Réalisez le processus d’évaluation TISAX et partagez le résultat d’évaluation avec votre partenaire
Publié par
ENX Association
une association conforme à la loi française de 1901,
enregistrée sous le numéro w923004198 auprès de la sous-préfecture de Boulogne-Billancourt, France
Adresses
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Francfort-sur-le-Main, Allemagne
Auteur
Florian Gleich
Contact
tisax@enx.com
+49 69 9866927-77
Version
Date : |
06/01/2021 |
Version : |
2.3 beta |
Classification : |
Public |
ID doc ENX : |
602-FR |
Avis de droit d’auteur
Tous droits réservés par ENX Association.
ENX, TISAX et leurs logos respectifs sont des marques déposées d’ENX Association.
Les marques de tiers mentionnées sont la propriété de leurs détenteurs respectifs.
1. Aperçu
1.1. Objectif
Bienvenue sur TISAX (Trusted Information Security Assessment Exchange).
L’un de vos partenaires vous a demandé d’attester que votre gestion de la sécurité de l’information respecte un niveau particulier d’exigence, comme prévu par « l’évaluation de sécurité de l’information de la VDA[1] (ISA) ». Et à présent, vous souhaitez savoir comment répondre à cette demande.
L’objectif du présent manuel est de vous permettre de satisfaire la demande de votre partenaire — ou d’avoir une longueur d’avance en anticipant la démarche avant qu’un partenaire ne vous invite à l’effectuer.
Le présent manuel décrit les étapes que vous devez mettre en œuvre pour passer l’évaluation TISAX et pour en partager le résultat avec votre partenaire.
L’établissement et le maintien d’un système de gestion de la sécurité de l’information (ISMS) constituent déjà des missions complexes. Prouver à votre partenaire que votre gestion de la sécurité de l’information est à la hauteur ajoute encore plus de complexité. Le présent manuel ne vous aidera pas à gérer la sécurité de vos informations. Toutefois, il vous permet de démontrer le plus simplement possible à votre partenaire les efforts mis en œuvre dans ce contexte.
1.2. Champ d’application
Le présent manuel s’applique à tous les processus TISAX auxquels vous pouvez participer.
Il contient tout ce que vous avez besoin de savoir pour mener à bien le processus TISAX.
Le manuel prodigue des conseils sur la manière de traiter les exigences en matière de sécurité de l’information qui représentent le fondement de l’évaluation. Mais il n’a pas pour objectif de vous offrir une formation générale sur ce que vous devez faire pour passer l’évaluation de sécurité de l’information.
1.3. Public
Les entreprises qui ont besoin ou souhaitent prouver un certain niveau de gestion de sécurité de l’information, conformément aux exigences de « l’évaluation de sécurité de l’information de la VDA » (ISA), constituent le principal public auquel s’adresse le présent manuel.
Dès que vous serez activement impliqué dans les processus TISAX, vous pourrez profiter des informations fournies dans le présent manuel.
Les entreprises qui demandent à leurs fournisseurs de prouver certains niveaux de gestion de la sécurité de l’information en tireront profit également. Le présent manuel leur permet de comprendre ce que leurs fournisseurs sont tenus de faire pour répondre à leur demande.
1.4. Structure
Nous commencerons par une brève introduction à TISAX, puis nous passerons immédiatement aux instructions décrivant COMMENT entreprendre les diverses démarches. Vous trouverez tout ce dont vous avez besoin pour mener à bien le processus — dans l’ordre correspondant aux diverses étapes à suivre.
Le temps de lecture estimé du document est de 75 à 90 minutes.
1.5. Comment utiliser le présent document
Tôt ou tard, vous vous intéresserez probablement à la plupart des informations décrites dans le présent document. Pour être correctement préparé, nous vous recommandons de lire l’intégralité du manuel.
Nous avons organisé le manuel sur la base de trois étapes principales du processus TISAX, de manière à ce que vous puissiez aller à la section dont vous avez besoin et lire le reste plus tard.
Le manuel utilise des illustrations pour faciliter la compréhension. Les couleurs des illustrations ont souvent une signification supplémentaire. Par conséquent, nous vous recommandons de lire le document sur un écran d’ordinateur ou sur une version papier en couleur.
Nous serions heureux de recevoir vos commentaires. Si vous pensez qu’il manque certaines informations dans le présent manuel ou qu’il n’est pas facile à comprendre, n’hésitez pas à nous en informer. Tous les futurs lecteurs du manuel et nous-mêmes vous serons reconnaissants du retour que vous nous donnerez.
Si vous avez déjà utilisé une version antérieure du manuel du participant TISAX, vous pourrez trouver quelques précieuses remarques à la fin du document à la Section 8, “Historique du document”.
1.6. Nous contacter
Nous sommes là pour vous guider tout au long du processus TISAX et pour répondre à toute question que vous pourriez avoir.
Envoyez-nous un e-mail à : |
|
Ou appelez-nous au numéro : |
+49 69 9866927-77 |
Vous pouvez nous joindre durant les heures ouvrables normales en Allemagne (UTC+01:00).
Nous parlons tous 
l’anglais et 
l’allemand. Deux de nos collègues sont de langue maternelle 
italienne.
1.7. Le manuel du participant TISAX dans d’autres langues et formats
Le manuel du participant TISAX est disponible dans les autres langues et formats suivants :
| Langue | Version | Format | Lien | Taille |
|---|---|---|---|---|
|
2.4 |
En ligne |
https://www.enx.com/handbook/tisax-participant-handbook.html |
n/a |
Hors ligne |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
6.4 MB |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
6.4 MB |
|||
|
2.4 |
En ligne |
n/a |
|
Hors ligne |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
6,4 MB |
||
5,0 MB |
||||
|
2.3 beta |
En ligne |
n/a |
|
Hors ligne |
7,0 MB |
|||
7,0 MB |
||||
|
2.3 beta |
En ligne |
n/a |
|
Hors ligne |
7,0 MB |
|||
7,0 MB |
 |
Remarque importante : La version anglaise est la version principale. |
1.7.1. À propos de la version française
Le présent manuel du participant TISAX est une traduction de la version anglaise.
Tous les documents de base de TISAX ont été rédigés en anglais (p. ex. : tous les contrats et exigences pour les auditeurs TISAX). Par conséquent, votre partenaire ou votre auditeur peut utiliser certains termes spécifiques à TISAX en anglais.
Pour vous permettre d’établir une correspondance entre les termes d’une langue à l’autre, nous avons conservé le terme TISAX original en anglais dans la traduction française du manuel du participant TISAX ou l’avons mentionné entre parenthèses directement après la traduction française.
1.7.2. À propos du format en ligne
Chaque section a un identifiant unique (format : ID1234).
Un ID fait référence à une section spécifique, indépendamment de la langue.
Si vous souhaitez accéder à une section spécifique, vous pouvez :
-
cliquer droit sur le titre de la section et copier le lien, ou
-
cliquer sur le titre de la section et copier le lien à partir de la barre d’adresse de votre navigateur.
La plupart des illustrations sont disponibles dans une taille supérieure à celle affichée ici par défaut. Cliquez sur l’illustration pour accéder à sa version de taille supérieure.
1.7.3. À propos du format hors ligne
Le format hors ligne contient la plupart des éléments du format en ligne. Notez en particulier que les illustrations sont intégrées dans le fichier HTML. Vous n’avez besoin que d’un fichier pour utiliser le format hors ligne.
Par rapport au format en ligne, le format hors ligne ne contient pas :
-
les images de taille supérieure
-
les polices originales du format en ligne
Les polices sont définies selon les réglages par défaut de votre navigateur.
1.7.4. À propos du format PDF
Le format PDF se base sur le format en ligne. En principe, nous utilisons un navigateur pour sauver le format en ligne en PDF.
Si vous utilisez le format PDF sur votre ordinateur, vous pouvez toujours cliquer sur l’ensemble des références. Mais si vous imprimez la version PDF, vous ne retrouverez pas certains éléments tels que la numérotation des pages, et vous devrez rechercher les références vous-même.
2. Introduction
Les sections suivantes présentent le concept TISAX.
Si vous êtes pressé, vous pouvez les passer et commencer directement à la Section 4.3, “Préparation de l’inscription”.
2.1. Pourquoi TISAX ?
Ou en d’autres termes, que faites-vous ici ?
Pour répondre à cette question, nous commencerons par quelques réflexions sur la pratique commerciale en général et sur la protection des informations en particulier.
Vous avez un partenaire. Il détient des informations confidentielles et souhaite les partager avec son fournisseur — vous. La coopération entre votre partenaire et vous-même crée de la valeur. Les informations que votre partenaire partage avec vous constituent une part importante de cette création de valeur. Par conséquent, il souhaite les protéger de manière appropriée. Et il veut être certain que vous traitez ses informations avec le même soin.
Mais comment peut-il être sûr que ses informations sont entre de bonnes mains ? Il ne peut pas se contenter de vous « croire ». Votre partenaire a besoin de voir certaines preuves.
Deux questions se posent dans ce contexte. Qui définit la notion de traitement « sécurisé » de l’information ? Et deuxièmement, comment en apportez-vous la preuve ?
2.2. Qui définit la notion de « sécurisé » ?
Votre partenaire et vous-même n’êtes pas les seuls à être confrontés à ces questions pour la première fois. Chacun ou presque doit y répondre et la plupart des réponses présenteront des points communs.
Ainsi, standardiser la démarche permet d’éviter de devoir créer une solution au cas par cas pour un problème récurrent et de démarrer systématiquement d’une feuille blanche. Créer une norme représente un travail considérable, mais une fois cette norme définie, tous ceux qui la suivent pourront en profiter à chaque fois.
Il existe certainement différents points de vue concernant la démarche adéquate à adopter pour protéger les informations. Mais en raison des avantages susmentionnés, la plupart des entreprises misent sur l’approche normative. Une norme est la forme condensée de toutes les bonnes pratiques prouvées et éprouvées pour une problématique particulière.
Dans votre cas, des normes telles que la norme ISO/IEC 27001 (concernant les systèmes de gestion de la sécurité de l’information, ou ISMS) et leur mise en œuvre déterminent comment traiter les informations confidentielles de manière sécurisée et dans les règles de l’art. Une norme telle que celle-là vous évite de devoir réinventer la roue à chaque fois. Mais plus important encore, les normes fournissent une base commune à deux entreprises qui doivent échanger des données confidentielles.
2.3. Dans le secteur automobile
Par nature, les normes indépendantes d’un secteur particulier sont conçues comme des solutions universelles et ne sont pas adaptées aux besoins spécifiques des sociétés automobiles.
Il y a longtemps, des associations ont vu le jour dans l’industrie automobile pour — entre autres — affiner et définir des normes adaptées aux besoins plus spécifiques du secteur. La « Verband der Automobilindustrie » (VDA) est l’une de ces associations. Dans le groupe de travail qui traite de la sécurité de l’information, plusieurs membres de l’industrie automobile sont arrivés à la conclusion qu’ils avaient des besoins similaires auxquels il conviendrait d’adapter les normes existantes en matière de gestion de la sécurité de l’information.
Leurs efforts conjoints ont donné lieu à la création d’un questionnaire qui couvre les exigences relatives à la sécurité de l’information largement reconnues dans l’industrie automobile. Il s’intitule « Évaluation de la sécurité de l’information VDA » (VDA Information Security Assessment) ou « ISA ».
Grâce à l’ISA, nous disposons désormais d’une réponse à la question « Qui définit la notion de ‘sécurisé’ ? ». Par l’intermédiaire de la VDA, l’industrie automobile elle-même offre cette réponse à ses membres.
2.4. Comment prouver efficacement la sécurité ?
Si certaines entreprises recourent à l’ISA en interne uniquement, d’autres l’emploient pour évaluer la maturité de la gestion de la sécurité de l’information chez leurs fournisseurs. Dans certains cas, une auto-évaluation suffit dans le cadre de la relation commerciale. Toutefois, dans d’autres cas, les entreprises évaluent dans son intégralité la gestion de la sécurité de l’information de leur fournisseur (y compris par des audits sur site).
À l’heure où nous sommes tous de plus en plus sensibles à la nécessité de gérer la sécurité de l’information et où l’ISA est adoptée par un nombre croissant d’entreprises pour effectuer des évaluations dans ce cadre, les fournisseurs sont plus nombreux à faire face à des demandes similaires de la part de différents partenaires.
Ces partenaires continuaient d’appliquer des normes variées et avaient des opinions divergentes sur leur interprétation. Et si les fournisseurs devaient pour l’essentiel attester des mêmes choses, les démarches adoptées étaient différentes.
Plus les fournisseurs étaient invités par leurs partenaires à prouver leur niveau de gestion de la sécurité de l’information, plus ils se plaignaient des efforts répétés à fournir. Il est tout simplement contre-productif de devoir démontrer, audit après audit, les mêmes mesures de gestion de la sécurité de l’information.
Que faire pour rendre la démarche plus efficace ? Pourrait-on imaginer de réutiliser le rapport d’un auditeur pour plusieurs partenaires ?
Les fabricants d’équipements d’origine et les fournisseurs dans le groupe de travail VDA responsable du maintien de l’ISA ont été attentifs aux plaintes de leurs fournisseurs. À présent, ils offrent à ces derniers ainsi qu’à l’ensemble des autres entreprises actives dans l’industrie automobile une réponse à la question « Comment prouver la sécurité? ».
La réponse est TISAX, l’acronyme de “Trusted Information Security Assessment Exchange” (
Échange fiable concernant l’évaluation de la sécurité de l’information).
3. Le processus TISAX
3.1. Aperçu
Généralement,[2] le processus TISAX débute après que l’un de vos partenaires vous a demandé de démontrer un certain niveau de gestion de la sécurité de l’information, conformément aux exigences de la « VDA Information Security Assessment » (ISA). Pour répondre à cette demande, vous devez compléter les trois étapes du processus TISAX. La présente section vous donne un aperçu des étapes à suivre.
Le processus TISAX comprend les trois étapes suivantes :
|
Étape 1 |
|
Étape 2 |
|
Étape 3 |
-
Inscription
Nous collectons des informations sur votre entreprise et sur les besoins à intégrer à l’évaluation. -
Évaluation
Vous vous soumettez à une ou plusieurs évaluations menées par l’un de nos auditeurs TISAX. -
Échange
Vous partagez le résultat de votre évaluation avec votre partenaire.
Chaque étape est subdivisée en sous-étapes. Celles-ci sont exposées dans les trois sections ci-dessous et décrites en détail plus loin, dans les sections correspondantes.
 |
Remarque : Nous voudrions pouvoir vous préciser le temps nécessaire à l’obtention du résultat de votre évaluation TISAX, mais ne sommes pas en mesure de vous donner un chiffre précis et fiable. La durée totale du processus TISAX dépend de trop nombreux facteurs. La grande diversité des tailles d’entreprise et des objectifs d’évaluation, sans compter la maturité d’un système de gestion de la sécurité de l’information, rendent impossible la fourniture d’une indication précise sur le temps nécessaire à l’évaluation. Toutefois, TISAX estime à neuf mois la durée maximale nécessaire à l’évaluation TISAX dans son intégralité. |
3.2. Inscription
Votre première étape est l’inscription TISAX.
L’objectif principal de l’inscription TISAX est de collecter des informations sur votre entreprise. Nous utilisons un processus d’inscription en ligne pour vous aider à nous fournir ces informations.
Elle est la condition préalable à toutes les étapes ultérieures. Un droit d’inscription vous est demandé.
Au cours du processus d’inscription en ligne :
-
Nous vous demandons vos coordonnées et des informations de facturation.
-
Vous devez accepter nos conditions générales.
-
Vous pouvez définir le champ d’application de votre évaluation de sécurité de l’information.
Pour entamer directement cette étape, veuillez vous référer à la Section 4, “Inscription (étape 1)”.
Le processus d’inscription en ligne est décrit en détail à la Section 4.5, “Processus d’inscription en ligne”. Mais si vous souhaitez commencer immédiatement, veuillez vous rendre sur le enx.com/en-US/TISAX/.
3.3. Évaluation
L’évaluation de sécurité de l’information constitue votre deuxième étape.
Elle se subdivise en quatre sous-étapes :
-
Préparation de l’évaluation
Vous devez préparer l’évaluation. L’ampleur de la préparation dépend du niveau de maturité actuel de votre système de gestion de la sécurité de l’information. Votre préparation doit se fonder sur le catalogue ISA. -
Sélection de l’auditeur
Une fois que vous êtes prêt pour l’évaluation, vous devez choisir l’un de nos auditeurs TISAX. -
Évaluation(s) de la sécurité de l’information
Votre auditeur mènera l’évaluation sur la base d’un champ d’application d’évaluation correspondant aux exigences de votre partenaire. Le processus d’évaluation comprendra au moins l’audit initial.
Si votre entreprise ne passe pas immédiatement l’évaluation, le processus d’évaluation peut nécessiter des étapes supplémentaires. -
Résultat de l’évaluation
Une fois que votre entreprise aura passé l’évaluation, votre auditeur vous fournira le rapport officiel TISAX. Le résultat de votre évaluation vous permettra également d’obtenir des labels TISAX[3].
Pour de plus amples informations sur cette étape, veuillez consulter la Section 5, “Évaluation (étape 2)”.
3.4. Échange
Votre troisième et dernière étape consiste à partager le résultat de votre évaluation avec votre partenaire. Le contenu du rapport TISAX est organisé en niveaux. Vous pouvez déterminer le niveau maximum auquel votre partenaire aura accès.
Le résultat de votre évaluation est valable trois ans. En admettant que vous soyez toujours un fournisseur de votre partenaire à ce moment-là, vous devrez à nouveau suivre le processus en trois étapes[4].
Pour de plus amples informations sur cette étape, veuillez consulter la Section 6, “Échange (étape 3)”.
Maintenant que vous avez une idée générale du processus TISAX, vous trouverez dans les prochaines sections des instructions sur la manière de mener à bien chaque étape.
4. Inscription (étape 1)
Le temps de lecture estimé de la section consacrée à l’inscription est de 30 - 40 minutes.
4.1. Aperçu
L’inscription TISAX est votre première étape. Elle est la condition préalable à toutes les étapes ultérieures.
Les sections suivantes vous guideront tout au long du processus d’inscription.
-
Nous commencerons par expliquer un nouveau terme essentiel..
-
Ensuite, nous vous donnerons des conseils pour vous aider à vous préparer pour le processus d’inscription en ligne.
-
Nous vous guiderons alors tout au long du processus d’inscription en ligne.
4.2. Vous êtes un participant TISAX
Permettez-nous d’abord de présenter un nouveau terme indispensable à comprendre. Jusqu’à présent, vous étiez un « fournisseur ». Vous êtes ici pour répondre à une exigence de votre « client ». Toutefois, TISAX elle-même ne fait pas vraiment de distinction entre ces deux rôles. Pour TISAX, chaque partie inscrite est un « participant ». Vous — tout comme votre partenaire — « participez » à l’échange des résultats d’évaluation de la sécurité de l’information.
|
|
Votre entreprise |
|
|
Inscription TISAX |
|
|
Participant TISAX |
Pour distinguer d’emblée les deux rôles, nous vous désignons, en tant que fournisseur, « participant actif ». Nous désignons votre partenaire « participant passif ». En tant que « participant actif », vous passez l’évaluation TISAX et partagez le résultat de votre évaluation avec d’autres participants. Le « participant passif » est celui qui a demandé que vous passiez l’évaluation TISAX. Le « participant passif » reçoit le résultat de votre évaluation.
|
|
1 Demande l’évaluation du |
|
|
Participant passif |
|
|
Participant actif |
|
2 Passe l’évaluation TISAX |
|
3 Partage le résultat avec |
Toute entreprise peut revêtir les deux rôles. Vous pouvez partager un résultat d’évaluation avec votre partenaire, et demander simultanément à vos propres fournisseurs de passer l’évaluation TISAX.
|
|
Votre client |
|
|
Vous partagez avec le client |
|
|
Participant actif |
|
|
Vous |
|
|
Participant passif |
|
Partage avec vous |
|
Votre propre fournisseur |
Le fait de demander à vos propres fournisseurs de passer l’évaluation TISAX peut même être particulièrement conseillé s’ils traitent eux aussi des informations confidentielles de votre partenaire.
4.3. Préparation de l’inscription
Dans la présente section, nous vous donnons des recommandations sur la manière de vous préparer à l’inscription. Nous décrivons le processus d’inscription en tant que tel en détail à la Section 4.5, “Processus d’inscription en ligne”.
Avant d’entamer le processus d’inscription en ligne, nous vous recommandons vivement :
-
de collecter des informations à l’avance
-
et de prendre certaines décisions.
4.3.1. Le fondement juridique
Généralement, vous devez signer deux contrats. Le premier contrat est conclu entre vous et ENX Association : les « Conditions générales de participation TISAX » (TISAX Participation General Terms and Conditions) ou « CG du participant TISAX » (TISAX Participant GTCs). Le second contrat est conclu entre l’un de nos auditeurs TISAX et vous. Pour l’inscription, nous ne vérifierons que le premier contrat.
Les CG du participant TISAX régissent nos relations mutuelles et vos relations avec d’autres participants TISAX. Elles déterminent nos droits et obligations à tous. Outre les clauses habituelles que vous trouvez dans la plupart des contrats, elles définissent le traitement des informations échangées et obtenues durant le processus TISAX. Un objectif majeur de ces règles est de respecter la confidentialité des résultats de l’évaluation TISAX. Comme tous les participants TISAX sont soumis aux mêmes règles, vous pouvez attendre de votre partenaire (en sa qualité de participant passif) qu’il protège adéquatement le résultat de votre évaluation TISAX.
