Completate il processo di valutazione TISAX e condividete il risultato della valutazione con il vostro partner
Pubblicato da
ENX Association
un’associazione costituita ai sensi della legge francese del 1901,
iscritta con il numero w923004198 presso la Sous-préfecture of Boulogne-Billancourt, Francia
Indirizzi
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francia
Bockenheimer Landstraße 97-99, 60325 Francoforte sul Meno, Germania
Autore
Florian Gleich
Contatti
Versione
Data: |
06.03.2024 |
Versione: |
2.7.1 |
Classificazione: |
Public |
ENX doc ID: |
602-IT |
Avviso sul copyright
Tutti i diritti riservati da ENX Association.
ENX, TISAX e i rispettivi loghi sono marchi registrati di ENX Association.
I marchi di terzi citati sono di proprietà dei rispettivi titolari.
1. Panoramica
1.1. Scopo
Vi diamo il benvenuto su TISAX, il Trusted Information Security Assessment Exchange.
Uno dei vostri partner vi ha chiesto di dimostrare che la gestione della sicurezza delle informazioni della vostra azienda è conforme a un determinato livello secondo i requisiti del documento “Information Security Assessment” (ISA). Ora volete quindi capire come soddisfare questa richiesta.
Lo scopo di questo manuale è quello di aiutarvi a soddisfare la richiesta del vostro partner o di portarvi avanti anticipandola prima che venga formulata.
Il presente manuale descrive le azioni da compiere per superare la valutazione TISAX e per condividere il relativo risultato con il vostro partner.
Definire e mantenere un sistema di gestione della sicurezza delle informazioni (information security management system, ISMS) è già di per sé un’operazione impegnativa. Dimostrare al vostro partner che la gestione della sicurezza delle informazioni della vostra azienda è adeguata la rende ulteriormente complessa. Il presente manuale non vi aiuterà a gestire la sicurezza delle informazioni: il suo scopo è invece quello di rendere il più semplice possibile dimostrare l’impegno della vostra azienda al partner in questione.
1.2. Ambito di applicazione
Il presente manuale si applica a tutti i processi TISAX in cui la vostra azienda può essere coinvolta.
Contiene tutto ciò che dovete sapere per completare il processo TISAX.
Il manuale offre alcuni consigli su come gestire i requisiti di sicurezza delle informazioni al centro della valutazione. Il suo obiettivo, tuttavia, non è quello di fornirvi una preparazione generale su cosa è necessario fare per superare la valutazione della sicurezza delle informazioni.
1.3. Destinatari
Il presente manuale si rivolge principalmente alle aziende che devono o vogliono dimostrare di possedere un determinato livello di gestione della sicurezza delle informazioni secondo i requisiti dell’“Information Security Assessment” (ISA).
Non appena la vostra azienda sarà attivamente coinvolta nei processi TISAX, potrete beneficiare delle informazioni fornite in questo manuale.
Anche le aziende che richiedono ai propri fornitori di dimostrare di possedere determinati livelli di gestione della sicurezza delle informazioni ne trarranno vantaggio. Questo manuale permette a tali aziende di capire cosa devono fare i relativi fornitori per soddisfare la loro richiesta.
1.4. Struttura
Innanzitutto introdurremo brevemente TISAX, per passare subito dopo alle istruzioni su COME procedere. Troverete tutte le informazioni che vi servono per completare il processo nell’ordine più appropriato.
Il tempo di lettura stimato del documento è di 75-90 minuti.
1.5. Come utilizzare questo documento
È probabile che prima o poi avrete bisogno di familiarizzare con la maggior parte dei contenuti di questo documento. Per una preparazione adeguata, si consiglia di leggere l’intero manuale.
Il manuale è strutturato in base alle tre fasi principali del processo TISAX, in modo da poter passare alla sezione di cui avete bisogno e leggere il resto in un secondo momento.
Nel manuale sono contenute illustrazioni che facilitano la comprensione. I colori delle illustrazioni hanno spesso un significato aggiuntivo: si consiglia pertanto di leggere il documento da computer o su una copia cartacea a colori.
Il vostro feedback è molto apprezzato: se pensate che in questo manuale manchi qualcosa o che determinati contenuti non siano chiari, non esitate a comunicarcelo. Noi e tutti i futuri lettori del manuale vi saremo grati per il feedback fornito.
Se avete già utilizzato una versione precedente del Manuale per i partecipanti TISAX, troverete alcune note utili alla fine del documento in Sezione 8, “Cronologia dei documenti”.
1.6. Contatti
Restiamo a disposizione per guidarvi attraverso il processo TISAX e per rispondere a tutte le vostre domande.
Potete inviarci un’e-mail all’indirizzo: |
|
Oppure potete contattarci al numero: |
Siamo raggiungibili durante il normale orario di lavoro in Germania (UTC+01:00).
Tutti i nostri dipendenti parlano 
inglese e 
tedesco. Un dipendente è madrelingua 
italiano.
Si prega di consultare la Sezione 7.13, “Allegato: Gestione dei reclami”.
1.7. Il Manuale per i partecipanti TISAX in altre lingue e altri formati
Il Manuale per i partecipanti TISAX è disponibile nelle seguenti lingue e nei seguenti formati:
| Lingua | Versione | Formato | Link |
|---|---|---|---|
|
2.7.1 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
|
2.7.1 |
Online |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7.1 |
Online |
|
Offline |
|||
|
2.7 |
Online |
|
Offline |
|||
|
2.7.1 |
Online |
|
Offline |
|||
|
2.7.1 |
Online |
|
Offline |
|||
|
Importante
|
Nota importante: La versione inglese è quella di riferimento. |
1.7.1. Informazioni sulla traduzione in italiano
Il presente Manuale per i partecipanti TISAX è una traduzione della versione inglese.
Tutti i documenti alla base di TISAX sono stati creati in inglese (ad esempio, tutti i contratti e i requisiti per i fornitori dei servizi di audit di TISAX). Di conseguenza, il vostro partner o fornitore di audit potrebbe utilizzare alcuni termini specifici di TISAX in inglese.
Per aiutarvi a effettuare una corretta interpretazione, abbiamo mantenuto il termine originale TISAX inglese nella traduzione del Manuale per i partecipanti TISAX o lo abbiamo indicato tra parentesi direttamente dopo la relativa traduzione.
1.7.2. Informazioni sul formato online
Ciascuna sezione è provvista di un ID unico (formato: ID1234).
Un ID fa riferimento a una sezione specifica, indipendentemente dalla lingua.
Per accedere a una sezione specifica potete:
-
fare clic con il tasto destro del mouse sul titolo della sezione e copiare il link, oppure
-
fare clic sul titolo della sezione e copiare il link dalla barra degli indirizzi del browser.
La maggior parte delle figure è disponibile con dimensioni più grandi rispetto a quelle visualizzate per impostazione predefinita in questo documento. Fate clic sulla figura in questione per aprire la versione ingrandita.
1.7.3. Informazioni sul formato offline
Il formato offline mantiene la maggior parte delle caratteristiche del formato online. In particolare, le figure sono incorporate nel file HTML. Per utilizzare il formato offline occorre un solo file.
Rispetto al formato online, il formato offline non contiene:
-
le immagini ingrandite
-
i caratteri originali del formato online
I caratteri sono definiti in base alle impostazioni predefinite del vostro browser.
1.7.4. Informazioni sul formato PDF
Se utilizzate il formato PDF da computer, potrete comunque fare clic su tutti i riferimenti. Se decidete invece di stampare la versione PDF, non avrete a disposizione i numeri di pagina e dovrete cercare i riferimenti autonomamente.
2. Introduzione
Le sezioni seguenti introducono il concetto di TISAX.
Se vi trovate in una situazione di urgenza, potete saltarle e passare subito alla Sezione 4.3, “Preparazione per la registrazione”.
2.1. Perché TISAX?
O per meglio dire: perché siete qui?
Per rispondere a questa domanda, cominceremo con alcune riflessioni sull’attività commerciale in generale e sulla protezione delle informazioni in particolare.
Mettetevi nei panni del vostro partner: possiede delle informazioni riservate e vuole condividerle con il suo fornitore, ossia la vostra azienda. La collaborazione tra voi e il vostro partner genera valore e le informazioni che il vostro partner condivide con voi sono una parte importante di questa creazione di valore. Per questo motivo vuole proteggerle in maniera adeguata. Vuole inoltre assicurarsi che voi gestiate le sue informazioni con la stessa cura.
Ma come può essere sicuro che le sue informazioni siano in buone mani? Non può semplicemente “fidarsi” di voi, deve averne la prova.
Le domande da porsi a questo punto sono due: chi stabilisce cosa si intende con gestione “sicura” delle informazioni? E come la si dimostra?
2.2. Chi stabilisce cosa si intende con "sicurezza"?
Voi e il vostro partner non siete gli unici a dover affrontare queste domande per la prima volta. Quasi tutti sono alla ricerca di una risposta e quasi tutte le risposte sono simili tra loro.
Invece di dover trovare ogni volta una soluzione individuale a un problema comune, l’adozione di un metodo standard elimina le difficoltà derivanti dal dover creare tutto da zero. Definire uno standard comporta uno sforzo enorme, ma è un’operazione che viene fatta una sola volta e chi lo segue ne trarrà vantaggio ogni volta.
Esistono sicuramente opinioni diverse su cosa sia giusto fare per proteggere le informazioni. Tuttavia, proprio per i vantaggi citati sopra, la maggior parte delle aziende decide di avvalersi di standard. Uno standard condensa dentro di sé tutte le best practice comprovate e testate nel tempo per una determinata sfida.
Nel vostro caso, standard come l’ISO/IEC 27001 (sui sistemi di gestione della sicurezza delle informazioni o ISMS) e la loro implementazione stabiliscono modalità avanzate per gestire in modo sicuro le informazioni riservate. Con uno standard come questo non dovrete perdere tempo ogni volta per inventare una soluzione che esiste già. Inoltre, gli standard forniscono una base comune che due aziende possono utilizzare quando devono scambiarsi dati riservati.
2.3. Il metodo del settore automotive
Per loro natura, gli standard indipendenti da un settore specifico sono concepiti come soluzioni universali, anziché essere adattate alle particolari esigenze delle aziende del settore automobilistico.
Molto tempo fa, l’industria automobilistica ha formato delle associazioni che avevano come obiettivo, tra gli altri, quello di perfezionare e definire standard adatti alle specifiche necessità del settore. L’associazione “Verband der Automobilindustrie” (VDA) è una di queste. All’interno del gruppo di lavoro che si occupa di sicurezza delle informazioni, diversi membri dell’industria automobilistica sono giunti alla conclusione che le loro esigenze sono sufficientemente simili per adattare gli standard esistenti di gestione della sicurezza delle informazioni.
Il loro impegno congiunto ha portato alla realizzazione di un questionario relativo ai requisiti di sicurezza delle informazioni ampiamente accettati dal settore automobilistica, denominato “Information Security Assessment” (ISA, Valutazione della sicurezza delle informazioni).
Grazie all’ISA, ora abbiamo una risposta alla domanda “Chi stabilisce cosa si intende con sicurezza?”. Attraverso la VDA, il settore automobilistico stesso offre questa risposta ai suoi membri.
2.4. Come si può dimostrare la sicurezza in modo efficace?
Mentre alcune aziende utilizzano l’ISA solo per finalità interne, altre lo usano per valutare la maturità della gestione della sicurezza delle informazioni dei loro fornitori. In alcuni casi, un’autovalutazione è sufficiente ai fini dei rapporti commerciali. Tuttavia, a volte, le aziende conducono una valutazione completa della gestione della sicurezza delle informazioni dei propri fornitori (compresi gli audit in loco).
Parallelamente alla crescente consapevolezza della necessità di gestire la sicurezza delle informazioni e alla diffusione dell’ISA come strumento di valutazione della sicurezza delle informazioni, un numero considerevole di fornitori si è trovato di fronte a richieste simili da partner diversi.
Tali partner applicavano comunque standard diversi e avevano opinioni differenti su come interpretarli. In sostanza i fornitori dovevano dimostrare le stesse cose, solo in modi diversi.
E più i partner chiedevano ai fornitori di dimostrare il proprio livello di gestione della sicurezza delle informazioni, più le proteste di questi ultimi aumentavano per il continuo lavoro che veniva loro richiesto. Mostrare a un auditor dopo l’altro le stesse misure di gestione della sicurezza delle informazioni è semplicemente un metodo inefficace.
Come rendere quindi questa operazione più efficace? Non sarebbe utile poter riutilizzare la relazione di uno stesso auditor per più partner?
Gli OEM e i fornitori del gruppo di lavoro di ENX responsabile della gestione dell’ISA hanno ascoltato le rimostranze dei propri fornitori. Oggi sono quindi in grado di offrire loro e a tutte le altre aziende del settore automobilistico una risposta alla domanda “Come si può dimostrare la sicurezza?”.
Questa risposta è TISAX, acronimo di “Trusted Information Security Assessment Exchange” ( “Scambio affidabile delle valutazioni sulla sicurezza delle informazioni”).
3. Il processo TISAX
3.1. Panoramica
Il processo TISAX normalmente[1] inizia con la richiesta da parte di uno dei vostri partner di dimostrare un determinato livello di gestione della sicurezza delle informazioni in base ai requisiti dell’“Information Security Assessment” (ISA). Per soddisfare tale richiesta, dovete completare il processo TISAX in 3 fasi. In questa sezione troverete una panoramica delle fasi da completare.
Il processo TISAX è composto dalle seguenti 3 fasi:
|
Fase 1 |
|
Fase 2 |
|
Fase 3 |
-
Registrazione
Raccogliamo informazioni sulla vostra azienda e su quali elementi devono essere inclusi nella valutazione. -
Valutazione
La vostra azienda completa la valutazione (o le valutazioni) condotta da parte di uno dei nostri fornitori di audit TISAX. -
Scambio
La vostra azienda condivide il risultato della valutazione con il partner in questione.
Ciascuna fase è composta da sotto-fasi, delineate nelle tre sezioni seguenti e descritte in dettaglio nelle rispettive sezioni più avanti.
|
Nota
|
Attenzione: Anche se ci piacerebbe potervi dire quanto tempo è necessario per ottenere il risultato della valutazione TISAX, ci teniamo a precisare che non è possibile per noi fare previsioni affidabili. La durata complessiva del processo TISAX dipende da troppi fattori. Le diverse dimensioni delle aziende, la varietà degli obiettivi di valutazione e il grado di sviluppo di ciascun sistema di gestione della sicurezza delle informazioni rendono questa previsione impossibile. |
3.2. Registrazione
Il primo passo è la registrazione a TISAX.
Lo scopo principale della registrazione a TISAX è quello di raccogliere informazioni sulla vostra azienda. Utilizziamo una procedura di registrazione online attraverso la quale potete fornirci queste informazioni.
Si tratta di un prerequisito per tutte le fasi successive. e prevede il pagamento di una tariffa.
Durante la procedura di registrazione online:
-
Vi chiediamo di fornirci i vostri dati di contatto e di fatturazione.
-
Dovete accettare le nostre condizioni.
-
Potete definire l’ambito della valutazione della sicurezza delle informazioni della vostra azienda.
Per un avvio diretto con questa azione, si veda Sezione 4, “Registrazione (fase 1)”.
La procedura di registrazione online è descritta in dettaglio in Sezione 4.5, “Procedura di registrazione online”. Se invece volete iniziare subito il processo, accedete a enx.com/en-US/TISAX/.
3.3. Valutazione
La seconda fase consiste nel completamento della valutazione della sicurezza delle informazioni.
Sono previste quattro sotto-fasi:
-
Preparazione della valutazione
Dovete predisporre la valutazione. La portata di tale preparazione dipende dal livello di maturità corrente del sistema di gestione della sicurezza delle informazioni della vostra azienda. La vostra preparazione deve basarsi sul catalogo dell’ISA. -
Selezione del fornitore di audit
Dovete scegliere uno dei nostri fornitori di audit TISAX. -
Valutazione/i della sicurezza delle informazioni
Il vostro fornitore di audit condurrà la valutazione sulla base di un ambito di valutazione che corrisponde ai requisiti del vostro partner. Come minimo, il processo di valutazione consiste nell’audit iniziale.
Qualora la vostra azienda non superi subito la valutazione, il processo può richiedere ulteriori fasi. -
Risultato della valutazione
Una volta che la vostra azienda ha superato la valutazione, il vostro fornitore di audit vi fornirà la relazione della valutazione TISAX ufficiale. Il risultato della valutazione sarà anche accompagnato dalle etichette TISAX[2].
Per maggiori informazioni su questa azione, si veda Sezione 5, “Valutazione (fase 2)”.
3.4. Scambio
La terza e ultima fase consiste nel condividere il risultato della valutazione con il vostro partner. Il contenuto della relazione della valutazione TISAX è strutturato in livelli. Potete decidere fino a quale livello concedere l’accesso al vostro partner.
Il risultato della valutazione ha una validità di tre anni. Se a quel punto sarete ancora un fornitore del partner in questione, dovrete ripetere le tre fasi del processo[3].
Per maggiori informazioni su questa azione, si veda Sezione 6, “Scambio (fase 3)”.
Ora che vi siete fatti un’idea di base del processo TISAX, nelle sezioni seguenti troverete le istruzioni su come completare ogni fase.
