pendiente del pedido

img callout black 08

Mientras no se envíe el registro

img callout black 09

Registro

img callout black 10

3. Pendiente de aprobación ENX

img callout black 11

Comprobación + confirmación

img callout black 12

4. Pendiente de pago

img callout black 13

Pago

img callout black 14

5. Registrado

img callout black 15

Evaluación

img callout black 16

6. Activo

img callout black 17

A

img callout black 18

7. Expirado

img callout black 19

Habitualmente, cuando vence un resultado de evaluación

La referencia “A” a otra página de la figura superior conecta el estado del alcance de la evaluación “Activo” con el “estado de la evaluación”. Para más información sobre el “estado de la evaluación”, consulte la Sección 7.6, “Anexo: Assessment status (Icono de la bandera de España Estado de la evaluación)”.

7.5.2. Assessment scope status “Incomplete” (Icono de la bandera de España Estado del alcance de la evaluación “Incompleto”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Incompleto

O bien no ha completado el registro del alcance de la evaluación.
O bien no ha facilitado toda la información necesaria.

Continúe en Icono de la bandera del Reino Unido enx.com/en-US/SignIn

Le enviaremos un recordatorio por correo electrónico (habitualmente en unos días).

Pendiente del pedido

Para más información sobre el impacto de este estado, consulte la Sección 4.5.7, “Registro del alcance de la evaluación”.

7.5.3. Assessment scope status “Awaiting your order” (Icono de la bandera de España Estado del alcance de la evaluación “Pendiente del pedido”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Pendiente del pedido

No ha finalizado el registro de su alcance.

Continúe en Icono de la bandera del Reino Unido enx.com/en-US/SignIn

Le enviaremos un recordatorio por correo electrónico (habitualmente en unos días).

Pendiente de aprobación ENX

Para más información sobre el impacto de este estado, consulte la Sección 4.5.7, “Registro del alcance de la evaluación”.

7.5.4. Assessment scope status “Awaiting ENX approval” (Icono de la bandera de España Estado del alcance de la evaluación “Pendiente de aprobación ENX”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Pendiente de aprobación ENX

Su registro del alcance de la evaluación está completo.

Espere a nuestra próxima acción.

Comprobaremos su solicitud y normalmente la aprobaremos.
Asignaremos el o los ID de alcance.
Le enviaremos un mensaje de correo electrónico de confirmación. El “TISAX Scope Excerpt” (PDF) adjunto resume la información que tenemos en la base de datos.

Pendiente de pago

Para más información sobre el impacto de este estado, consulte la Sección 4.5.7, “Registro del alcance de la evaluación”.

7.5.5. Assessment scope status “Awaiting your payment” (Icono de la bandera de España Estado del alcance de la evaluación “Pendiente de pago”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Pendiente de pago

Su registro del alcance de la evaluación está completo y aprobado.
Ha recibido el mensaje de correo electrónico de confirmación y el “TISAX Scope Excerpt”.

Pagar la tasa (si procede).
Solicitar ofertas a nuestros proveedores de auditoría TISAX.
A partir del estado “Pendiente de pago”, usted:

  • puede empezar a compartir con su socio información relativa a la evaluación.[40]

  • puede preconfigurar la publicación del resultado de su evaluación (que solo será efectiva una vez que el estado del alcance de la evaluación cambie a “Activo”.


40. Durante el estado del alcance de la evaluación “Pendiente de pago” o “Registrado”, la “Información relativa a la evaluación” incluye la o las ubicaciones del alcance de la evaluación, el estado del alcance de la evaluación y el o los objetivos de evaluación. No incluye los resultados de la evaluación ni etiquetas TISAX.

A la espera del pago por su parte.

Registrado

Para más información sobre el impacto de este estado, consulte la Sección 4.5.8, “Mensaje de correo electrónico de confirmación”.

7.5.6. Assessment scope status “Registered” (Icono de la bandera de España Estado del alcance de la evaluación “Registrado”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Registrado

Su alcance de la evaluación está registrado.
Hemos recibido el pago completo o su estado comercial es “verde” por otros motivos.

Llevar a cabo el proceso de evaluación TISAX.