Assez rapidement dans le processus d’inscription en ligne, nous vous demanderons d’accepter les CG du participant TISAX. Comme il s’agit d’un vrai contrat, nous vous recommandons de lire les CG du participant TISAX avant d’entamer le processus d’inscription en ligne. L’une des raisons en est que, selon votre rôle dans l’entreprise, il se peut que vous deviez obtenir une autorisation d’un juriste interne ou externe.
Vous pouvez télécharger les « Conditions générales de participation TISAX »[5] sur notre site Web à l’adresse :
enx.com/en-US/TISAX/downloads/
Téléchargement direct du PDF :
enx.com/tisaxgtcen.pdf
Au cours du processus d’inscription en ligne, nous vous demanderons de cocher deux cases obligatoires :
-
❏ We accept the TISAX Participation General Terms and Conditions
Nous acceptons les conditions générales de participation TISAX ; -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
Nous confirmons avoir connaissance du fait que le demandeur est libéré du secret professionnel imposé aux auditeurs conformément aux sections IX.5 et X.3 des Conditions générales de participation TISAX.
Nous avons ajouté la seconde case à cocher, car certains de nos auditeurs TISAX sont des experts-comptables agréés. Ils sont tenus à des exigences particulières en matière de secret professionnel. Peut-être souhaiterez-vous consulter ces clauses avant de cocher la case en question.
Si vous exigez habituellement un accord de confidentialité entre vous et toute partie qui traite des informations confidentielles, veuillez examiner les sections correspondantes de nos CG. Elles devraient répondre à toutes vos interrogations.
Pour conclure la section juridique, notez que le système implique l’acceptation des mêmes règles par l’ensemble des participants. Par conséquent, nous ne pouvons accepter de conditions générales supplémentaires[6].
4.3.2. Le champ d’application de l’évaluation TISAX
Durant la deuxième étape du processus TISAX, l’un de nos auditeurs TISAX procédera à l’évaluation de la sécurité de l’information. Il doit savoir par où commencer et où s’arrêter. C’est pourquoi vous devez définir un « champ d’application de l’évaluation ».
Le « champ d’application de l’évaluation » décrit l’étendue de l’évaluation de sécurité de l’information. En termes simples, chaque partie de votre entreprise qui traite des informations confidentielles de votre partenaire est intégrée dans le champ d’application de l’évaluation. Vous pouvez considérer qu’il s’agit d’un élément majeur de la description de tâche de l’auditeur. Il dicte ce que l’auditeur doit évaluer.
Le champ d’application de l’évaluation est important pour deux raisons :
-
Un résultat d’évaluation ne répondra à l’exigence de votre partenaire que si le champ d’application correspondant de l’évaluation couvre toutes les parties de votre entreprise qui traitent les informations de ce partenaire.
-
Un champ d’application défini avec précision est une condition préalable essentielle à des calculs de coûts pertinents de la part de nos auditeurs TISAX.
|
|
Remarque importante : Si votre entreprise est certifiée ISO/IEC 27001 : la définition du « champ d’application de l’évaluation TISAX » et la définition du champ d’application requise pour la certification ISO/IEC 27001 sont similaires. La différence réside dans le fait que chez TISAX, le champ d’application est prédéfini. |
4.3.2.1. Description du champ d’application
La description du champ d’application définit l’étendue de l’évaluation. Concernant la description du champ d’application, vous devez choisir l’un des deux types de champs suivants :
-
Standard scope (
champ d’application standard) -
Custom scope (
champ d’application adapté)-
Extended scope (
champ d’application élargi) -
Narrowed scope (
champ d’application limité)
-
4.3.2.2. Champ d’application standard
La description du champ d’application standard est la base de l’évaluation TISAX. D’autres participants TISAX n’acceptent les résultats d’évaluation que s’ils sont basés sur la description du champ d’application standard.
La description du champ d’application standard est prédéfinie et vous ne pouvez pas la modifier. Si vous souhaitez utiliser une description de champ d’application adapté, vous pouvez choisir d’élargir ou de limiter le champ d’application de votre évaluation.
L’un des principaux avantages d’un champ d’application standard est qu’il permet d’éviter de devoir fournir votre propre définition.
Ceci est une description de champ d’application standard[7] :
|
|
The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information. Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors Examples for sites: Office sites, development sites, production sites, data centres |
Le champ d’application standard comprend l’ensemble des processus et ressources impliqués sur les sites définis ci-dessous qui sont soumis aux exigences de sécurité des partenaires dans l’industrie automobile. Les processus et ressources impliqués incluent la collecte, le stockage et le traitement des informations. Exemples de ressources impliquées : les équipements de travail, les salariés, les systèmes informatiques, y compris les services de cloud tels que les infrastructures/plateformes/software as a service, les sites physiques, les sous-traitants concernés Exemples de sites : sites de bureau, sites de développement, sites de production, centres de données |
Nous recommandons vivement de choisir le champ d’application standard. Tous les participants TISAX acceptent les résultats d’évaluation de la sécurité de l’information qui se fondent sur un champ d’application standard.
4.3.2.3. Détermination du champ d’application
Votre prochaine étape après la définition du type de champ d’application consiste à décider quels sites appartiennent au champ d’application de l’évaluation.
Si votre entreprise est petite (un seul site), la tâche est simple. Il vous suffit d’ajouter votre site au champ d’application de l’évaluation.
Si votre entreprise est grande, nous vous recommandons d’enregistrer plus d’un champ d’application pour l’évaluation.
Le fait d’avoir un seul champ d’application englobant tous les sites présente certains avantages :
-
Vous disposez d’un seul rapport d’évaluation, d’un seul résultat d’évaluation et d’une seule date d’expiration.
-
Vous pouvez bénéficier d’une réduction des coûts pour l’évaluation, dans la mesure où un auditeur TISAX unique doit évaluer une seule fois vos ressources, procédures et processus centraux.
Mais un seul champ d’application a aussi ses inconvénients, notamment :
-
Le résultat de l’évaluation n’est disponible qu’une fois que l’auditeur TISAX a évalué l’ensemble des sites. Cela peut avoir de l’importance si vous avez besoin rapidement d’un résultat d’évaluation.
-
Le résultat de l’évaluation dépend de tous les sites qui passent l’évaluation. Si un seul site échoue, vous n’obtiendrez pas de résultat positif pour votre évaluation.[8]
4.3.2.4. Adaptation du champ d’application
Vous seul pouvez répondre à la question de savoir si vous avez un ou plusieurs champs d’application. Pour vous aider à prendre votre décision, vous pouvez répondre aux questions dans le diagramme suivant.
|
|
DÉPART |
|
|
Étape 1 : avez-vous besoin d’une évaluation pour plus d’un site ? |
|
|
Étape 2 : avez-vous assez de temps pour vous préparer à l’évaluation sur tous les sites ? |
|
|
Étape 3 : tous les sites partagent-ils un ISMS central (en matière de responsabilités, d’infrastructures, de politiques et de processus) ? |
|
|
Étape 4 : tous les sites partagent-ils le même objectif d’évaluation (à savoir la protection des véhicules prototypes ou des informations présentant des besoins de protection très importants) ? |
|
|
Fin : enregistrez le champ d’application de l’évaluation |
|
|
Distinguez les sites les uns des autres. |
|
Non |
|
Oui |
|
|
Remarque : Cette décision ne doit pas vous déconcerter. Vous pouvez modifier n’importe quel champ d’application tant que l’auditeur n’a pas terminé l’évaluation. Par exemple, au cours de la préparation à votre évaluation, vous pouvez estimer que votre champ d’application n’est pas adapté — et le modifier en conséquence. Ou votre auditeur peut recommander de modifier le champ d’application au cours des premières étapes de l’évaluation. Remarque : tout ajout au champ d’application augmente le prix à payer, et vous ne serez pas remboursé si vous retirez des sites du champ d’application. |
4.3.2.5. Sites du champ d’application
Maintenant que vous avez décidé des sites à intégrer dans le champ d’application de votre évaluation, vous pouvez poursuivre en collectant certaines informations spécifiques aux sites.
Pour chaque site, nous sollicitons des informations telles que le nom et l’adresse de l’entreprise. Nous demandons aussi d’autres informations permettant à nos auditeurs TISAX de se faire une meilleure idée de la structure de votre entreprise. Vos réponses serviront de base à l’estimation du travail qu’ils auront à fournir.
Veuillez vous préparer à communiquer les renseignements suivants pour chacun de vos sites (l’astérisque rouge * indique les informations obligatoires dans le processus en ligne) :
| Domaine | Options |
|---|---|
Nom du site * |
n/a |
n/a |
|
Type de site * |
Immeuble(s) détenu(s) et utilisé(s) exclusivement par l’entreprise |
Protection passive du site * |
Oui |
Secteur |
Technologie de l’information
Direction
Médias
Recherche et développement
Production
Vente et service après-vente
Autres secteurs |
Nombre de salariés sur le site : total * |
0 |
Nombre de salariés sur le site : IT * |
0 |
Nombre de salariés sur le site : sécurité informatique * |
0 |
Nombre de salariés sur le site : sécurité du site * |
0 |
Certifications pour ce site |
ISO 27001 |
|
|
Remarque : Concernant le « secteur » : sélectionnez au mieux de vos connaissances. Il n’existe pas de bonne ou de mauvaise réponse parmi les options figurant ci-dessus. Si vous ne trouvez pas d’option qui correspond à votre type d’activité, veuillez simplement spécifier l’option appropriée sous « Autre ». |
Pour chaque site, vous devez spécifier un “location name” ( nom du site). Le nom du site a pour objectif de faire référence plus aisément au site lorsque vous intégrez celui-ci à un champ d’application d’évaluation.
Nous recommandons de nommer les sites sur la base du modèle suivant :
Modèle : |
[Référence géographique] |
Exemple : |
pour l’entreprise fictive « ACME »
|
4.3.2.6. Nom du champ d’application
Pour chaque champ d’application, vous devez spécifier un “scope name” ( nom du champ d’application). Le nom du champ d’application a pour objectif de faire référence plus aisément au champ d’application dans toute communication concernant TISAX (p. ex. : avec votre auditeur TISAX).
Vous pouvez spécifier le nom que vous souhaitez. Mais vous ne pouvez pas attribuer le même nom à plusieurs champs d’application.
Si plus tard, vous souhaitez renouveler votre évaluation TISAX, vous devrez créer un nouveau champ d’application (éventuellement identique au champ d’application actuel). Par conséquent, nous recommandons d’ajouter l’année de l’évaluation au nom du champ d’application.
Nous recommandons de nommer les champs d’application sur la base du modèle suivant :
Modèle : |
[Référence géographique ou fonctionnelle ] [Année de l’évaluation] |
Exemples : |
pour l’entreprise fictive « ACME »
|
4.3.2.7. Contacts
Pour communiquer avec vous, nous collectons des informations sur les contacts au sein de votre entreprise.
Nous vous demandons de désigner pour votre entreprise au moins un contact en tant que participant TISAX en général et un autre pour chaque champ d’application de l’évaluation. Vous pouvez désigner des contacts supplémentaires.
Durant les préparations à votre inscription, vous devez décider qui sera un contact dans votre entreprise.
Nous vous demandons de fournir les données de contact suivantes :
| Données de contact | Obligatoire ? | Exemple | |
|---|---|---|---|
1. |
Titre |
Oui |
Mme, M. |
2. |
Grade universitaire |
Dr, Ph.D., autre |
|
3. |
Prénom |
Oui |
Jean |
4. |
Nom |
Oui |
Dupont |
5. |
Intitulé de la fonction |
Oui |
Directeur de l’informatique |
6. |
Département |
Oui |
Technologie de l’information |
7. |
Numéro de téléphone principal |
Oui |
+49 69 986692777 |
8. |
Numéro de téléphone secondaire |
||
9. |
Adresse e-mail |
Oui |
|
10. |
Langue de préférence |
Oui |
Anglais (défaut) |
11. |
Autres langues |
Allemand, français |
|
12. |
Identifiant d’adresse personnelle |
HPC 1234 |
|
13. |
Adresse postale |
Oui |
Bockenheimer Landstraße 97-99 |
14. |
Code postal |
Oui |
60325 |
15. |
Ville |
Oui |
Francfort |
16. |
Land/province |
||
17. |
Pays |
Oui |
Allemand |
|
|
Remarque importante : |
4.3.2.8. Publication et partage
L’objectif principal de TISAX est de publier le résultat de votre évaluation pour d’autres participants TISAX et de le partager avec votre/vos partenaire(s).
Vous pouvez décider de la publication et du partage du résultat de votre évaluation durant le processus d’inscription ou plus tard, à n’importe quel moment.
Si vous vous soumettez au processus TISAX de manière préventive, vous pouvez déjà décider de publier le résultat de votre évaluation pour la communauté des participants TISAX. Autrement, il n’y a rien d’autre à préparer à ce stade.
Si votre partenaire vous a demandé de vous soumettre au processus TISAX, vous devrez tôt ou tard partager le résultat de votre évaluation. Vous pouvez déjà partager des informations de statut avec votre partenaire au cours de l’inscription. Une fois que le résultat de votre évaluation sera disponible, votre partenaire sera automatiquement autorisé à y accéder[9].
Vous avez besoin de deux éléments pour partager des informations de statut :
-
L’ID de participant TISAX de votre partenaire
L’ID de participant TISAX identifie votre partenaire en tant que participant TISAX.
Normalement, votre partenaire doit vous fournir son ID de participant TISAX.
Pour vous simplifier la tâche, notre formulaire d’inscription comprend une liste déroulante des ID de participant de certaines entreprises qui reçoivent fréquemment des résultats partagés d’évaluation.[10]
Mais si votre partenaire est un grand fabricant d’équipements d’origine, il arrive que les départements fassent part d’une demande d’évaluation TISAX sans connaître l’ID de participant de leur propre entreprise. Dans ce genre de cas, vous pouvez nous contacter. Nous pouvons vous fournir l’ID de participant de votre partenaire.
-
Le niveau de partage requis
Le niveau de partage définit le niveau d’accès au résultat de votre évaluation octroyé à votre partenaire.
Soit votre partenaire demande un niveau de partage particulier, soit vous décidez jusqu’à quel niveau vous souhaitez donner accès à votre partenaire au résultat de votre évaluation.
Pour de plus amples informations sur les niveaux de partage, veuillez consulter la Section 6.5, “Niveaux de partage”.
Ainsi, il se peut que vous souhaitiez vous assurer de disposer de ces informations.
|
|
Remarque :
|
|
|
Remarque importante : Si vous ne publiez pas le résultat de votre évaluation ou ne le partagez pas, personne ne pourra le voir. |
|
|
Remarque importante : Vous ne pouvez pas annuler la publication ou le partage. Pour plus de détails, veuillez consulter la Section 6.4, “Permanence des résultats échangés”. |
Pour de plus amples informations sur la publication et le partage du résultat de votre évaluation, veuillez consulter la Section 6, “Échange (étape 3)”.
4.3.3. Objectifs d’évaluation
Vous devez définir votre/vos objectif(s) d’évaluation durant le processus d’inscription. L’objectif d’évaluation ( assessment objective) détermine les exigences que votre système de gestion de la sécurité de l’information (ISMS) doit respecter. L’objectif d’évaluation est intégralement basé sur le type de données que vous traitez pour le compte de votre partenaire.
Dans les sections suivantes, nous décrivons les objectifs d’évaluation et fournissons des conseils concernant la sélection du/des objectif(s) d’évaluation adéquat(s).
L’utilisation des objectifs d’évaluation facilite la communication relative à TISAX avec votre partenaire et nos auditeurs TISAX, car ils font référence à un input prédéfini du processus d’évaluation TISAX.
|
|
Remarque : Il se peut que certains partenaires vous demandent de passer l’évaluation TISAX avec un certain « niveau d’évaluation » (assessment level ou « AL ») plutôt que de spécifier un objectif d’évaluation. Pour de plus amples informations sur les niveaux d’évaluation, veuillez consulter la Section 4.3.3.6, “Besoins de protection et niveaux d’évaluation” (sous-section « Informations supplémentaires »). |
4.3.3.1. Liste des objectifs de l’évaluation
L’évaluation TISAX comporte actuellement huit objectifs. Vous devez sélectionner au moins un objectif d’évaluation. Vous pouvez en sélectionner davantage.
Considérez votre objectif d’évaluation comme la référence pour votre système de gestion de la sécurité de l’information. L’objectif d’évaluation représente un input clé du processus TISAX. Tous les auditeurs TISAX fondent principalement leur stratégie d’évaluation sur l’objectif d’évaluation.
Les objectifs actuels d’évaluation TISAX sont les suivants :
| N° | Objectif d’évaluation ( Assessment objective) |
Abréviation |
|---|---|---|
1. |
|
Info high |
2. |
|
Info very high |
3. |
|
Proto parts |
4. |
|
Proto vehicles |
5. |
|
Test vehicles |
6. |
|
Events + Shootings |
7. |
|
Data |
8. |
|
Special data |
Exemple : si vous effectuez des tests de conduite sur la voie publique, alors l’objectif d’évaluation n° 7 « Traitement des véhicules de test » constitue l’un de vos objectifs d’évaluation.
Pour certaines des illustrations suivantes, nous utilisons une représentation sous forme de tableau des huit objectifs d’évaluation TISAX. De plus, nous fournissons une version raccourcie pour faciliter la représentation visuelle.
|
|
Informations présentant des besoins de protection importants |
|
|
Informations présentant des besoins de protection très importants |
|
|
Protection des pièces et composants de prototypes |
|
|
Protection des véhicules prototypes |
|
|
Traitement des véhicules de test |
|
|
Protection des prototypes durant les événements et les films ou les shootings photo |
|
|
Protection des données |
|
|
Protection des données pour des catégories spéciales de données à caractère personnel |
|
|
Remarque importante : Dans TISAX, « l’objectif d’évaluation » est généralement l’input du processus. Toutefois, certains partenaires sont susceptibles de vous demander de passer l’évaluation TISAX avec un certain « niveau d’évaluation » (AL). Pour de plus amples informations sur la relation entre les besoins de protection et les niveaux d’évaluation, veuillez consulter la Section 4.3.3.6, “Besoins de protection et niveaux d’évaluation”. |
4.3.3.2. Objectifs d’évaluation et ISA
Chaque objectif d’évaluation correspond à un catalogue de critères dans l’ISA.
Exemple : les deux objectifs d’évaluation « Information » associés à des besoins de protection importants ou très importants correspondent au catalogue de critères « Sécurité de l’information » de l’ISA. La feuille Excel est identique pour les deux objectifs d’évaluation. Vous pouvez distinguer les besoins de protection requis (importants, très importants) sur la base de la description de chaque exigence (sous le sous-titre correspondant « Exigences supplémentaires en cas de besoins de protection (très) importants : » ; voir la Section 5.2.2, “Compréhension du document ISA”.
Pour de plus amples informations générales sur les objectifs d’évaluation TISAX et leur lien avec les catalogues de critères ISA et les niveaux d’évaluation, veuillez consulter la Section 5.2.2, “Compréhension du document ISA”.
4.3.3.3. Objectifs d’évaluation et labels TISAX
Votre partenaire peut parler de « labels TISAX ». « Objectifs d’évaluation » et « labels TISAX » font à peu près référence à la même chose. La différence réside dans le fait que vous entamez le processus d’évaluation avec des « objectifs d’évaluation » et si vous réussissez l’évaluation, vous recevez les « labels TISAX » correspondants.
Exemple : votre partenaire vous demande d’obtenir le label TISAX « Informations présentant des besoins de protection importants ». Vous sélectionnez ensuite « Informations présentant des besoins de protection importants » comme votre objectif d’évaluation.
L’illustration ci-dessous représente l’input et l’output du processus TISAX :
|
|
Demande |
|
|
Partenaire |
|
|
Reçoit |
|
|
IN |
|
|
Objectif |
|
|
Processus TISAX |
|
|
OUT |
|
|
Label |
Pour de plus amples informations sur les labels TISAX, veuillez consulter la Section 5.4.13, “Labels TISAX”.
4.3.3.4. Objectifs d’évaluation et leurs dépendances
L’objectif d’évaluation « Informations présentant des besoins de protection importants » est l’objectif minimum pour une évaluation TISAX. Des objectifs d’évaluation supplémentaires sont facultatifs. Toutefois, en fonction des informations que vous traitez, il se peut que vous deviez ajouter d’autres objectifs d’évaluation. Vous trouverez plus bas de plus amples informations sur les objectifs d’évaluation dont vous pourriez avoir besoin.
Certains objectifs d’évaluation présentent des dépendances avec d’autres objectifs d’évaluation. L’objectif d’évaluation « Informations présentant des besoins de protection importants » ou « Informations présentant des besoins de protection très importants » est la base de tous les autres objectifs d’évaluation.
Exemple : si vous devez atteindre l’objectif d’évaluation « Protection des pièces et composants de prototypes », vous devez alors également atteindre automatiquement l’objectif d’évaluation « Informations présentant des besoins de protection importants ». Vous trouverez plus bas de plus amples informations sur les dépendances.
|
|
Objectifs |
|
|
Dépendances |
|
|
Ceci nécessite cela |
4.3.3.5. Sélection de l’objectif d’évaluation
Idéalement, votre partenaire vous indique précisément quels objectifs d’évaluation vous devez atteindre.