4. Registrazione (fase 1)
Il tempo di lettura stimato per la sezione relativa alla registrazione è di 30-40 minuti.
4.1. Panoramica
La registrazione a TISAX è il primo passo da compiere. Si tratta di un prerequisito per tutte le fasi successive.
Le sezioni che seguono vi guideranno durante la procedura di registrazione:
-
Cominceremo con lo spiegare un nuovo termine essenziale.
-
Vi forniremo poi consigli su come prepararvi per la procedura di registrazione online.
-
Infine vi guideremo durante la procedura di registrazione online.
4.2. La vostra azienda è un partecipante TISAX
Cominciamo con l’introdurre innanzitutto un nuovo termine indispensabile da comprendere. Finora la vostra azienda ha ricoperto il ruolo di “fornitore”, chiamato a soddisfare una richiesta del suo “cliente”. TISAX, tuttavia, non fa una vera e propria distinzione tra questi due ruoli. Per TISAX ogni soggetto che si registra è un “partecipante”. La vostra azienda, così come il vostro partner, “partecipa” allo scambio dei risultati relativi alla valutazione della sicurezza delle informazioni.
|
|
La vostra azienda |
|
|
Registrazione a TISAX |
|
|
Partecipante TISAX |
Per distinguere i due ruoli fin dall’inizio, ci riferiremo alla vostra azienda, il fornitore, come “partecipante attivo”, mentre il vostro partner verrà indicato come “partecipante passivo”. In quanto “partecipante attivo”, la vostra azienda verrà sottoposta alla valutazione TISAX e condividerà il risultato della valutazione con gli altri partecipanti. Il “partecipante passivo” è il soggetto che ha richiesto alla vostra azienda di sottoporsi alla valutazione TISAX e che riceve quindi il risultato della valutazione.
|
|
1 Richiede la valutazione a |
|
|
Partecipante passivo |
|
|
Partecipante attivo |
|
2 Si sottopone alla valutazione TISAX |
|
3 Condivide il risultato con |
Tutte le aziende possono ricoprire entrambi i ruoli. Potete condividere il risultato di una valutazione con il vostro partner e chiedere al tempo stesso ai vostri fornitori di sottoporsi a una valutazione TISAX.
|
|
Il vostro cliente |
|
|
La vostra azienda condivide il risultato con il cliente |
|
|
Partecipante attivo |
|
|
La vostra azienda |
|
|
Partecipante passivo |
|
Condivide il risultato con la vostra azienda |
|
Il vostro fornitore |
Richiedere ai propri fornitori di sottoporsi alla valutazione TISAX può essere particolarmente opportuno se anche loro gestiscono le informazioni del vostro partner con esigenze di protezione.
4.3. Preparazione per la registrazione
Questa sezione contiene consigli su come prepararsi per la registrazione. La procedura di registrazione è descritta in dettaglio in Sezione 4.5, “Procedura di registrazione online”.
Prima di iniziare la procedura di registrazione online, vi consigliamo vivamente di:
-
raccogliere le informazioni in anticipo
-
e prendere alcune decisioni.
4.3.1. Le basi giuridiche
Normalmente è necessario firmare due contratti. Il primo contratto viene stipulato tra la vostra azienda ed ENX Association: le “Condizioni generali di partecipazione a TISAX” (CG di Partecipazione a TISAX). Il secondo contratto viene invece concluso tra la vostra azienda e uno dei nostri fornitori di audit TISAX. Ai fini della registrazione ci soffermeremo solo sul primo contratto.
Le CG di Partecipazione a TISAX regolano i rapporti tra noi e la vostra azienda e quelli tra la vostra azienda e gli altri partecipanti TISAX. In esse sono stabiliti i diritti e i doveri di tutti i soggetti coinvolti. Oltre alle clausole standard che si trovano nella maggior parte dei contratti, esse definiscono nel dettaglio come vengono trattate le informazioni scambiate e ottenute durante il processo TISAX. Un obiettivo fondamentale di queste regole è quello di mantenere riservati i risultati delle valutazioni TISAX. Poiché tutti i partecipanti TISAX sono soggetti alle stesse regole, potete aspettarvi un’adeguata protezione dei risultati della valutazione TISAX da parte del vostro partner (nel suo ruolo di partecipante passivo).
Già nella fase iniziale della procedura di registrazione online, vi chiederemo di accettare le CG di Partecipazione a TISAX. Trattandosi di un vero e proprio contratto, consigliamo di leggere le CG di Partecipazione a TISAX prima di iniziare la procedura di registrazione online. A seconda del vostro ruolo in azienda, infatti, potrebbe essere necessario ottenere l’autorizzazione da parte di un consulente legale interno o esterno.
Le “Condizioni generali di partecipazione a TISAX”[4] possono essere scaricate dal nostro sito web al seguente indirizzo:
enx.com/en-US/TISAX/downloads/
Download diretto del PDF:
enx.com/tisaxgtcen.pdf
Durante la procedura di registrazione online, vi chiederemo di selezionare due caselle obbligatorie:
-
❏ We accept the TISAX Participation General Terms and Conditions (
Accettiamo le Condizioni generali di partecipazione a TISAX) -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; (
Confermiamo di essere a conoscenza del fatto che il Richiedente esonera i Fornitori di Audit dai propri obblighi di segretezza professionale conformemente alle Sezioni IX.5. e X.3 delle Condizioni generali di partecipazione a TISAX;)
Abbiamo inserito la seconda casella perché alcuni dei nostri fornitori di audit TISAX sono revisori contabili certificati e devono quindi rispettare speciali requisiti in materia di segreto professionale. Di solito, i requisiti speciali in materia di segreto professionale vietano ai revisori contabili certificati che operano in qualità di nostri fornitori di audit di condividere informazioni con noi. In particolare, ciò ci impedirebbe di eseguire i controlli necessari per svolgere la nostra funzione di governance. Pertanto, abbiamo bisogno di questa liberatoria. Si consiglia di prestare particolare attenzione a queste clausole prima di selezionare la relativa casella.
Se generalmente la vostra azienda necessita di stipulare un accordo di riservatezza (NDA) con qualunque soggetto che gestisca informazioni riservate, vi invitiamo a consultare le rispettive sezioni delle nostre CG, dove dovreste trovare risposta a tutti i vostri dubbi. Inoltre, di solito non è previsto che ci forniate alcuna informazione riservata.
Per concludere la sezione legale, precisiamo che il nostro sistema si basa sull’accettazione delle stesse regole da parte di tutti. Per questo motivo non possiamo accettare condizioni generali aggiuntive[5].
4.3.2. L’ambito di valutazione TISAX
Durante la seconda fase del processo TISAX, uno dei nostri fornitori di audit TISAX condurrà la valutazione della sicurezza delle informazioni. Tale fornitore deve sapere da quale punto iniziare e quando fermarsi, ecco perché è necessario che definiate un “ambito di valutazione”.
L’“ambito di valutazione” descrive il perimetro della valutazione della sicurezza delle informazioni. In parole povere, ogni area della vostra azienda coinvolta nella gestione delle informazioni riservate del vostro partner rientra nell’ambito di valutazione. Si tratta di un elemento fondamentale nella descrizione dei compiti del fornitore di audit e stabilisce gli elementi che egli deve valutare.
L’ambito di valutazione è importante per due motivi:
-
Il risultato della valutazione soddisferà i requisiti del vostro partner solo se il relativo ambito di valutazione copre tutte le aree della vostra azienda coinvolte nella gestione delle informazioni di tale partner.
-
Un ambito di valutazione definito con precisione è un prerequisito essenziale per permettere ai nostri fornitori di audit TISAX di calcolare correttamente i costi.
|
Importante
|
Nota importante: ISO/IEC 27001 vs TISAX Dobbiamo innanzitutto distinguere tra due tipi di ambito: Per la certificazione ISO/IEC 27001, potete definire l’ambito dell’ISMS della vostra azienda (nella “definizione dell’ambito”) in completa libertà. Tuttavia, l’ambito della valutazione (noto anche come “ambito dell’audit”) deve essere identico all’ambito dell’ISMS della vostra azienda. Anche nel caso di TISAX vi viene chiesto di definire l’ISMS della vostra azienda, ma l’ambito della valutazione può essere diverso. Per la certificazione ISO/IEC 27001, potete stabilire liberamente l’ambito della valutazione nello stesso modo in cui stabilite l’ambito dell’ISMS della vostra azienda. Nel caso di TISAX, invece, l’ambito della valutazione è predefinito. L’ambito della valutazione può essere inferiore rispetto all’ambito dell’ISMS della vostra azienda, ma deve rientrare in quest’ultimo. |
4.3.2.1. Descrizione dell’ambito
La descrizione dell’ambito definisce l’ambito di valutazione. Per la descrizione dell’ambito, è necessario scegliere uno dei seguenti due tipi di ambito:
-
Standard scope (
Ambito standard) -
Custom scope (
Ambito personalizzato)-
Custom extended scope (
Ambito personalizzato esteso) -
Full custom scope (
Ambito personalizzato completo)
-
Parleremo dell’ambito standard nella sezione seguente. L’ambito standard è la scelta giusta per oltre il 99% dei partecipanti. Pertanto, parleremo degli ambiti personalizzati solo in Sezione 7.8, “Allegato: Ambiti personalizzati”.
4.3.2.2. Ambito standard
La descrizione dell’ambito standard è alla base della valutazione TISAX. Gli altri partecipanti TISAX accettano solo i risultati di valutazioni basati sulla descrizione dell’ambito standard.
La descrizione dell’ambito standard è predefinita e non può essere modificata.
Uno dei vantaggi principali dell’adottare un ambito standard è il fatto che non occorre elaborare una propria definizione.
Di seguito è riportata la descrizione dell’ambito standard (versione 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
L’ambito di valutazione TISAX definisce il perimetro della valutazione. La valutazione include tutti i processi, le procedure e le risorse di cui l’organizzazione soggetta a valutazione è responsabile e che sono rilevanti per la sicurezza degli elementi oggetto di protezione e i relativi obiettivi di protezione, definiti negli obiettivi di valutazione indicati, nelle sedi indicate. La valutazione viene condotta almeno al livello di valutazione più alto tra quelli elencati negli obiettivi di valutazione indicati. Tutti i criteri di valutazione elencati negli obiettivi di valutazione indicati sono soggetti a valutazione. |
Consigliamo vivamente di scegliere l’ambito standard. Tutti i partecipanti TISAX accettano i risultati della valutazione della sicurezza delle informazioni basati sull’ambito standard.
4.3.2.3. Definizione dell’ambito di applicazione
Dopo aver definito il tipo di ambito, dovete decidere quali sedi rientrano nell’ambito di valutazione.
Se la vostra azienda è di piccole dimensioni (una sola sede), si tratta di un’operazione facile. Dovrete semplicemente aggiungere la vostra sede all’ambito di valutazione.
Se si tratta invece di un’azienda di grandi dimensioni, potete valutare se registrare più di un ambito di valutazione.
Definire un unico ambito che racchiuda tutte le vostre sedi presenta dei vantaggi:
-
Avrete una sola relazione della valutazione, un solo risultato della valutazione e una sola data di scadenza.
-
La valutazione avrà costi ridotti, perché il fornitore di audit TISAX dovrà valutare i processi, le procedure e le risorse centrali una sola volta.
Tuttavia la definizione di un unico ambito può presentare anche degli svantaggi, come ad esempio:
-
Tutte le sedi devono avere gli stessi obiettivi di valutazione.
-
Il risultato della valutazione è disponibile solo dopo che il fornitore di audit TISAX ha valutato tutte le sedi. Questo può essere un aspetto rilevante se avete bisogno di ricevere un risultato della valutazione con urgenza.
-
Il risultato della valutazione è subordinato al superamento della stessa da parte di tutte le sedi. Se una sola sede non supera la valutazione, il risultato non sarà positivo. Una soluzione a questo problema è: a) rimuovere la sede dall’ambito, b) risolvere i problemi, c) aggiungere la sede in seguito con una valutazione di estensione dell’ambito.
4.3.2.4. Personalizzazione dell’ambito
La decisione se avere un solo ambito o più ambiti spetta unicamente a voi. Tuttavia, rispondere alle domande presenti nel seguente grafico può aiutarvi a decidere.
|
|
INIZIO |
|
|
Passaggio 1: Avete bisogno di una valutazione per più di una sede? |
|
|
Passaggio 2: Disponete di tempo sufficiente per prepararvi per la valutazione in tutte le sedi? |
|
|
Passaggio 3: Tutte le sedi condividono un ISMS centrale (responsabilità, infrastruttura, politiche e processi)? |
|
|
Passaggio 4: Tutte le sedi condividono lo stesso obiettivo di valutazione (protezione di prototipi di veicoli o informazioni con esigenze di protezione molto elevate)? |
|
|
Fine: registrazione dell’ambito di valutazione |
|
|
Considera le sedi separatamente le une dalle altre. |
|
No |
|
Sì |
|
Nota
|
Attenzione: Non lasciatevi intimidire da questa decisione. È possibile modificare qualsiasi ambito, purché il fornitore di audit non abbia ancora concluso la valutazione. Ad esempio, durante la preparazione della valutazione potreste scoprire che l’ambito scelto non è adatto --e modificarlo di conseguenza. Oppure il fornitore di audit potrebbe consigliare di modificare l’ambito durante le fasi iniziali della valutazione. Note aggiuntive:
|
4.3.2.5. Sedi dell’ambito
Ora che avete deciso quali sedi rientrano nell’ambito di valutazione, potete continuare a raccogliere informazioni specifiche sulle sedi.
Per ogni sede abbiamo bisogno di informazioni come la denominazione e l’indirizzo dell’azienda. Vi chiediamo inoltre alcune informazioni aggiuntive che consentono ai nostri fornitori di audit TISAX di farsi un’idea più precisa della vostra struttura aziendale. In base alle vostre risposte essi formuleranno una stima del lavoro richiesto.
Preparate quindi le seguenti informazioni per ciascuna delle vostre sedi (l’asterisco rosso * indica le informazioni obbligatorie nella procedura online):
| Campo | Opzioni |
|---|---|
Nome della sede * |
N/A |
N/A |
|
Tipo di sede * |
Edificio (o edifici) di proprietà e uso esclusivo dell’azienda |
Protezione passiva del sito * |
Sì |
Settore |
Information Technology
|
Gestione
|
|
Comunicazione
|
|
Ricerca e sviluppo
|
|
Produzione
|
|
Vendita e post-vendita
|
|
Altro settore |
|
Dipendenti presso la sede: totali * |
0 |
Dipendenti presso la sede: IT * |
0 |
Dipendenti presso la sede: sicurezza informatica * |
0 |
Dipendenti presso la sede: sicurezza della sede * |
0 |
Certificazioni per questa sede |
ISO 27001 |
|
Nota
|
Attenzione: Per quanto riguarda il campo “Settore”: selezionate l’opzione migliore in base alle vostre conoscenze. Non esistono scelte giuste o sbagliate quando si selezionano le opzioni di cui sopra. Se non è presente un’opzione che corrisponde alla vostra tipologia di azienda, indicate quella appropriata in “Altro”. |
Per ciascuna sede dovete specificare un “location name” ( “nome della sede”). Il nome della sede consente di individuare una determinata sede con più facilità quando la si assegna a un ambito di valutazione.
Consigliamo di assegnare i nomi delle sedi in base al seguente schema:
Schema: |
[Riferimento geografico] |
Esempio: |
per l’azienda di fantasia “ACME”
|
4.3.2.6. Nome dell’ambito
Per ogni ambito è necessario specificare uno “scope name” ( “nome dell’ambito”). Lo scopo principale del nome dell’ambito è quello di facilitare l’identificazione di un determinato ambito nell’elenco generale degli ambiti nel portale ENX. Scegliete un nome che sia utile al lettore e ai vostri colleghi. Per le comunicazioni esterne, utilizzate l’ID Ambito.
Potete usare il nome che volete, ma non è possibile assegnare lo stesso nome a più di un ambito.
Se in seguito desiderate rinnovare la valutazione TISAX, dovrete creare un nuovo ambito (possibilmente identico a quello attuale). Consigliamo quindi di aggiungere l’anno della valutazione al nome dell’ambito.
Consigliamo di assegnare i nomi degli ambiti in base al seguente schema:
Schema: |
[Riferimento geografico o funzionale anno ] [della valutazione] |
Esempi: |
per l’azienda di fantasia “ACME”
|
4.3.2.7. Contatti
Per poter comunicare con voi, raccogliamo i dati di contatto dei referenti presso la vostra azienda.
Chiediamo di fornirci almeno un contatto per la vostra azienda in quanto partecipante TISAX in generale e uno per ciascun ambito di valutazione. Potete anche fornire contatti aggiuntivi.
Durante i preparativi per la registrazione, dovete quindi decidere chi saranno i referenti della vostra azienda da inserire come contatti.