Ninguna

Activo

7.5.7. Assessment scope status “Active” (Icono de la bandera de España Estado del alcance de la evaluación “Activo”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Activo

Ha completado correctamente el proceso de evaluación TISAX y ha recibido las etiquetas TISAX.

Publicar y compartir el resultado de la evaluación.
Cualquier permiso de publicación o divulgación preconfigurado en un estado inferior se vuelve efectivo.

Ninguna

Expirado

Para más información sobre publicar y compartir, consulte la Sección 6, “Intercambio (paso 3)”.

7.5.8. Assessment scope status “Expired” (Icono de la bandera de España Estado del alcance de la evaluación “Expirado”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Expirado

O bien:

  • no ha completado el registro del alcance de la evaluación en 90 días,

  • o bien se ha producido un retraso con el pago de la tasa,

  • o ha abandonado el proceso TISAX,

  • o la validez del resultado de su evaluación ha vencido (tres años),

  • o ha tenido cambios significativos en el alcance de la evaluación (ejemplo: las ubicaciones dentro del alcance de la evaluación ya no son de su empresa).

Iniciar un nuevo registro del alcance de la evaluación.

Ninguna

Incompleto
o bien
Pendiente del pedido
o bien
Pendiente de aprobación ENX

7.6. Anexo: Assessment status (Icono de la bandera de España Estado de la evaluación)

7.6.1. Sinopsis: Assessment status (Icono de la bandera de España Estado de la evaluación)

El “estado de la evaluación” define en qué punto se encuentra dentro del proceso de evaluación. El estado cambia a medida que progresa de un tipo de evaluación al siguiente (por ejemplo, de “evaluación inicial” a “evaluación del plan de acciones correctivas”).

Tenga en cuenta que el “estado de la evaluación” es diferente al “estado del alcance de la evaluación”. Para más información sobre el “estado del alcance de la evaluación”, consulte la Sección 7.5, “Anexo: Assessment scope status (Icono de la bandera de España Estado del alcance de la evaluación)”.

Su “estado de la evaluación” puede ser:

  1. Initial assessment ordered (Icono de la bandera de España Evaluación inicial solicitada)

  2. Initial assessment ongoing (Icono de la bandera de España Evaluación inicial en curso)

  3. Waiting for corrective action plan assessment (Icono de la bandera de España A la espera de la evaluación del plan de acciones correctivas)

  4. Waiting for follow-up (Icono de la bandera de España A la espera del seguimiento)

  5. Finished (Icono de la bandera de España Finalizado)

Las siguientes tablas relativas a los estados describen:

  • su situación
    (su situación real en este momento cuando tiene este estado)

  • su próxima acción
    (lo que debe hacer para avanzar al siguiente estado, si procede)

  • nuestra próxima acción
    (lo que tenemos que hacer nosotros para aumentar su estado, si procede)

  • el siguiente estado
    (si procede)

La siguiente ilustración muestra las acciones que llevan a avanzar de un estado al siguiente:

Sinopsis de estados de la evaluación
Figura 39. Sinopsis de estados de la evaluación
img callout black 01

Usted

img callout black 02

Estado del alcance de la evaluación

img callout black 03

Estado de la evaluación

img callout black 04

Solicitar la evaluación

img callout black 05

Evaluación inicial solicitada

img callout black 06

Iniciar la evaluación

img callout black 07

Evaluación inicial en curso

img callout black 08

A

img callout black 09

Completar la evaluación

img callout black 10

6. Activo

img callout black 11

A la espera de la evaluación del plan de acciones correctivas

img callout black 12

Crear el plan de acciones correctivas
Solicitar la evaluación del plan de acciones correctivas

img callout black 13

A la espera del seguimiento

img callout black 14

Solicitar la evaluación de seguimiento

img callout black 15

Finalizado

La referencia “A” a otra página de la figura superior conecta el estado del alcance de la evaluación “Activo” con el estado de la evaluación “A la espera de la evaluación del plan de acciones correctivas”. Para más información sobre el “estado del alcance de la evaluación”, consulte la Sección 7.5, “Anexo: Assessment scope status (Icono de la bandera de España Estado del alcance de la evaluación)”.