Vous devez sélectionner l’objectif d’évaluation sur la base de votre propre jugement si :
-
vous voulez passer l’évaluation TISAX avant qu’un partenaire vous le demande, ou
-
votre partenaire ne vous indique pas l’objectif d’évaluation à atteindre.
|
|
Remarque importante : À ce stade, nous vous recommandons vivement de vous intéresser à vos autres partenaires. Avez-vous actuellement d’autres partenaires qui ont des exigences identiques ou plus élevées ? Attendez-vous des futurs partenaires qu’ils aient des exigences plus élevées ? Peut-être envisagerez-vous de sélectionner des objectifs d’évaluation associés à des besoins de protection plus importants. Ainsi, vous éviterez les problèmes dans le cas où d’autres partenaires ont des exigences plus élevées. |
Si vous devez sélectionner un objectif d’évaluation sur la base de votre propre jugement, vous trouverez peut-être utile d’analyser les aspects suivants :
| N° | Objectif d’évaluation | Information |
|---|---|---|
1. |
Informations présentant des besoins de protection importants |
Vous pouvez trouver les besoins de protection (importants, très importants) dans la classification des documents établie par votre partenaire. |
2. |
Informations présentant des besoins de protection très importants |
|
3. |
Protection des pièces et composants de prototypes |
Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des composants ou des pièces fournis par les clients, classés comme devant être protégés. |
4. |
Protection des véhicules prototypes |
Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des véhicules fournis par les clients, classés comme devant être protégés. |
5. |
Traitement des véhicules de test |
Pour toutes les entreprises qui effectuent des tests et des essais routiers (p. ex. : essais routiers sur la voie publique ou sur des pistes de test) avec des véhicules fournis par les clients classés comme devant être protégés. |
6. |
Protection des prototypes durant les événements et les films ou les shootings photo |
Pour toutes les entreprises qui effectuent des présentations ou organisent des événements (p. ex. : études de marché, événements, événements marketing), réalisent des films et des shootings photo avec des véhicules, des composants ou des pièces fournis par les clients classés comme devant être protégés. |
7. |
Protection des données |
Si vous traitez des données à caractère personnel en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données ». |
8. |
Protection des données pour des catégories spéciales de données à caractère personnel |
Si vous traitez des catégories spéciales de données à caractère personnel (telles que des données de santé ou sur les croyances religieuses) en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données pour des catégories spéciales de données à caractère personnel ». |
Autres explications :
-
Si votre partenaire vous a fait part d’exigences précises, vous n’avez généralement pas à discuter de vos objectifs d’évaluation avec lui. Toutefois, si vous n’avez pas obtenu d’exigences précises de la part de votre partenaire, nous vous recommandons vivement de consulter ce dernier avant d’entamer le processus d’évaluation.
-
Pour chaque exigence, l’ISA décrit le cas échéant la différence de mise en œuvre entre les besoins de protection « importants » et « très importants ».
Pour de plus amples informations à ce sujet, veuillez consulter l’ Illustration 13, “Capture d’écran : principaux éléments des questions figurant dans les catalogues de critères ISA”.
4.3.3.6. Besoins de protection et niveaux d’évaluation
Votre partenaire détient divers types d’informations, dont certains méritent éventuellement un niveau de protection supérieur aux autres. L’ISA traite la problématique en différenciant trois « besoins de protection » ( Protection needs) : normal, important et très important. Votre partenaire classe ses informations et les lie généralement à des besoins de protection.
Les objectifs d’évaluation TISAX associent un catalogue de critères ISA à des besoins de protection « importants » ou « très importants ».
| N° | Catalogue de critères ISA | Besoins de protection | Objectif d’évaluation TISAX |
|---|---|---|---|
1. |
Sécurité de l’information |
importants |
|
2. |
Sécurité de l’information |
très importants |
|
3. |
Protection des prototypes |
importants |
|
4. |
Protection des prototypes |
importants |
|
5. |
Protection des prototypes |
importants |
|
6. |
Protection des prototypes |
importants |
|
7. |
Protection des données |
importants |
|
8. |
Protection des données |
très importants |
|
Plus le besoin de protection est important, plus votre partenaire souhaitera s’assurer qu’il peut en toute sécurité vous laisser traiter ses informations. Par conséquent, TISAX distingue trois niveaux d’évaluation (AL). Le niveau d’évaluation définit l’intensité de l’évaluation à mener par nos auditeurs TISAX et les méthodes d’audit à mettre en œuvre. En termes simples, cela signifie qu’un niveau plus élevé d’évaluation entraîne une plus grande intensité d’évaluation et le recours à des méthodes d’évaluation plus perfectionnées.
| N° | Objectif d’évaluation TISAX | Niveau d’évaluation (AL) |
|---|---|---|
1. |
|
AL 2 |
2. |
|
AL 3 |
3. |
|
AL 3 |
4. |
|
AL 3 |
5. |
|
AL 3 |
6. |
|
AL 3 |
7. |
|
AL 2 |
8. |
|
AL 3 |
Niveau d’évaluation 1 (AL 1) :
Les évaluations correspondant au niveau d’évaluation 1 visent principalement des objectifs internes au sens premier d’une auto-évaluation ( self-assessment).
Pour une évaluation correspondant au niveau d’évaluation 1, un auditeur vérifie l’existence d’une auto-évaluation déjà menée à bien. Il n’évalue pas le contenu de l’auto-évaluation. Il n’exige pas d’autres preuves.
Les résultats des évaluations correspondant au niveau d’évaluation 1 présentent un faible niveau de confiance, raison pour laquelle ils ne sont pas utilisés dans TISAX. Mais il est évidemment possible que votre partenaire demande ce genre d’auto-évaluation en dehors de TISAX.
Niveau d’évaluation 2 (AL 2) :
Pour une évaluation correspondant au niveau d’évaluation 2, l’auditeur effectue un test de plausibilité sur votre auto-évaluation (pour tous les sites appartenant au champ d’application de l’évaluation). Il confirme ce test en vérifiant les données probantes[11] et en menant des entretiens auprès de vous et d’autres collègues.
L’auditeur effectue généralement les entretiens par conférence audio. À votre demande, il peut mener des entrevues en personne.
Les évaluations correspondant au niveau d’évaluation 2 n’incluent généralement pas d’inspection sur site. Toutefois, les évaluations comprennent toujours une inspection sur site si vous avez sélectionné l’un des objectifs d’évaluation « prototype ».
Si vous ne souhaitez pas envoyer à l’auditeur certaines de vos données probantes, vous pouvez demander une inspection sur site. De cette manière, l’auditeur peut toujours vérifier vos données probantes « de manière ultra-confidentielle ».
Niveau d’évaluation 3 (AL 3) :
Pour une évaluation correspondant au niveau d’évaluation 3, l’auditeur effectue les mêmes vérifications que toutes celles prévues pour une évaluation de niveau 2. Toutefois, toutes les vérifications seront plus complètes, et l’auditeur analysera scrupuleusement le résultat de votre auto-évaluation lors d’une inspection approfondie sur site et d’entrevues en face à face.
Le tableau suivant fournit un aperçu simplifié des méthodes d’audit associées à chaque niveau d’évaluation :
| Méthode d’évaluation | Niveau d’évaluation 1 (AL 1) |
Niveau d’évaluation 2 (AL 2) |
Niveau d’évaluation 3 (AL 3) |
|---|---|---|---|
Auto-évaluation |
Oui |
Oui |
Oui |
Données probantes |
Non |
Test de plausibilité |
Vérification approfondie |
Entretiens |
Non |
Par conférence audio[12] |
En personne, sur site |
Inspection sur site |
Non |
À votre demande |
Oui |
Informations supplémentaires :
-
Classification des informations et besoins de protection
La correspondance entre classification des informations (par exemple « confidentielles » ou « secrètes ») et besoins de protection peut différer d’un partenaire à l’autre. Par conséquent, nous ne sommes pas en mesure de vous fournir un tableau simple illustrant la correspondance exacte entre la classification des informations de votre partenaire et un besoin de protection. -
Il ne suffit pas de connaître un niveau d’évaluation.
Certains partenaires sont susceptibles de vous demander de passer l’évaluation TISAX avec un certain niveau d’évaluation. Notez qu’il ne suffit pas de connaître le niveau d’évaluation pour entamer le processus TISAX. Un niveau d’évaluation n’a de sens qu’en combinaison avec un catalogue de critères ISA et un besoin de protection correspondant. Habituellement, les partenaires vous demandent d’obtenir un label TISAX (catalogue de critères plus besoin de protection). Toutefois, comme les besoins de protection correspondent directement aux niveaux d’évaluation, il vous suffit de connaître le(s) catalogue(s) de critères et le niveau d’évaluation. -
Hiérarchie des niveaux d’évaluation
Des niveaux d’évaluation plus élevés incluent toujours les niveaux d’évaluation inférieurs. Par exemple, si votre évaluation est basée sur un niveau d’évaluation 3, elle satisfera automatiquement toutes les demandes de niveau d’évaluation 2. -
Notre recommandation concernant les niveaux d’évaluation
Si vous devez sélectionner un objectif d’évaluation (et ainsi implicitement un niveau d’évaluation correspondant) sur la base de votre propre jugement, nous vous recommandons de sélectionner des objectifs d’évaluation qui impliquent un niveau d’évaluation 3. Le travail à fournir pour les évaluations TISAX de niveau d’évaluation 3 n’est généralement pas plus important que celui nécessaire à un niveau d’évaluation 2.
Les fournisseurs qui ont plusieurs partenaires sélectionnent souvent des objectifs d’évaluation impliquant un niveau d’évaluation 3. De cette façon, ils sont prêts pour toutes les demandes futures et ne doivent pas se préoccuper des différents niveaux d’évaluation. -
Autres considérations d’ordre commercial
Concernant les niveaux d’évaluation, le coût total d’une évaluation TISAX correspond à la somme de votre travail en interne et du coût de l’évaluation. Si le coût d’une évaluation de niveau 2 est inférieur, il se peut que le travail à fournir en interne soit plus important. Cela s’explique par le fait qu’une évaluation de niveau 2 nécessite habituellement une auto-évaluation plus complète et une meilleure documentation interne. Pour des évaluations correspondant au niveau d’évaluation 3, l’auditeur considérera souvent qu’il dispose de données probantes suffisantes si vous lui montrez les choses en vous appuyant sur quelques documents de base. Mais sans inspection sur site, l’auditeur sollicitera des documents précis. Par conséquent, il n’est pas inhabituel de privilégier le niveau d’évaluation 3 par rapport au niveau 2. Toutefois, ce choix est celui posé par des entreprises de plus petite taille plutôt que par des grandes.
4.3.3.7. Les objectifs d’évaluation et vos propres fournisseurs
TISAX ne demande pas nécessairement de soumettre l’ensemble de vos propres fournisseurs aux mêmes exigences. Si votre objectif d’évaluation est « Sécurité des informations présentant des besoins de protection très importants », cela NE signifie PAS automatiquement que vos propres fournisseurs doivent atteindre le même objectif d’évaluation. Cela ne signifie pas non plus qu’ils doivent obtenir des labels TISAX.
Mais vous êtes toujours tenu de vérifier pour l’ensemble de vos fournisseurs si l’utilisation de leurs services augmente les risques ou en crée de nouveaux.
Deux exemples extrêmement simplifiés :
-
L’un de vos réglements prévoit qu’un e-mail ordinaire ne peut être utilisé pour des données associées à des besoins de protection très importants. Par conséquent, votre fournisseur d’e-mails n’a pas besoin d’obtenir le label TISAX pour des besoins de protection très importants.
Vous pourriez en venir à une conclusion comparable si vous n’envoyez que des e-mails cryptés et que le fournisseur d’e-mails ne peut voir aucune des données présentant des besoins de protection très importants. -
Vous éliminez à la déchiqueteuse les documents imprimés associés à des besoins de protection très importants. Dans ce cas, bien entendu, le service d’élimination des déchets ne doit pas répondre aux mêmes exigences que vous.
Toutefois, l’évaluation du risque peut montrer que votre fournisseur est tenu lui aussi de répondre aux exigences correspondant à des besoins de protection très importants. Dans ce cas, des labels TISAX constituent une manière de vous apporter la preuve requise.
4.3.4. Honoraires
Nous percevons des honoraires. Notre liste de prix vous informe des honoraires applicables, des ristournes possibles et de nos modalités de paiement.
Vous pouvez télécharger la liste de prix sur notre site Web à l’adresse :
enx.com/en-US/TISAX/downloads/
Téléchargement direct du PDF :
enx.com/tisaxgtcen.pdf
Certains aspects liés à la facture doivent être pris en compte durant votre préparation à l’inscription :
-
Sélection de l’adresse de facturation
Par défaut, nous enverrons la facture à l’adresse de participant que vous avez fournie. Mais vous avez la possibilité de nous communiquer une adresse différente pour la facture.
Veuillez vérifier scrupuleusement l’adresse de facturation. Les lois comptables exigent que l’adresse sur la facture corresponde exactement à l’adresse (de facturation) de votre entreprise. -
Modification de l’adresse de facturation
Contrairement à toutes les autres informations que vous fournissez, nous ne pouvons pas modifier l’adresse de facturation une fois que vous l’avez sélectionnée durant le processus. Veuillez nous contacter si vous devez recevoir la facture à une autre adresse.
Remarque : si vous interrompez puis reprenez le processus d’inscription avant d’avoir sélectionné une adresse de facturation, vous ne serez pas en mesure de le faire ultérieurement. Nous identifierons les adresses de facturation manquantes, vous contacterons afin d’obtenir ces informations et les ajouterons pour vous. -
Référence de la commande
Si vous avez besoin de voir un numéro de commande spécifique ou une information similaire sur votre facture, vous pouvez nous fournir une référence de commande. -
Numéro de TVA
Tous nos honoraires sont soumis à la taxe allemande sur la valeur ajoutée (TVA) si elle s’applique.
Nous avons besoin de ce numéro pour procéder aux paiements en provenance de l’UE. Il est obligatoire de fournir un numéro de TVA si votre adresse de facturation figure dans l’un des pays suivants :
Allemagne, Autriche, Belgique, Bulgarie, Chypre (partie grecque), Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Royaume-Uni, Slovaquie, Slovénie, Suède -
Gestion des fournisseurs
Remarque importante :
Notez qu’en raison de la mutualité entre tous les participants TISAX, nous ne pouvons accepter de conditions supplémentaires (telles que des conditions générales d’achat ou des codes de conduite).
Informations supplémentaires concernant notre processus de facturation :
-
Nous ne pouvons accepter de conditions d’achat individuelles.
-
Nous acceptons :
-
les transferts d’argent sur le compte bancaire spécifié sur la facture
-
les paiements par carte de crédit (durant le processus d’inscription, via le lien vers notre fournisseur de services de paiement « Stripe »)
-
-
Notre facture contiendra les références suivantes de votre inscription :
-
Le nom et l’adresse e-mail de votre principal contact de participant
-
Le nom du champ d’application de l’évaluation
Vous trouverez un exemple de facture en annexe à la Section 7.1, “Annexe : exemple de facture”.
-
-
Nous indiquons directement sur la facture la plupart des données dont vous avez besoin pour son traitement. Ces données et d’autres encore sont disponibles dans notre document « Information for Members and Business Partners ». Envoyez-nous un e-mail et nous vous ferons parvenir une version actuelle.
|
|
Remarque : Nous sommes conscients que dans une entreprise, le processus d’approbation interne des paiements prend parfois du temps. Par conséquent, vous pouvez procéder à la prochaine étape du processus TISAX avant même que nous ayons reçu le paiement. Mais gardez à l’esprit qu’il vous sera impossible de partager le résultat de votre évaluation si nous n’avons pas reçu votre paiement. |
|
|
Remarque importante : Nous — ENX Association — facturons des honoraires. Il ne s’agit que d’une partie du coût total d’une évaluation TISAX. Votre auditeur TISAX facture les coût de la/des évaluation(s). Pour de plus amples informations sur les coûts liés à l’auditeur, vous pouvez consulter la Section 5.3.4, “Évaluation des offres”. |
|
|
Remarque importante : Les honoraires sont dus, indépendamment du fait que vous :
Par conséquent, la facture peut arriver avant que vous ayez entamé l’évaluation initiale. |
4.4. Portail ENX
La prochaine section décrira le processus d’inscription en ligne au cours duquel vous saisissez l’ensemble des données que vous avez collectées comme recommandé dans la section précédente. Avant d’entamer le processus d’inscription en ligne, permettez-nous d’expliquer brièvement l’objectif et les avantages du portail ENX.
Le portail ENX nous permet de maintenir une base de données de tous les participants TISAX, et il joue un rôle important tout au long du processus TISAX. Durant le processus d’inscription TISAX, vous saisissez des données que les auditeurs TISAX pourront ensuite utiliser (si vous y consentez) pour calculer leurs offres et pour planifier les procédures d’évaluation. Une fois que vous passerez le processus d’évaluation TISAX, vous utiliserez la plateforme d’échange sur le portail ENX pour partager le résultat de votre évaluation avec votre partenaire.
Le portail porte le nom de « portail ENX » et non « portail TISAX », car nous l’utilisons aussi pour gérer d’autres activités commerciales (comme le réseau ENX).
4.5. Processus d’inscription en ligne
Si vous vous êtes préparé conformément à nos recommandations ci-dessus (Section 4.3, “Préparation de l’inscription”), vous êtes prêt à démarrer le processus d’inscription en ligne.
4.5.1. Temps nécessaire
Le temps dont vous aurez besoin dépend fortement du nombre de champs d’application et de sites que vous enregistrez. Pour une inscription en tant que participant avec un seul champ d’application et un seul site, le temps nécessaire à l’inscription sera d’au moins 20 minutes.
Nous vous recommandons de compléter l’inscription lors d’une seule session, car actuellement, il reste difficile de rattraper certaines étapes ultérieurement. Si vous avez quand même besoin de vous interrompre, nous vous contacterons pour vous demander toute donnée manquante.
4.5.2. Démarrez ici
Veuillez entamer votre inscription sur notre site Web à l’adresse :
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
En fait, il vous suffit de suivre les instructions à l’écran. Néanmoins, nous décrivons brièvement le processus ci-dessous.
4.5.3. Compte sur le portail
Votre première étape consiste à créer un compte pour vous-même sur le portail TISAX. C’est une tâche purement administrative. Vous avez besoin d’un compte sur le portail pour pouvoir gérer les « données de participant » de votre entreprise.
En créant ce compte, vous ne devenez pas automatiquement un contact officiel TISAX au sein de votre entreprise[13]. Pour le moment, vous remplissez simplement nos formulaires en ligne. Vous pouvez définir le « contact de participant » et le contact de champ d’application » ultérieurement au cours du processus d’inscription en ligne et attribuer ces rôles à d’autres.
|
|
Remarque : Si le portail ENX indique que votre adresse e-mail est déjà utilisée, veuillez nous contacter. Ce message peut indiquer que pour une quelconque autre raison, vous figurez déjà dans notre système. |
|
|
Remarque : Comme nous l’avons décrit, les comptes sur le portail ne sont pas nécessairement des « contacts de participant » ou des « contacts de champ d’application » (cf. ci-dessous) avec un rôle actif dans le processus d’évaluation. À l’inverse, un « contact de participant » ou un « contact de champ d’application » n’inclut pas automatiquement les mêmes droits concernant la gestion des données de participant qu’un compte sur le portail. Cela signifie que des collègues désignés « contact de participant » ou « contact de champ d’application » ne peuvent automatiquement accéder aux données de participant sur le portail ENX. Si vous souhaitez attribuer le droit de gérer les données de participant à un contact que vous avez déjà créé sur le portail ENX (indépendamment du fait que vous lui ayez attribué un rôle), veuillez nous contacter. Nous enverrons un e-mail d’invitation au contact. L’e-mail contient un lien qui entraînera la création d’un compte sur le portail pour le contact. Veuillez vous assurer d’avoir déjà créé le nouveau contact avant de nous demander d’attribuer ce droit. |
4.5.4. Inscription du participant
Votre deuxième étape consiste à inscrire votre entreprise en tant que participant TISAX. Le « participant TISAX » est l’entreprise qui échange des résultats d’évaluation avec d’autres participants.
4.5.5. Contact de participant
Nous vous demandons de spécifier le principal contact de participant.
Il s’agit de la personne qui est généralement en charge de toutes les questions relatives à l’évaluation de sécurité de l’information dans votre entreprise. Il peut s’agir de vous et de quelqu’un d’autre au sein de votre entreprise.
Le principal contact de participant est généralement tout ce dont nous avons besoin. Si vous préférez que toutes les communications envoyées par nos soins et par nos auditeurs TISAX dans le cadre de cette inscription le soient aussi à d’autres personnes, veuillez ajouter des contacts de participant supplémentaires.
|
|
Remarque importante : |
|
|
Remarque : Vous pouvez toujours ajouter ou retirer des contacts ultérieurement (même après avoir complété le processus d’inscription en ligne et même une fois que vous avez terminé les évaluations). |
|
|
Remarque : Vous ne pouvez pas utiliser des adresses électroniques de groupe pour les contacts de participant (comme « info@acme.com » ou « IT@acme.com »). Cette règle est conforme aux exigences de l’ISA concernant l’authentification des utilisateurs. |
|
|
Remarque : Vous pouvez décider pour chaque contact si celui-ci doit avoir accès aux données de participant de votre entreprise. Soit :
|
4.5.6. Conditions générales
Votre troisième étape consiste à accepter les « Conditions générales de participation TISAX ».
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.1, “Le fondement juridique”.
4.5.7. Enregistrement du champ d’application de l’évaluation
Votre quatrième étape consiste à enregistrer le champ d’application pour votre évaluation de sécurité de l’information.
Nous vous demandons de :
-
donner un nom au champ d’application de l’évaluation.