Chiediamo di indicare i seguenti dati di contatto:
| Dato del contatto | Obbligatorio? | Esempio | |
|---|---|---|---|
1. |
Formula di saluto |
Sì |
Sig.ra, Sig. |
2. |
Titolo accademico |
Dott./Dott.ssa, Ph.D., altro |
|
3. |
Nome |
Sì |
John |
4. |
Cognome |
Sì |
Doe |
5. |
Qualifica professionale |
Sì |
Responsabile IT |
6. |
Ufficio |
Sì |
Information Technology |
7. |
Numero di telefono principale |
Sì |
+49 69 986692777 |
8. |
Numero di telefono secondario |
||
9. |
Indirizzo e-mail |
Sì |
john.doe@acme.com |
10. |
Lingua preferita |
Sì |
Inglese (impostazione predefinita) |
11. |
Altre lingue |
Tedesco, francese |
|
12. |
Identificatore dell’indirizzo personale |
HPC 1234 |
|
13. |
Via |
Sì |
Bockenheimer Landstraße 97-99 |
14. |
Codice postale |
Sì |
60325 |
15. |
Città |
Sì |
Francoforte |
16. |
Stato/Provincia |
||
17. |
Paese |
Sì |
Germania |
|
Importante
|
Nota importante: |
4.3.2.8. Pubblicazione e condivisione
Lo scopo principale di TISAX è quello di pubblicare il risultato della vostra valutazione rendendolo disponibile per gli altri partecipanti TISAX e di condividerlo con il/i vostro/i partner.
Potete decidere se pubblicare e condividere il risultato della valutazione durante la procedura di registrazione o in qualsiasi momento successivo.
Se avete deciso di intraprendere il processo TISAX in via preventiva, potete già decidere di pubblicare il risultato della valutazione e renderlo disponibile alla comunità dei partecipanti TISAX. Per il resto, non dovete preparare nient’altro in questa fase.
Se è stato il vostro partner a chiedervi di sottoporvi al processo TISAX, prima o poi dovrete condividere il risultato della valutazione. È possibile condividere le informazioni sullo stato con il partner già durante la registrazione. Una volta che il risultato della valutazione sarà disponibile, il vostro partner sarà automaticamente autorizzato ad accedervi[6].
Per condividere le informazioni sullo stato sono necessarie due cose:
-
L’ID Partecipante TISAX del vostro partner
L’ID Partecipante TISAX identifica il vostro partner come partecipante TISAX.
Solitamente, è il vostro partner a dovervi fornire il suo ID Partecipante TISAX.
Per comodità, il nostro modulo di registrazione offre un elenco a discesa di ID Partecipante per alcune aziende che ricevono frequentemente risultati di valutazione condivisi.[7]
-
Il livello di condivisione necessario
Il livello di condivisione definisce il grado di accesso al risultato della valutazione da parte del vostro partner.
Il vostro partner può richiedere un livello di condivisione specifico oppure potete decidere voi fino a quale livello concedergli l’accesso al risultato della valutazione.
Per maggiori informazioni sui livelli di condivisione, si veda Sezione 6.5, “Livelli di condivisione”.
Assicuratevi quindi di disporre di queste informazioni.
|
Nota
|
Attenzione:
|
|
Importante
|
Nota importante: Se non pubblicate o non condividete il risultato della vostra valutazione, nessuno potrà vederlo. |
|
Importante
|
Nota importante: Non è possibile annullare la pubblicazione o la condivisione. Per maggiori informazioni, si veda Sezione 6.4, “Permanenza dei risultati scambiati”. |
|
Nota
|
Attenzione: Può sembrare assurdo, ma in realtà potete condividere il “risultato della valutazione” anche se il processo di valutazione non è ancora iniziato. In questa fase iniziale, condividerete solo lo “stato della valutazione”. Il partecipante con cui condividete il “risultato della valutazione” vedrà in quale fase del processo di valutazione si trova la vostra azienda. Alcuni partecipanti TISAX devono rilasciare una liberatoria apposita per mostrare le etichette TISAX quando il processo di valutazione non è ancora terminato. In questo caso, il vostro partner potrebbe aver bisogno di vedere lo “stato della valutazione” della vostra azienda nel suo account del portale ENX. Per maggiori informazioni sullo stato della valutazione, si veda Sezione 7.6, “Allegato: Assessment status ( |
Per maggiori informazioni sulla pubblicazione e la condivisione del risultato della valutazione, si veda Sezione 6, “Scambio (fase 3)”.
4.3.3. Obiettivi di valutazione
L’obiettivo (o gli obiettivi) di valutazione devono essere definiti durante la procedura di registrazione. L’obiettivo di valutazione ( assessment objective) determina i requisiti applicabili che il sistema di gestione della sicurezza delle informazioni (ISMS) della vostra azienda deve soddisfare. L’obiettivo di valutazione si basa interamente sul tipo di dati che gestite per conto del vostro partner.
Le sezioni seguenti contengono una descrizione degli obiettivi di valutazione e consigli su come selezionare quelli più adatti per la vostra azienda.
L’uso degli obiettivi di valutazione semplifica la comunicazione relativa a TISAX con il vostro partner e con i nostri fornitori di audit TISAX, in quanto si riferiscono a un elemento specifico a monte del processo di valutazione TISAX.
|
Nota
|
Attenzione: Alcuni partner potrebbero chiedere alla vostra azienda di sottoporsi a una valutazione TISAX con un determinato “livello di valutazione” (assessment level, AL) invece di specificare un obiettivo di valutazione. Per maggiori informazioni sui livelli di valutazione, si veda Sezione 4.3.3.5, “Esigenze di protezione e livelli di valutazione” (sotto-sezione “Informazioni aggiuntive”). |
4.3.3.1. Elenco degli obiettivi di valutazione
Attualmente sono disponibili 12 obiettivi di valutazione TISAX. È necessario selezionarne almeno uno, ma si può selezionare anche più di un obiettivo.
Considerate l’obiettivo di valutazione come il punto di riferimento per il sistema di gestione della sicurezza delle informazioni della vostra azienda. L’obiettivo di valutazione è un elemento fondamentale a monte del processo TISAX. Tutti i fornitori di audit TISAX basano la propria strategia di valutazione principalmente sull’obiettivo di valutazione.
Gli attuali obiettivi di valutazione TISAX sono:
| N. | Nome | Descrizione |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
Esempio: se la vostra azienda effettua test drive su strade pubbliche, l’obiettivo di valutazione “Test vehicles” è uno dei vostri obiettivi di valutazione.
|
Nota
|
Attenzione: È possibile selezionare gli obiettivi di valutazione “Info high” e “Info very high” solo fino al 31 marzo 2024. È possibile selezionare gli obiettivi di valutazione “Confidential” e “Strictly confidential” solo dal 1 aprile 2024. Per maggiori informazioni su questa transizione, si veda il seguente articolo di notizie sul nostro sito web: |
|
Importante
|
Nota importante: All’interno di TISAX, l’“obiettivo di valutazione” è generalmente l’elemento a monte del processo. Tuttavia alcuni partner potrebbero chiedere alla vostra azienda di sottoporsi a una valutazione TISAX con un determinato “livello di valutazione” (AL). Per maggiori informazioni sulla relazione tra esigenze di protezione e livelli di valutazione, si veda Sezione 4.3.3.5, “Esigenze di protezione e livelli di valutazione”. |
4.3.3.2. Obiettivi di valutazione e ISA
L’ISA include tre cataloghi di criteri (sicurezza delle informazioni, protezione dei prototipi, protezione dei dati). Ciascun catalogo di criteri è composto dalle cosiddette “domande di controllo” e dai relativi requisiti.
Ciascun obiettivo di valutazione definisce:
-
il/i catalogo/cataloghi di criteri dell’ISA applicabile/i
-
le domande di controllo a cui dovete rispondere
-
i requisiti che dovete soddisfare
Per alcuni obiettivi di valutazione è applicabile solo un sottoinsieme delle domande di controllo e dei requisiti.
Per ulteriori informazioni di base sugli obiettivi di valutazione TISAX e sulle domande di controllo e i requisiti applicabili, si veda Sezione 5.2.2, “Come interpretare il documento ISA”.
4.3.3.3. Obiettivi di valutazione ed etichette TISAX
Il vostro partner potrebbe fare riferimento alle “etichette TISAX”. Gli “obiettivi di valutazione” e le “etichette TISAX” indicano praticamente lo stesso concetto. La differenza è che si inizia il processo di valutazione con gli “obiettivi di valutazione” e, se si supera la valutazione, si ricevono le “etichette TISAX” corrispondenti.
Esempio: il vostro partner chiede alla vostra azienda di ottenere l’etichetta TISAX “Info high”, quindi selezionate “Info high” come vostro obiettivo di valutazione.
La figura di seguito mostra gli elementi a monte e a valle del processo TISAX:
|
|
Richiede |
|
|
Partner |
|
|
Riceve |
|
|
A MONTE |
|
|
Obiettivo |
|
|
Processo TISAX |
|
|
A VALLE |
|
|
Etichetta |
Per maggiori informazioni sulle etichette TISAX, si veda Sezione 5.4.14, “Etichette TISAX”.
4.3.3.4. Selezione degli obiettivi di valutazione
Idealmente, è il vostro partner a dirvi con precisione quali obiettivi di valutazione dovete raggiungere.
La scelta dell’obiettivo di valutazione è invece a vostra discrezione se:
-
volete sottoporre la vostra azienda a una valutazione TISAX prima che sia un partner a chiedervelo, oppure
-
il vostro partner non specifica l’obiettivo di valutazione che dovete raggiungere.
|
Importante
|
Nota importante: A questo punto, consigliamo vivamente di tenere in considerazione anche gli altri vostri partner. Sono presenti partner con requisiti uguali o superiori? Prevedete che i partner futuri avranno requisiti più elevati? Valutate la possibilità di selezionare obiettivi di valutazione con esigenze di protezione maggiori. In questo modo eviterete problemi nel caso in cui altri partner abbiano requisiti più elevati. |
Se dovete scegliere l’obiettivo di valutazione a vostra discrezione, vi sarà utile considerare i seguenti aspetti:
| N. | Obiettivo di valutazione | Informazioni |
|---|---|---|
1. |
Info high |
Potete desumere le esigenze di protezione (elevate, molto elevate) dalla classificazione dei documenti del vostro partner. |
2. |
Info very high |
|
3. |
Confidential |
Per tutte le aziende che ricevono e trattano informazioni con esigenze di protezione elevate in termini di riservatezza o che sono normalmente classificate come riservate secondo lo schema di classificazione dell’azienda (ad es. White Paper VDA, “Harmonization of classification levels”). |
4. |
Strictly confidential |
Per tutte le aziende che ricevono e trattano informazioni con esigenze di protezione molto elevate in termini di riservatezza o che sono normalmente classificate come strettamente riservate o segrete secondo lo schema di classificazione dell’azienda (ad es. White Paper VDA, “Harmonization of classification levels”). |
5. |
High availability |
Per tutte le aziende presso le quali la capacità di produzione o consegna dei relativi clienti dipende dalla disponibilità dei prodotti o servizi dell’azienda stessa e per le quali un inadempimento causerebbe danni considerevoli ai clienti in un breve periodo di tempo. |
6. |
Very high availability |
Per tutte le aziende presso le quali la capacità di produzione o consegna dei relativi clienti dipende dalla disponibilità a breve termine dei prodotti e servizi dell’azienda stessa e per le quali un inadempimento causerebbe danni significativi ai clienti in un periodo di tempo molto breve. |
7. |
Proto parts |
Per tutte le aziende che producono, immagazzinano o utilizzano parti o componenti forniti dai clienti, classificati come soggetti a protezione presso le proprie sedi. |
8. |
Proto vehicles |
Per tutte le aziende che producono, immagazzinano o utilizzano veicoli fornite dai clienti, classificati come soggetti a protezione presso le proprie sedi. |
9. |
Test vehicles |
Per tutte le aziende che effettuano collaudi e test drive (ad esempio, test drive su strade pubbliche o piste di prova) con veicoli forniti dai clienti classificati come soggetti a protezione. |
10. |
Proto events |
Per tutte le aziende che organizzano presentazioni o eventi (ad esempio, ricerche di mercato, eventi, eventi di marketing) e riprese cinematografiche e fotografiche con parti, veicoli o componenti forniti dai clienti e classificati come soggetti a protezione. |
11. |
Data |
Se la vostra azienda tratta dati personali in qualità di responsabile del trattamento ai sensi dell’articolo 28 del GDPR, probabilmente dovrete selezionare “Data”. |
12. |
Special data |
Se la vostra azienda tratta categorie particolari di dati personali (ad esempio relativi alla salute o al credo religioso) in qualità di responsabile del trattamento ai sensi dell’articolo 28 del GDPR, probabilmente dovrete selezionare “Special data”. |
Spiegazioni aggiuntive:
-
Se avete ricevuto requisiti precisi dal vostro partner, solitamente non è necessario discutere degli obiettivi di valutazione con quest’ultimo. Se invece non vi sono stati forniti requisiti precisi dal partner, consigliamo vivamente di confrontarvi con quest’ultimo prima di avviare il processo di valutazione.
-
L’ISA illustra la differenza di implementazione tra le esigenze di protezione “elevate” e quelle “molto elevate” (se presenti) per ciascun requisito.
Per maggiori informazioni su questo aspetto, si veda Figura 11, “Screenshot: Elementi principali delle domande del catalogo di criteri ISA “Sicurezza delle informazioni””.
4.3.3.5. Esigenze di protezione e livelli di valutazione
Il vostro partner dispone di informazioni di vario tipo e alcune di queste possono necessitare un livello di protezione più elevato rispetto ad altre. L’ISA tiene conto di questo aspetto distinguendo tra tre “esigenze di protezione” ( “protection needs”): normali, elevate e molto elevate. È il vostro partner a classificare le proprie informazioni e ad assegnare solitamente le esigenze di protezione.
Quanto maggiori sono le esigenze di protezione, tanto più il vostro partner è interessato ad assicurarsi che gestiate le sue informazioni in maniera sicura. Per questo motivo TISAX prevede tre “livelli di valutazione” (AL) diversi. Il livello di valutazione stabilisce il metodo di valutazione che il fornitore di audit deve applicare. Un livello di valutazione più elevato richiede un lavoro maggiore, che si traduce in una valutazione più scrupolosa e accurata.
Nella tabella seguente sono indicati i livelli di valutazione che si applicano agli obiettivi di valutazione TISAX:
| N. | Obiettivo di valutazione TISAX | Livello di valutazione (AL) |
|---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
Livello di valutazione 1 (AL 1):
Le valutazioni nel livello di valutazione 1 hanno finalità principalmente interne e corrispondono a un’autovalutazione ( self-assessment) vera e propria.
Durante una valutazione nel livello di valutazione 1, l’auditor verifica che sia stata completata un’autovalutazione. Non valuta il contenuto dell’autovalutazione e non necessita di ulteriori prove.
I risultati delle valutazioni nel livello di valutazione 1 hanno un grado di affidabilità basso e quindi non vengono utilizzati all’interno di TISAX. È tuttavia possibile che il vostro partner richieda un’autovalutazione di questo tipo al di fuori di TISAX.
Livello di valutazione 2 (AL 2):
Per una valutazione nel livello di valutazione 2, il fornitore di audit controlla l’attendibilità della vostra autovalutazione (per tutte le sedi che rientrano nell’ambito di valutazione). Esegue questo controllo verificando le prove[8] e conducendo un colloquio con il responsabile della sicurezza delle informazioni.
Il fornitore di audit effettua il colloquio generalmente tramite videoconferenza; tuttavia, su richiesta dell’azienda, il colloquio può essere svolto anche di persona.