7.6.2. Assessment status “Initial assessment ordered” (Icono de la bandera de España Estado de la evaluación “Evaluación inicial solicitada”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Evaluación inicial solicitada

Ha seleccionado uno de nuestros proveedores de auditoría TISAX y ha solicitado una evaluación inicial.

Continuar con el proceso de evaluación TISAX.

Ninguna

Evaluación inicial en curso

7.6.3. Assessment status “Initial assessment ongoing” (Icono de la bandera de España Estado de la evaluación “Evaluación inicial en curso”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Evaluación inicial en curso

Su evaluación inicial:

  • ha empezado

  • o se ha completado, pero el proveedor de auditoría todavía no ha emitido el informe TISAX

Ninguna

Ninguna

A la espera de la evaluación del plan de acciones correctivas (si procede)

7.6.4. Assessment status “Waiting for corrective action plan assessment” (Icono de la bandera de España Estado de la evaluación “A la espera de la evaluación del plan de acciones correctivas”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

A la espera de la evaluación del plan de acciones correctivas

Su proveedor de auditoría ha realizado la evaluación inicial.
Su proveedor de auditoría nos ha enviado el informe TISAX.
El resultado de la evaluación es no conforme (con una desviación mínima/importante).

Crear un plan de acciones correctivas.
Iniciar las acciones correctivas.
Solicitar una evaluación del plan de acciones correctivas.

Ninguna

A la espera del seguimiento (si procede)

El estado de la evaluación “A la espera de la evaluación del plan de acciones correctivas” está limitado a nueve meses. Para más información, consulte la Sección 5.4.8.3, “Requisitos del plan de acciones correctivas”.

7.6.5. Assessment status “Waiting for follow-up” (Icono de la bandera de España Estado de la evaluación “A la espera del seguimiento”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

A la espera del seguimiento

Su proveedor de auditoría ha aprobado el plan de acciones correctivas.
Usted ha implementado las acciones correctivas.

Solicitar una evaluación de seguimiento.

Ninguna

Finalizado

El estado de la evaluación “A la espera del seguimiento” está limitado a nueve meses. Para más información, consulte la Sección 5.4.8.3, “Requisitos del plan de acciones correctivas”.

7.6.6. Assessment status “Finished” (Icono de la bandera de España Estado de la evaluación “Finalizado”)

Estado Situación Su próxima acción Nuestra próxima acción Siguiente estado

Finalizado

Su proveedor de auditoría ha realizado una evaluación de seguimiento.
El resultado de la evaluación no tiene no conformidades.
Su proveedor de auditoría nos ha enviado el informe TISAX.

Publicar y compartir el resultado de la evaluación.

Ninguna

n/a

7.7. Annex: Custom scopes

Almost all TISAX participants choose the standard scope. However, in certain and rare circumstances you may need to choose a custom scope.

There are two types of custom scopes:

7.7.1. Custom extended scope

You can extend the scope. A custom extended scope contains MORE than the standard scope. The audit provider will perform more checks.

Purpose: A custom extended scope may be relevant if you want to use your TISAX assessment for internal purposes or outside of the automotive industry.

TISAX labels and sharing results: A custom extended scope always includes the standard scope. Therefore, a custom extended scope will receive TISAX labels[41]. Other TISAX participants will still accept the assessment result.

Description: While the standard scope has a predefined description, you need to write your own scope description if you need a custom extended scope.

7.7.2. Full custom scope

You can fully define your own scope.

Purpose: If you have locations that belong to different assessment scopes and that use services at a particular site (such as a data centre), you may use a full custom scope for those services. Thus, a TISAX audit provider can easily reuse the assessment result of the service’s full custom scope.

Example: You have many locations (possibly part of different scopes) and you have a central IT department at one of those locations. Defining a full custom scope just for the IT department may make it easier to reuse the respective assessment result in the other scopes.

TISAX labels and sharing results: Full custom scopes don’t receive TISAX labels. Your assessment result is recorded in the ENX portal with the date, validity period and whether the overall assessment result is conform or non-conform. You could share such an assessment result. But sharing an assessment result without TISAX labels will look like a “failed” assessment to most recipients. Other TISAX participants generally don’t accept assessment results of full custom scopes.

Description: As for the custom extended scope, you need to write your own scope description if you need a full custom scope.