Nous utiliserons le « nom du champ d’application » pour faire référence à ce dernier dans toute communication ultérieure. -
choisir un type de champ d’application pour l’évaluation.
(standard, adapté)
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2, “Le champ d’application de l’évaluation TISAX”. -
spécifier le principal contact du champ d’application.
Il s’agit de la personne qui est généralement en charge de l’évaluation d’un champ d’application particulier. Il peut s’agir de vous et de quelqu’un d’autre au sein de votre entreprise.
Le principal contact du champ d’application est généralement tout ce dont nous avons besoin. Si vous préférez que toutes les communications envoyées par nos soins et par nos auditeurs TISAX dans le contexte de ce champ d’application particulier le soient aussi à d’autres personnes, vous pouvez ajouter des contacts de participant supplémentaires. -
sélectionner votre/vos objectif(s) d’évaluation.
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.3, “Objectifs d’évaluation”. -
ajouter un/plusieurs site(s) de champ d’application.
Nous vous demandons de spécifier tous les sites qui font partie du champ d’application de l’évaluation.
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2, “Le champ d’application de l’évaluation TISAX”. -
sélectionner les niveaux de publication et de partage (facultatif).
Vous pouvez déjà décider de publier le résultat de votre évaluation pour d’autres participants TISAX et de le partager avec votre/vos partenaire(s). En principe, vous devriez nous autoriser au moins à indiquer que votre entreprise est un participant et que vous avez réussi le processus TISAX.
Vous pouvez sans problème ignorer cette étape durant votre inscription initiale. Il vous est toujours possible de définir ultérieurement l’accès au résultat de votre évaluation.
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2.8, “Publication et partage”.Remarque importante :
Vous ne pouvez pas annuler les autorisations de publication ou de partage.
Pour plus de détails, veuillez consulter la Section 6.4, “Permanence des résultats échangés”. -
spécifier qui reçoit la facture.
Nous vous demandons de spécifier qui recevra notre/nos facture(s).
Vous devriez vous rapporter aux notes explicatives à la Section 4.3.4, “Honoraires”.
|
|
Remarque : Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation a le statut « Incomplet », « En attente de votre commande » ou « En attente d’approbation ENX ». Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.1, “Aperçu : Assessment scope status ( |
|
|
Remarque : Pour les grandes entreprises multi-sites, TISAX offre une évaluation de groupe simplifiée. Vous pouvez envisager cette option si : Une évaluation de groupe simplifiée requiert un travail initial plus important. Toutefois, plus vous avez de sites, plus ces efforts seront payants. Pour de plus amples informations sur « l’évaluation de groupe simplifiée », veuillez consulter le document « TISAX Simplified Group Assessment ». Vous pouvez télécharger « TISAX Simplified Group Assessment » sur notre site Web à l’adresse : Téléchargement direct du PDF : |
|
|
Remarque : Une fois que vous avez enregistré le champ d’application de votre évaluation, vous ne pourrez pas le modifier vous-même. Si vous êtes en mesure de nous garantir de manière crédible que vous n’avez PAS encore envoyé votre « extrait de champ d’application TISAX » à nos auditeurs, veuillez nous contacter. Nous pouvons le modifier pour vous. Si vous avez déjà envoyé votre « extrait de champ d’application TISAX » à (l’un de) nos auditeurs, vous créez simplement le(s) nouveau(x) site(s) sur le portail ENX (le cas échéant) et discutez de tout changement avec votre auditeur. Votre auditeur mènera l’évaluation sur la base des changements. Avec le résultat de l’évaluation, votre auditeur nous informera ensuite des changements nécessaires à apporter au champ d’application de l’évaluation. |
|
|
Remarque : Une fois que vous avez créé un nouveau site, vous ne pouvez plus le modifier. Pour des changements mineurs (modification du nom de l’entreprise, coquilles dans le nom de la rue, le code postal, la ville, etc.), veuillez nous contacter. Nous effectuerons les changements pour vous. |
|
|
Remarque : Vous ne pouvez pas supprimer un champ d’application d’évaluation sur le portail TISAX. Si vous avez créé un champ d’application d’évaluation par erreur, veuillez nous contacter. Nous effectuerons la suppression pour vous. |
4.5.8. E-mail de confirmation
Une fois que vous aurez accompli toutes les étapes obligatoires ci-dessus, nous examinerons votre demande. Nous vous enverrons alors un e-mail de confirmation.
Cet e-mail comporte deux éléments importants :
-
Une liste de contacts de tous les auditeurs TISAX
Vous devez choisir l’un de nos auditeurs TISAX pour mener une évaluation portant sur votre champ d’application. Vous pouvez utiliser les contacts pour solliciter des offres.
Pour de plus amples informations sur la sélection des auditeurs, veuillez consulter la Section 5.3, “Sélection de l’auditeur”. -
« L’extrait du champ d’application TISAX » en tant que fichier PDF joint
Il contient :
-
Les informations que nous avons sauvegardées dans notre base de données
-
Votre ID de participant
Veuillez consulter la Section 4.5.8.1, “Participant ID ( ID de participant)” ci-dessous. -
Votre/vos ID de participant
Veuillez consulter la Section 4.5.8.2, “Scope ID ( ID de champ d’application)” ci-dessous.
-
Pour un exemple d’e-mail de confirmation, veuillez consulter la Section 7.2, “Annexe : exemple d’e-mail de confirmation”.
Pour un exemple d’« extrait de champ d’application TISAX », veuillez consulter la Section 7.3, “Annexe : exemple d’extrait de champ d’application TISAX”.
En principe, vous recevrez notre e-mail de confirmation dans les 3 jours ouvrables.
Si vous n’avez pas de nos nouvelles dans les 7 jours ouvrables, veuillez vérifier que vous avez fourni toutes les informations. Nous ne commencerons à traiter votre inscription que lorsque tout sera complet. Si vous pensez que tout est complet, mais que nous ne vous avons pas contacté, veuillez prendre contact avec nous..
Nous envoyons notre e-mail de confirmation au principal contact de participant et à tous les contacts de participant supplémentaires.
|
|
Remarque : Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation a le statut « approuvé ». Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” ( |
Les deux prochaines sous-sections fournissent des informations détaillées sur l’objectif de votre ID de participant et de l’ID de champ d’application.
4.5.8.1. Participant ID ( ID de participant)
L’ID de participant :
-
identifie un participant TISAX.
-
est unique pour chaque participant.
-
est attribué par nos soins au moment de compléter l’inscription.
-
est une condition préalable à la commande d’une évaluation de sécurité de l’information menée par l’un de nos auditeurs TISAX.
-
a le format suivant :
Illustration 9. Format de l’ID de participant[16]
|
|
Préfixe « P » (pour « Participant ») de l’ID de participant |
|
|
Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques : |
|
|
Remarque : Il existe deux façons de trouver votre ID de participant :
|
4.5.8.2. Scope ID ( ID de champ d’application)
Votre ID de champ d’application :
-
identifie un champ d’application d’évaluation.
-
est unique pour chaque champ d’application d’évaluation.
-
est attribué par nos soins au moment de compléter l’inscription.
-
constitue une condition préalable pour être autorisé à commander une évaluation de sécurité de l’information menée par l’un de nos auditeurs TISAX.
-
a le format suivant :
Illustration 10. Format de l’ID de champ d’application
|
|
Préfixe « S » (pour « Scope ») de l’ID de champ d’application |
|
|
Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques : |
|
|
Remarque : Il existe deux façons de trouver votre ID de champ d’application :
|
|
|
Remarque : Chaque champ d’application d’évaluation (identifié par son ID) a un cycle de vie. Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5, “Annexe : Assessment scope status ( |
4.5.9. Informations de statut
À ce stade, il existe deux statuts importants que nous utilisons pour décrire votre position dans le processus TISAX :
-
Statut du participant
-
Statut du champ d’application de l’évaluation
Le diagramme suivant illustre les conditions à remplir pour atteindre un certain statut :
|
|
Vos actions |
|
|
Nos actions |
|
|
Inscription |
|
|
Participant : |
|
|
Champ d’application de l’évaluation : |
|
|
Non |
|
|
Oui |
|
|
Complet ? |
|
|
Complet ? |
|
Non |
|
Oui |
|
Vérifier + approuver (e-mail de confirmation) |
|
Facture |
|
[ ] Paiement |
|
Payé ? |
|
ID de participant |
|
ID de champ d’application |
|
Statut du participant : |
|
Statut du champ d’application de l’évaluation |
|
1. Incomplet |
|
2. En attente d’approbation |
|
3. Préliminaire |
|
Inscrit |
|
Expiré |
|
1. Incomplet |
|
2. En attente de votre commande |
|
3. En attente d’approbation ENX |
|
4. En attente de votre paiement |
|
5. Inscrit |
|
6. Actif |
|
7. Expiré |
Vous trouverez en annexe les définitions des statuts et les étapes à réaliser pour accéder au prochain statut.
Pour de plus amples informations sur :
-
le statut du participant, veuillez consulter la Section 7.4, “Annexe : Participant status (
Statut du participant)”. -
le statut du champ d’application de l’évaluation, veuillez consulter la Section 7.5, “Annexe : Assessment scope status (
Statut du champ d’application de l’évaluation)”.
4.5.10. Modifications de vos informations d’inscription
|
|
Remarque : Pour toutes les réponses concernant le cycle de vie des données, veuillez consulter la Section 7.8, “Annexe : gestion du cycle de vie des données du participant”. Elle contient des instructions pour les cas où vous souhaitez modifier ou mettre à jour des données telles que le nom de l’entreprise ou vos coordonnées. |
Félicitations, vous êtes désormais inscrit en tant que participant TISAX. Vous êtes prêt à passer à l’étape suivante du processus TISAX.
5. Évaluation (étape 2)
Le temps de lecture estimé de la section consacrée à l’évaluation est de 30 - 35 minutes.
5.1. Aperçu
L’évaluation TISAX est votre deuxième étape. C’est à ce stade que l’essentiel du travail doit être réalisé pour mener à bien l’évaluation TISAX.
Les sections suivantes vous guideront tout au long du processus d’évaluation :
-
Dans un premier temps, nous vous expliquerons comment vous pouvez utiliser l’auto-évaluation ISA pour déterminer si vous êtes prêt à passer une évaluation TISAX.
-
Ensuite, nous vous guiderons dans le choix de l’un de nos auditeurs TISAX.
-
Nous décrirons alors votre cheminement tout au long du processus d’évaluation.
-
Enfin, nous vous expliquerons la « conclusion du processus » : le résultat de votre évaluation et les labels TISAX qui y sont associés.
5.2. Auto-évaluation basée sur l’ISA
Pour être prêt à passer une évaluation TISAX, vous devez d’abord vous assurer que votre système de gestion de la sécurité de l’information (ISMS) fonctionne de façon irréprochable. Pour vérifier que votre ISMS correspond au niveau de maturité attendu, vous devez effectuer une auto-évaluation basée sur l’ISA.
L’« évaluation de sécurité de l’information » (ISA) est un catalogue de critères publié par l’« Association allemande de l’industrie automobile » (Verband der Automobilindustrie e.V. – VDA). Il s’agit de la norme utilisée dans l’industrie automobile pour procéder aux évaluations de sécurité de l’information.
Les sections suivantes fournissent des instructions pratiques pour effectuer une auto-évaluation basée sur l’ISA.
Les explications, exemples et captures d’écran dans le présent manuel se fondent sur la « Version 5.0.3 » du document ISA.
|
|
Remarque : Vous trouverez des informations sur les modifications effectuées par rapport aux versions précédentes de l’ISA dans la feuille Excel « Historique des changements ». |
|
|
Remarque : Pour de plus amples informations sur la version de l’ISA applicable à votre évaluation lorsque la VDA publie une nouvelle version, veuillez consulter la Section 7.9, “Annexe : gestion du cycle de vie ISA”. |
5.2.1. Téléchargement du document ISA
Débutez votre auto-évaluation en téléchargeant le document ISA.
Vous pouvez le télécharger depuis le site Web de la VDA :
portal.enx.com/isa5-en.xlsx
L’ISA est également disponible en allemand :
portal.enx.com/isa5-de.xlsx
5.2.2. Compréhension du document ISA
Avant de débuter votre auto-évaluation, voici quelques explications qui pourraient vous être utiles. Elles vous sont données en complément aux explications officielles et aux définitions exposées dans le document ISA, et se concentrent surtout sur une utilisation dans le cadre des évaluations TISAX.
5.2.2.1. Catalogues de critères
L’ISA a actuellement trois « catalogues de critères »[17] :
|
|
|
|---|---|---|
1. |
Sécurité de l’information |
Information Security |
2. |
Protection des prototypes |
Prototype Protection |
3. |
Protection des données |
Data Protection |
Chaque catalogue de critères a sa propre feuille Excel :
Le catalogue de critères « Sécurité de l’information » est l’élément central de l’ISA. Les questions dans ce catalogue de critères sont obligatoires pour toutes les évaluations TISAX.
Les autres catalogues de critères sont facultatifs. Leur application dépend de votre/vos objectif(s) d’évaluation.
Les objectifs d’évaluation susmentionnés correspondent à ces catalogues de critères :
| N° | Objectif d’évaluation ( Assessment objective) |
Catalogue de critères ISA |
|---|---|---|
1. |
|
Information Security ( |
2. |
|
Information Security ( |
3. |
|
Prototype Protection ( |
4. |
|
Prototype Protection ( |
5. |
|
Prototype Protection ( |
6. |
|
Prototype Protection ( |
7. |
|
Data Protection ( |
8. |
|
Data Protection ( |
Exemple : si vous avez sélectionné l’objectif d’évaluation « Protection des données », vous devrez répondre aux questions dans les catalogues de critères « Sécurité de l’information » ET « Protection des données ».
Vous aurez peut-être remarqué qu’il existe plus d’un objectif d’évaluation par catalogue de critères. Comment savoir quelles exigences sont applicables à quel objectif d’évaluation ?
Le tableau suivant vous indique quelles exigences sont applicables :
| N° | Objectif d’évaluation ( Assessment objective) |
Exigences applicables |
|---|---|---|
1. |
|
|
2. |
|
|
3. |
|
|
4. |
|
|
5. |
|
|
6. |
|
|
7. |
|
|
8. |
|
|
La capture d’écran ci-dessous illustre les principaux éléments des questions figurant dans chaque catalogue de critères. Tous les éléments sont expliqués plus bas.
|
|
Niveau de maturité |
|
|
Chapitre |
|
|
Question de contrôle |
|
|
Exigences |
|
|
Objectif |
|
|
Tous les besoins de protection |
|
|
Besoins de protection importants |
|
|
Besoins de protection très importants |
5.2.2.2. Chapitres
Chaque catalogue de critères groupe les questions en chapitres.
Exemple : « 4 Identité et gestion des accès »
Le groupement est effectué selon les différents aspects des systèmes de gestion de la sécurité de l’information.
5.2.2.3. Questions de contrôle
Vous trouverez les questions relatives à chaque catalogue de critères dans les feuilles Excel correspondantes.
Exemple : « 4.1.2 Dans quelle mesure l’accès utilisateur aux services en réseau, aux systèmes et applications informatiques est-il sécurisé ? »
Les questions de contrôle sont également désignées « contrôles ». Elles sont comparables à des questions d’audit. Les normes ISO sur lesquelles s’appuie l’ISA utilisent le terme de « contrôle ».
5.2.2.4. Champs du formulaire d’auto-évaluation
Entre les colonnes “Maturity level” ( Niveau de maturité) et “Control question” ( Question de contrôle) se trouvent les champs du formulaire que vous devez remplir lorsque vous effectuez une auto-évaluation :
| Champ du formulaire | Objectif | Obligatoire ? |
|---|---|---|
Implementation description ( |
Vous devez ici décrire brièvement ce que vous avez mis en œuvre pour traiter cette question de contrôle dans votre entreprise. |
Oui |
Reference Documentation ( |
Vous devez ici spécifier dans quel(s) document(s) vous attestez de la mise en œuvre. |
Oui |
Findings/Result ( |
Vous pouvez ici prendre note de toutes les constatations pour lesquelles, selon vous, il existe un écart entre la situation telle qu’elle est et telle qu’elle devrait être. |
Non |
Seules la brève description de votre mise en œuvre et la référence à votre documentation sont obligatoires. Cette information aidera nos auditeurs TISAX à mieux comprendre votre entreprise et à préparer l’évaluation.
Il existe d’autres colonnes facultatives utiles à votre auto-évaluation :
-
Measures/recommendations (
Mesures/recommandations) (colonne R) -
Date of assessment (
Date d’évaluation) (colonne S) -
Date of completion (
Date d’achèvement) (colonne T) -
Responsible department (
Département responsable) (colonne U) -
Contact (
Contact) (colonne V)
|
|
Remarque importante : Si vous ouvrez le fichier Excel téléchargé et sélectionnez l’une des feuilles de travail du catalogue de critères (p. ex. : Sécurité de l’information), il se peut que vous ne voyiez pas immédiatement les champs du formulaire d’auto-évaluation. Pour les afficher, vous devez cliquer sur le bouton de groupement de niveau « 2 »[18]. Le bouton se trouve en haut à gauche de la cellule C1. Vous agrandirez ainsi la zone de visualisation et afficherez les champs du formulaire d’auto-évaluation. 
Vous pouvez aussi utiliser les touches fléchées de défilement vers le bas. En raison de la taille importante des cellules, il se peut que le défilement à l’aide de la barre nécessite une excellente motricité fine. Si vous utilisez la fonction de défilement de votre dispositif de pointage, vous risquez aussi de sauter par mégarde certaines des cellules de grande taille. |
5.2.2.5. Objectif
La colonne « Objectif » (colonne J) se trouve à droite de la colonne « Question de contrôle ». Son contenu décrit ce que vous devez effectuer concernant cet aspect de votre gestion de la sécurité de l’information.
Exemple (pour la question de contrôle 4.1.2) : « Seuls des utilisateurs identifiés de manière fiable (authentifiés) peuvent accéder aux systèmes informatiques. Dans cette optique, l’identité d’un utilisateur est déterminée en toute fiabilité par l’intermédiaire de procédures adéquates. »
5.2.2.6. Exigences
Les exigences désignent les conditions que vous devez remplir pour atteindre l’objectif.
Les exigences sont réparties sur quatre colonnes :
-
Requirements (must) (
Exigences (obligatoires)) (colonne K) -
Requirements (should) (
Exigences (recommandées)) (colonne L) -
Additional requirements for high protection needs (
Exigences supplémentaires pour des besoins de protection importants) (colonne M) -
Additional requirements for very high protection needs (
Exigences supplémentaires pour des besoins de protection très importants) (colonne N)
Vous devez répondre à toutes les exigences correspondant au besoin de protection à satisfaire (que vous pouvez trouver dans votre objectif d’évaluation).
Pour de plus amples informations sur les définitions ISA des niveaux d’exigence « obligatoire » et « recommandée », veuillez consulter les « termes clés » dans la feuille Excel « Définitions ».
|
|
Remarque importante : Soyez conscient que même si vous répondez à l’ensemble des exigences, l’auditeur NE confirmera PAS nécessairement que vous avez atteint l’objectif. Les exigences et leur formulation sont basées sur une mise en œuvre théorique par une entreprise moyenne et fictive de taille inconnue. L’auditeur doit toujours comparer l’objectif à la mise en œuvre particulière dans votre entreprise. Ce qui est approprié pour une entreprise moyenne ne l’est pas forcément dans votre situation. En cas de doute, adressez-vous à nos auditeurs TISAX. Pour de plus amples informations, veuillez consulter la Section 5.2.5, “Traitement du résultat d’auto-évaluation”. |
5.2.2.7. Niveaux de maturité
L’ISA utilise le concept de “maturity levels” ( niveaux de maturité) pour évaluer la qualité de tous les aspects de votre système de gestion de la sécurité de l’information. Plus votre système est sophistiqué, plus votre niveau de maturité sera élevé.
L’ISA distingue six niveaux de maturité. Vous trouverez la définition détaillée dans la feuille Excel “Maturity levels” ( Niveaux de maturité). Pour assurer une vision consolidée des niveaux de maturité, nous reprenons les descriptions informelles fournies dans l’ISA :
| Maturity level ( Niveau de maturité) |
En un mot | Description |
|---|---|---|
0 |
Incomplete ( |
Un processus n’est pas disponible, pas suivi ou pas adapté à la réalisation de l’objectif |
1 |
Performed ( |
Un processus non documenté ou documenté de façon incomplète est suivi, et des indicateurs attestent qu’il atteint son objectif. |
2 |
Managed ( |
Un processus atteignant ses objectifs est suivi. La documentation du processus et des preuves de sa mise en œuvre sont disponibles. |
3 |
Established ( |
Un processus standard intégré dans un système global est suivi. Des dépendances à d’autres processus sont documentées et des interfaces adéquates sont créées. Il existe des preuves que le processus a été utilisé de manière durable et active sur une période prolongée. |
4 |
Predictable ( |
Un processus établi est suivi. L’efficacité du processus est surveillée en permanence grâce à la collecte de données clés. Des valeurs limites sont définies auxquelles le processus est considéré comme insuffisamment efficace et nécessitant des ajustements. (Indicateurs clés de performance) |
5 |
Optimizing ( |
Un processus prévisible est suivi, dont l’un des objectifs majeurs est l’amélioration continue. L’amélioration est promue de manière active par des ressources dédiées. |
Vous devez évaluer le niveau de maturité de votre système de gestion de la sécurité de l’information par question. Saisissez votre niveau de maturité dans la colonne “Maturity level” ( Niveau de maturité) (colonne E).
|
|
Votre niveau de maturité |
Pour de plus amples informations sur les niveaux de maturité cibles et leur impact sur le résultat de votre évaluation, veuillez consulter la Section 5.2.4, “Interprétation du résultat d’auto-évaluation”.