Se disponete di prove che non volete inviare al fornitore di audit, potete richiedere un’ispezione in loco. In questo modo, il fornitore di audit potrà comunque controllare le vostre prove strettamente riservate.
|
Nota
|
Attenzione: Esiste un metodo alternativo per condurre una valutazione nel livello di valutazione 2. Invece di controllare l’attendibilità, il fornitore di audit conduce una valutazione completa a distanza. Questo metodo viene talvolta definito “livello di valutazione 2.5”. Rispetto a una valutazione nel livello di valutazione 2, l’auditor verifica che l’ISMS della vostra azienda soddisfi i requisiti applicabili. Tuttavia, a differenza di una valutazione nel livello di valutazione 3, l’auditor non conduce le attività in loco descritte nella sezione dedicata al livello di valutazione 3 riportata di seguito. Una valutazione di questo tipo viene formalmente considerata una valutazione in AL 2. Il vantaggio dell’AL 2.5 è che l’approccio è metodologicamente compatibile con AL 3. In un momento successivo è quindi possibile passare a una valutazione in AL 3 a tutti gli effetti con il minimo sforzo. Per effettuare questo passaggio, l’auditor deve solo condurre le attività in loco descritte nella sezione relativa ad AL 3 riportata di seguito. Consigliamo di effettuare valutazioni nel livello di valutazione 2.5 nei seguenti casi:
Per maggiori informazioni sull’aggiornamento del livello di valutazione, si veda Sezione 7.10, “Allegato: Valutazione di estensione dell’ambito”. Questa alternativa è facoltativa e non è necessaria per soddisfare i requisiti di AL 2. La differenza tra AL 2 e AL 2.5 non sarà visibile per i partner con cui condividerete il risultato della valutazione. |
Livello di valutazione 3 (AL 3):
Per una valutazione nel livello di valutazione 3, il fornitore di audit esegue una verifica completa della conformità della vostra azienda ai requisiti applicabili. Per preparare la valutazione, l’auditor si avvale dell’autovalutazione e della documentazione presentata. Tuttavia, a differenza del livello di valutazione 2, l’auditor verificherà tutto, eseguendo le seguenti operazioni:
-
esaminerà documenti e prove
-
effettuerà colloqui programmati con i responsabili dei processi
-
analizzerà le condizioni locali
-
osserverà lo svolgimento dei processi
-
effettuerà colloqui non programmati con i soggetti coinvolti nei processi
|
Nota
|
Attenzione: I contenuti che seguono fanno riferimento a diversi concetti che verranno spiegati solo più avanti nel presente documento. Se si sceglie AL 3, il fornitore di audit deve recarsi presso la/e vostra/e sede/i. Qualora, per qualsiasi motivo, ciò non sia temporaneamente possibile in alcun modo o richieda sforzi eccessivi, il fornitore di audit può utilizzare il metodo di valutazione a distanza con supporto video per condurre le attività di valutazione in loco. Il fornitore di audit registrerà questa circostanza nella relazione della valutazione TISAX come una non conformità minore. Non appena il fornitore di audit può recarsi presso la/e vostra/e sede/i, dovrà condurre una valutazione di follow-up che includa tutte le attività in loco che non è stato possibile eseguire in precedenza. Dovrete inoltre programmare la valutazione di follow-up anche se non avete ancora completato le altre azioni correttive. Rispetto a dover attendere che il fornitore di audit sia disponibile per eseguire le attività in loco, questo approccio vi consente di condividere già le etichette TISAX temporanee con il vostro partner. |
Livelli di valutazione e metodi di valutazione
La tabella seguente offre una panoramica semplificata dei metodi di audit associati a ciascun livello di valutazione:
| Metodo di valutazione | Livello di valutazione 1 (AL 1) |
Livello di valutazione 2 (AL 2) |
Livello di valutazione 3 (AL 3) |
|---|---|---|---|
Autovalutazione |
Sì |
Sì |
Sì |
Prove |
No |
Controllo di attendibilità |
Verifica completa |
Colloqui |
No |
Tramite videoconferenza[9] |
Di persona, in sede |
Ispezione in loco |
No |
Su richiesta dell’azienda |
Sì |
Informazioni aggiuntive:
-
Differenza tra AL 2 e AL 3
Dal punto di vista metodologico, i due approcci differiscono in modo significativo. Per le valutazioni nel livello di valutazione 2, l’auditor non verificherà tutto. Si limiterà solo a controllare l’attendibilità. Pertanto, il fornitore di audit non può utilizzare i risultati di una valutazione nel livello di valutazione 2 come base per passare al livello di valutazione 3. Le operazioni da eseguire per passare al livello di valutazione 3 sono essenzialmente le stesse di una nuova valutazione iniziale. -
Controllo di attendibilità vs. verifica
Un controllo di attendibilità consiste, in termini estremamente semplici, nel verificare l’esistenza e l’apparente correttezza di un determinato elemento. Al contrario, durante una verifica viene effettivamente controllato che un determinato elemento corrisponda a quanto dichiarato. -
Classificazione delle informazioni ed esigenze di protezione
La corrispondenza tra la classificazione delle informazioni (ad esempio riservate o segrete) e le esigenze di protezione può variare da partner a partner. Pertanto, per quanto ci piacerebbe, non possiamo semplicemente fornirvi una tabella con la corrispondenza esatta tra la classificazione delle informazioni del vostro partner e un’esigenza di protezione. -
La sola conoscenza del livello di valutazione non è sufficiente
Alcuni partner potrebbero chiedere alla vostra azienda di sottoporsi a una valutazione TISAX con un determinato livello di valutazione. Precisiamo tuttavia che la sola conoscenza del livello di valutazione non è sufficiente per avviare il processo TISAX. Un livello di valutazione ha senso solo se abbinato a un catalogo di criteri dell’ISA e a una corrispondente esigenza di protezione. Di solito i partner chiedono alle aziende di ottenere un’etichetta TISAX (catalogo di criteri più esigenza di protezione). Tuttavia, dal momento che le esigenze di protezione corrispondono 1:1 ai livelli di valutazione, è sufficiente conoscere il catalogo (o i cataloghi) di criteri e il livello di valutazione. -
Gerarchia dei livelli di valutazione
I livelli di valutazione superiori includono sempre quelli inferiori. Ad esempio, se la vostra valutazione si basa sul livello di valutazione 3, essa soddisferà automaticamente tutti requisiti del livello di valutazione 2. -
I nostri consigli sui livelli di valutazione
Se dovete selezionare un obiettivo di valutazione (e quindi implicitamente un livello di valutazione corrispondente) a vostra discrezione, vi consigliamo di scegliere obiettivi di valutazione che implichino un livello di valutazione 3. Il lavoro richiesto dalle valutazioni TISAX nel livello di valutazione 3 non è generalmente superiore a quelle nel livello di valutazione 2.
I fornitori con più partner spesso selezionano obiettivi di valutazione che implicano un livello di valutazione 3. In questo modo, sono preparati a gestire tutte le richieste future e non devono preoccuparsi di altri livelli di valutazione. -
Ulteriori considerazioni commerciali
Per quanto riguarda i livelli di valutazione, il costo totale di una valutazione TISAX è rappresentato dalla somma delle operazioni interne e del costo della valutazione. Sebbene il costo di una valutazione nel livello di valutazione 2 sia inferiore, le operazioni che dovrete eseguire all’interno della vostra azienda potrebbero essere maggiori. Ciò è dovuto al fatto che una valutazione nel livello di valutazione 2 necessita solitamente di un’autovalutazione più completa e di una documentazione interna più accurata. Per le valutazioni nel livello di valutazione 3, dimostrare come si opera e presentare una documentazione di base è spesso sufficiente per l’auditor in termini di prove. Tuttavia, in mancanza di un’ispezione in loco, l’auditor richiederà una documentazione precisa. Per questo motivo, non è raro che venga scelto il livello di valutazione 3 invece che il livello di valutazione 2. Questa scelta viene comunque fatta dalle aziende più piccole rispetto a quelle più grandi.
4.3.3.6. Obiettivi di valutazione e fornitori della vostra azienda
Con TISAX non è necessario sottoporre tutti i fornitori della vostra azienda agli stessi requisiti. Se il vostro obiettivo di valutazione è “Sicurezza delle informazioni con esigenze di protezione molto elevate”, ciò NON significa automaticamente che i vostri fornitori debbano raggiungere lo stesso obiettivo di valutazione. Non significa nemmeno che debbano avere etichette TISAX.
Tuttavia, per tutti i vostri fornitori, dovete comunque verificare se l’utilizzo dei loro servizi aumenti i rischi o ne introduca di nuovi.
Di seguito sono riportati due esempi estremamente semplificati:
-
La politica della vostra azienda prevede che la posta elettronica normale non possa essere utilizzata per dati con esigenze di protezione molto elevate. Pertanto, non è necessario che il vostro provider di posta elettronica ottenga l’etichetta TISAX con esigenze di protezione molto elevate.
Lo stesso vale se si inviano solo e-mail crittografate e il provider di posta elettronica non è in grado di visualizzare nessuno dei dati con esigenze di protezione molto elevate. -
All’interno della vostra azienda i dati stampati con esigenze di protezione molto elevate vengono smaltiti tramite distruggidocumenti. In questo caso, ovviamente, il fornitore dei servizi di smaltimento dei rifiuti non deve soddisfare i vostri stessi requisiti.
Tuttavia, la valutazione dei rischi può rivelare che anche il vostro fornitore deve soddisfare i requisiti per le esigenze di protezione molto elevate. In questo caso, le etichette TISAX sono un’opzione per ottenere tali dimostrazioni.
4.3.4. Tariffa
Il nostro servizio è a pagamento; nel nostro listino prezzi troverete informazioni sulle tariffe applicabili, sui possibili sconti e sulle nostre condizioni di pagamento.
È possibile scaricare il listino prezzi dal nostro sito web al seguente indirizzo:
enx.com/en-US/TISAX/downloads/
Download diretto del PDF:
enx.com/pricelist.pdf
Durante i preparativi per la registrazione è importante tenere conto di alcuni aspetti relativi alla fatturazione:
-
Selezione dell’indirizzo di fatturazione
Per impostazione predefinita, la fattura verrà inviata all’indirizzo indicato come sede del partecipante. Potete tuttavia indicare un indirizzo diverso per la ricezione della fattura.ImportanteNota importante:
Assicuratevi che l’indirizzo di fatturazione sia corretto. Le leggi contabili prevedono che l’indirizzo presente sulla nostra fattura corrisponda esattamente all’indirizzo (di fatturazione) della vostra azienda. Per motivi di conformità, non è possibile modificare un indirizzo di fatturazione una volta emessa la fattura.
-
Ordine di riferimento
Se è necessario che la nostra fattura riporti un numero d’ordine d’acquisto specifico o un dato simile, potete fornirci l’ordine di riferimento. -
Numero di partita IVA
Tutte le nostre tariffe sono soggette all’imposta sul valore aggiunto (IVA) tedesca, se applicabile.
Abbiamo bisogno di questo numero di partita IVA per elaborare i pagamenti provenienti dall’UE. È obbligatorio fornire un numero di partita IVA se il vostro indirizzo di fatturazione si trova in uno dei seguenti Paesi:
Austria, Belgio, Bulgaria, Croazia, Cipro (parte greca), Repubblica Ceca, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Slovacchia, Slovenia, Spagna, Svezia, Regno Unito. -
Gestione dei fornitori
ImportanteNota importante:
Precisiamo che, a causa del rapporto di reciprocità tra tutti i partecipanti TISAX, non possiamo accettare condizioni aggiuntive (come, ad esempio, condizioni generali di acquisto, codici di condotta).
Informazioni aggiuntive sul nostro processo di fatturazione:
-
Non possiamo accettare condizioni di acquisto individuali.
-
Accettiamo:
-
bonifici sul conto corrente bancario indicato in fattura
-
pagamenti con carta di credito (durante la procedura di registrazione tramite il nostro fornitore di servizi di pagamento “Stripe”).
-
-
La nostra fattura conterrà i seguenti riferimenti alla vostra registrazione:
-
Il nome e l’indirizzo e-mail del contatto principale della vostra azienda partecipante
-
Il nome dell’ambito di valutazione
Un esempio di fattura è disponibile nell’appendice nella sezione Sezione 7.1, “Allegato: Esempio di fattura”.
-
-
La maggior parte dei dati generalmente necessari per l’elaborazione della fattura sono riportati direttamente su di essa. Queste e altre informazioni sono disponibili nel nostro documento “Information for Members and Business Partners” (“Informazioni per i membri e i partner commerciali”). Potete scriverci un’e-mail e provvederemo a inviarvi una versione aggiornata.
|
Nota
|
Attenzione: Siamo consapevoli che a volte il processo di approvazione dei pagamenti all’interno di un’azienda possa essere piuttosto lungo. Per questo motivo, la prosecuzione con le fasi immediatamente successive del processo TISAX non è subordinata alla ricezione del pagamento. Tuttavia, tenete presente che non è possibile condividere il risultato della vostra valutazione fino a quando non avremo ricevuto il pagamento. |
|
Importante
|
Nota importante: Noi, in qualità di ENX Association, emettiamo la fattura relativa alla nostra tariffa. Questa è solo una parte del costo totale di una valutazione TISAX. Il vostro fornitore di audit TISAX fattura i costi relativi alla/e valutazione/i. Per maggiori informazioni sui costi relativi al fornitore di audit, si veda Sezione 5.3.4, “Valutazione delle offerte”. |
|
Importante
|
Nota importante: La tariffa deve essere corrisposta indipendentemente dal fatto che:
Pertanto, potreste ricevere la fattura prima di aver iniziato la valutazione iniziale. |
4.4. Portale ENX
La sezione seguente descrive la procedura di registrazione online, durante la quale dovrete inserire tutti i dati raccolti, come consigliato nella sezione precedente. Prima di iniziare la procedura di registrazione online, vi illustriamo brevemente lo scopo e i vantaggi del portale ENX.
Il portale ENX ci consente di mantenere un database di tutti i partecipanti TISAX e svolge un ruolo importante durante l’intero processo TISAX. Durante la registrazione a TISAX dovrete inserire i dati della vostra azienda che i fornitori di audit TISAX potranno quindi utilizzare (se avete dato il consenso) per calcolare le loro offerte e pianificare le procedure di valutazione. Una volta completato il processo di valutazione TISAX, potrete utilizzare la piattaforma di scambio sul portale ENX per condividere il risultato della valutazione con il vostro partner.
Il portale si chiama “portale ENX” e non “portale TISAX” perché lo utilizziamo anche per gestire altre attività aziendali (come la rete ENX).
4.5. Procedura di registrazione online
Se avete eseguito tutti i preparativi in base a quanto consigliato sopra (Sezione 4.3, “Preparazione per la registrazione”), potete avviare la procedura di registrazione online.
4.5.1. Tempistiche
Il tempo necessario dipende fortemente dal numero di ambiti e sedi che registrate. Se state registrando la vostra azienda come partecipante per la prima volta con un ambito e una sede, potete aspettarvi una tempistica minima di 20 minuti.
Consigliamo di completare la registrazione in un’unica sessione, perché al momento non è semplice riprendere alcuni passaggi in un secondo momento. Qualora abbiate comunque bisogno di interrompere la procedura, vi contatteremo per chiedervi i dati mancanti.
4.5.2. Da dove iniziare
Avviate la procedura di registrazione sul nostro sito web all’indirizzo:
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
Non dovete fare altro che seguire le istruzioni sullo schermo, tuttavia di seguito trovate una breve descrizione della procedura.
4.5.3. Account sul portale
Per prima cosa dovete creare un account per la vostra azienda nel portale ENX. L’account sul portale è necessario per poter gestire i “dati di partecipante” della vostra azienda.
|
Nota
|
Attenzione: Se il portale ENX dovesse informarvi che l’indirizzo e-mail da voi indicato è già in uso, contattateci. Questo messaggio potrebbe significare che per qualche motivo la vostra azienda è già presente nel nostro sistema. |
|
Nota
|
Attenzione: Come descritto, gli account sul portale non sono necessariamente “contatti del partecipante” o “contatti di ambito” (si veda sotto) con un ruolo attivo nel processo di valutazione. Viceversa, un “contatto del partecipante” o “contatto di ambito” non include automaticamente gli stessi diritti di gestione dei dati del partecipante di un account sul portale. Ciò significa che i colleghi indicati come “contatto del partecipante” o “contatto di ambito” non possono accedere automaticamente ai dati del partecipante nel portale ENX. Se si desidera assegnare il diritto di gestire i dati del partecipante a un contatto già creato nel portale ENX (indipendentemente dal fatto che gli sia stato assegnato un ruolo o meno), è necessario invitare il contatto in questione. Per maggiori informazioni, si veda l’ultima nota in Sezione 4.5.5, “Contatto del partecipante”. |
4.5.4. Registrazione del partecipante
Il secondo passo consiste nel registrare la propria azienda come partecipante TISAX. Con “partecipante TISAX” si intende l’azienda che scambia i risultati della valutazione con gli altri partecipanti.
4.5.5. Contatto del partecipante
Si tratta della persona generalmente responsabile di tutti gli argomenti relativi alla valutazione della sicurezza delle informazioni della vostra azienda. Potete essere voi o qualcun altro all’interno dell’azienda.
Di solito tutto ciò di cui abbiamo bisogno è il contatto principale del partecipante. Qualora desideriate che tutte le comunicazioni inviate da noi e dai nostri fornitori di audit TISAX relativamente a questa registrazione siano inviate anche ad altre persone, aggiungete ulteriori contatti del partecipante.
|
Importante
|
Nota importante: |
|
Nota
|
Attenzione: Potete sempre aggiungere o rimuovere i contatti in un momento successivo (anche una volta terminata la procedura di registrazione online e dopo aver completato le valutazioni). |
|
Nota
|
Attenzione: Non è possibile utilizzare indirizzi e-mail di gruppo per i contatti del partecipante (come “info@acme.com” o “IT@acme.com”). Questa disposizione è in linea con i requisiti dell’ISA relativi agli accessi degli utenti. |
|
Nota
|
Attenzione: Potete scegliere se consentire a ciascun contatto di accedere ai dati di partecipante della vostra azienda Si è verificata una delle seguenti situazioni:
Per creare un nuovo contatto: Sign in (Accedi) > MY TISAX (IL MIO TISAX) > ADMINISTRATORS (AMMINISTRATORI) > Create new TISAX Administrator (Crea nuovo amministratore TISAX) Per invitare un contatto: Sign in (Accedi) > MY TISAX (IL MIO TISAX) > ADMINISTRATORS (AMMINISTRATORI) > Andate alla fine della riga della tabella relativa al contatto e fate clic sul pulsante con la freccia verso il baso > Edit TISAX Administrator (Modifica amministratore TISAX) > Andate alla sezione “ENX PORTAL ACCESS” (ACCESSO AL PORTALE ENX) > Impostate “INVITE THIS CONTACT" (INVITA QUESTO CONTATTO) su “Yes” (Sì) > Fate clic su “Save Contact” (Salva contatto) |
4.5.6. Condizioni generali
Il terzo passaggio consiste nell’accettare le “Condizioni generali di partecipazione a TISAX”.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.1, “Le basi giuridiche”.
4.5.7. Registrazione dell’ambito di valutazione
Il quarto passaggio consiste nel registrare l’ambito di valutazione della vostra valutazione della sicurezza delle informazioni.
Vi viene chiesto di eseguire le seguenti operazioni:
-
Assegnare un nome all’ambito di valutazione.