Icono de advertencia importante

Important note:

To emphasize how rare the use of full custom scopes is: There is a 98% chance that your audit provider will revert your full custom scope to a standard scope. No participant ever successfully chose a full custom scope without advise from his audit provider.

An assessment with a full custom scope won’t receive TISAX labels. We therefore generally advise against choosing a full custom scope — mainly because other participants generally don’t accept assessment results with full custom scopes.
Do not choose a full custom scope if you don’t have the explicit confirmation that your partner will accept the result and agreed with your particular scope description.

7.8. Anexo: Gestión del ciclo de vida de los datos del participante

Las siguientes secciones describen qué tiene que hacer si se produce algún cambio en sus datos de participante.

7.8.2. Cambio de contactos

Sus contactos de participante principal de la empresa y el resto de “contactos administrativos” con cuenta en el portal siempre podrán ir al portal ENX y:

  • añadir nuevos contactos

  • borrar contactos existentes

  • cambiar la información de contacto de los contactos existentes

7.8.2.1. How to add a new contact

To add a new contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Click the button “Create new TISAX Administrator”.

  5. Enter the contact’s data.

  6. Click the button “Save Contact”.

  7. Go to the table and find the table row with the contact.

  8. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  9. Select “Edit TISAX Administrator”.

  10. In the new window (“Edit TISAX Contact”), scroll down to the section “ENX PORTAL ACCESS”.

  11. Select “Yes”.

  12. In the appearing section “WEB ROLES”, click the button “Add Role”.

  13. Select the role you want to assign (e.g. “TISAX Administrator”).

  14. Click the button “Add Role”.

  15. Click the button “Save Contact”.

7.8.2.2. How to delete an existing contact

To delete an existing contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Go to the table and find the table row with the contact.

  5. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  6. Select “Delete TISAX Administrator”.

  7. In the appearing confirmation request, click the button “Delete”.

7.8.2.3. How to update details of an existing contact

To update the details of an existing contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Go to the table and find the table row with the contact.

  5. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  6. Select “Edit TISAX Administrator”.

  7. Update the details.

  8. Click the button “Save Contact”.

7.8.3. Pérdida de acceso a los datos de participante (portal ENX)

Si no queda nadie en su empresa que tuviera acceso al portal ENX y por tanto a sus datos de participante, póngase en contacto con nosotros. Intentaremos ayudarle a recuperar el acceso a los datos de participante de su empresa.

7.8.4. Reubicaciones

Si solo ha cambiado oficialmente el nombre de una calle, el contacto de participante principal de su empresa deberá ponerse en contacto con nosotros. Actualizaremos los datos de la ubicación.

Pero si una de sus ubicaciones se traslada a una nueva dirección tendrá que:

  1. ampliar el alcance de la evaluación.
    Siga los pasos descritos en la Sección 7.8.5, “Ubicación adicional (evaluación de ampliación del alcance)”.

  2. enviarnos un mensaje de correo electrónico para comunicarnos que la ubicación antigua ya no pertenece a su empresa.
    Actualizaremos los datos del alcance de la evaluación. Le enviaremos una confirmación.

7.8.5. Ubicación adicional (evaluación de ampliación del alcance)

Si abre una nueva ubicación durante el periodo de validez de sus etiquetas TISAX existentes, deberá solicitar una “evaluación de ampliación del alcance” (Icono de la bandera del Reino Unido scope extension assessment) a su proveedor de auditoría. No puede seleccionar otro proveedor de auditoría para llevar a cabo la “evaluación de ampliación del alcance”. La evaluación es similar a los otros tipos de evaluación. No obstante, su proveedor de auditoría seguramente procurará reutilizar los resultados aplicables de evaluaciones anteriores.

Una vez finalizada la evaluación de ampliación del alcance sin no conformidades, su proveedor de auditoría:

  • actualizará el alcance de la evaluación en el portal ENX.

  • emitirá el informe de evaluación de ampliación del alcance.

La evaluación de ampliación del alcance no alarga el periodo de validez original de sus etiquetas TISAX existentes.

7.9. Anexo: Gestión del ciclo de vida ISA

Un grupo de trabajo de ENX mantiene la ISA. La VDA publica oficialmente nuevas versiones. Hemos definido un calendario que determina qué versión de la ISA es la base de la evaluación TISAX en una fecha determinada.