Maintenant que vous avez une meilleure compréhension des choses, vous pouvez commencer votre auto-évaluation.
5.2.3. Réalisation de l’auto-évaluation
Ouvrez le fichier Excel, passez en revue toutes les questions de contrôle de chaque catalogue de critères applicable à votre/vos objectif(s) d’évaluation et déterminez le niveau de maturité qui correspond à l’état actuel de votre système de gestion de la sécurité de l’information. Faites-le sur la base de votre meilleur jugement. À ce stade, il n’y a pas de bon ou de mauvais jugement.
Une fois que vous avez rempli l’auto-évaluation, la colonne « Résultat » (H) dans la feuille Excel « Résultats (ISA5) » doit être intégralement complétée à l’aide de chiffres (0-5) ou avec la mention « n.a. » (non applicable).
|
|
Vert |
Si vous avez des questions concernant l’ISA, veuillez nous contacter.
5.2.4. Interprétation du résultat d’auto-évaluation
Les cinq sous-sections suivantes expliquent comment analyser et interpréter le résultat de votre auto-évaluation. L’analyse vous dira si vous êtes prêt ou pas pour une évaluation TISAX.
5.2.4.1. Analyse
Votre note de résultat synthétise le résultat de l’auto-évaluation.
Vous trouverez la note du résultat (« Résultat réduit au niveau de maturité cible ») dans la feuille Excel « Résultats (ISA5) » (cellule D6). Nous expliquerons plus tard la notion de « réduction ».
|
|
Votre note de résultat |
|
|
Note de résultat maximale |
Afin de mieux comprendre et d’interpréter le résultat de votre auto-évaluation et votre note de résultat, vous devez distinguer deux niveaux d’analyse :
-
Niveau questions
Ce niveau regroupe toutes les questions. Pour chaque question, on distingue le niveau de maturité cible et votre niveau de maturité. -
Niveau note
On trouve à ce niveau le résultat global synthétisant les résultats de toutes les questions. On distingue la note de résultat maximale et votre note de résultat.
La figure ci-dessous illustre les niveaux d’analyse :
|
|
Analyse |
|
|
Niveau questions |
|
|
Niveau de maturité cible |
|
|
Votre niveau de maturité |
|
|
Niveau note |
|
|
Note de résultat maximale |
|
|
Votre note de résultat |
La figure ci-dessous vous montre où trouver les résultats au niveau note et au niveau questions :
|
|
Niveau note |
|
|
Niveau questions |
La figure suivante offre une vue simplifiée des niveaux d’analyse, des définitions des cibles ISA et de vos propres résultats :
|
|
Niveau de maturité cible |
|
|
Votre niveau de maturité |
|
|
Niveau questions |
|
|
Q (Question) |
|
|
TML (Niveau de maturité cible) |
|
|
YML (Votre niveau de maturité) |
|
|
Note de résultat maximale |
|
|
Votre note de résultat |
|
|
Niveau note |
Les sections suivantes expliquent en détail le résultat et son analyse.
5.2.4.2. Le niveau de maturité cible (au niveau questions)
L’ISA définit un « niveau de maturité cible » de 3 pour chaque question.
Pour de plus amples informations sur la définition de chaque niveau de maturité, veuillez consulter la Section 5.2.2, “Compréhension du document ISA”.
L’ISA définit les niveaux de maturité cibles dans la feuille Excel « Résultats (ISA5) » (en commençant par la colonne G, ligne 22 ; cf. la figure ci-dessous).
|
|
Niveau de maturité cible |
5.2.4.3. Votre résultat (au niveau questions)
Pour recevoir des labels TISAX, vous devez normalement avoir pour chaque question des niveaux de maturité égaux ou supérieurs au niveau de maturité cible.
Exemple : si le niveau de maturité cible pour la question X est de « 3 », votre niveau de maturité pour cette question doit être au moins égal à « 3 ». Si votre niveau de maturité pour cette question est inférieur à « 3 », il se peut que vous ne receviez pas de labels TISAX.
Il en va de même pour chaque question. Si le niveau de maturité cible pour deux questions est de « 3 », vous ne pouvez pas compenser le niveau de maturité de « 2 » obtenu pour une question avec un niveau de maturité de « 4 » obtenu pour l’autre.
Le document ISA transfère automatiquement vos niveaux de maturité de la feuille Excel « Sécurité de l’information » (colonne E) à la feuille Excel « Résultats (ISA5) (en commençant par la colonne H, ligne 23) :
|
|
Votre niveau de maturité cible |
Votre niveau de maturité fait l’objet d’un calcul avant que le document ISA le synthétise dans votre note de résultat. En fait, votre niveau de maturité est « réduit » au niveau de maturité cible. Cette réduction est effectuée de sorte que les questions pour lesquelles votre niveau de maturité est supérieur au niveau de maturité cible ne puissent pas compenser les questions pour lesquelles votre niveau de maturité est inférieur au niveau de maturité cible.
Voici comment l’ISA calcule votre résultat au niveau questions :
-
Elle prend votre niveau de maturité et le compare au niveau de maturité cible de la question.
-
Si votre niveau de maturité est supérieur au niveau de maturité cible, il est « réduit » au niveau de maturité cible.
-
Si votre niveau de maturité est inférieur ou égal au niveau de maturité cible, il ne se passera rien pour cette question.
Exemple (cf. la figure ci-dessous) : le niveau de maturité cible est de « 3 ». Votre niveau de maturité est de « 4 ». Votre « résultat réduit » pour cette question sera de « 3 ».
|
|
In |
|
|
Calcul |
|
|
Out |
|
|
(Niveau questions) |
|
|
Niveau de maturité cible (TML) |
|
|
Votre niveau de maturité (YML) |
|
|
YML > TML ? |
|
|
Oui : réduction au TML |
|
|
Non : pas de réduction |
|
|
Niveau de maturité du résultat (RML) |
La figure ci-dessous montre que si votre niveau de maturité est supérieur au niveau de maturité cible, l’ISA le réduira (les couleurs verte, orange et rouge correspondent aux couleurs utilisées dans la colonne « Résultat », cf. Illustration 21, “Vos niveaux de maturité dans la feuille Excel « Résultats (ISA5) »”).
|
|
Exemple : |
|
|
YML |
|
|
TML |
|
|
Réduction |
Une autre façon d’afficher les niveaux de maturité au niveau questions est illustrée ci-dessous. Les couleurs des cercles illustrent le niveau de maturité cible ou la « distance » par rapport à celui-ci (exemple : le cercle est orange si le niveau de maturité est de « -1 » par rapport au niveau de maturité cible). Les coches illustrent votre niveau de maturité.
|
|
Niveau de maturité |
|
|
Question |
|
|
Réduction |
|
|
Niveau de maturité cible (TML) |
|
|
Un niveau ou plus au-dessus du TML |
|
|
Un niveau en dessous du TML |
|
|
Deux niveaux ou plus en dessous du TML |
|
|
Votre niveau de maturité (YML) |
|
|
Réduction au TML |
|
|
Remarque : Vous pouvez passer avec succès une évaluation TISAX, même si vous n’atteignez pas le niveau de maturité cible pour toutes les questions. La question principale dans ce genre de cas est de savoir si vous courez un risque important. Si votre niveau de maturité est inférieur à la valeur cible, mais qu’il n’existe aucun risque, ce niveau peut quand même être suffisant. |
5.2.4.4. La cible (au niveau note)
L’ISA définit un niveau de maturité global « idéal » — la « note de résultat maximale » (ou la « note maximale », cellule G6).
|
|
Note de résultat maximale |
En théorie, ce niveau de maturité global est la moyenne de tous les niveaux de maturité cibles (au niveau questions). Il s’agira d’une note de résultat maximale de « 3,0 ».
Toutefois, celle-ci est égale à « 3,0 » uniquement si toutes les questions s’appliquent à votre situation. Dès qu’une question ne s’applique pas à votre situation, la moyenne change et la note de résultat maximale descend en dessous de « 3,0 ».
Sur la base de ce qui a été illustré plus haut (Illustration 24, “Niveaux de maturité au niveau questions”), vous pouvez voir ci-dessous ce qui est pris en compte dans la moyenne pour la note de résultat maximale :
|
|
Niveau de maturité |
|
|
Question |
|
|
Réduction |
|
|
Note de résultat maximale |
5.2.4.5. Votre résultat (au niveau note)
Votre note de résultat globale (« Résultat réduit au niveau de maturité cible »,cellule D6) :
-
synthétise le niveau de maturité global de votre système de gestion de la sécurité de l’information.
-
est la moyenne de tous vos niveaux de maturité (au niveau questions).
-
peut être inférieure ou égale à la note de résultat maximale.
-
doit être la plus proche possible de la note de résultat maximale. Plus votre note de résultat est inférieure à la note de résultat maximale, plus la probabilité de bénéficier de labels TISAX sera faible.
|
|
Votre note de résultat |
Sur la base de la même illustration que celle présentée plus haut (Illustration 24, “Niveaux de maturité au niveau questions”), vous pouvez voir ci-dessous ce qui est pris en compte dans la moyenne pour la note de résultat :
|
|
Niveau de maturité |
|
|
Question |
|
|
Réduction |
|
|
Votre note de résultat |
La note de résultat vous indique si :
-
vous êtes prêt pour une évaluation TISAX.
-
vous pouvez vous attendre à recevoir des labels TISAX.
Si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est inférieure à « 3,0 », alors votre niveau de maturité ne correspond pas au niveau de maturité cible, du moins pour une question. Dans ce cas, vous devrez probablement améliorer votre système de gestion de la sécurité de l’information avant de pouvoir passer l’évaluation TISAX.
|
|
Remarque : Concernant la note globale, il existe des limites formelles quant à une « distance » acceptable entre votre note de résultat et la note de résultat maximale (« Résultat réduit au niveau de maturité cible »). Si votre note de résultat est de plus de :
|
|
|
Remarque importante : Si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est de « 3 », vous n’avez aucune garantie de passer l’évaluation TISAX sans constatations rédhibitoires. Gardez à l’esprit que l’auditeur peut avoir un point de vue différent du vôtre sur certains aspects. |
5.2.4.6. Êtes-vous prêt ?
L’analyse ci-dessus vise à savoir si vous êtes prêt à passer une évaluation TISAX.
Vous êtes réellement prêt pour une évaluation TISAX si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est (proche) de « 3,0 ». Dans ce cas, toutes les valeurs dans la colonne « Résultats » (H) sont vertes (aucune valeur orange ni rouge).
Si elles ne sont pas vertes, vous devez remédier au résultat de votre auto-évaluation (veuillez consulter la Section 5.2.5, “Traitement du résultat d’auto-évaluation”).
La figure ci-dessous illustre le diagramme en forme de toile d’araignée de l’ISA dans la feuille Excel « Résultats (ISA5) ». La ligne verte marque le niveau de maturité cible par chapitre. Si vos niveaux de maturité sont sur ou au-dessus de cette ligne, vous êtes prêt pour une évaluation TISAX. S’ils sont sous cette ligne, il se peut qu’ils ne soient pas suffisants pour vous permettre de recevoir des labels TISAX.
|
|
Vous êtes prêt pour une évaluation TISAX |
|
|
Niveaux de maturité cibles |
|
|
Il se peut que les niveaux de maturité ne suffisent pas pour permettre l’obtention de labels TISAX ! |
Si vous développez la toile ISA jusqu’au niveau questions, vous obtiendrez un affichage similaire vert/rouge au niveau questions :
|
|
Niveau de maturité |
|
|
Question |
|
|
Il se peut que votre note de résultat ne suffise pas pour permettre l’obtention de labels TISAX |
|
|
Vous êtes prêt pour une évaluation TISAX |
5.2.5. Traitement du résultat d’auto-évaluation
Le résultat de votre auto-évaluation peut indiquer que vous devez améliorer votre système de gestion de la sécurité de l’information pour pouvoir recevoir des labels TISAX.
Il se peut que vous sachiez comment combler certains écarts entre votre niveau de maturité et le niveau de maturité cible. Concernant d’autres écarts, il est possible que vous ayez besoin de conseils externes. Dans ce cas, vous pouvez solliciter des services de conseil auprès de nos auditeurs TISAX. TISAX permet leur consultation sans l’exiger. Notez qu’un auditeur qui vous fournit des services de conseil ne peut plus effectuer d’évaluation TISAX pour vous.
|
|
Remarque importante : À défaut de traitement adéquat du résultat d’auto-évaluation avant l’évaluation proprement dite, bon nombre d’entreprises se heurtent à un obstacle de taille. Ne sous-estimez pas les efforts nécessaires pour adapter votre système de gestion de la sécurité de l’information aux exigences. Dans beaucoup d’entreprises, un projet d’envergure devra être mis en place dans les règles pour se préparer à une évaluation TISAX. |
|
|
Remarque : Si vous cherchez une aide externe pour passer le processus TISAX, vous découvrirez que diverses entreprises offrent des services de conseil et de formation. Aucune de ces entreprises ne travaille avec nous. Actuellement, nous :
|
5.3. Sélection de l’auditeur
Seuls des auditeurs que nous avons engagés peuvent mener des évaluations TISAX[19] pour savoir comment devenir un auditeur TISAX.]. Les auditeurs TISAX sont autorisés à mener des évaluations TISAX pour vous, à la condition qu’ils n’aient jamais mené de missions de conseil auprès de vous par le passé.
Tous nos auditeurs TISAX sont tenus de mener les évaluations TISAX uniquement pour les entreprises inscrites comme participants TISAX.
|
|
Remarque : Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation doit avoir le statut « approuvé » ou « inscrit » Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” ( |
5.3.1. Informations de contact
Une fois que vous êtes inscrit, vous pouvez contacter tous les auditeurs TISAX et solliciter des offres. Leurs coordonnées figurent dans l’e-mail de confirmation d’inscription que vous avez reçu[20] (veuillez consulter la Section 4.5.8, “E-mail de confirmation”).
|
|
Remarque : Ne sollicitez des offres auprès de nos auditeurs TISAX qu’APRÈS votre inscription. Les auditeurs vérifieront que vous êtes bien inscrit. Ils sont tenus de rejeter toute demande sans inscription préalable. C’est également la raison pour laquelle vous ne recevrez les coordonnées des auditeurs que dans l’e-mail de confirmation d’inscription et qu’elles ne figurent pas sur notre site Web public. |
5.3.2. Couverture
Si actuellement, bon nombre de nos auditeurs se trouvent en Allemagne, tous sont en mesure de mener des évaluations TISAX partout dans le monde. La plupart d’entre eux ont même du personnel propre dans de nombreux pays.
Sur notre site Web, nous disposons d’une page sur laquelle vous pouvez sélectionner votre pays et voir ensuite quel auditeur a une équipe commerciale et/ou des auditeurs sur place ( enx.com/en-US/TISAX/xap/).
5.3.3. Demande d’offres
Pour permettre à nos auditeurs TISAX de calculer précisément le travail à fournir pour l’évaluation, vous devez toujours inclure « l’extrait du champ d’application TISAX ».
Pour de plus amples informations, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.
|
|
Remarque : L’impartialité est une caractéristique essentielle de nos auditeurs TISAX. Ils veilleront à ce qu’aucun conflit d’intérêts n’apparaisse. Peut-être souhaiterez-vous aborder le sujet lorsque vous les contacterez. Si votre entreprise est d’une quelconque manière liée à un auditeur, vous ne pouvez pas espérer être évalué par ce dernier. |
5.3.4. Évaluation des offres
Vous pouvez librement choisir parmi tous nos auditeurs TISAX. Ils sont tous liés au même contrat. Ils mènent tous les évaluations sur la base des mêmes critères et utilisent tous les mêmes méthodes d’audit. En matière de résultat d’évaluation, vous n’observerez aucune différence selon l’auditeur choisi. Le résultat de votre évaluation sera accepté par tous les participants TISAX.
Outre des facteurs évidents tels que le prix, la réputation et l’amabilité, il existe d’autres aspects à prendre en considération dans une offre :
-
Disponibilité : quand le processus d’évaluation peut-il débuter? Cela peut être un aspect important si vous avez besoin rapidement de conclure l’évaluation TISAX.
-
Frais de déplacement pour les rendez-vous sur site : les auditeurs qui ont des bureaux dans votre pays sont susceptibles d’avoir moins de frais de déplacement.
-
Langue : est-ce que toute personne interviewée dans votre entreprise et vous-même serez en mesure de communiquer avec l’auditeur dans votre langue maternelle ?
-
Quelles sont les évaluations comprises ?
Pour de plus amples informations sur les évaluations, veuillez consulter la Section 5.4.2, “Types et éléments de l’évaluation TISAX”.
Habituellement, les offres incluent l’évaluation initiale et l’évaluation du plan d’action corrective. Comme il est difficile de présumer du travail à fournir pour les évaluations de suivi, celles-ci font généralement l’objet d’une offre après la clôture des autres évaluations.
Enfin, il s’agit aussi de confiance. Vous devrez instaurer une relation de confiance avec votre auditeur, dans la mesure où il accédera à certains renseignements sur votre entreprise.
|
|
Remarque : Nous déconseillons de solliciter ou de commander des services tels qu’une « pré-évaluation ». Nous comprenons que vous souhaitiez vous préparer à l’évaluation de cette façon, mais il est préférable dans la plupart des cas d’entamer l’évaluation sans attendre. Concernant le prix, il ne doit pas exister de grande différence entre une « pré-évaluation » et une évaluation proprement dite. Et pour cette dernière, vous avez toujours la possibilité de régler les problèmes constatés par le biais d’actions correctives. Cela vous paraîtra plus clair lorsque vous lirez la prochaine section. |
|
|
Remarque : Chaque évaluation a un cycle de vie. Pour de plus amples informations sur le statut d’une évaluation, veuillez consulter la Section 7.6, “Annexe : Assessment status ( |
Une fois que vous avez choisi l’un de nos auditeurs TISAX, vous pouvez enfin entamer le processus d’évaluation TISAX.
5.4. Processus d’évaluation TISAX
5.4.1. Aperçu
Le processus d’évaluation TISAX comprend plusieurs types d’évaluation. Dans la plupart des cas, il y aura plus d’une évaluation.
Vous devez considérer le processus d’évaluation comme une suite d’étapes imbriquées les unes dans les autres où :
-
Vous préparez votre système de gestion de sécurité de l’information pour le rendre excellent.
-
L’auditeur vérifie si votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences. Il peut y trouver des lacunes.
-
Vous comblez alors ces lacunes dans les délais impartis.
-
Ensuite, l’auditeur vérifie une fois de plus si vous avez comblé les lacunes.
Ces étapes se succéderont jusqu’à ce que toutes les lacunes soient comblées.
Il est important de comprendre que vous êtes à l’initiative de chaque sous-étape dans le processus d’évaluation. Tout le processus d’évaluation est sous votre contrôle. Et bien entendu, vous seul décidez d’arrêter et d’abandonner le processus d’évaluation quand bon vous semble.[21]
5.4.2. Types et éléments de l’évaluation TISAX
Le processus d’évaluation TISAX comprend trois types d’évaluation TISAX :
-
Évaluation initiale (
Initial assessment) -
Évaluation du plan d’action corrective (
Corrective action plan assessment) -
Évaluation de suivi (
Follow-up assessment) [22]
L’évaluation initiale marque le début du processus d’évaluation TISAX.
Les deux autres évaluations TISAX peuvent avoir lieu, et ce à plusieurs reprises. Elles interviendront soit :
-
jusqu’à ce que vous ayez comblé toutes les lacunes
-
ou jusqu’à ce que vous abandonniez le processus d’évaluation TISAX
-
ou que vous atteigniez la durée maximale de neuf mois (moment auquel une autre évaluation initiale est requise).
Toutes les évaluations TISAX seront décrites dans les sections suivantes.
|
|
Remarque : Chaque évaluation a un cycle de vie. Pour de plus amples informations sur le statut d’une évaluation, veuillez consulter la Section 7.6, “Annexe : Assessment status ( |
5.4.3. Éléments de l’évaluation TISAX
Chaque évaluation TISAX comprend les éléments suivants :
-
Réunion d’ouverture officielle[23][24]
-
Elle a pour objectif de traiter toutes les questions d’ordre organisationnel.
-
Il ne doit pas nécessairement s’agir d’une réunion physique.
-
Les sujets peuvent être traités simultanément ou répartis sur plusieurs sessions.
-
Il s’agit d’un « conteneur logique » pour l’ensemble des questions organisationnelles d’avant l’évaluation.
-
-
Procédure d’évaluation
-
Votre auditeur vérifie toutes les exigences.
-
Les méthodes d’évaluation sont sélectionnées selon le niveau d’évaluation en question.
-
-
Réunion de clôture officielle[25]
-
Elle conclut une évaluation TISAX.
-
L’auditeur y présente ses conclusions.
-
L’auditeur annonce le résultat de l’évaluation.
-
Il ne doit pas nécessairement s’agir d’une réunion physique.
-
Il s’agit d’un « conteneur logique » pour l’ensemble des questions organisationnelles d’après l’évaluation.
-
Après la « réunion de clôture », l’auditeur prépare et vous envoie une ébauche du « rapport TISAX » mis à jour. Vous pouvez faire part de vos objections si vous pensez que l’auditeur a mal compris quelque chose.[26] L’auditeur publie ensuite le « rapport TISAX » final.
Tous ces éléments seront décrits dans les sections suivantes.