Lo scopo principale del nome dell’ambito è quello di facilitare l’identificazione di un determinato ambito nell’elenco generale degli ambiti nel portale ENX.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.2.6, “Nome dell’ambito” -
Selezionare un tipo di ambito di valutazione.
(standard, personalizzato)
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.2, “L’ambito di valutazione TISAX”. -
Specificare il contatto principale di ambito.
Si tratta della persona generalmente responsabile della valutazione di un determinato ambito. Potete essere voi o qualcun altro all’interno dell’azienda.
Di solito tutto ciò di cui abbiamo bisogno è il contatto principale di ambito. Qualora desideriate che tutte le comunicazioni che inviamo relativamente a questo particolare ambito siano inviate anche ad altre persone, potete aggiungere ulteriori contatti del partecipante. -
Selezionare il/i vostro/i obiettivo/i di valutazione.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.3, “Obiettivi di valutazione”. -
Aggiungere la/le sede/i dell’ambito di valutazione.
Vi chiediamo di specificare tutte le sedi che rientrano nell’ambito di valutazione.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.2, “L’ambito di valutazione TISAX”.NotaAttenzione:
Una volta creata una nuova sede, non è possibile modificarla. Nel caso in cui siano necessarie modifiche minori (cambio della denominazione dell’azienda, errori di battitura nel nome della via, nel codice postale, nella città, ecc.), contattateci e provvederemo noi ad apportare le modifiche.
ImportanteNota importante:
Questa nota è rilevante solo se state rinnovando le etichette TISAX della vostra azienda.
Vi chiediamo di riutilizzare i dati delle sedi esistenti che avete creato e usato durante la registrazione dell’ambito precedente. Non create nuovi dati di una sede con lo stesso indirizzo.
Il motivo è che alcuni partecipanti TISAX elaborano automaticamente i risultati delle valutazioni dei loro partner sincronizzando il proprio sistema con il portale ENX. Anche piccole differenze possono bloccare la sincronizzazione. Inoltre, è importante non intasare i dati dei partecipanti con inutili doppioni. -
Selezionare i livelli di pubblicazione e condivisione (facoltativo).
Potete già decidere di pubblicare il risultato della vostra valutazione rendendolo disponibile agli altri partecipanti TISAX e di condividerlo con il/i vostro/i partner. Di norma, veniamo autorizzati a mostrare almeno che la vostra azienda è un partecipante e che ha superato il processo TISAX con successo.
Potete tranquillamente saltare questo passaggio durante la registrazione iniziale e definire l’accesso al risultato della vostra valutazione in un secondo momento.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.2.8, “Pubblicazione e condivisione”.ImportanteNota importante:
Non è possibile revocare le autorizzazioni di pubblicazione o condivisione.
Per maggiori informazioni, si veda Sezione 6.4, “Permanenza dei risultati scambiati”. -
Specificare il destinatario della fattura.
Chiediamo di specificare a chi dobbiamo inviare la/e nostra/e fattura/e.
Vi consigliamo di consultare le spiegazioni nella Sezione 4.3.4, “Tariffa”.
|
Nota
|
Attenzione: In questa fase eventuali errori hanno una rilevanza minima. Anche se in un secondo momento vi accorgete che avreste dovuto registrare un ambito leggermente diverso (avete dimenticato una sede, dovete aggiungere un altro obiettivo di valutazione, ecc.), il fornitore di audit può comunque eseguire la valutazione. Esempio: l’auditor stabilisce che l’ambito deve contenere una ulteriore sede che inizialmente non avevate inserito. L’auditor procederà con la sua attività e successivamente aggiornerà l’ambito di valutazione nel portale ENX, caricando al tempo stesso il risultato della valutazione. |
|
Nota
|
Attenzione: Ogni ambito di valutazione ha il proprio ciclo di vita. In questa fase, lo stato dell’ambito di valutazione è “Incompleto”, “In attesa dell’ordine” o “In attesa dell’approvazione di ENX”. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.5.1, “Panoramica: Assessment scope status ( |
|
Nota
|
Attenzione: Per le aziende di grandi dimensioni con molte sedi, TISAX offre la valutazione di gruppo semplificata. Potete prendere in considerazione questa opzione se: Nel caso di una valutazione di gruppo semplificata il lavoro da fare inizialmente è maggiore, tuttavia tale sforzo viene ripagato all’aumentare del numero di sedi. Per maggiori informazioni sulla “valutazione di gruppo semplificata”, si veda il documento “TISAX Simplified Group Assessment” (“Valutazione di gruppo semplificata TISAX”). È possibile scaricare il documento “Valutazione di gruppo semplificata TISAX” dal nostro sito web all’indirizzo: Download diretto del PDF: |
|
Nota
|
Attenzione: Una volta che avremo registrato il vostro ambito di valutazione, non potrete modificarlo autonomamente. Se potete assicurarci in maniera credibile di NON aver ancora inviato il vostro “TISAX Scope Excerpt” (“Estratto dell’ambito TISAX”) ai nostri fornitori di audit, contattateci e provvederemo noi a modificarlo. Se avete già inviato il vostro “TISAX Scope Excerpt” (“Estratto dell’ambito TISAX”) a uno (o più) dei nostri fornitori di audit, create semplicemente la/le nuova/e sede/i nel portale ENX (se applicabile) e discutete di qualsiasi modifica con il vostro fornitore di audit. Il fornitore di audit condurrà la valutazione in base alle modifiche e aggiornerà le informazioni sull’ambito nel portale ENX. |
|
Nota
|
Attenzione: Non potete cancellare autonomamente un ambito di valutazione nel portale ENX. Se avete creato un ambito di valutazione per errore, contattateci e provvederemo noi a cancellarlo. |
4.5.8. E-mail di conferma
Una volta completati tutti i passaggi obbligatori di cui sopra, controlleremo la vostra domanda e vi invieremo un’e-mail di conferma.
Questa e-mail contiene due elementi importanti:
-
Un elenco con i contatti di tutti i fornitori di audit TISAX
Dovete scegliere uno dei nostri fornitori di audit TISAX che conduca una valutazione del vostro ambito di valutazione. Potete utilizzare questi contatti per richiedere offerte.
Per maggiori informazioni sulla selezione del fornitore di audit, si veda Sezione 5.3, “Selezione del fornitore di audit”. -
Il “TISAX Scope Excerpt” (“Estratto dell’ambito TISAX”) sotto forma di file PDF allegato.
Questo documento contiene:
-
Le informazioni che abbiamo archiviato nel nostro database
-
Il vostro ID Partecipante
Si veda Sezione 4.5.8.1, “Participant ID ( ID Partecipante)” qui di seguito. -
Il/I vostro/i ID Ambito
Si veda Sezione 4.5.8.2, “Scope ID ( ID Ambito)” qui di seguito.
-
Per un esempio della nostra e-mail di conferma, si veda Sezione 7.2, “Allegato: Esempio di e-mail di conferma”.
Per un esempio del “TISAX Scope Excerpt” (“Estratto dell’ambito TISAX”), si veda Sezione 7.3, “Allegato: Esempio dell’Estratto dell’ambito TISAX”.
Generalmente la nostra e-mail di conferma viene inviata entro tre giorni lavorativi.
Se non venite contattati entro sette giorni lavorativi, verificate a) di aver fornito tutte le informazioni e b) che lo stato dell’ambito di valutazione sia “In attesa dell’approvazione di ENX”. Inizieremo a elaborare la vostra registrazione solo quando tutte le informazioni saranno complete. Se ritenete che tutte le informazioni siano complete, ma non avete ancora ricevuto nessuna comunicazione da parte nostra, contattateci.
L’e-mail di conferma viene inviata al contatto principale del partecipante.
|
Nota
|
Attenzione: Ogni ambito di valutazione ha il proprio ciclo di vita. In questa fase, lo stato dell’ambito di valutazione è “In attesa dell’approvazione di ENX”. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.5.5, “Assessment scope status “Awaiting your payment” ( |
Le due sotto-sezioni riportate di seguito forniscono informazioni dettagliate sullo scopo del vostro ID Partecipante e ID Ambito.
4.5.8.1. Participant ID ( ID Partecipante)
L’ID Partecipante:
-
identifica un partecipante TISAX.
-
è univoco per ciascun partecipante.
-
viene assegnato da noi al completamento della registrazione.
-
è un prerequisito per richiedere una valutazione della sicurezza delle informazioni da parte di uno dei nostri fornitori di audit TISAX.
-
ha l’aspetto seguente:
Figura 7. Formato dell’ID Partecipante[12]
|
|
Prefisso “P” dell’ID Partecipante |
|
|
Stringa casuale e univoca contenente solo le seguenti lettere e i seguenti numeri: |
|
Nota
|
Attenzione: Esistono due modi per trovare il proprio ID Partecipante:
|
4.5.8.2. Scope ID ( ID Ambito)
L’ID Ambito:
-
identifica un ambito di valutazione.
-
è univoco per ciascun ambito di valutazione.
-
viene assegnato da noi al completamento della registrazione.
-
è un prerequisito per poter richiedere una valutazione della sicurezza delle informazioni da parte di uno dei nostri fornitori di audit TISAX.
-
ha l’aspetto seguente:
Figura 8. Formato dell’ID Ambito
|
|
Prefisso “S” dell’ID Ambito |
|
|
Stringa casuale e univoca contenente solo le seguenti lettere e i seguenti numeri: |
|
Nota
|
Attenzione: Esistono due modi per trovare il proprio ID Ambito:
|
|
Nota
|
Attenzione: Ogni ambito di valutazione (identificato dal relativo ID Ambito) ha il proprio ciclo di vita. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.5, “Allegato: Assessment scope status ( |
4.5.9. Informazioni sullo stato
In questa fase sono due gli stati rilevanti che usiamo per descrivere l’avanzamento della vostra azienda nel processo TISAX:
-
Stato del partecipante
-
Stato dell’ambito di valutazione
Il grafico riportato di seguito illustra le condizioni che devono essere soddisfatte per raggiungere un determinato stato:
|
|
Le vostre azioni |
|
|
Le nostre azioni |
|
|
Registrazione |
|
|
Partecipante: |
|
|
Ambito di valutazione: |
|
|
No |
|
|
Sì |
|
|
Completata? |
|
|
Completata? |
|
No |
|
Sì |
|
Verifica + Approvazione (e-mail di conferma) |
|
Fattura |
|
[ ] Pagamento |
|
Pagamento effettuato? |
|
ID Partecipante |
|
ID Ambito |
|
Stato del partecipante: |
|
Stato dell’ambito di valutazione: |
|
1. Incompleto |
|
2. In attesa di approvazione |
|
3. Preliminare |
|
Registrato |
|
Scaduto |
|
1. Incompleto |
|
2. In attesa dell’ordine |
|
3. In attesa dell’approvazione di ENX |
|
4. In attesa del pagamento |
|
5. Registrato |
|
6. Attivo |
|
7. Scaduto |
Le definizioni degli stati e le azioni da compiere per passare allo stato successivo sono disponibili nell’allegato.
Per maggiori informazioni sullo:
-
stato del partecipante, si veda Sezione 7.4, “Allegato: Participant status (
Stato del partecipante)”. -
stato dell’ambito di valutazione, si veda Sezione 7.5, “Allegato: Assessment scope status (
Stato dell’ambito di valutazione)”.
4.5.10. Modifiche alle informazioni di registrazione
|
Nota
|
Attenzione: Per qualsiasi domanda sul ciclo di vita dei dati, si veda Sezione 7.9, “Allegato: Gestione del ciclo di vita dei dati del partecipante”. Questa sezione contiene le istruzioni su come modificare o aggiornare i vostri dati, come la denominazione o le informazioni di contatto della vostra azienda. |
Congratulazioni, la vostra azienda è ora registrata come partecipante TISAX. Siete pronti a passare alla fase successiva del processo TISAX.
5. Valutazione (fase 2)
Il tempo di lettura stimato per la sezione relativa alla valutazione è di 30-35 minuti.
5.1. Panoramica
La valutazione TISAX rappresenta la seconda fase del processo. È in questa fase che si svolge la maggior parte del lavoro per ottenere una valutazione TISAX.
Le sezioni che seguono vi guideranno durante la valutazione:
-
Inizieremo spiegando come potete utilizzare l’autovalutazione ISA per scoprire se siete pronti per una valutazione TISAX.
-
Successivamente troverete consigli su come scegliere uno dei nostri fornitori di audit TISAX.
-
Quindi descriveremo il processo di valutazione.
-
Infine, vi spiegheremo l’“esito del processo”: il risultato della valutazione e le relative etichette TISAX.
5.2. Autovalutazione basata sull’ISA
Per essere pronti ad affrontare una valutazione TISAX, dovete innanzitutto disporre di un sistema di gestione della sicurezza delle informazioni (ISMS) pienamente efficiente. Per scoprire se il vostro ISMS corrisponde al livello di maturità previsto, dovete condurre un’autovalutazione basata sull’ISA.
L’“Information Security Assessment” (ISA) è un catalogo di criteri pubblicato dall’“Associazione tedesca dell’industria automobilistica” (Verband der Automobilindustrie e.V. - VDA). Esso rappresenta lo standard del settore automobilistico per le valutazioni della sicurezza delle informazioni.
Le sezioni seguenti si concentrano sulle istruzioni pratiche per condurre un’autovalutazione basata sull’ISA.
Le spiegazioni, gli esempi e gli screenshot contenuti in questo manuale si basano sulla versione 5 dell’ISA.
|
Nota
|
Attenzione: Le informazioni sulle modifiche rispetto alle versioni precedenti dell’ISA sono disponibili nel relativo foglio Excel “Change history” (“Cronologia delle modifiche”). |
|
Nota
|
Attenzione: Per informazioni su quale versione ISA sia applicabile al risultato della vostra valutazione quando la VDA pubblica nuove versioni, si veda Sezione 7.11, “Allegato: Gestione del ciclo di vita dell’ISA”. |
5.2.1. Download del documento ISA
Cominciate la vostra autovalutazione scaricando il documento ISA.
Potete scaricarlo dal nostro sito web al seguente indirizzo:
enx.com/en-US/TISAX/downloads/
Download diretto del file Excel:
portal.enx.com/isa5-en.xlsx
Il documento ISA è disponibile anche in tedesco:
enx.com/de-de/TISAX/downloads/
5.2.2. Come interpretare il documento ISA
Prima di iniziare l’autovalutazione, di seguito trovate alcune spiegazioni che potrebbero esservi utili. Queste vengono fornite in aggiunta alle spiegazioni e alle definizioni ufficiali contenute nel documento ISA, ponendo un’attenzione particolare all’uso ai fini delle valutazioni TISAX.
5.2.2.1. Cataloghi di criteri
L’ISA dispone al momento di tre “cataloghi di criteri”[13]:
|
|
|
|---|---|---|
1. |
Sicurezza delle informazioni |
Information Security |
2. |
Protezione dei prototipi |
Prototype Protection |
3. |
Protezione dei dati |
Data Protection |
Ciascun catalogo di criteri ha il proprio foglio Excel:
Quale catalogo di criteri è rilevante per la vostra azienda? La risposta dipende dal/i vostro/i obiettivo/i di valutazione.
Ciascun obiettivo di valutazione definisce quali requisiti di quale catalogo di criteri si applicano. Per alcuni obiettivi di valutazione si applicano solo i requisiti di un catalogo di criteri, mentre per altri si applicano i requisiti di più cataloghi di criteri.
Gli obiettivi di valutazione menzionati sopra corrispondono ai seguenti cataloghi di criteri:
| N. | Obiettivo di valutazione ( Assessment objective) |
Catalogo/cataloghi di criteri ISA |
|---|---|---|
1. |
Info high |
Information Security ( |
2. |
Info very high |
Information Security ( |
3. |
Confidential |
Information Security ( |
4. |
Strictly confidential |
Information Security ( |
5. |
High availability |
Information Security ( |
6. |
Very high availability |
Information Security ( |
7. |
Proto parts |
Prototype Protection ( |
8. |
Proto vehicles |
Prototype Protection ( |
9. |
Test vehicles |
Prototype Protection ( |
10. |
Proto events |
Prototype Protection ( |
11. |
Data |
Information Security ( |
12. |
Special data |
Information Security ( |
Esempio: se avete selezionato l’obiettivo di valutazione “Protezione dei dati”, dovrete rispondere alle domande dei cataloghi di criteri “Sicurezza delle informazioni” E “Protezione dei dati”.
Avrete notato che c’è più di un obiettivo di valutazione per ogni catalogo di criteri. Come fare quindi a capire quali requisiti sono applicabili a quale obiettivo di valutazione?