Cuando la VDA publica una nueva versión que incluye cambios en la forma y el contenido, nuestro calendario empieza y distribuimos la nueva versión a nuestros proveedores de auditoría TISAX. Por norma general, ocho semanas más tarde, los proveedores de auditoría PUEDEN llevar a cabo evaluaciones basadas en la nueva versión. Dieciséis semanas más tarde, los proveedores de auditoría DEBEN llevar a cabo las evaluaciones según la nueva versión. Estos plazos se aplican a las evaluaciones solicitadas DESPUÉS de empezar el calendario. Si había solicitado una evaluación ANTES de empezar el calendario, su proveedor de auditoría PUEDE llevar a cabo la evaluación según la versión anterior de la ISA. No obstante, su proveedor de auditoría habitualmente le recomendará una evaluación según la nueva versión.

Podrá encontrar las fechas de publicación de la ISA en la pestaña “Historial de cambios” y en el sitio web de la VDA sobre la ISA (portal.enx.com/isa5-en.xlsx).

7.10. Anexo: Documentos útiles

Esta sección enumera algunos documentos que consideramos útiles.

  • Libro blanco “Harmonization of security levels” (Armonización de niveles de seguridad)

    “Un elemento clave para alcanzar un nivel de seguridad de la información orientado a las necesidades es la clasificación y la identificación de la información. Este libro blanco proporciona una orientación sobre niveles de clasificación armonizados y estandarizados en materia de confidencialidad.”

    Idiomas disponibles: alemán, inglés

    Editor: Verband der Automobilindustrie e.V. (“Asociación alemana de la industria automotriz”)

  • Libro blanco “Information Security Risk Management” (Gestión de riesgos de seguridad de la información)

    “El objetivo de este libro blanco es informar a las empresas del sector del automóvil sobre la gestión de la seguridad de la información orientada al riesgo y permitirles establecer una gestión efectiva de los riesgos de seguridad de la información. Pretende asistir a las organizaciones durante la preparación o realización de una evaluación TISAX para cumplir los requisitos de la pregunta de control VDA ISA 1.4.1. Se deberá considerar como una recomendación de implementación, no como un requisito obligatorio.”

    Idiomas disponibles: alemán, inglés

    Editor: Verband der Automobilindustrie e.V. (“Asociación alemana de la industria automotriz”)

7.11. Annex: Complaint management

7.11.1. Causes for complaint

Our complaint management differentiates between these two areas:

  1. ENX Association — the organisation that governs TISAX

  2. Audit providers — the organisations that conduct the TISAX assessments

7.11.1.1. Complaints about ENX Association

If you have a complaint about ENX Association, please contact our “TISAX manager on duty” (see contact details below).

7.11.1.2. Complaints about audit providers

First, you should try to solve the issue directly with the auditor.

The next step should be the person responsible for TISAX at the audit provider.

Thereafter, your next contact would be the person responsible for the audit provider’s quality management.

If the issue is still unsolved, you should contact our “TISAX manager on duty” (see contact details below).

There are even options above the “TISAX manager on duty”. In such cases, you would talk to ENX Association’s managing director.

The VDA has no role in the complaint management.

7.11.1.3. Requirements for complaints

If you want to involve us, we need the following information:

  • Who is complaining?

    • Company name

    • TISAX Participant ID

    • Contact (name, email address, phone number)

  • Which assessment is it?

    • Assessment ID

    • If the assessment is not yet recorded in the ENX portal: Scope ID

  • Who is the audit provider?

    • Audit provider company name

    • Name of the auditor(s)

  • What are you complaining about?

    1. General complaint about the performance of the audit provider

    2. Complaint about the approach of the auditor

    3. Complaint about the assessment with regards to content

  • For complaints about the assessment with regards to content: Which finding do you object?

    • Control (e.g. 1.6.1 "To what extent are information security events processed?")

    • Finding (full text)

    • Objection against:

      • Interpretation of the control

      • Ascertainment with regards to content (available evidence is not assessed correctly)

      • Risk assessment (appropriateness not considered)

    • Reasoning why you assess things differently

7.11.2. Contact for complaints

Please contact the “TISAX manager on duty”:

Send him an email at:

tisax-complaints@enx.com

Or call him at:

+49 69 9866927-79

You can reach him during regular business hours in Germany (UTC+01:00).