5.4.4. À propos de la conformité
Avant de continuer à décrire le processus d’évaluation TISAX, nous souhaitons vous expliquer un concept clé, essentiel à la bonne compréhension des sections suivantes.
L’objectif d’une évaluation TISAX est de déterminer si votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences. L’auditeur vérifie si votre système de gestion de la sécurité de l’information « est conforme » ( to conform) aux exigences.
Étape 1 : les vérifications sont effectuées individuellement pour chaque exigence applicable.
Si votre approche « est conforme » à toutes les exigences, vous réussissez l’évaluation et recevez les labels TISAX correspondant à vos objectifs d’évaluation.
Si votre approche n’est pas conforme à une exigence particulière, l’auditeur distingue deux types de « non-conformité » ( non-conformity) :
-
Non-conformité mineure (
Minor non-conformity)
Elle s’applique lorsque la non-conformité ne remet pas en question l’efficacité générale de votre système de gestion de la sécurité de l’information et qu’elle ne crée pas de risque significatif pour la sécurité de l’information.
Exemples : erreurs isolées ou sporadiques, déficits de mise en œuvre -
Non-conformité majeure (
Major non-conformity)
Elle s’applique lorsque la non-conformité crée des doutes quant à l’efficacité générale de votre système de gestion de la sécurité de l’information ou qu’elle entraîne des risques significatifs pour la sécurité de l’information.
Exemples : non-conformités systématiques, déficits de mise en œuvre qui créent des risques critiques pour la sécurité des informations confidentielles, déficits de mise en œuvre qui ne sont pas résolus par le biais d’une action corrective appropriée
|
|
Remarque : Pour le résultat de l’évaluation, tout ce qui est en-deçà d’une conformité complète ou idéale par rapport aux exigences est appelé une constatation. TISAX distingue quatre types de constatation :
Seules les deux non-conformités sont pertinentes pour le résultat de l’évaluation. |
Étape 2 : tous les résultats de l’étape précédente « par exigence » sont fusionnés en un résultat global d’évaluation.
Le résultat global d’évaluation peut être :
-
Conforme (
Conform)
Le résultat global d’évaluation est « conforme ». Toutes les exigences sont satisfaites. -
Non conforme mineur (
Minor non-conform)
Le résultat global d’évaluation est « non conforme mineur » si vous avez au moins une « non-conformité mineure » pour une exigence. -
Non conforme majeur (
Major non-conform)
Le résultat global d’évaluation est « non conforme majeur » si vous avez au moins une « non-conformité majeure » pour une exigence.
(Sans plan d’action corrective approuvé, chaque non-conformité entraîne un résultat global d’évaluation « non conforme majeur ».)
Si le résultat global de votre évaluation est :
-
« non conforme mineur », vous pouvez recevoir des labels TISAX provisoires jusqu’à ce que toutes les non-conformités soient résolues.
-
« non conforme majeur », vous devez résoudre le problème en question avant de recevoir un label TISAX.
À l’aide de mesures compensatoires appropriées et des actions correctives approuvées par l’auditeur, il est possible de changer le résultat global de votre évaluation de « non conforme majeur » en « non conforme mineur », et donc de recevoir des labels TISAX provisoires.
Il est important de comprendre que le résultat global de votre évaluation s’améliorera au cours de tout le processus d’évaluation TISAX.
Prenez cet exemple extrêmement simplifié : vous obtenez un résultat global d’évaluation correspondant à « non conforme majeur » après l’évaluation initiale. Ensuite, vous atténuez le risque correspondant. Votre démarche permet de modifier le résultat global de votre évaluation de « non conforme majeur » en « non conforme mineur ». Et une fois le risque éliminé, le résultat final de votre évaluation globale sera « conforme ».
Des explications plus détaillées à ce sujet sont données ci-dessous. Et vous trouverez davantage d’informations sur les labels TISAX plus loin à la Section 5.4.13, “Labels TISAX”.
5.4.5. Votre préparation pour le processus d’évaluation TISAX
L’auditeur préparera l’évaluation sur la base de votre auto-évaluation. Par conséquent, pensez à mettre à temps votre auto-évaluation à la disposition de votre auditeur. Les échéances exactes de fourniture sont fixées lors de la réunion d’ouverture officielle.
Un auditeur bien préparé abrégera le temps nécessaire à l’évaluation. Outre l’auto-évaluation, il demandera aussi de la documentation connexe avant l’évaluation. Il peut s’agir de documentation à laquelle vous avez fait référence dans l’auto-évaluation et d’autres documents que l’auditeur juge pertinents.
Sur la base de ces informations, votre auditeur planifiera la procédure d’évaluation.
5.4.6. Évaluation initiale
Cette première évaluation TISAX marque le début officiel du processus d’évaluation TISAX.
|
|
Remarque importante : L’évaluation initiale marque le début de deux périodes importantes :
Les deux périodes débutent le jour de la réunion de clôture. |
5.4.6.1. La première réunion d’ouverture officielle
Comme toutes les évaluations TISAX, l’évaluation initiale commence par une réunion d’ouverture officielle. Contrairement aux autres types d’évaluation TISAX, cette réunion couvre la plupart des sujets, car elle coïncide avec le début de l’interaction avec votre auditeur. La réunion d’ouverture officielle se tient généralement sous la forme d’une conférence téléphonique ou sur le Web.
L’objectif de cette réunion est de :
-
vérifier les conditions de l’évaluation
-
présenter le chef de projet et l’équipe d’évaluation
-
planifier l’évaluation
Les conditions d’évaluation à vérifier sont :
-
Avez-vous une inscription TISAX valable ?
-
Le contrat entre votre auditeur et vous est-il signé ?
Le planning d’évaluation comprend :
-
Vérification du champ d’application de l’évaluation
-
Votre champ d’application est-il enregistré et approprié ?[27]
-
-
Vérification de l’objectif d’évaluation
-
L’objectif d’évaluation correspond-il à vos propres exigences et/ou à celles de votre partenaire ?
-
-
Équipe à vos côtés
-
Sur la base des rôles en lien avec l’ISMS dans votre entreprise, qui doit être disponible pour des entretiens (par téléphone ou en personne, au cours des évaluations sur site) ?
-
-
Communication entre votre auditeur et vous
-
Comment échangerez-vous des informations confidentielles ? Nous ferons parvenir de la documentation confidentielle à l’auditeur et il enverra des rapports d’évaluation confidentiels.
-
Qui doit être inclus dans les communications ?
-
Le cas échéant : comment organiserez-vous les entretiens par conférence téléphonique ou sur le Web ?
-
-
Principaux sujets d’évaluation
-
Sur la base de votre auto-évaluation, l’auditeur présentera les principaux sujets sur lesquels il axera sa mission.
-
-
Détermination des échéances
-
Échéances applicables à la documentation que vous devez envoyer (en ce compris votre auto-évaluation sur la base de l’ISA et de la documentation connexe, si elle n’a pas encore été envoyée)
-
Rendez-vous pour les entretiens et les inspections sur site (le cas échéant)
-
Échéances applicables aux rapports d’évaluation (ébauche et version finale)
-
5.4.6.2. Procédure d’évaluation
Conformément au plan préparé, l’auditeur mène l’évaluation initiale. Sa mise en œuvre concrète dépend de vos objectifs d’évaluation. L’évaluation consiste principalement en des conférences téléphoniques, des entretiens et des inspections sur site plus ou moins approfondies[28].
L’auditeur présente l’ensemble de ses constatations durant l’évaluation initiale.
5.4.6.3. Réunion de clôture
Durant la réunion de clôture, votre auditeur synthétise à nouveau ses constatations.
5.4.6.4. Rapport TISAX
Après la réunion de clôture, l’auditeur prépare et vous envoie l’ébauche du « rapport TISAX ». Vous pouvez faire part de vos objections si vous pensez que l’auditeur a mal compris quelque chose.[29] L’auditeur publie ensuite le « rapport TISAX ».
À ce stade, le résultat global d’évaluation peut être :
-
Conforme ou
-
Non conforme majeur
L’absence de traitement des non-conformités (mineures) entraîne toujours un résultat global d’évaluation « non conforme majeur ». Le résultat global de votre évaluation ne peut être « non conforme mineur » qu’une fois que vous avez défini des actions pour la mise en œuvre de mesures permettant de traiter les non-conformités.
Pour de plus amples informations sur cette démarche, veuillez consulter la Section 5.4.8.4, “Labels TISAX provisoires”.
Si le résultat global de votre évaluation est « conforme » au moment de l’évaluation initiale, vous pouvez passer le reste de la section concernant l’évaluation et aller à la section sur l’échange du résultat.
Si le résultat global de votre évaluation est « non conforme majeur », votre prochaine tâche consistera à élaborer un plan pour traiter les constatations et combler toute lacune identifiée par l’auditeur. Le plan est appelé officiellement « plan d’action corrective » ( “corrective action plan”).
5.4.7. Préparation du plan d’action corrective
Votre « plan d’action corrective » ( “corrective action plan”) définit comment vous prévoyez de traiter les constatations de l’évaluation initiale. Votre auditeur évaluera l’adéquation de votre « plan d’action corrective » (cf. la section suivante).
Pour créer votre « plan d’action corrective », vous devez tenir compte des exigences suivantes :
-
Actions correctives
-
Pour chaque non-conformité, vous devez définir une ou plusieurs « actions correctives » prévoyant les mesures nécessaires au traitement de la non-conformité.
-
-
Date de mise en œuvre
-
Vous devez définir une date de mise en œuvre pour chaque action corrective.
-
La période de mise en œuvre doit offrir suffisamment de temps pour appliquer intégralement les mesures.
-
-
Mesures compensatoires
-
Pour l’ensemble des non-conformités qui créent des risques critiques, vous devez définir des mesures compensatoires qui traitent les non-conformités avant la mise en œuvre des actions correctives.
-
-
Période de mise en œuvre
-
Pour toutes les actions correctives dont l’application prend plus de trois mois, vous devez justifier la période de mise en œuvre.
-
Pour toutes les actions correctives dont l’application prend plus de six mois, vous devez en plus fournir la preuve attestant qu’une mise en œuvre plus rapide n’est pas possible.
-
La période de mise en œuvre pour toute action corrective ne peut excéder neuf mois.
-
Une fois que votre plan d’action corrective est complet, vous pouvez demander « l’évaluation du plan d’action corrective ».
|
|
Remarque importante : Nous recommandons de commencer la mise en œuvre le plus rapidement possible. Il n’est pas nécessaire d’attendre le résultat de « l’évaluation du plan d’action corrective ». |
5.4.8. Évaluation du plan d’action corrective
« L’évaluation du plan d’action corrective » vise à vérifier que votre « plan d’action corrective » (cf. ci-dessus) répond aux exigences TISAX.
Vous présentez votre « plan d’action corrective » à votre auditeur. Votre auditeur évalue le plan par rapport aux exigences (cf. ci-dessous). Si votre plan est conforme aux exigences, votre auditeur publiera le « rapport TISAX » mis à jour.
Cette évaluation ne prend habituellement pas beaucoup de temps. Elle peut intervenir sous la forme d’une réunion physique, d’une conférence téléphonique ou sur le Web.
5.4.8.1. Conditions préalables à une évaluation du plan d’action corrective
Les conditions préalables à une « évaluation du plan d’action corrective » sont :
-
une récente[30] évaluation initiale ayant révélé des non-conformités
-
ou un « plan d’action corrective » qui a déjà été évalué, mais n’a pas répondu aux exigences.
5.4.8.2. Combinaison avec l’évaluation initiale
« L’évaluation du plan d’action corrective » ne constitue pas forcément un événement indépendant. Vous avez déjà la possibilité de présenter votre « plan d’action corrective » lors de la réunion de clôture de l’évaluation initiale. L’auditeur peut alors mener directement « l’évaluation du plan d’action corrective ».
Si vous combinez « l’évaluation du plan d’action corrective » avec l’évaluation initiale, et que votre « plan d’action corrective » répond aux exigences, vous pouvez convenir avec votre auditeur que vous n’avez pas besoin d’un « rapport d’évaluation initiale ». Au lieu de cela, votre auditeur préparera uniquement le « rapport d’évaluation du plan d’action corrective ». Ce rapport vous permet de recevoir directement des labels TISAX provisoires.
5.4.8.3. Exigences concernant le plan d’action corrective
L’auditeur évalue votre « plan d’action corrective » sur la base des exigences suivantes :
-
Les mesures sont appropriées
-
Les risques critiques sont atténués par des mesures compensatoires appropriées[31]
-
Les périodes de mise en œuvre sont appropriées
-
Les périodes de mise en œuvre commencent le jour où se termine l’évaluation initiale.
-
-
Aucune période de mise en œuvre n’excède :
-
trois mois sans justification supplémentaire
-
six mois sans justification et preuves supplémentaires
-
neuf mois
-
5.4.8.4. Labels TISAX provisoires
Si le résultat global de votre évaluation est « non conforme mineur », vous recevez des labels TISAX provisoires.
L’avantage des labels TISAX provisoires est que votre partenaire les accepte généralement à la condition que vous receviez ultérieurement des labels TISAX permanents. Cela peut vous aider si vous devez prouver d’urgence l’efficacité de votre système de gestion de la sécurité de l’information à votre partenaire.
La condition pour l’obtention de labels TISAX provisoires est un rapport d’évaluation du plan d’action corrective présentant le résultat global d’évaluation « non conforme mineur ».
Concernant la période de validité, les labels TISAX provisoires :
-
expirent neuf fois après la réunion de clôture de l’évaluation initiale.
-
sont valables jusqu’à la résolution de toutes les non-conformités.
-
Cela est établi lors de l’évaluation de suivi et documenté dans le rapport correspondant.
-
-
ne peuvent être renouvelés.
|
|
Remarque : « L’évaluation du plan d’action corrective » est facultative. Vous pouvez procéder directement à l’évaluation de suivi si vous :
|
Une fois que vous avez exécuté l’ensemble des actions correctives, vous devez demander une « évaluation de suivi ».
5.4.9. Évaluation de suivi
« L’évaluation de suivi » vise à évaluer si toutes les non-conformités préalablement identifiées sont résolues. Généralement, vous demandez l’évaluation de suivi lorsque vous êtes sûr que toutes les non-conformités sont résolues.
Mais vous pouvez passer autant d’évaluations de suivi que nécessaire. Si au cours d’une évaluation de suivi, votre auditeur atteste encore de non-conformités existantes ou même nouvelles, vous mettez simplement à jour votre plan d’action corrective et recommencez cette partie du processus d’évaluation.
Cette évaluation peut prendre la forme d’une réunion physique ou d’une conférence téléphonique ou sur le Web.
5.4.9.1. Calendrier
Votre auditeur peut mener l’/les évaluation(s) de suivi dans un délai de neuf mois après la conclusion de l’évaluation initiale[32].
5.4.9.2. Conditions préalables
Si vous n’avez pas besoin de labels TISAX provisoires, vous pouvez demander directement une évaluation de suivi. Vous ne devez pas avoir d’« évaluation du plan d’action corrective » avant l’évaluation de suivi.
5.4.9.3. Expiration des labels TISAX provisoires
Si vous avez besoin de labels TISAX provisoires, peut-être souhaiterez-vous vous assurer de ne pas devoir attendre vos labels TISAX permanents. Par conséquent, nous recommandons de demander votre évaluation de suivi bien avant la date limite[33]. Vous souhaitez en effet disposer d’une période tampon suffisante pour traiter toute constatation mineure identifiée durant une évaluation de suivi.
5.4.10. Diagramme du processus d’évaluation TISAX
Les précédentes sections sont à présent synthétisées dans le diagramme de processus suivant :
|
|
Vos actions |
|
|
Actions de l’auditeur |
|
|
Début |
|
|
Préparation de l’évaluation |
|
|
Initié par vous |
|
|
Début de la période maximale de neuf mois |
|
|
Évaluation initiale |
|
|
Rapport d’évaluation initiale |
|
|
Non-conformités identifiées ? |
|
|
Non |
|
|
e) |
|
|
Oui |
|
|
Rédiger un plan d’action corrective |
|
|
d) |
|
|
Initié par vous |
|
|
Début/poursuite des actions correctives |
|
|
Évaluation du plan d’action corrective |
|
|
Rapport d’évaluation du plan d’action corrective |
|
|
Non (incomplet ou inapproprié) |
|
|
Plan d’action corrective ok ? |
|
|
c) |
|
|
b) |
|
|
a) |
|
|
Labels TISAX provisoires possibles |
|
|
c) |
|
|
b) |
|
|
a) |
|
|
Non |
|
|
Actions correctives réalisées ? |
|
|
Oui, initiées par vous |
|
|
Évaluation de suivi |
|
|
Rapport d’évaluation de suivi |
|
|
e) |
|
|
Résultat d’évaluation « conforme » ? |
|
|
d) |
|
|
Fin de la période maximale de neuf mois |
|
|
Oui |
|
|
Labels TISAX |
|
|
Auditeur : télécharger le résultat sur la plateforme d’échange |
|
|
Vous : partager le résultat sur la plateforme d’échange |
|
|
Vous : Auditeur : Facultatif : télécharger le résultat sur le fournisseur de services géré |
|
|
Vous : définir un rappel pour le renouvellement |
|
|
Fin |
5.4.11. Assessment ID ( ID d’évaluation)
Chaque évaluation TISAX d’un champ d’application d’évaluation est identifiée par un « ID d’évaluation ». Cet ID fait référence au résultat de votre évaluation et au rapport TISAX correspondant.
Voici à quoi ressemble l’ID d’évaluation :
|
|
Préfixe « A » (pour « Assessment ») de l’ID d’évaluation |
|
|
Préfixe de l’auditeur attribué par ENX Association |
|
|
Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques : |
|
|
Compteur d’évaluation |
L’ID d’évaluation est généralement utilisé lorsque votre auditeur communique avec vous.
5.4.12. Rapport TISAX
Le « rapport TISAX » ( TISAX report) :
-
est (mis à jour et) publié après chaque évaluation TISAX.
-
documente les constatations de votre auditeur.
-
contient le résultat global de votre évaluation (conforme, non conforme mineur, non conforme majeur).
-
contient toutes les autres informations en lien avec votre évaluation TISAX (telles que l’objectif d’évaluation, le champ d’application, les personnes impliquées et les sites).
Le « rapport TISAX » peut avoir les types suivants (selon le type d’évaluation) :
-
Rapport d’évaluation initial (
Initial assessment report) -
Rapport d’évaluation du plan d’action corrective (
Corrective action plan assessment report) -
Rapport d’évaluation de suivi (
Follow-up assessment report) [34]
Le « rapport TISAX » a toujours la même structure[35]. Votre auditeur l’étend simplement après chaque type d’évaluation. Ainsi, vous vous préoccuperez uniquement de la dernière version du rapport TISAX, car celle-ci reprend toujours le contenu de la/des version(s) antérieure(s).
Les premières sections du « rapport TISAX » représentent ce que vous partagez au final avec votre partenaire.
L’une des caractéristiques principales de TISAX est que vous êtes totalement libre de décider quelles parties du rapport TISAX vous souhaitez partager avec votre partenaire ou tout autre participant. La structure du rapport TISAX est conçue pour permettre ce genre de partage sélectif. Chaque section accroît le niveau de détail.
Voici à quoi ressemble la structure du « rapport TISAX » :
-
A : informations sur l’évaluation
Nom de l’entreprise, champ d’application de l’évaluation, ID du champ d’application, ID de l’évaluation, niveau d’évaluation, objectif(s) d’évaluation, date(s) d’évaluation, auditeur
Cette section ne contient aucun résultat d’évaluation. -
B : résultat global de l’évaluation
Synthèse de gestion du résultat d’évaluation (conforme, non conforme mineur, non conforme majeur), nombre de constatations, brève classification des risques qui en résultent -
C : résumé du résultat d’évaluation
Résumé du résultat d’évaluation par chapitre (par exemple : « 9 Contrôle d’accès ») et par catalogue de critères (par exemple : « Sécurité de l’information ») -
D : résultats détaillés de l’évaluation
Description détaillée de toutes les constatations, résultats correspondants d’évaluation du risque, mesures requises, période de mise en œuvre -
E : niveaux de maturité de l’ISA (onglet Résultat de l’ISA)
Niveau de maturité pour chaque exigence
Lors de l’étape « d’échange » (détaillée ci-dessous), vous décidez le niveau maximum auquel votre partenaire aura accès au contenu de votre rapport TISAX.
5.4.13. Labels TISAX
Nous avons brièvement évoqué ce sujet dans la section de préparation de l’inscription. Comme nous l’avons déjà expliqué, ce qui initialement était un objectif d’évaluation devient à présent un label TISAX.
|
|
Demande |
|
|
Partenaire |
|
|
Reçoit |
|
|
IN |
|
|
Objectif |
|
|
Processus TISAX |
|
|
OUT |
|
|
Label |
Les labels TISAX :
-
sont le fruit du processus d’évaluation TISAX.
-
synthétisent votre résultat d’évaluation.
-
sont la confirmation que votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences.
L’utilisation des labels TISAX facilite la communication relative à TISAX avec votre partenaire et votre auditeur TISAX, car ils font référence à un output prédéfini du processus d’évaluation TISAX.
5.4.13.1. Hiérarchie des labels TISAX
La correspondance entre tout objectif d’évaluation et les labels TISAX associés est assez directe. Mais il faut tenir compte d’un autre aspect important : certains labels sont hiérarchiquement liés les uns aux autres. Cela signifie que si vous recevez un certain label TISAX, vous recevrez automatiquement tous les labels TISAX « inférieurs » à ce label en particulier.