La tabella seguente mostra quali sono i requisiti applicabili:
| N. | Obiettivo di valutazione ( Assessment objective) |
Requisiti applicabili |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
|
Nota
|
Attenzione: Ciascun requisito nelle due colonne “Requisiti aggiuntivi per esigenze di protezione elevate” e “Requisiti aggiuntivi per esigenze di protezione molto elevate” è contrassegnato da una “C” di Confidentiality ( Quando la tabella di cui sopra restringe i requisiti in queste due colonne a quelli contrassegnati da una delle lettere sopra citate, sono sempre inclusi i requisiti che sono contrassegnati anche da altre lettere oltre a questa. Esempio: tutti i requisiti contrassegnati con “(C)”, “(C, I, A)” o “(C, I)” sono applicabili nei casi in cui la lettera “C” è specificata nella tabella di cui sopra (ad se. nell’obiettivo di valutazione “Special data”). |
Lo screenshot seguente mostra gli elementi principali delle domande di controllo nel catalogo di criteri “Sicurezza delle informazioni” (gli altri cataloghi di criteri presentano solo un sottoinsieme di questi elementi). Tutti gli elementi sono spiegati più avanti.
|
|
Livello di maturità |
|
|
Capitolo |
|
|
Domanda di controllo |
|
|
Requisiti |
|
|
Obiettivo |
|
|
Tutte le esigenze di protezione |
|
|
Esigenze di protezione elevate |
|
|
Esigenze di protezione molto elevate |
5.2.2.2. Capitoli
Ciascun catalogo di criteri raggruppa le domande in capitoli.
Esempio: “2 Risorse umane”
Il raggruppamento si basa sulle responsabilità tipiche all’interno di un’azienda. Questi reparti sono specificati nella colonna “Usual person responsible for process implementation” (“Responsabile abituale dell’implementazione del processo”) (“HR”, “Risorse umane” nell’esempio di cui sopra).
5.2.2.3. Domande di controllo
Le domande per ogni catalogo di criteri sono disponibili nei rispettivi fogli Excel.
Esempio: “4.1.2 Qual è il grado di protezione dell’accesso degli utenti ai servizi di rete, ai sistemi IT e alle applicazioni IT?”.
Le domande di controllo vengono anche chiamate “controlli” nel “linguaggio degli auditor”. Gli standard ISO su cui si basa l’ISA utilizzano il termine “controllo”.
5.2.2.4. Campi del modulo di autovalutazione
Tra le colonne “Maturity level” ( “Livello di maturità”) e “Control question” ( “Domanda di controllo”) si trovano i campi del modulo da compilare quando si conduce un’autovalutazione:
| Campo del modulo | Scopo | Obbligatorio? |
|---|---|---|
Implementation description ( |
Qui dovete descrivere brevemente cosa avete implementato per gestire questa domanda di controllo all’interno della vostra azienda. |
Sì |
Reference Documentation ( |
Qui dovete specificare in quale/i documento/i viene dimostrata l’implementazione. |
Sì |
Findings/Result ( |
Qui potete annotare tutti i rilievi per i quali ritenete che ci sia un divario tra la situazione ideale e quella effettiva. |
No |
È obbligatorio inserire solo una breve descrizione dell’implementazione e il riferimento alla vostra documentazione. Queste informazioni aiuteranno i nostri fornitori di audit TISAX a comprendere meglio la vostra azienda e a preparare la valutazione.
Sono disponibili altre colonne opzionali a supporto della vostra autovalutazione:
-
Measures/recommendations (
Misure/consigli) (Colonna R) -
Date of assessment (
Data della valutazione) (Colonna S) -
Date of completion (
Data di completamento) (Colonna T) -
Responsible department (
Reparto responsabile) (Colonna U) -
Contact (
Contatto) (Colonna V)
|
Importante
|
Nota importante: Se aprite il file Excel scaricato e selezionate uno dei fogli di lavoro del catalogo di criteri (ad esempio, Sicurezza delle informazioni), probabilmente non vedrete immediatamente i campi del modulo di autovalutazione. Per visualizzarli, è necessario fare clic sul pulsante di raggruppamento per il livello “2”[14]. Il pulsante si trova sopra e a sinistra della cella C1. In questo modo si espande la visualizzazione e vengono mostrati i campi del modulo di autovalutazione. 
Un altro consiglio è quello di utilizzare i tasti freccia per scorrere verso il basso. A causa delle grandi dimensioni delle celle, lo scorrimento con la barra di scorrimento può richiedere eccellenti doti di motricità fine. Se si utilizza la funzione di scorrimento del dispositivo di puntamento, si rischia anche di saltare accidentalmente alcune delle celle più grandi. |
5.2.2.5. Obiettivo
A destra della colonna “Domanda di controllo” si trova la colonna “Obiettivo” (colonna J). Il suo contenuto descrive gli obiettivi da raggiungere relativamente a questo aspetto della gestione della sicurezza delle informazioni.
Esempio (per la domanda di controllo 4.1.2): “Solo gli utenti identificati in modo sicuro (autenticati) devono accedere ai sistemi informatici. A tal fine, l’identità di un utente viene stabilita in modo sicuro mediante procedure adeguate”.
5.2.2.6. Requisiti
I requisiti sono ciò che ci si aspetta che la vostra azienda soddisfi per raggiungere l’obiettivo in questione.
I requisiti sono suddivisi in quattro colonne:
-
Requirements (must) (
Requisiti (obbligatori)) (Colonna K) -
Requirements (should) (
Requisiti (consigliati)) (Colonna L) -
Additional requirements for high protection needs (
Requisiti aggiuntivi per esigenze di protezione elevate) (Colonna M) -
Additional requirements for very high protection needs (
Requisiti aggiuntivi per esigenze di protezione molto elevate) (Colonna N)
È necessario soddisfare tutti i requisiti fino all’esigenza di protezione che dovete raggiungere (che potete ricavare dall’obiettivo di valutazione).
Per alcuni obiettivi di valutazione è applicabile solo un sottoinsieme dei requisiti. Per maggiori informazioni sull’applicabilità dei requisiti si veda Tabella 8, “Applicabilità dei requisiti agli obiettivi di valutazione” in Sezione 5.2.2.1, “Cataloghi di criteri” e in particolare note alla fine della sezione.
Per maggiori informazioni sulle definizioni dell’ISA dei livelli dei requisiti “obbligatori” e “consigliati”, si vedano i “Termini chiave” nel foglio Excel “Definizioni”.
|
Importante
|
Nota importante: È molto importante capire che ciascun requisito deve essere interpretato in base al contesto e allo spirito dell’obiettivo. Anche se un requisito è stato rispettato alla lettera, non è detto che il fornitore di audit confermi che la vostra azienda soddisfa tale requisito nel contesto e nello spirito dell’obiettivo (colonna J). I requisiti e la loro formulazione si basano sull’implementazione teorica da parte di un’azienda media fittizia di dimensioni sconosciute. Il fornitore di audit deve sempre considerare l’obiettivo rispetto all’implementazione unica presso la vostra azienda. Ciò che è appropriato per un’azienda media potrebbe non essere sufficiente nella vostra situazione specifica. Per maggiori informazioni, si veda Sezione 5.2.5, “Gestione del risultato dell’autovalutazione”. |
5.2.2.7. Livelli di maturità
L’ISA utilizza il concetto dei “maturity levels” ( “livelli di maturità”) per valutare la qualità di tutti gli aspetti del sistema di gestione della sicurezza delle informazioni della vostra azienda. Quanto più sofisticato è il sistema di gestione della sicurezza delle informazioni della vostra azienda, tanto più alto sarà il vostro livello di maturità.
L’ISA distingue sei livelli di maturità. La definizione dettagliata è disponibile nel foglio Excel “Maturity levels” ( “Livelli di maturità”). Per offrirvi una panoramica completa dei livelli di maturità, riportiamo le descrizioni informali presenti nell’ISA:
| Maturity level ( Livello di maturità) |
In una sola parola | Descrizione |
|---|---|---|
0 |
Incomplete ( |
Un processo non è disponibile, non viene seguito o non è adatto per raggiungere l’obiettivo in questione. |
1 |
Performed ( |
Viene seguito un processo non documentato o non completamente documentato e vi sono indicatori che mostrano il raggiungimento del suo obiettivo. |
2 |
Managed ( |
Viene seguito un processo che raggiunge il suo obiettivo. Sono disponibili prove della documentazione e dell’implementazione del processo. |
3 |
Established ( |
Viene seguito un processo standard integrato nel sistema generale. Le dipendenze da altri processi sono documentate e le appropriate interfacce sono create. Vi sono prove che il processo è stato usato in maniera sostenibile e attiva per un periodo prolungato. |
4 |
Predictable ( |
Viene seguito un processo consolidato. L’efficacia del processo è costantemente monitorata attraverso la raccolta di dati chiave. Vengono stabiliti dei valori limite in corrispondenza dei quali il processo viene considerato insufficientemente efficace e necessita di un adeguamento (indicatori chiave di prestazione). |
5 |
Optimizing ( |
Viene seguito un processo prevedibile che ha come obiettivo principale il miglioramento continuo. Il miglioramento viene portato avanti attivamente da risorse dedicate. |
Dovete valutare il livello di maturità del sistema di gestione della sicurezza delle informazioni della vostra azienda per ogni domanda. Inserite il vostro livello di maturità nella colonna “Maturity level” ( “Livello di maturità”) (colonna E).
|
|
Livello di maturità della vostra azienda |
Per maggiori informazioni sui livelli di maturità target e il loro impatto sul risultato della valutazione, si veda Sezione 5.2.4, “Interpretazione del risultato dell’autovalutazione”.
Ora che avete acquisito queste nuove conoscenze, siete pronti per iniziare l’autovalutazione.
5.2.3. Esecuzione dell’autovalutazione
Aprite il file Excel, leggete tutte le domande di controllo di ciascun catalogo di criteri applicabile al vostro o ai vostri obiettivi di valutazione e stabilite il livello di maturità che corrisponde allo stato attuale del sistema di gestione della sicurezza delle informazioni della vostra azienda. Eseguite questa operazione al meglio delle vostre possibilità. Non ci sono scelte giuste o sbagliate in questa fase.
Una volta completata l’autovalutazione, la colonna “Risultato” (H) del foglio Excel “Risultati (ISA5)” deve essere completamente compilata, con numeri (0-5) o con “N/A” (“non applicabile”).
|
|
Verde |
In caso di domande sull’ISA, contattateci.
5.2.4. Interpretazione del risultato dell’autovalutazione
Le cinque sotto-sezioni riportate di seguito spiegano come analizzare e interpretare il risultato dell’autovalutazione. Questa analisi vi aiuterà a capire se la vostra azienda è pronta o meno per una valutazione TISAX.
5.2.4.1. Analisi
Il punteggio ottenuto riassume il risultato dell’autovalutazione.
Il punteggio (“Risultato con abbassamento al livello di maturità target”) è disponibile nel foglio Excel “Risultati (ISA5)” (cella D6). Il concetto di “abbassamento” verrà spiegato a breve.
|
|
Punteggio della vostra azienda |
|
|
Punteggio massimo |
Per comprendere e successivamente interpretare il risultato dell’autovalutazione e il punteggio ottenuto, è necessario distinguere tra due livelli di analisi:
-
Livello della domanda
Questo livello include tutte le domande. Per ciascuna domanda è previsto un livello di maturità target e il livello di maturità della vostra azienda. -
Livello del punteggio
Questo livello include il risultato complessivo che riassume i risultati di tutte le domande. Viene indicato il punteggio massimo e il punteggio della vostra azienda.
La figura riportata di seguito mostra i livelli di analisi:
|
|
Analisi |
|
|
Livello della domanda |
|
|
Livello di maturità target |
|
|
Livello di maturità della vostra azienda |
|
|
Livello del punteggio |
|
|
Punteggio massimo |
|
|
Punteggio della vostra azienda |
La figura riportata di seguito mostra dove trovare i risultati a livello di punteggio e i risultati a livello di domanda:
|
|
Livello del punteggio |
|
|
Livello della domanda |
La figura riportata di seguito mostra una panoramica semplificata dei livelli di analisi, le definizioni dei target ISA e i risultati della vostra azienda:
|
|
Livello di maturità target |
|
|
Livello di maturità della vostra azienda |
|
|
Livello della domanda |
|
|
Q (Domanda) |
|
|
TML (livello di maturità target) |
|
|
YML (livello di maturità della vostra azienda) |
|
|
Punteggio massimo |
|
|
Punteggio della vostra azienda |
|
|
Livello del punteggio |
Le sezioni seguenti illustrano in dettaglio il risultato e la relativa analisi.
5.2.4.2. Il livello di maturità target (a livello di domanda)
L’ISA stabilisce un “livello di maturità target” pari a 3 per ogni domanda.
Per maggiori informazioni sulla definizione di ogni livello di maturità, si veda Sezione 5.2.2, “Come interpretare il documento ISA”.
L’ISA stabilisce i livelli di maturità target nel foglio Excel “Risultati (ISA5)” (a partire dalla colonna G, riga 22; si veda la figura riportata di seguito).
|
|
Livello di maturità target |
5.2.4.3. Il risultato della vostra azienda (a livello di domanda)
Per ricevere le etichette TISAX, di solito è necessario che i livelli di maturità per ogni domanda siano uguali o superiori al livello di maturità target.
Esempio: se il livello di maturità target per la domanda X è “3”, il livello di maturità della vostra azienda per quella domanda deve essere pari o superiore a “3”. Se il livello di maturità della vostra azienda per la domanda in questione è inferiore a “3”, non potrete ricevere le etichette TISAX.
Ciò vale per tutte le domande. Se il livello di maturità target per due domande è pari a “3”, non è possibile compensare un livello di maturità “2” per una domanda con un livello di maturità “4” per l’altra domanda.
Il documento ISA trasferisce automaticamente i livelli di maturità della vostra azienda dal foglio Excel “Sicurezza delle informazioni” (colonna E) al foglio Excel “Risultati (ISA5)” (a partire dalla colonna H, riga 23):
|
|
Livello di maturità target della vostra azienda |
Il livello di maturità target della vostra azienda è soggetto a un calcolo prima che il documento ISA lo riassuma nel vostro punteggio. In pratica, il livello di maturità della vostra azienda viene “abbassato” al livello di maturità target. Ciò avviene per fare in modo che le domande per le quali il livello di maturità della vostra azienda è superiore al livello di maturità target non compensino le domande per le quali il livello di maturità della vostra azienda è inferiore al livello di maturità target.
Ecco in che modo l’ISA calcola il risultato della vostra azienda a livello di domanda:
-
Viene preso in considerazione il livello di maturità della vostra azienda e confrontato con il livello di maturità target di una data domanda.
-
Se il livello di maturità della vostra azienda è superiore al livello di maturità target, esso viene “abbassato” al livello di maturità target.
-
Se il livello di maturità della vostra azienda è inferiore o pari al livello di maturità target, non viene eseguita nessuna operazione per la domanda in questione.
Esempio (si veda la figura riportata di seguito): il livello di maturità target è “3”. Il livello di maturità della vostra azienda è “4”. Il “risultato abbassato” della vostra azienda per questa domanda sarà “3”.
|
|
A monte |
|
|
Calcolo |
|
|
A valle |
|
|
(Livello della domanda) |
|
|
Livello di maturità target (TML) |
|
|
Livello di maturità della vostra azienda (YML) |
|
|
YML > TML? |
|
|
Sì: abbassamento al TML |
|
|
No: nessun abbassamento |
|
|
Risultato del livello di maturità (RML) |
La figura qui di seguito mostra che il vostro livello di maturità è superiore rispetto al livello di maturità target, ISA lo abbassa (i colori verde, arancione e rosso combaciano con i colori usati nella colonna “Risultato”, si veda Figura 19, “I livelli di maturità della vostra azienda nel foglio Excel “Risultati (ISA5)””).
|
|
Esempio: |
|
|
YML |
|
|
TML |
|
|
Abbassamento |
Di seguito è riportato un altro modo per rappresentare i livelli di maturità a livello di domanda. I colori dei cerchi illustrano il livello di maturità target o la “distanza” da esso (esempio: il cerchio è arancione se il livello di maturità è a “-1” dal livello di maturità target). I segni di spunta rappresentano il livello di maturità della vostra azienda.
|
|
Livello di maturità |
|
|
Domanda |
|
|
Abbassamento |
|
|
Livello di maturità target (TML) |
|
|
Uno o più punti in più rispetto al TML |
|
|
Un punto in meno rispetto al TML |
|
|
Due o più punti in meno rispetto al TML |
|
|
Livello di maturità della vostra azienda (YML) |
|
|
Abbassamento al TML |
|
Nota
|
Attenzione: È possibile superare con successo una valutazione TISAX anche se non si raggiunge il livello di maturità target per tutte le domande. L’aspetto principale da considerare in questi casi è se si è in presenza o meno di un rischio rilevante. Se il livello di maturità della vostra azienda è inferiore al valore target, ma non vi è alcun rischio, tale livello potrebbe essere sufficiente. |
5.2.4.4. Il valore target (a livello di punteggio)
L’ISA stabilisce un livello di maturità complessivo “ideale”, ossia il “punteggio del risultato massimo” (o “Punteggio massimo”, cella G6).
|
|
Punteggio massimo |
In teoria, questo livello di maturità complessivo rappresenta la media di tutti i livelli di maturità target (a livello di domanda) e dovrebbe corrispondere a un punteggio massimo di “3,0”.
Tuttavia, tale livello è pari a “3,0” solo se tutte le domande sono applicabili alla situazione della vostra azienda. Non appena una domanda non è applicabile alla situazione della vostra azienda, la media cambia e il punteggio massimo diventa inferiore a “3,0”.
Sulla base di una rappresentazione riportata sopra (Figura 22, “Livelli di maturità a livello di domanda”), è possibile vedere nella figura di seguito cosa viene calcolato nella media per il punteggio massimo:
|
|
Livello di maturità |
|
|
Domanda |
|
|
Abbassamento |
|
|
Punteggio massimo |
5.2.4.5. Il risultato della vostra azienda (a livello di punteggio)
Il punteggio complessivo della vostra azienda (“Risultato con abbassamento ai livelli di maturità target”, cella D6):
-
riassume il livello di maturità complessivo del sistema di gestione della sicurezza delle informazioni della vostra azienda.