He speaks Icono de la bandera del Reino Unido English and Icono de la bandera de Alemania German.

8. Historial del documento

Versión Notas

2.3

  • Subtítulo reformulado

  • Cambio de Word/PDF a HTML como formato primario del manual

  • Más traducciones disponibles (chino y francés, véase el punto siguiente)

  • Sección “El manual del participante de TISAX en otros idiomas y formatos” añadida

  • Todos los enlaces a la página principal de ENX cambiados de "https://portal.enx.com" a "https://enx.com" (los enlaces antiguos siguen funcionando)

  • “VDA ISA” se convierte en “ISA”

  • Sección Sección 5.2, “Autoevaluación basada en la ISA” actualizada para reflejar los cambios introducidos con la versión 5 de la ISA

  • Reordenación de las filas de todas las tablas con los objetivos de evaluación para que coincidan con el cambio de orden del catálogo de criterios en ISA 5

  • Actualización de las figuras con los objetivos de evaluación para que coincidan con el cambio de orden de los catálogos de criterios en ISA 5

  • Sección “Personalización del alcance” actualizada (figura 6, errata corregida, objetivos de evaluación actualizados)

  • Sección “Tasa” actualizada con información sobre los pagos con tarjeta de crédito

  • Sección “Diagrama del proceso de evaluación TISAX” actualizado (figura 34, referencia a Managed Service Provider eliminada)

  • Sección “Anexo: Documentos útiles” actualizada (libro blanco “Information Security Risk Management” añadido)

2.2.1

  • Corrección de erratas

2.2

2.1.2

  • Límite formal de la “distancia” entre “su puntuación final” y el “resultado máximo” corregido del 25 % al 30 %