Exemple (avec les noms de label abrégés) : si votre objectif d’évaluation est « Info very high », vous recevrez le label TISAX associé « Info very high ». Mais comme l’objectif d’évaluation « Info very high » est une extension de « Info high », vous recevrez automatiquement aussi le label TISAX « Info high ».
|
|
Objectifs |
|
|
Deviennent |
|
|
Des labels |
|
|
Dépendances |
|
|
Hiérarchie |
|
|
Ceci nécessite cela |
|
|
Ceci est inclus dans cela |
Cela peut ne pas sembler important à tous les participants. Mais imaginez qu’un partenaire vous demande de lui montrer le label TISAX « Info very high » et qu’un autre demande le label TISAX « Info high ». Disposer des deux labels rend les choses plus faciles pour tout le monde, car cela évite de devoir comprendre que « Info high » est hiérarchiquement inférieur à « Info very high ». Cela peut être particulièrement vrai pour les partenaires chez qui le fait d’avoir certains labels TISAX s’inscrit dans un processus d’achat assez rigoureux. Vous n’aurez certainement pas envie d’expliquer que « Info very high » est « mieux » que « Info high ». Il vous suffira de montrer l’ensemble de vos labels TISAX, et la personne en charge de l’évaluation pourra simplement cocher l’exigence « doit avoir le label TISAX ‘Info high’ ».
5.4.13.2. Période de validité des labels TISAX
Les labels TISAX sont généralement valables trois ans. La période de validité débute à la fin du processus d’évaluation (voire avant la publication du rapport TISAX).
Leur période de validité peut être plus courte si un élément significatif lié au champ d’application de l’évaluation TISAX est modifié.
Exemple : déménagement de votre entreprise, nouveaux sites. (Pour connaître les instructions sur les mesures à prendre en pareil cas, veuillez consulter la Section 7.8.4, “Déménagements” et Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”.)
|
|
Remarque : Vous ne pouvez voir vos labels TISAX que sur le portail ENX. Ils ne sont pas repris dans le rapport TISAX. |
5.4.13.3. Renouvellement des labels TISAX
Pour conserver durablement vos labels TISAX, vous devez les renouveler[36] tous les trois ans.
Pour ce faire, vous devez en principe repasser le processus TISAX (enregistrer un champ d’application d’évaluation, obtenir à nouveau l’évaluation TISAX, partager le résultat de votre évaluation). L’inscription est un peu plus facile, dans la mesure où vous ne devez pas recréer votre entreprise en tant que participant TISAX. Et vous pouvez bien entendu réutiliser tous vos contacts et sites déjà sauvegardés dans la base de données TISAX.
|
|
Remarque importante : Veuillez enregistrer un NOUVEAU champ d’application AVANT de contacter votre auditeur. Votre auditeur ne peut entamer un nouveau processus d’évaluation que si vous êtes en mesure de fournir un nouvel ID de champ d’application. Dans la plupart des cas, il est aisé d’enregistrer un nouveau champ d’application. Il vous suffit de lui attribuer un nouveau nom, d’ajouter des contacts, de sélectionner l’/les objectif(s) d’évaluation et d’ajouter des sites. Vous pouvez réutiliser les contacts et les sites préalablement enregistrés dans le système pour tout autre champ d’application. |
|
|
Remarque importante : S’il est nécessaire de toujours disposer de labels TISAX valables au cours de la relation avec votre partenaire, nous vous conseillons vivement de définir un rappel dans votre calendrier pour lancer le processus de renouvellement nécessaire. Nous recommandons d’entamer les démarches de renouvellement au moins un an avant l’expiration de vos labels TISAX. |
Maintenant que vous avez reçu vos labels TISAX, vous pouvez passer à la dernière étape et les partager avec votre partenaire.
6. Échange (étape 3)
Le temps de lecture estimé de la section consacrée à l’échange est de 7 minutes.
Vous avez à présent terminé le processus TISAX, mais votre partenaire n’a toujours pas vu de « preuve » que votre système de gestion de la sécurité de l’information est capable de protéger ses données confidentielles. La présente section décrit à présent comment partager le résultat de votre évaluation avec votre partenaire et lui présenter la preuve qu’il demande.
6.1. Principe
L’une des caractéristiques principales de TISAX est que le résultat de votre évaluation est intégralement sous votre contrôle. Sans votre permission explicite, toutes les informations relatives à votre évaluation ne sont pas partagées avec n’importe qui.
6.2. La plateforme d’échange
La plateforme d’échange se trouve sur le portail ENX.
Votre auditeur téléchargera les deux premières sections (A et B) de votre rapport TISAX. À ce stade, les informations ne sont disponibles pour personne sauf pour vous.
Vous pouvez vous servir du compte créé durant l’inscription pour accéder au portail et utiliser la plateforme d’échange.
Vous pouvez accéder au portail à l’adresse suivante :
enx.com/en-US/SignIn
6.3. Conditions générales
Vous ne pouvez partager le résultat de votre évaluation avec votre partenaire que si ces deux conditions sont remplies :
-
Votre auditeur a introduit le résultat de l’évaluation sur la plateforme d’échange.
D’ordinaire, le résultat de l’évaluation est disponible sur la plateforme d’échange entre 5 et 10 jours ouvrables après la publication du rapport TISAX. -
Nous avons reçu de votre part le paiement des honoraires (le cas échéant).
Le statut de votre champ d’application de l’évaluation est « actif » lorsque les deux conditions sont remplies.
|
|
Remarque : Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, le champ d’application de votre évaluation doit avoir le statut « actif ». Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” ( |
Pour vérifier si le résultat de votre évaluation est prêt à être partagé (statut du champ d’application de l’évaluation = actif), suivez les étapes suivantes :
-
Connectez-vous sur le portail ENX.
-
Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (
« MON TISAX »). -
À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (
« CHAMPS D’APPLICATION ET ÉVALUATIONS »). -
Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.
-
Vérifiez que le champ d’application de votre évaluation a le statut “Active” (
« Actif ») (colonne “Scope Status” ( « Statut du champ d’application »)).
6.4. Permanence des résultats échangés
|
|
Remarque importante : Vous ne pouvez pas annuler les autorisations de publication ou de partage. En effet, nous souhaitons que tous les participants passifs puissent compter sur un accès permanent à chaque résultat d’évaluation qu’ils reçoivent. Sans cet accès, ils devraient gérer et archiver eux-mêmes les résultats d’évaluation. L’autorisation reste valable pour toute la période de validité de votre évaluation TISAX. Si vous avez créé par erreur une autorisation de publication ou de partage, veuillez nous contacter immédiatement. |
6.5. Niveaux de partage
Les niveaux de partage correspondent directement aux sections principales A-E du rapport TISAX.
| Principales sections du rapport TISAX | Niveaux de partage sur la plateforme d’échange | |
|---|---|---|
1 |
A : informations sur l’évaluation ( |
|
2 |
B : résultat global de l’évaluation ( |
|
3 |
C : résumé du résultat d’évaluation ( |
|
4 |
D : résultats détaillés de l’évaluation ( |
|
5 |
E : niveaux de maturité de l’ISA (onglet Résultat de l’ISA) ( |
|
Plus le niveau de partage est élevé, plus le(s) participant(s) concerné(s) disposera/disposeront d’informations détaillées sur votre évaluation TISAX.
Pour plus de détails sur le contenu de chaque section du rapport TISAX, veuillez consulter la Section 5.4.6.4, “Rapport TISAX”.
6.6. Publier le résultat de votre évaluation sur la plateforme d’échange
Vous pouvez partager le résultat de votre évaluation avec tous les autres participants TISAX en le publiant sur la plateforme d’échange. Ce faisant, vous autorisez tous les autres participants TISAX à accéder au résultat de votre évaluation dans les limites du niveau de partage que vous leur avez attribué.
Vous ne pouvez publier le résultat de votre évaluation que si le résultat global d’évaluation est « conforme ».
Les niveaux de partage pour la publication du résultat de votre évaluation sur la plateforme d’échange sont limités aux options suivantes :
-
Do not publish (Default) (
Ne pas publier (valeur par défaut)) -
A: Assessment-Related Information (
A : informations sur l’évaluation) -
A + Labels (
A + labels) -
A + Labels + B: Overall Assessment Result (
A + labels + B : résultat global de l’évaluation)
Nous recommandons le niveau de partage “A + Labels” ( « A + labels ») pour ce type général de publication.
|
|
Remarque importante : Vous ne pouvez publier le résultat de votre évaluation que si les conditions préalables décrites à la Section 6.3, “Conditions générales” sont remplies. |
Pour publier le résultat de votre évaluation sur la plateforme d’échange, suivez les étapes suivantes :
-
Connectez-vous sur le portail ENX.
-
Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (
« MON TISAX »). -
À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (
« CHAMPS D’APPLICATION ET ÉVALUATIONS »). -
Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.
-
Vérifiez que le champ d’application de votre évaluation a le statut “Active” (
« Actif ») (colonne “Scope Status” ( « Statut du champ d’application »)). -
Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas
. -
Sélectionnez “Scope Information” (
« Informations sur le champ d’application »). -
Dans la nouvelle fenêtre (“Scope Information” (
Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” ( « ÉCHANGE »).
-
Allez à la section “PUBLISHING” (
« PUBLICATION »), ouvrez le menu déroulant et sélectionnez le niveau de partage souhaité (cf. la recommandation ci-dessus).
|
|
Remarque : Les résultats d’évaluation ne sont publiés que sur la plateforme d’échange. Seuls les autres participants TISAX y ont accès. Il n’existe pas de listing public de tous les participants TISAX. Seul le numéro de ligne des participants TISAX peut être mentionné sur le site Web public de TISAX. |
6.7. Partager le résultat de votre évaluation avec un partenaire particulier
Outre l’option ci-dessus pour la publication sur la plateforme d’échange, vous pouvez partager le résultat de votre évaluation TISAX avec des participants TISAX particuliers bénéficiant d’un niveau de partage plus élevé.
Contrairement à la publication susmentionnée, vous pouvez partager le résultat de votre évaluation, même si le résultat global est non conforme (mineur/majeur).
Le partage des résultats d’évaluation fait partie intégrante de TISAX. Votre système de gestion de la sécurité de l’information a été évalué une seule fois, mais désormais, vous pouvez partager le résultat de votre évaluation avec autant de partenaires que vous le souhaitez.
Les options de partage du résultat de votre évaluation sur la plateforme d’échange sont :
-
A: Assessment Related Information (
A : informations sur l’évaluation) -
A + Labels (
A + labels) -
A + Labels + B: Assessment Summary (
A + labels + B : résumé de l’évaluation) -
A + Labels + B + C: Summarized Results (
A + labels + B + C : résumé des résultats) -
A + Labels + B + C + D: Detailed Assessment Results (
A + labels + B + C + D : résultats détaillés de l’évaluation) -
A + Labels + B + C + D + E: Maturity Levels according to ISA (
A + labels + B + C + D + E : niveaux de maturité selon l’ISA)
Nous recommandons le niveau de partage “A + Labels” ( « A + labels) pour le partage. Il est suffisant pour la majorité des partenaires. Vous pouvez toujours modifier ultérieurement le niveau de partage.
|
|
Remarque : Certains participants TISAX traitent automatiquement les résultats d’évaluation de leurs partenaires. Ils synchronisent leur propre système avec le portail ENX. Seuls les résultats d’évaluation partagés spécifiquement avec ce participant sont synchronisés. Une publication seule, telle que décrite à la Section 6.6, “Publier le résultat de votre évaluation sur la plateforme d’échange”, n’est pas reconnue. Parmi les fabricants d’équipements d’origine qui utilisent TISAX, BMW, par exemple, adopte cette démarche. Si vous êtes un partenaire de BMW, veuillez vous assurer de partager (et pas uniquement de publier) le résultat de votre évaluation avec BMW. |
6.7.1. Conditions préalables
Les conditions préalables au partage du résultat de votre évaluation avec votre partenaire (ou tout autre participant TISAX) sont les suivantes :
-
Vous ne pouvez partager le résultat de votre évaluation TISAX qu’avec d’autres participants TISAX.
-
Votre partenaire doit être un participant TISAX.
-
Vous avez besoin de l’ID de participant de votre partenaire.[37]
-
Vous devez payer les honoraires (le cas échéant).
|
|
Remarque importante : Vous ne pouvez partager le résultat de votre évaluation que si les conditions générales décrites à la Section 6.3, “Conditions générales” sont remplies. |
6.7.2. Comment créer une autorisation de partage
Pour partager le résultat de votre évaluation avec un autre participant TISAX, suivez les étapes suivantes :
-
Connectez-vous sur le portail ENX.
-
Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (
« MON TISAX »). -
À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (
« CHAMPS D’APPLICATION ET ÉVALUATIONS »). -
Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.
-
Vérifiez que le champ d’application de votre évaluation a le statut “Active” (
« Actif ») (colonne “Scope Status” ( « Statut du champ d’application »)). -
Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas
. -
Sélectionnez “Scope Information” (
« Informations sur le champ d’application »). -
Dans la nouvelle fenêtre (“Scope Information” (
Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” ( « ÉCHANGE »).
-
Allez à la section “SHARING” (
« PARTAGE ») et cliquez sur le bouton “Share” ( « PARTAGER »). -
Dans la nouvelle fenêtre (“SHARE THIS SCOPE” (
« PARTAGER CE CHAMP D’APPLICATION »)), saisissez l’ID de participant de votre partenaire (ou sélectionnez-le dans la liste de participants depuis la zone de recherche voisine). -
Sélectionnez le niveau de partage souhaité.
-
Cliquez sur le bouton “Next” (
« SUIVANT »). -
Lisez attentivement les instructions concernant la permanence de l’autorisation de partage.
-
Cochez les deux cases “confirm” (
« confirmer »). -
Cliquez sur le bouton “Submit” (
« Envoyer »).
Tout le reste est effectué sur la plateforme d’échange. Pour les niveaux de partage A et B, les informations sont disponibles sur la plateforme d’échange. Votre partenaire peut à présent se connecter sur le portail ENX et voir le résultat partagé de votre évaluation[38].
Pour les niveaux de partage supérieurs (C-E), la plateforme d’échange avise votre auditeur. Ensuite, votre auditeur envoie les informations (correspondant au niveau de partage sélectionné) au principal contact de participant de votre partenaire.
6.8. Partager le résultat de votre évaluation en dehors de TISAX
La règle[39] prévoit que vous pouvez utiliser la plateforme d’échange TISAX uniquement pour informer d’autres participants TISAX du résultat de votre évaluation.
6.8.1. Les raisons d’une gestion stricte du mécanisme d’échange
TISAX fournit un mécanisme d’échange standardisé pour les résultats d’évaluation. Celui-ci présente une valeur ajoutée par rapport à l’échange des résultats d’autres certifications (p. ex. : ISO), pour lesquelles l’échange se fait de diverses manières et ne comprend pas toujours toutes les informations nécessaires pour fournir une image complète.
Les fabricants d’équipements d’origine en particulier apprécient cette standardisation. Mais d’autres sociétés tirent également profit de procédures définies avec clarté.
6.8.2. Un guide concernant les références écrites publiques à TISAX
S’il vous est interdit d’écrire publiquement à propos du résultat d’évaluation, vous pouvez mentionner le travail que vous réalisez pour l’évaluation TISAX. Sur le portail ENX, nous prodiguons des conseils sur la manière d’aborder les déclarations publiques. Nous fournissons aussi les logos TISAX que vous pouvez utiliser.
Après vous être connecté sur le portail ENX, vous pouvez accéder aux informations suivantes :
enx.com/en-US/myenxportal/marketing/
Téléchargement direct de l’archive ZIP (document et logos) :
enx.com/myenxportal/marketing/tisax-trademark-and-logos-guidelines
Si vous vous demandez s’il existe un certificat que vous pourriez afficher sur votre mur :
En raison du processus d’échange standardisé mentionné ci-dessus, nous ne fournissons pas ce genre de certificat.
6.8.3. Partage avec un partenaire qui n’est pas encore participant TISAX
Si vous souhaitez partager le résultat de votre évaluation TISAX avec un partenaire particulier qui a) n’est pas encore participant TISAX et b) n’a pas encore reçu de labels TISAX (après avoir passé le processus d’évaluation), vous pouvez suivre les étapes suivantes :
-
Dites à votre partenaire de s’inscrire en tant que participant TISAX.
Il lui suffit de s’inscrire comme participant TISAX. Il n’a pas besoin de poursuivre le processus en enregistrant un champ d’application d’évaluation. -
Dites à votre partenaire de nous contacter.
Habituellement, nous ne procédons à une nouvelle inscription que si l’entreprise enregistre également un champ d’application d’évaluation. À la demande de votre partenaire, nous procédons à son inscription. Ainsi, il deviendra participant TISAX. Il peut désormais recevoir le résultat de votre évaluation TISAX par le biais du processus d’échange normal.
L’objectif de cette approche est de s’assurer que votre partenaire consent à respecter les « Conditions générales de participation TISAX » qui régissent l’échange des résultats d’évaluation TISAX.
Seul l’enregistrement d’un champ d’application d’évaluation implique des coûts. Comme l’inscription d’un participant TISAX est gratuite, votre partenaire peut recevoir gratuitement le résultat de votre évaluation. Toutefois, en l’absence d’un résultat d’évaluation propre, votre partenaire ne peut recevoir qu’un maximum de cinq résultats d’évaluation et ne peut voir aucune des publications.
6.8.4. Partage avec des salariés de votre partenaire qui n’ont pas d’accès direct au portail ENX
Seuls les salariés de votre partenaire qui ont un compte sur notre portail ENX peuvent voir directement votre résultat. Pour prouver vos labels TISAX à un salarié de votre partenaire qui n’a pas accès au portail, vous pouvez utiliser un document PDF particulier. Pour obtenir le document, veuillez suivre les étapes suivantes :
-
Partagez le résultat de votre évaluation avec votre partenaire comme décrit à la Section 6.7, “Partager le résultat de votre évaluation avec un partenaire particulier”.
-
Connectez-vous sur le portail ENX.
-
Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (
« MON TISAX »). -
À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (
« CHAMPS D’APPLICATION ET ÉVALUATIONS »). -
Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.
-
Vérifiez que le champ d’application de votre évaluation a le statut “Active” (
« Actif ») (colonne “Scope Status” ( « Statut du champ d’application »)). -
Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas
. -
Sélectionnez “Scope Information” (
« Informations sur le champ d’application »). -
Dans la nouvelle fenêtre (“Scope Information” (
« Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” ( « ÉCHANGE »).
-
Allez à la section “SHARING” (
« PARTAGE ») et identifiez la ligne du tableau contenant l’autorisation de partage (telle que créée à l’étape 1). -
Allez au bout de la ligne du tableau de l’autorisation de partage et cliquez sur le bouton avec la flèche vers le bas
. -
Sélectionnez “Edit” (
« Modifier ») -
Dans la nouvelle fenêtre (“SHARE THIS SCOPE” (
« PARTAGER CE CHAMP D’APPLICATION »)), faites défiler jusqu’en bas et sélectionnez “Request Shared Information as PDF” ( « Demander des informations partagées en PDF »). -
Attendez un moment que le document soit généré.
-
Téléchargez le document (“Copy of information shared with ACME.pdf (66.84 KB)” (
« Copie des informations partagées avec ACME.pdf (66.84 KB) »))
7. Annexes
7.1. Annexe : exemple de facture
Voici un exemple de facture que nous envoyons.
Pour de plus amples informations, veuillez consulter la Section 4.3.4, “Honoraires”.
7.2. Annexe : exemple d’e-mail de confirmation
Nous envoyons l’e-mail de confirmation une fois que vous avez terminé toutes les étapes obligatoires au cours du processus d’inscription en ligne.
Pour de plus amples informations concernant le moment où nous envoyons cet e-mail de confirmation, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.
Objet : [TISAX] Champ d’application S3ZY5V approuvé Cher Jean Dupont, Merci pour l’enregistrement du champ d’application de l’évaluation TISAX. J’ai procédé à l’enregistrement de votre champ d’application et ai approuvé ce dernier. Vous trouverez en pièce jointe l’extrait de champ d’application TISAX comprenant l’ensemble des informations sur le champ d’application et la liste actualisée des auditeurs TISAX. Quelle est la prochaine étape ? Avec l’extrait du champ d’application TISAX en pièce jointe, vous pouvez désormais demander des offres à tous les auditeurs TISAX pour votre champ d’application. Vous avez besoin d’aide ? Pour toute autre question concernant TISAX, veuillez lire les FAQ TISAX ou le manuel du participant TISAX (https://enx.com/en-US/TISAX/faqs/). Si vous avez besoin d’une aide supplémentaire concernant TISAX, n’hésitez pas à contacter la hotline TISAX par e-mail (tisax@enx.com) ou par téléphone (+49 69 986692-777). Sincères salutations, Votre équipe TISAX
7.3. Annexe : exemple d’extrait de champ d’application TISAX
Vous recevez « l’extrait du champ d’application TISAX » joint à l’e-mail de confirmation.
Pour de plus amples informations, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.
7.4. Annexe : Participant status ( Statut du participant)
7.4.1. Aperçu : statut du participant
Le « statut du participant » » définit à quel stade du processus TISAX vous (en tant qu’entreprise) vous trouvez.