-
corrisponde alla media di tutti i vostri livelli di maturità (a livello di domanda).
-
può essere inferiore o pari al punteggio massimo.
-
dovrebbe essere il più vicino possibile al punteggio massimo. Più il punteggio della vostra azienda è inferiore al punteggio massimo, minori sono le probabilità che riceviate etichette TISAX.
|
|
Punteggio della vostra azienda |
Sempre utilizzando una rappresentazione riportata sopra (Figura 22, “Livelli di maturità a livello di domanda”), è possibile vedere nella figura di seguito cosa viene calcolato nella media per il punteggio:
|
|
Livello di maturità |
|
|
Domanda |
|
|
Abbassamento |
|
|
Punteggio della vostra azienda |
Il punteggio indica se:
-
la vostra azienda è pronta per una valutazione TISAX.
-
potete aspettarvi di ricevere etichette TISAX.
Se il punteggio della vostra azienda (“Risultato con abbassamento ai livelli di maturità target”) è inferiore a “3,0”, significa che almeno per una domanda il livello di maturità della vostra azienda non corrisponde al livello di maturità target. In questo caso, dovrete probabilmente migliorare il sistema di gestione della sicurezza delle informazioni della vostra azienda prima che questa sia pronta per una valutazione TISAX.
|
Nota
|
Attenzione: Per il punteggio complessivo, sono previsti limiti formali per una “distanza” accettabile tra il punteggio della vostra azienda e il punteggio massimo (“Risultato con abbassamento ai livelli di maturità target”). Se il punteggio della vostra azienda è inferiore di oltre:
|
|
Importante
|
Nota importante: Un punteggio (“Risultato con abbassamento ai livelli di maturità target”) pari a “3” non garantisce il superamento della valutazione TISAX senza rilievi negativi. Tenete presente che il fornitore di audit potrebbe considerare alcuni aspetti in modo diverso da voi. |
5.2.4.6. La vostra azienda è pronta?
Lo scopo dell’analisi di cui sopra è capire se la vostra azienda è pronta per una valutazione TISAX.
La vostra azienda è sicuramente pronta per una valutazione TISAX se il punteggio ottenuto (“Risultato con abbassamento ai livelli di maturità target”) è pari (o vicino a) “3,0”. In tal caso, tutti i valori della colonna “Risultati” (H) sono verdi (non arancioni o rossi).
Se non sono verdi, occorre gestire il risultato dell’autovalutazione (si veda Sezione 5.2.5, “Gestione del risultato dell’autovalutazione”).
La figura riportata di seguito mostra il diagramma a ragnatela ISA nel foglio Excel “Risultati (ISA5)”. La linea verde indica il livello di maturità target per capitolo. Se i vostri livelli di maturità si trovano in corrispondenza o al di sopra di questa linea, la vostra azienda è pronta per una valutazione TISAX. Se si trovano invece al di sotto di questa linea, ciò potrebbe non essere sufficiente per ricevere etichette TISAX.
|
|
La vostra azienda è pronta per una valutazione TISAX |
|
|
Livelli di maturità target |
|
|
I livelli di maturità potrebbero non essere sufficienti per le etichette TISAX! |
Se si “scompone” il diagramma a ragnatela ISA fino al livello della domanda, si ottiene una rappresentazione simile in verde/rosso a livello della domanda:
|
|
Livello di maturità |
|
|
Domanda |
|
|
Il vostro punteggio potrebbe non essere sufficiente per le etichette TISAX |
|
|
La vostra azienda è pronta per una valutazione TISAX |
5.2.5. Gestione del risultato dell’autovalutazione
Il risultato dell’autovalutazione potrebbe mostrare che è necessario migliorare il sistema di gestione della sicurezza delle informazioni della vostra azienda prima che questa sia pronta per ricevere le etichette TISAX.
Potreste già sapere come colmare alcuni divari tra il livello di maturità della vostra azienda e il livello di maturità target, mentre per altri, invece, potreste aver bisogno di una consulenza esterna. In tal caso, potete rivolgervi ai nostri fornitori di audit TISAX per ricevere un servizio di consulenza. Nell’ambito di TISAX essi possono effettuare consulenze, tuttavia ciò non è obbligatorio. Si precisa che il fornitore di audit a cui vi rivolgete per un’attività di consulenza non potrà più condurre valutazioni TISAX per la vostra azienda.
|
Importante
|
Nota importante: Una mancata gestione adeguata del risultato dell’autovalutazione prima di sottoporsi a una valutazione rappresenta un ostacolo importante per molte aziende. Vi invitiamo a non sottovalutare il lavoro che potrebbe essere necessario per adeguare il sistema di gestione della sicurezza delle informazioni della vostra azienda in base ai requisiti. Molte aziende hanno bisogno di predisporre in maniera formale un progetto di ampia portata per prepararsi a una valutazione TISAX. |
|
Nota
|
Attenzione: Se cercate un supporto esterno per completare il processo TISAX, scoprirete che diverse aziende offrono servizi di consulenza e formazione. Nessuna di queste aziende è associata a noi. Allo stato attuale:
|
|
Nota
|
Attenzione: |
5.3. Selezione del fornitore di audit
Solo i fornitori di audit convenzionati con noi sono autorizzati a condurre le valutazioni TISAX[15]. I fornitori di audit TISAX possono condurre valutazioni TISAX per la vostra azienda solo se non hanno ricevuto in precedenza incarichi di consulenza da parte vostra.
Tutti i nostri fornitori di audit TISAX sono obbligati a condurre valutazioni TISAX solo per le aziende registrate come partecipanti TISAX.
|
Importante
|
Nota importante: Dovreste cominciare a contattare i nostri fornitori di audit non appena avrete registrato un ambito di valutazione TISAX per scoprire come diventare fornitori di audit TISAX. La loro disponibilità è soggetta a determinati tempi di attesa, pertanto contattarli dopo aver terminato i preparativi potrebbe comportare inutili ritardi. |
|
Nota
|
Attenzione: Ogni ambito di valutazione ha il proprio ciclo di vita. In questa fase il vostro ambito di valutazione deve avere lo stato “Approvato” o “Registrato”. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.5.5, “Assessment scope status “Awaiting your payment” ( |
5.3.1. Dati di contatto
Potete contattare tutti i fornitori di audit TISAX e richiedere delle offerte non appena avrete registrato un ambito di valutazione TISAX. I loro dati di contatto sono riportati nell’e-mail di conferma della registrazione che avete ricevuto[16] (si veda Sezione 4.5.8, “E-mail di conferma”).
|
Nota
|
Attenzione: Vi invitiamo a chiedere offerte ai nostri fornitori di audit TISAX solo DOPO che avrete registrato la vostra azienda. I fornitori di audit verificheranno l’effettiva registrazione e hanno l’obbligo di rifiutare richieste prive di registrazione. È anche per questo motivo che i dati di contatto dei fornitori di audit sono indicati solo nell’e-mail di conferma della registrazione e non sul nostro sito web pubblico. |
5.3.2. Copertura
Sebbene al momento molti dei fornitori di audit abbiano sede in Germania, è importante tenere presente che tutti i nostri fornitori di audit sono generalmente in grado di condurre valutazioni TISAX in tutto il mondo. La maggior parte di loro dispone persino di dipendenti propri in molti Paesi.
Sul nostro sito web è presente una pagina in cui è possibile selezionare il proprio Paese e vedere quale fornitore di audit dispone di personale commerciale locale e/o auditor locali ( enx.com/en-US/TISAX/xap/).
5.3.3. Richiesta di offerte
Per consentire ai nostri fornitori di audit TISAX di calcolare con precisione il lavoro previsto per la valutazione, è necessario includere sempre il “TISAX Scope Excerpt” (“Estratto dell’ambito TISAX”).
Per maggiori informazioni, si veda Sezione 4.5.8, “E-mail di conferma”.
|
Nota
|
Attenzione: L’imparzialità è una caratteristica fondamentale dei nostri fornitori di audit TISAX, i quali si assicureranno che non vi siano conflitti di interessi. Si consiglia di tenere conto di questo aspetto quando li si contatta poiché, se la vostra azienda è in qualche modo legata a un fornitore di audit, non potete aspettarvi di essere valutati da tale soggetto. |
5.3.4. Valutazione delle offerte
Potete scegliere liberamente uno qualsiasi dei nostri fornitori di audit TISAX. Tutti i fornitori di audit sono vincolati dallo stesso contratto e conducono le valutazioni sulla base degli stessi criteri e degli stessi metodi di audit. In termini di risultato della valutazione, non vi saranno differenze a prescindere dal fornitore di audit scelto. Il risultato della vostra valutazione sarà accettato da tutti i partecipanti TISAX.
Oltre a fattori ovvi come il prezzo, la reputazione e la cortesia, vi sono altri aspetti di un’offerta da tenere in considerazione:
-
Disponibilità:
Quando può cominciare il processo di valutazione? Questo potrebbe essere un aspetto importante se la vostra azienda ha urgenza di ricevere una valutazione TISAX. -
Spese di viaggio per gli appuntamenti in loco:
Un fornitore di audit con sedi nel vostro Paese potrebbe applicare spese di viaggio inferiori. -
Lingua:
L’auditor è in grado di comunicare con tutti i soggetti della vostra azienda coinvolti nei colloqui nella lingua madre? -
Portata dell’offerta:
Quali valutazioni sono incluse?
Per maggiori informazioni su questo aspetto, si veda Sezione 5.4.3, “Tipologie di valutazione TISAX”.
Normalmente le offerte comprendono la valutazione iniziale e la valutazione del piano d’azione correttivo. Poiché è difficile prevedere il lavoro necessario per le valutazioni di follow-up, la relativa offerta viene generalmente fornita una volta che sono state completate le altre valutazioni.
Infine un aspetto fondamentale è legato alla fiducia: dovrete instaurare un rapporto di fiducia con il vostro fornitore di audit dal momento che egli dovrà acquisire conoscenze approfondite sulla vostra azienda.
|
Nota
|
Attenzione: |
|
Nota
|
Attenzione: Anche se ci piacerebbe potervi dire a quanto ammonterà l’offerta dei nostri fornitori di audit per condurre la valutazione, ci teniamo a precisare che non ci è possibile fornire questa informazione poiché i costi dipendono da troppi fattori. Inoltre, i nostri fornitori di audit sono liberi di effettuare i propri calcoli di natura commerciale. Tuttavia, possiamo fornirvi alcune stime piuttosto approssimative sul numero di uomini/giorno che i nostri fornitori di audit vi addebiteranno. Per un’azienda media di piccole dimensioni con una sola sede, dovreste aspettarvi un’offerta che va da tre uomini/giorno e mezzo a quattro uomini/giorno per una valutazione nel livello di valutazione 2 e da cinque a sei uomini/giorno per una valutazione nel livello di valutazione 3. |
|
Nota
|
Attenzione: Ogni valutazione ha il proprio ciclo di vita. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.6, “Allegato: Assessment status ( |
Una volta che avrete scelto uno dei nostri fornitori di audit TISAX, potrete iniziare il processo di valutazione TISAX.
5.4. Il processo di valutazione TISAX
5.4.1. Panoramica
Il processo di valutazione TISAX consiste in diverse tipologie di valutazione. Nella maggior parte dei casi, sarà effettuata più di una valutazione.
Il processo di valutazione deve essere visto come una sequenza di fasi interconnesse tra loro in cui:
-
Voi predisponete il sistema di gestione della sicurezza delle informazioni della vostra azienda affinché sia perfettamente efficiente.
-
Il fornitore di audit verifica se il sistema di gestione della sicurezza delle informazioni della vostra azienda soddisfa una serie di requisiti predefiniti e nel farlo potrebbe rilevare dei divari.
-
La vostra azienda provvede a colmare tali divari entro termini prestabiliti.
-
Il fornitore di audit verifica nuovamente se i divari sono stati colmati.
Queste fasi si alternano fino a quando tutti divari non sono stati colmati.
È importante capire che siete voi ad avviare ciascuna sotto-fase del processo di valutazione. L’intero processo di valutazione è sotto il vostro controllo. E ovviamente siete voi a decidere se interrompere e abbandonare il processo di valutazione ogni volta che lo desiderate.[17]
La macro-struttura del processo di valutazione TISAX è la seguente:
-
Riunione iniziale
La vostra azienda pianifica i dettagli del processo di valutazione con il fornitore di audit. -
Fase 1 della valutazione
Il fornitore di audit verifica l’autovalutazione della vostra azienda. -
Fase 2 della valutazione
Il fornitore di audit conduce la/le valutazione/i.
5.4.2. Riunione iniziale
Il processo di valutazione TISAX comincia con la riunione iniziale, durante la quale vengono pianificati i dettagli del processo di valutazione. Di solito, la riunione iniziale si svolge tramite conference call. Sarà il fornitore di audit a guidarvi durante la riunione.
Verranno discussi, tra gli altri, i seguenti argomenti:
-
Chi sono i partecipanti alla riunione?
-
Chi è l’azienda sottoposta a valutazione?
-
Come funziona il processo di valutazione TISAX?
-
Qual è l’ambito di valutazione? È corretto?
-
È escluso qualsiasi conflitto di interessi?
-
Come si presenta una buona autovalutazione?
-
Chi è responsabile di cosa?
-
Come si comunica?
-
Quando si svolge la valutazione (e quali sono le altre tempistiche)?
-
Chi deve partecipare alla/e valutazione/i?
-
Chi si può contattare in caso di reclami?
Il periodo che intercorre tra la fine della riunione iniziale e la consegna dell’autovalutazione è in genere compreso tra uno e tre mesi. Tuttavia, anche un periodo di sei mesi non è insolito. La durata di tale periodo dipende dallo stato di preparazione della vostra azienda e TISAX non impone alcuna scadenza specifica. Potete prendervi tutto il tempo che vi serve per preparare la vostra autovalutazione e per prepararvi alla valutazione.
5.4.3. Tipologie di valutazione TISAX
Il processo di valutazione TISAX è composto dalle seguenti tre tipologie di valutazione TISAX:
-
Valutazione iniziale (
Initial assessment) -
Valutazione del piano d’azione correttivo (
Corrective action plan assessment) -
Valutazione di follow-up (
Follow-up assessment) [18]
La valutazione iniziale viene sempre eseguita, mentre le altre due valutazioni TISAX potrebbero venire eseguite, anche più volte. Esse verranno effettuate fino a quando:
-
tutti i divari non saranno colmati
-
o la vostra azienda non abbandona il processo di valutazione TISAX
-
o non viene raggiunto il periodo di tempo massimo di nove mesi dopo la fine della riunione di chiusura della valutazione iniziale (a questo punto è necessario condurre un’altra valutazione iniziale).
Tutte le valutazioni TISAX sono descritte nelle sezioni riportate di seguito.
|
Nota
|
Attenzione: Ogni valutazione ha il proprio ciclo di vita. Per maggiori informazioni sullo stato di una valutazione, si veda Sezione 7.6, “Allegato: Assessment status ( |
5.4.4. Elementi delle valutazioni TISAX
Ciascuna valutazione TISAX è composta dai seguenti elementi:
-
Riunione formale di apertura[19][20]
-
Il suo scopo è affrontare tutti gli argomenti organizzativi.
-
Non deve necessariamente essere in presenza.
-
Gli argomenti possono essere affrontati in una sola sessione o suddivisi in più occasioni.
-
Si tratta di un “contenitore logico” di tutti gli argomenti organizzativi pre-valutazione.
-
-
Procedura di valutazione
-
Il vostro fornitore di audit verifica tutti i requisiti.
-
Vengono selezionati i metodi di valutazione in base al rispettivo livello di valutazione.
-
-
Riunione formale di chiusura[21]
-
Rappresenta la conclusione di una valutazione TISAX.
-
Il fornitore di audit presenta i rilievi emersi.
-
Il fornitore di audit annuncia il risultato della valutazione.
-
Non deve necessariamente essere in presenza.
-
Si tratta di un “contenitore logico” di tutti gli argomenti organizzativi post-valutazione.
-
Dopo la “riunione di chiusura” il fornitore di audit prepara e invia alla vostra azienda la bozza della “relazione della valutazione TISAX” aggiornata. Potete sollevare obiezioni se ritenete che il fornitore di audit abbia interpretato male alcuni aspetti.[22] Il fornitore di audit provvederà quindi a emettere la “relazione della valutazione TISAX” definitiva.
Tutti questi elementi saranno descritti nelle sezioni riportate di seguito.
5.4.5. Informazioni sulla conformità
Prima di continuare a illustrare il processo di valutazione TISAX, vogliamo spiegarvi un concetto chiave che è essenziale per la comprensione delle sezioni che seguono.
Lo scopo di una valutazione TISAX è stabilire se il sistema di gestione della sicurezza delle informazioni della vostra azienda soddisfa una serie di requisiti predefiniti. Il fornitore di audit verifica se il sistema di gestione della sicurezza delle informazioni della vostra azienda “è conforme” ( “conforms”) ai requisiti.
Fase 1: i controlli vengono effettuati per ciascun requisito applicabile singolarmente.