2.1.1

  • Corrección de erratas

2.1





1. Verband der Automobilindustrie e. V. (VDA, Asociación Alemana de la Industria Automotriz), www.vda.de
2. Tal vez quiera llevar a cabo el proceso TISAX como medida preventiva. Algunas empresas lo hacen para estar mejor preparadas. Disponer de una evaluación TISAX puede traducirse en una fase de contratación más corta y puede darle la ventaja sobre otros competidores que todavía no cuenten con la evaluación TISAX.
3. Las “etiquetas TISAX” son un concepto para resumir el resultado de la evaluación y son el producto del proceso TISAX. Consulte la Sección 5.4.13, “Etiquetas TISAX” para más información.
4. La mayoría de los pasos de registro solo son necesarios una vez cuando empieza como participante de TISAX. Cuando renueva el resultado de la evaluación, solo tiene que actualizar y confirmar los datos de registro.
5. Publicaremos los cambios de nuestras Condiciones generales en el portal ENX y notificaremos a los contactos registrados.
6. Esto también se aplica al resto de acuerdos adicionales (p. ej., códigos de conducta).
7. Esta es la descripción del alcance estándar en la versión 1.0. Hemos añadido la versión en caso de que actualicemos la descripción en el futuro.
8. Para solventar esta situación puede: a) eliminar la ubicación del alcance, b) resolver los problemas, c) añadir la ubicación más tarde con una evaluación de ampliación del alcance
9. Recuerde que actualmente no se informa automáticamente a su socio sobre nuevos permisos. Quizá quiera notificarle a su socio que los resultados de la evaluación están disponibles.
10. Si quiere figurar en esa lista, póngase en contacto con nosotros.
11. Una evidencia es cualquier cosa que demuestre su afirmación de cumplir cierto requisito. Las evidencias suelen ser documentos. Sin duda, usted usará documentación interna como evidencia.
12. Las entrevistas para las evaluaciones del nivel de evaluación 2 se suelen celebrar por teleconferencia. Si usted lo solicita, se pueden realizar en persona
13. Nuestra comunicación regular por correo electrónico solo se envía a los contactos del participante. No se envía a cuentas que no tienen el rol de participante. Para que los mensajes se envíen también a los propietarios de la cuenta, asegúrese de que también estén definidos al menos como contacto adicional del participante.
14. El mínimo teórico para las evaluaciones en grupo simplificadas es de tres ubicaciones.
15. Si ya sabe que tendrá que mejorar el sistema de gestión de la seguridad de la información, el mínimo recomendado es de doce ubicaciones.
16. Para evitar una posible confusión entre números y letras (como el 8 y la B), determinadas letras no se permiten en el ID de participante. No obstante, algunos ID de participante antiguos pueden contener la letra “G”.
17. La ISA también se refiere a los catálogos de criterios con el término “módulos”.
18. Encontrará esta función de Excel en la cinta de opciones “Datos”, sección “Esquema”.
19. ¿Su empresa tiene otros proveedores de auditoría para evaluaciones similares (como ISO 27001) que están interesados en realizar también evaluaciones TISAX? Comparta este manual y dígales que se pongan en contacto con nosotros
20. Los proveedores de auditoría que no estén incluidos en nuestro listado no están autorizados a llevar a cabo evaluaciones TISAX.
21. Si finaliza el proceso de evaluación, no recibirá etiquetas TISAX.
22. En realidad, existe un cuarto tipo: la “evaluación de la ampliación del alcance”. Como se trata de un caso especial, se describe en detalle en el anexo: Sección 7.8.5, “Ubicación adicional (evaluación de ampliación del alcance)”.
23. La reunión inicial formal se describirá en detalle para la evaluación inicial. Para el resto de evaluaciones TISAX, el proveedor de auditoría programará y definirá estas reuniones.
24. Algunos proveedores de auditoría puede que usen el término “reunión de apertura” como sinónimo de “reunión inicial formal”.
25. La reunión final formal se describirá en detalle para la evaluación inicial. Para el resto de evaluaciones TISAX, el proveedor de auditoría programará y definirá estas reuniones.
26. Si no se puede resolver una disputa, podrá elevarla a una instancia superior. Póngase en contacto con nosotros para más información.
27. En esta fase todavía es posible realizar cambios al alcance.
28. Para más información sobre los métodos de auditoría y la intensidad, consulte la Sección 4.3.3.6, “Necesidad de protección y niveles de evaluación”.
29. Si no se puede resolver una disputa, podrá elevarla a una instancia superior. Póngase en contacto con nosotros para más información.
30. El periodo entre la evaluación inicial y la evaluación del plan de acciones correctivas no puede ser superior a 9 meses.
31. Recuerde que su resultado global de la evaluación puede seguir siendo “no conforme con una desviación importante” incluso si ha definido acciones correctivas adecuadas. Ese es el caso si sus medidas no tienen un efecto inmediato.
32. Lógicamente, esto solo se aplica si en la evaluación inicial se identificaron no conformidades. No necesita una evaluación de seguimiento para las evaluaciones iniciales con un resultado de “conforme”.
33. En teoría, puede ser nueve meses tras la conclusión de la evaluación inicial.
34. En realidad, existe un cuarto tipo: el “informe de evaluación de ampliación del alcance”. Como se trata de un caso especial, se describe en detalle en: Sección 7.8.5, “Ubicación adicional (evaluación de ampliación del alcance)”.
35. El “informe TISAX” se basa en una plantilla que todos los proveedores de auditoría TISAX están obligados a utilizar.
36. La palabra “renovar” puede malinterpretarse. Para mantener una etiqueta TISAX durante más de tres años, debe volver a pasar el proceso TISAX, empezando por el registro de un nuevo alcance de evaluación.
37. No mantenemos una lista “pública en TISAX” con los ID de participante. De esta forma se evita compartir accidentalmente los resultados con empresas de nombre similar o por otros “errores humanos”. Por ese motivo, siempre deberá contactar con su socio para obtener el ID de participante.
38. Su socio ha de iniciar sesión en el portal y buscar activamente el resultado de la evaluación que usted ha compartido. Este no recibirá ninguna notificación automática sobre nuevos resultados de evaluación.
39. La norma está definida en las “Condiciones generales de participación en TISAX” (https://enx.com/tisaxgtcen.pdf).
41. “TISAX labels” are a concept to summarise your assessment result and are the output of the TISAX process. Please refer to Sección 5.4.13, “Etiquetas TISAX” for more details.