Votre « statut du participant » peut être :
-
Incomplete (
Incomplet) -
Awaiting approval (
En attente d’approbation) -
Preliminary (
Préliminaire) -
Registered (
Inscrit) -
Expired (
Expiré)
Les tableaux dans chaque section de statut ci-dessous décrivent :
-
votre situation
(telle qu’elle est actuellement alors que vous présentez ce statut) -
votre prochaine action
(ce que vous devez faire pour progresser vers le prochain statut, le cas échéant) -
notre prochaine action
(ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant) -
le prochain statut
(le cas échéant)
L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :
|
|
Vous |
|
|
Nous |
|
|
Statut du participant |
|
|
1. Incomplet |
|
|
Tant que les données d’inscription sont incomplètes |
|
|
Inscription |
|
|
2. En attente d’approbation |
|
|
Vérifier + confirmation |
|
|
3. Préliminaire |
|
|
Résultat d’évaluation publié et partagé |
|
|
4. Inscrit |
|
|
5. Expiré |
|
|
Factures impayées, contrat annulé |
7.4.2. Participant status “Incomplete” ( Statut du participant « Incomplet »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Incomplet |
Vous n’avez pas terminé l’inscription TISAX. |
Continuez sur |
Nous vous enverrons un rappel par e-mail (généralement sous quelques jours). |
7.4.3. Participant status “Awaiting approval” ( Statut du participant « En attente d’approbation »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente d’approbation |
Votre inscription TISAX est complète. |
Attendez notre prochaine action. |
Nous vérifierons et en principe, nous approuverons votre demande. |
7.4.4. Participant status “Preliminary” ( Statut du participant « Préliminaire »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Préliminaire |
Vous avez terminé avec succès le processus d’inscription TISAX. |
Payez les honoraires (le cas échéant). |
Aucune |
7.4.5. Participant status “Registered” ( Statut du participant « Inscrit »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Inscrit |
Vous avez terminé avec succès le processus d’évaluation TISAX et avez reçu des labels TISAX. |
Aucune |
Aucune |
(Expiré) |
|
|
Remarque : Si vous souhaitez accéder aux résultats d’évaluation de votre/vos partenaire(s) : Le prérequis conceptuel pour pouvoir recevoir des résultats d’évaluation d’autres participants est soit :
|
7.4.6. Participant status “Expired” ( Statut du participant « Expiré »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Expiré |
Vous n’avez pas payé les honoraires |
Aucune |
Aucune |
n/a |
7.5. Annexe : Assessment scope status ( Statut du champ d’application de l’évaluation)
7.5.1. Aperçu : Assessment scope status ( statut du champ d’application de l’évaluation)
Le « statut du champ d’application de l’évaluation » définit à quel stade de son cycle de vie se trouve le champ d’application de votre évaluation.
Notez que le « statut du champ d’application de l’évaluation » est différent du « statut de l’évaluation ». Pour de plus amples informations sur le « statut de l’évaluation », veuillez consulter la Section 7.6, “Annexe : Assessment status ( Statut de l’évaluation)”.
Le « statut du champ d’application de votre évaluation » peut être :
-
Incomplete (
Incomplet) -
Awaiting your order (
En attente de votre commande) -
Awaiting ENX approval (
En attente d’approbation ENX) -
Awaiting your payment (
En attente de votre paiement) -
Registered (
Inscrit) -
Active (
Actif) -
Expired (
Expiré)
Les tableaux dans chaque section de statut ci-dessous décrivent :
-
votre situation
(telle qu’elle est actuellement alors que vous présentez ce statut) -
votre prochaine action
(ce que vous devez faire pour progresser vers le prochain statut, le cas échéant) -
notre prochaine action
(ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant) -
le prochain statut
(le cas échéant)
L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :
|
|
Vous |
|
|
Nous |
|
|
Statut du champ d’application de l’évaluation |
|
|
1. Incomplet |
|
|
Tant que les données d’inscription sont incomplètes |
|
|
Saisie des données |
|
|
2. En attente de votre commande |
|
|
Tant que l’inscription n’est pas envoyée |
|
|
Inscription |
|
|
3. En attente d’approbation ENX |
|
|
Vérifier + confirmation |
|
|
4. En attente de votre paiement |
|
|
Paiement |
|
|
5. Inscrit |
|
|
Évaluation |
|
|
6. Actif |
|
|
A |
|
|
7. Expiré |
|
|
Habituellement, lorsqu’un résultat d’évaluation expire |
La référence hors page « A » dans l’illustration ci-dessus relie le statut du champ d’application de l’évaluation « Actif » au « statut de l’évaluation ». Pour de plus amples informations sur le « statut de l’évaluation », veuillez consulter la Section 7.6, “Annexe : Assessment status ( Statut de l’évaluation)”.
7.5.2. Assessment scope status “Incomplete” ( Statut du champ d’application de l’évaluation « Incomplet »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Incomplet |
Vous n’avez pas terminé l’enregistrement du champ d’application de l’évaluation |
Continuez sur |
Nous vous enverrons un rappel par e-mail (généralement sous quelques jours). |
Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.
7.5.3. Assessment scope status “Awaiting your order” ( Statut du champ d’application de l’évaluation « En attente de votre commande »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente de votre commande |
Vous n’avez pas terminé l’enregistrement de votre champ d’application. |
Continuez sur |
Nous vous enverrons un rappel par e-mail (généralement sous quelques jours). |
Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.
7.5.4. Assessment scope status “Awaiting ENX approval” ( Statut du champ d’application de l’évaluation « En attente d’approbation ENX »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente d’approbation ENX |
L’enregistrement de votre champ d’application de l’évaluation est terminé. |
Attendez notre prochaine action. |
Nous vérifierons et en principe, nous approuverons votre demande. |
Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.
7.5.5. Assessment scope status “Awaiting your payment” ( Statut du champ d’application de l’évaluation « En attente de votre paiement »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente de votre paiement |
L’enregistrement du champ d’application de votre évaluation est terminé et approuvé. |
Payez les honoraires (le cas échéant).
40. Au moment où le statut du champ d’application de votre évaluation est « En attente de votre paiement » ou « Inscrit », les « informations relatives à l’évaluation » comprennent le(s) site(s) du champ d’application de l’évaluation, le statut du champ d’application de l’évaluation et l’/les objectif(s) de l’évaluation. Elles n’incluent pas les résultats d’évaluation ou les labels TISAX.
|
En attente de votre paiement. |
Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.
7.5.6. Assessment scope status “Registered” ( Statut du champ d’application de l’évaluation « Inscrit »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Inscrit |
Le champ d’application de votre évaluation est enregistré. |
Suivez le processus d’évaluation TISAX. |
Aucune |
7.5.7. Assessment scope status “Active” ( Statut du champ d’application de l’évaluation « Actif »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Actif |
Vous avez terminé avec succès le processus d’évaluation TISAX et avez reçu des labels TISAX. |
Publiez et partagez le résultat de votre évaluation. |
Aucune |
Pour de plus amples informations sur la publication et le partage, veuillez consulter la Section 6, “Échange (étape 3)”.
7.5.8. Assessment scope status “Expired” ( Statut du champ d’application de l’évaluation « Expiré »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Expiré |
Soit :
|
Démarrez un nouvel enregistrement du champ d’application de l’évaluation. |
Aucune |
Incomplet |
7.6. Annexe : Assessment status ( Statut de l’évaluation)
7.6.1. Aperçu : Assessment status ( Statut de l’évaluation)
Le « statut de l’évaluation » définit à quel stade du processus d’évaluation vous vous trouvez. Le statut change à mesure que vous progressez d’un type d’évaluation au suivant (comme « évaluation initiale » à « évaluation du plan d’action corrective »).
Notez que le « statut de l’évaluation » est différent du « statut du champ d’application de l’évaluation ». Pour de plus amples informations sur le « statut du champ d’application de l’évaluation », veuillez consulter la Section 7.5, “Annexe : Assessment scope status ( Statut du champ d’application de l’évaluation)”.
Votre « statut de l’évaluation » peut être :
-
Initial assessment ordered (
Évaluation initiale commandée) -
Initial assessment ongoing (
Évaluation initiale en cours) -
Waiting for corrective action plan assessment (
En attente de l’évaluation du plan d’action corrective) -
Waiting for follow-up (
En attente de suivi) -
Finished (
Terminé)
Les tableaux dans chaque section de statut ci-dessous décrivent :
-
votre situation
(telle qu’elle est actuellement alors que vous présentez ce statut) -
votre prochaine action
(ce que vous devez faire pour progresser vers le prochain statut, le cas échéant) -
notre prochaine action
(ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant) -
le prochain statut
(le cas échéant)
L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :
|
|
Vous |
|
|
Statut du champ d’application de l’évaluation |
|
|
Statut de l’évaluation |
|
|
Commandez l’évaluation |
|
|
Évaluation initiale commandée |
|
|
Débutez l’évaluation |
|
|
Évaluation initiale en cours |
|
|
A |
|
|
Passez l’évaluation |
|
|
6. Actif |
|
|
En attente de l’évaluation du plan d’action corrective |
|
|
Créez un plan d’action corrective |
|
|
En attente de suivi |
|
|
Demandez l’évaluation de suivi |
|
|
Terminé |
La référence hors page « A » dans l’illustration ci-dessus relie le statut du champ d’application de l’évaluation « Actif » au « statut de l’évaluation » « En attente de l’évaluation du plan d’action corrective ». Pour de plus amples informations sur le « statut du champ d’application de l’évaluation », veuillez consulter la Section 7.5, “Annexe : Assessment scope status ( Statut du champ d’application de l’évaluation)”.
7.6.2. Assessment status “Initial assessment ordered” ( Statut de l’évaluation « Évaluation initiale commandée »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Évaluation initiale commandée |
Vous avez sélectionné l’un de nos auditeurs TISAX et avez commandé une évaluation initiale. |
Poursuivez le processus d’évaluation TISAX. |
Aucune |
7.6.3. Assessment status “Initial assessment ongoing” ( Statut de l’évaluation « Évaluation initiale en cours »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Évaluation initiale en cours |
Votre évaluation initiale :
|
Aucune |
Aucune |
En attente de l’évaluation du plan d’action corrective (le cas échéant) |
7.6.4. Assessment status “Waiting for corrective action plan assessment” ( Statut de l’évaluation « En attente de l’évaluation du plan d’action corrective »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente de l’évaluation du plan d’action corrective |
Votre auditeur a mené une évaluation initiale. |
Créez un plan d’action corrective. |
Aucune |
En attente de suivi (le cas échéant) |
Le statut d’évaluation « En attente de l’évaluation du plan d’action corrective » est limité à neuf mois. Pour de plus amples informations, veuillez consulter la Section 5.4.8.3, “Exigences concernant le plan d’action corrective”.
7.6.5. Assessment status “Waiting for follow-up” ( Statut de l’évaluation « En attente de suivi »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
En attente de suivi |
Votre auditeur a approuvé votre plan d’action corrective. |
Demandez une évaluation de suivi. |
Aucune |
Le statut de l’évaluation « En attente de suivi » est limité à neuf mois. Pour de plus amples informations, veuillez consulter la Section 5.4.8.3, “Exigences concernant le plan d’action corrective”.
7.6.6. Assessment status “Finished” ( Statut de l’évaluation « Terminé »)
| Statut | Situation | Votre prochaine action | Notre prochaine action | Prochain statut |
|---|---|---|---|---|
Terminé |
Votre auditeur a mené une évaluation de suivi. |
Publiez et partagez votre résultat d’évaluation. |
Aucune |
n/a |
7.7. Annex: Custom scopes
Almost all TISAX participants choose the standard scope. However, in certain and rare circumstances you may need to choose a custom scope.
There are two types of custom scopes:
7.7.1. Custom extended scope
You can extend the scope. A custom extended scope contains MORE than the standard scope. The audit provider will perform more checks.
Purpose: A custom extended scope may be relevant if you want to use your TISAX assessment for internal purposes or outside of the automotive industry.
TISAX labels and sharing results: A custom extended scope always includes the standard scope. Therefore, a custom extended scope will receive TISAX labels[41]. Other TISAX participants will still accept the assessment result.
Description: While the standard scope has a predefined description, you need to write your own scope description if you need a custom extended scope.
7.7.2. Full custom scope
You can fully define your own scope.
Purpose: If you have locations that belong to different assessment scopes and that use services at a particular site (such as a data centre), you may use a full custom scope for those services. Thus, a TISAX audit provider can easily reuse the assessment result of the service’s full custom scope.
Example: You have many locations (possibly part of different scopes) and you have a central IT department at one of those locations. Defining a full custom scope just for the IT department may make it easier to reuse the respective assessment result in the other scopes.
TISAX labels and sharing results: Full custom scopes don’t receive TISAX labels. Your assessment result is recorded in the ENX portal with the date, validity period and whether the overall assessment result is conform or non-conform. You could share such an assessment result. But sharing an assessment result without TISAX labels will look like a “failed” assessment to most recipients. Other TISAX participants generally don’t accept assessment results of full custom scopes.
Description: As for the custom extended scope, you need to write your own scope description if you need a full custom scope.
|
|
Important note: To emphasize how rare the use of full custom scopes is: There is a 98% chance that your audit provider will revert your full custom scope to a standard scope. No participant ever successfully chose a full custom scope without advise from his audit provider. An assessment with a full custom scope won’t receive TISAX labels. We therefore generally advise against choosing a full custom scope — mainly because other participants generally don’t accept assessment results with full custom scopes. |
7.8. Annexe : gestion du cycle de vie des données du participant
Les sections suivantes décrivent ce que vous devez faire si un élément en lien avec vos données de participant est modifié.
7.8.1. Changement du nom de l’entreprise
Si vous souhaitez modifier le nom de votre entreprise, veuillez nous contacter.
7.8.2. Changement des contacts
Les contacts principaux du participant de votre entreprise et tous les autres « contacts administratifs » ayant un compte sur le portail peuvent toujours se rendre sur le portail ENX et :
-
ajouter de nouveaux contacts
-
supprimer des contacts existants
-
modifier les détails des contacts existants
7.8.2.1. How to add a new contact
To add a new contact, follow these steps:
-
Log in to the ENX portal.
-
Go to the main navigation bar and select “MY TISAX”.
-
From the dropdown menu, select “ADMINISTRATORS”.
-
Click the button “Create new TISAX Administrator”.
-
Enter the contact’s data.
-
Click the button “Save Contact”.
-
Go to the table and find the table row with the contact.
-
Go to the end of the table row of the contact and click the button with the down arrow
. -
Select “Edit TISAX Administrator”.
-
In the new window (“Edit TISAX Contact”), scroll down to the section “ENX PORTAL ACCESS”.
-
Select “Yes”.
-
In the appearing section “WEB ROLES”, click the button “Add Role”.
-
Select the role you want to assign (e.g. “TISAX Administrator”).
-
Click the button “Add Role”.
-
Click the button “Save Contact”.
7.8.2.2. How to delete an existing contact
To delete an existing contact, follow these steps:
-
Log in to the ENX portal.
-
Go to the main navigation bar and select “MY TISAX”.
-
From the dropdown menu, select “ADMINISTRATORS”.
-
Go to the table and find the table row with the contact.
-
Go to the end of the table row of the contact and click the button with the down arrow
. -
Select “Delete TISAX Administrator”.
-
In the appearing confirmation request, click the button “Delete”.
7.8.2.3. How to update details of an existing contact
To update the details of an existing contact, follow these steps:
-
Log in to the ENX portal.
-
Go to the main navigation bar and select “MY TISAX”.
-
From the dropdown menu, select “ADMINISTRATORS”.
-
Go to the table and find the table row with the contact.
-
Go to the end of the table row of the contact and click the button with the down arrow
. -
Select “Edit TISAX Administrator”.
-
Update the details.
-
Click the button “Save Contact”.
7.8.3. Perte d’accès aux données du participant (portail ENX)
Si dans votre entreprise, plus personne n’a accès à votre portail ENX et par conséquent à vos données de participant, veuillez nous contacter. Nous tenterons de vous aider à accéder à nouveau aux données de participant de votre entreprise.
7.8.4. Déménagements
Si seul le nom de la rue a officiellement changé, il suffit au principal contact de participant de votre entreprise de nous contacter. Nous modifierons les données d’adresse en conséquence.
Mais si l’un de vos sites déménage à une nouvelle adresse, vous devez :
-
élargir le champ d’application de l’évaluation.
Suivez les étapes décrites à la Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”. -
nous envoyer un e-mail pour nous informer que l’ancien site ne fait plus partie de votre entreprise.
Nous actualiserons en conséquence les données du champ d’application de l’évaluation. Nous vous enverrons une confirmation.
7.8.5. Site supplémentaire (évaluation d’extension du champ d’application)
Si vous inaugurez un nouveau site durant la période de validité de vos labels TISAX actuels, vous devez demander une « évaluation d’extension du champ d’application » ( scope extension assessment) à votre auditeur. Vous ne pouvez pas sélectionner un autre auditeur pour mener une « évaluation d’extension du champ d’application ». L’évaluation est similaire aux autres types d’évaluation. Toutefois, il est probable que votre auditeur envisagera de réutiliser les résultats applicables des précédentes évaluations.
Une fois que l’évaluation d’extension du champ d’application se termine sans que des non-conformités soient identifiées, votre auditeur :
-
mettra à jour le champ d’application de votre évaluation sur le portail ENX.
-
publiera un rapport d’évaluation d’extension du champ d’application.
Une évaluation d’extension du champ d’application ne prolonge pas la période de validité d’origine de vos labels TISAX actuels.
7.9. Annexe : gestion du cycle de vie ISA
Un groupe de travail ENX est chargé de maintenir l’ISA. La VDA publie officiellement de nouvelles versions. Nous avons défini un calendrier qui détermine quelle version de l’ISA sert de base à l’évaluation TISAX à un moment donné.
Lorsque la VDA publie une nouvelle version qui contient des changements de forme et de contenu, notre calendrier commence à courir et nous distribuons la nouvelle version à nos auditeurs TISAX. En général, huit semaines plus tard, les auditeurs PEUVENT mener des évaluations sur la base de la nouvelle version. Seize semaines plus tard, les auditeurs DOIVENT mener des évaluations sur la base de la nouvelle version. Ces périodes s’appliquent aux évaluations qui sont commandées APRÈS que le calendrier a commencé à courir. Si vous avez commandé votre évaluation AVANT que le calendrier commence à courir, votre auditeur PEUT mener l’évaluation sur la base de l’ancienne version de l’ISA. Toutefois, votre auditeur recommandera généralement une évaluation basée sur la nouvelle version.
Vous trouverez les dates de publication dans l’ISA dans l’onglet « Historique des modifications » et sur le site Web ISA de la VDA (portal.enx.com/isa5-en.xlsx).
7.10. Annexe : documents utiles
La présente section énumère les documents que nous jugeons utiles.
-
Livre blanc « Harmonization of security levels »
« Un élément clé nécessaire pour atteindre le niveau de sécurité de l’information axé sur les besoins est la classification des informations. Le présent livre blanc fournit des orientations pour des niveaux de classification harmonisés et standardisés en lien avec la confidentialité. »
Langues disponibles : allemand, anglais
Éditeur : Verband der Automobilindustrie e.V. (« Association allemande de l’industrie automobile »)
-
Livre blanc « Gestion du risque en matière de sécurité de l’information »
« L’objectif de ce livre blanc est d’informer les entreprises actives dans l’industrie automobile sur la gestion du risque lié à la sécurité de l’information et de leur permettre d’instaurer une gestion efficace du risque en la matière. Il vise à aider les organisations à préparer ou mener une évaluation TISAX pour répondre aux exigences de la VDA associées à la question de contrôle 1.4.1 de l’ISA. Les informations qu’il contient doivent être considérées comme des recommandations de mise en œuvre, et non comme des exigences obligatoires. »
Langues disponibles : allemand, anglais
Éditeur : Verband der Automobilindustrie e.V. (« Association allemande de l’industrie automobile »)
7.11. Annex: Complaint management
7.11.1. Causes for complaint
Our complaint management differentiates between these two areas:
-
ENX Association — the organisation that governs TISAX
-
Audit providers — the organisations that conduct the TISAX assessments
7.11.1.1. Complaints about ENX Association
If you have a complaint about ENX Association, please contact our “TISAX manager on duty” (see contact details below).
7.11.1.2. Complaints about audit providers
First, you should try to solve the issue directly with the auditor.
The next step should be the person responsible for TISAX at the audit provider.
Thereafter, your next contact would be the person responsible for the audit provider’s quality management.
If the issue is still unsolved, you should contact our “TISAX manager on duty” (see contact details below).
There are even options above the “TISAX manager on duty”. In such cases, you would talk to ENX Association’s managing director.
The VDA has no role in the complaint management.
7.11.1.3. Requirements for complaints
If you want to involve us, we need the following information:
-
Who is complaining?
-
Company name
-
TISAX Participant ID
-
Contact (name, email address, phone number)
-
-
Which assessment is it?
-
Assessment ID
-
If the assessment is not yet recorded in the ENX portal: Scope ID
-
-
Who is the audit provider?
-
Audit provider company name
-
Name of the auditor(s)
-
-
What are you complaining about?
-
General complaint about the performance of the audit provider
-
Complaint about the approach of the auditor
-
Complaint about the assessment with regards to content
-
-
For complaints about the assessment with regards to content: Which finding do you object?
-
Control (e.g. 1.6.1 "To what extent are information security events processed?")
-
Finding (full text)
-
Objection against:
-
Interpretation of the control
-
Ascertainment with regards to content (available evidence is not assessed correctly)
-
Risk assessment (appropriateness not considered)
-
-
Reasoning why you assess things differently
-
7.11.2. Contact for complaints
Please contact the “TISAX manager on duty”:
Send him an email at: |
|
Or call him at: |
You can reach him during regular business hours in Germany (UTC+01:00).
He speaks English and German.
8. Historique du document
| Version | Remarques |
|---|---|
2.3 |
|
2.2.1 |
|
2.2 |
|
2.1.2 |
|
2.1.1 |
|
2.1 |
|