Se l’approccio della vostra azienda “è conforme” a tutti i requisiti, supererete la valutazione e riceverete le etichette TISAX che corrispondono ai vostri obiettivi di valutazione.
Qualsiasi aspetto che sia inferiore a una conformità completa o ideale rispetto ai requisiti viene chiamato “rilievo” ( finding). TISAX distingue tra quattro tipi di rilievi:
| N. | Tipo | Definizione | Reazione | Esempi |
|---|---|---|---|---|
1. |
Non conformità grave ( |
Una non conformità grave:
|
Cosa dovete fare:
|
|
2. |
Non conformità minore ( |
Una non conformità minore:
|
Cosa dovete fare:
|
|
3. |
Osservazione ( |
Un’osservazione è una non conformità rispetto ai requisiti o alle politiche della vostra azienda; non crea un rischio immediato per la sicurezza delle vostre informazioni ma potrebbe farlo in futuro. |
Cosa dovete fare:
|
N/A |
4. |
Margine di miglioramento ( |
Una discrepanza che non rientra nelle tipologie sopra menzionate e che non crea un rischio per la sicurezza delle informazioni della vostra azienda, ma che offre evidenti margini di miglioramento. |
Potete decidere se e come gestire questo tipo di rilievo. |
N/A |
Fase 2: tutti i risultati della fase precedente relativa a “ciascun requisito” sono accorpati nel risultato complessivo della valutazione.
Il risultato complessivo della valutazione può essere:
-
Conforme (
Conform)
Il risultato complessivo della valutazione è “conforme” quando tutti i requisiti sono soddisfatti. -
Non conforme di livello minore (
Minor non-conform)
Il risultato complessivo della valutazione è “non conforme di livello minore” se un requisito presenta almeno una “non conformità minore”. -
Non conforme di livello grave (
Major non-conform)
Il risultato complessivo della valutazione è “non conforme di livello grave” se un requisito presenta almeno una “non conformità grave”.
(In mancanza di un piano d’azione correttivo approvato, qualsiasi non conformità determina un risultato complessivo della valutazione “non conforme di livello grave”.)
Se il risultato complessivo della valutazione è:
-
“non conforme di livello minore”, la vostra azienda potrà ricevere etichette TISAX temporanee fino a quando tutte le non conformità non saranno risolte.
-
“non conforme di livello grave”, la vostra azienda dovrà risolvere il rispettivo problema prima di poter ricevere qualsiasi etichetta TISAX.
Adottando misure compensative e azioni correttive adeguate approvate dal fornitore di audit, è possibile modificare il risultato complessivo della valutazione da “non conforme di livello grave” a “non conforme di livello minore” e quindi ricevere etichette TISAX temporanee.
È importante ricordare che il risultato complessivo della valutazione migliorerà nel corso dell’intero processo di valutazione TISAX.
Facciamo un esempio estremamente semplificato: dopo la valutazione iniziale il risultato complessivo della valutazione potrebbe essere “non conforme di livello grave”. In seguito, provvedete quindi a mitigare il rischio corrispondente e il risultato complessivo della valutazione passa da “non conforme di livello grave” a “non conforme di livello minore”. Una volta eliminato il rischio, il risultato complessivo finale della valutazione sarà “conforme”.
Tutto ciò verrà descritto in maniera molto più dettagliata in seguito. Inoltre maggiori informazioni sulle etichette TISAX sono riportate più sotto in Sezione 5.4.14, “Etichette TISAX”.
5.4.6. La preparazione della vostra azienda per il processo di valutazione TISAX
Il fornitore di audit predisporrà la valutazione sulla base della vostra autovalutazione. Ricordatevi quindi di rendere disponibile la vostra autovalutazione per il fornitore di audit in anticipo. Le scadenze esatte per la consegna vengono concordate durante la riunione iniziale.
Se il fornitore di audit sarà adeguatamente informato, la valutazione richiederà meno tempo. Oltre all’autovalutazione, il fornitore di audit vi chiederà anche la relativa documentazione prima di condurre la valutazione. Può trattarsi di documenti a cui avete fatto riferimento nell’autovalutazione e di altra documentazione che il fornitore di audit considera rilevante.
Egli programmerà quindi la procedura di valutazione sulla base di queste informazioni.
5.4.7. Valutazione iniziale
Si tratta della prima valutazione TISAX e rappresenta formalmente l’inizio del processo di valutazione TISAX.
|
Importante
|
Nota importante: La valutazione iniziale segna l’inizio di due periodi importanti:
Entrambi i periodi decorrono dal giorno della riunione di chiusura della valutazione iniziale. |
|
Nota
|
Attenzione: Oltre ai due periodi descritti sopra, non vi sono altri vincoli temporali. Non sono ad esempio previste scadenze per il completamento della procedura di registrazione online, per contattare i nostri fornitori di audit o per condurre la riunione iniziale. Siete voi a decidere quando avviare la valutazione iniziale. |
5.4.7.1. La prima riunione formale di apertura
Come per tutte le valutazioni TISAX, la valutazione iniziale comincia con una riunione formale di apertura. La riunione formale di apertura viene generalmente condotta tramite conference call o videoconferenza. Nel caso di aziende di piccole dimensioni che hanno eventualmente già maturato un po’ di esperienza con altri audit, questa riunione non richiede molto tempo.
Lo scopo di questa riunione è:
-
verificare i prerequisiti della valutazione
-
presentare il responsabile del progetto di valutazione e il team di valutazione
-
pianificare la valutazione
5.4.7.2. Procedura di valutazione
Il fornitore di audit conduce la valutazione iniziale in base alla pianificazione effettuata. I relativi dettagli dipendono dagli obiettivi di valutazione della vostra azienda. La valutazione consiste per lo più di conference call, interviste in sede e ispezioni in sede in vari gradi di profondità[23].
Il fornitore di audit presenta tutti i rilievi emersi durante la valutazione iniziale.
5.4.7.3. Riunione di chiusura
Durante la riunione di chiusura il fornitore di audit riassume nuovamente i rilievi emersi.
5.4.7.4. Relazione della valutazione TISAX
Dopo la riunione di chiusura il fornitore di audit prepara e invia alla vostra azienda la bozza della “relazione della valutazione TISAX”. Potete sollevare obiezioni se ritenete che il fornitore di audit abbia interpretato male alcuni aspetti.[24] Il fornitore di audit provvederà quindi a emettere la “relazione della valutazione TISAX”.
A questo punto il risultato complessivo della valutazione sarà:
-
Conforme, o
-
Non conforme di livello grave
La presenza di non conformità (minori) non risolte comporta sempre un risultato complessivo della valutazione corrispondente a “non conforme di livello grave”. Il risultato complessivo della valutazione può passare a “non conforme di livello minore” solo dopo che avrete definito le azioni attraverso cui implementare le misure finalizzate a risolvere le non conformità.
Per maggiori informazioni su questo aspetto, si veda Sezione 5.4.9.4, “Etichette TISAX temporanee”.
Se il risultato complessivo della valutazione è “conforme” fin dalla valutazione iniziale, potete saltare il resto della sezione relativa alla valutazione e procedere con la fase di scambio del risultato.
Se il risultato complessivo della valutazione è “non conforme di livello grave” il passo successivo da seguire è quello di elaborare un piano su come risolvere i rilievi emersi e colmare eventuali divari rilevati dal fornitore di audit. Il piano viene ufficialmente chiamato “piano d’azione correttivo” ( “corrective action plan”).
|
Nota
|
Attenzione: Se, prima dell’inizio della valutazione, siete a conoscenza di una situazione che comporterà una non conformità e non siete in grado di risolverla prima della valutazione, potete già elaborare un’azione correttiva (compresa la data di implementazione) e presentarla al fornitore di audit durante la valutazione. In teoria in questo modo il risultato complessivo della valutazione potrebbe essere “non conforme di livello minore”. Si tratta tuttavia di una circostanza rara. |
5.4.8. Preparazione del piano d’azione correttivo
Il “piano d’azione correttivo” ( “corrective action plan”) stabilisce le modalità con cui prevedete di risolvere i rilievi emersi durante la valutazione iniziale. Il fornitore di audit valuterà l’adeguatezza del “piano d’azione correttivo” (si veda la sezione seguente).
Per elaborare il “piano d’azione correttivo”, dovete prendere in considerazione i seguenti requisiti:
-
Rilievo
-
Dovete indicare quale rilievo l’azione correttiva punta a risolvere.
-
-
Causa principale
-
Dovete identificare e specificare la causa principale del rilievo.
-
-
Azioni correttive
-
Per ciascuna non conformità dovete stabilire una o più “azioni correttive” attraverso cui implementare le misure finalizzate a risolvere la non conformità in questione.
-
-
Data di implementazione
-
Dovete stabilire una data di implementazione per ciascuna azione correttiva.
-
Il periodo di implementazione deve essere tale da fornire tempo sufficiente per l’attuazione completa delle misure.
-
-
Misure compensative
-
Per tutte le non conformità che creano rischi critici, è necessario stabilire misure compensative che risolvano le non conformità fino a quando le azioni correttive non saranno implementate.
-
-
Periodo di implementazione
-
Il periodo di implementazione deve essere giustificato per tutte le azioni correttive la cui attuazione richiede più di tre mesi.
-
Per tutte le azioni correttive la cui attuazione richiede più di tre mesi, dovete inoltre fornire prove che dimostrino che non è possibile attuarle più rapidamente.
-
Il periodo di implementazione di qualsiasi azione correttiva non può essere superiore a nove mesi.
-
Una volta completato il piano d’azione correttivo, potete richiedere la “valutazione del piano d’azione correttivo”.
|
Importante
|
Nota importante: Consigliamo di avviare l’implementazione il prima possibile. Non è necessario attendere il risultato della “valutazione del piano d’azione correttivo”. |
|
Nota
|
Attenzione: I requisiti di TISAX riguardano solo il contenuto e non la forma dei piani d’azione correttivi. |
5.4.9. Valutazione del piano d’azione correttivo
Lo scopo della “valutazione del piano d’azione correttivo” è verificare che il vostro “piano d’azione correttivo” (si veda sopra) soddisfi i requisiti TISAX.
Voi inviate quindi il “piano d’azione correttivo” al vostro fornitore di audit, il quale lo valuta in base ai requisiti (si veda sopra). Se il piano soddisfa i requisiti, il fornitore di audit emetterà la “relazione della valutazione TISAX” aggiornata.
Questa valutazione generalmente non richiede molto tempo. Nella maggior parte dei casi viene effettuata attraverso conference call o videoconferenza, a volte anche solo tramite e-mail.
5.4.9.1. Motivazioni alla base di una valutazione del piano d’azione correttivo
Le motivazioni alla base di una “valutazione del piano d’azione correttivo” sono:
-
Non conformità residue dopo
-
una valutazione iniziale
-
una valutazione di follow-up
-
una valutazione di estensione dell’ambito
-
-
Un “piano d’azione correttivo” che è già stato valutato ma non ha soddisfatto i requisiti
-
I fattori determinanti alla base del calcolo dei periodi di implementazione di un piano d’azione correttivo sono cambiati
5.4.9.2. Combinazione con la valutazione iniziale
La “valutazione del piano d’azione correttivo” non è necessariamente un evento a sé stante. Potete già presentare il vostro “piano d’azione correttivo” durante la riunione di chiusura della valutazione iniziale. Il fornitore di audit potrà quindi direttamente eseguire la “valutazione del piano d’azione correttivo”.
Se associate la “valutazione del piano d’azione correttivo” con la valutazione iniziale e il vostro “piano d’azione correttivo” soddisfa i requisiti, potete concordare con il fornitore di audit che non avete bisogno di una “relazione della valutazione iniziale”. Al suo posto il fornitore di audit preparerà solamente la “relazione della valutazione del piano d’azione correttivo”. Questa relazione vi consente di ricevere direttamente etichette TISAX temporanee.
5.4.9.3. Requisiti del piano d’azione correttivo
Il fornitore di audit valuta il vostro “piano d’azione correttivo” sulla base dei seguenti requisiti:
-
Adeguatezza delle misure
-
Il fornitore di audit valuterà l’adeguatezza di un’azione correttiva in base alla sua capacità di risolvere la causa principale della non conformità.
-
-
Mitigazione dei rischi critici attraverso misure compensative adeguate[25]
-
Adeguatezza dei periodi di implementazione
-
I periodi di implementazione decorrono dal giorno in cui si conclude la valutazione iniziale.
-
-
Periodi di implementazione non superiori a:
-
tre mesi senza giustificazione aggiuntiva
-
sei mesi senza giustificazione aggiuntiva e prove
-
nove mesi
-
5.4.9.4. Etichette TISAX temporanee
Se il risultato complessivo della valutazione è “non conforme di livello minore” riceverete etichette TISAX temporanee.
Il vantaggio delle etichette TISAX temporanee consiste nel fatto che il vostro partner generalmente le accetterà a condizione che in seguito riceviate le etichette TISAX definitive. Ciò può essere utile se avete urgenza di dimostrare al vostro partner l’efficacia del sistema di gestione della sicurezza delle informazioni della vostra azienda.
Il prerequisito per ricevere le etichette TISAX temporanee è una relazione della valutazione del piano d’azione correttivo con risultato complessivo della valutazione “non conforme di livello minore”.
Le etichette TISAX temporanee sono esattamente uguali alle etichette TISAX definitive. L’unica differenza è data dal periodo di validità più breve delle etichette TISAX temporanee.
Le etichette TISAX temporanee sono valide per un massimo di nove mesi dopo la riunione di chiusura della valutazione iniziale. Il periodo di validità delle etichette TISAX temporanee viene stabilito sulla base del periodo di implementazione più lungo delle azioni correttive.
Esempi:
-
Viene rilevata una sola non conformità per la vostra azienda, per la quale dovete eseguire la verifica di una policy interna. Il relativo periodo di implementazione è di due mesi.
Le etichette TISAX temporanee saranno quindi valide per due mesi. -
Dovete gestire la non conformità relativa alla verifica della policy di cui sopra, alla quale se ne aggiunge un’altra che prevede la costruzione di un nuovo muro esterno come azione correttiva. Per via delle tempistiche necessarie per ottenere le dovute approvazioni dal comune, il relativo periodo di implementazione è di otto mesi.
Le etichette TISAX temporanee saranno quindi valide per otto mesi.
Per maggiori informazioni sui requisiti per i periodi di implementazione, si veda Sezione 5.4.9.3, “Requisiti del piano d’azione correttivo”
|
Nota
|
Attenzione: La “valutazione del piano d’azione correttivo” è facoltativa. Potete passare direttamente alla valutazione di follow-up se:
|
Una volta completate tutte le azioni correttive, è necessario richiedere la “valutazione di follow-up”.
5.4.10. Valutazione di follow-up
Lo scopo della “valutazione di follow-up” è quello di valutare se tutte le non conformità precedentemente identificate sono state risolte. Di solito si richiede la valutazione di follow-up quando si è certi che tutte le non conformità sono state risolte.
Potete tuttavia effettuare tutte le valutazioni di follow-up di cui avete bisogno. Se durante una valutazione di follow-up il fornitore di audit rileva ancora la presenza di non conformità residue o addirittura nuove, è sufficiente aggiornare il piano d’azione correttivo e ricominciare questa parte del processo di valutazione.
Questa valutazione può avvenire sia durante una riunione di persona che attraverso una conference call o videoconferenza.
5.4.10.1. Tempistiche
Il fornitore di audit può condurre la/e valutazione/i di follow-up entro un massimo di nove mesi dalla conclusione della valutazione iniziale[26].
5.4.10.2. Prerequisiti
Se non avete bisogno di etichette TISAX temporanee, potete richiedere direttamente una valutazione di follow-up. Non è necessario eseguire una “valutazione del piano d’azione correttivo” prima di una valutazione di follow-up.
5.4.10.3. Scadenza delle etichette TISAX temporanee
Nel caso in cui abbiate bisogno di etichette TISAX temporanee, è importante assicurarsi che non ci siano ritardi per quanto riguarda la ricezione delle etichette TISAX definitive. Si consiglia quindi di richiedere la valutazione di follow-up con largo anticipo rispetto all’ultima data di scadenza possibile[27]. Il motivo è quello di avere un margine di tempo sufficiente per risolvere eventuali rilievi minori individuati durante la valutazione di follow-up.
5.4.11. Grafico del processo di valutazione TISAX
Le sezioni precedenti sono riassunte nel seguente grafico relativo al processo:
|
|
Le vostre azioni |
|
|
Le azioni del fornitore di audit |
|
|
Inizio |
|
|
Preparazione della valutazione |
|
|
Attivazione da parte vostra |
|
|
Inizio del periodo massimo di nove mesi |
|
|
Valutazione iniziale |
|
|
Relazione della valutazione iniziale |
|
|
Rilevazione di non conformità? |
|
|
No |
|
|
e) |
|
|
Sì |
|
|
Elaborazione di un piano d’azione correttivo |
|
|
d) |
|
|
Attivazione da parte vostra |
|
|
Avvio/proseguimento delle azioni correttive |
|
|
Valutazione del piano d’azione correttivo |
|
|
Relazione della valutazione del piano d’azione correttivo |
|
|
No (incompleto o non adeguato) |
|
|
Piano d’azione correttivo ok? |
|
|
c) |
|
|
b) |
|
|
a) |
|
|
Etichette TISAX temporanee possibili |
