Completate il processo di valutazione TISAX e condividete il risultato della valutazione con il vostro partner
Pubblicato da
ENX Association
un’associazione costituita ai sensi della legge francese del 1901,
iscritta con il numero w923004198 presso la Sous-préfecture of Boulogne-Billancourt, Francia
Indirizzi
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francia
Bockenheimer Landstraße 97-99, 60325 Francoforte sul Meno, Germania
Autore
Florian Gleich
Contatti
Versione
Data: |
06.03.2024 |
Versione: |
2.7.1 |
Classificazione: |
Public |
ENX doc ID: |
602-IT |
Avviso sul copyright
Tutti i diritti riservati da ENX Association.
ENX, TISAX e i rispettivi loghi sono marchi registrati di ENX Association.
I marchi di terzi citati sono di proprietà dei rispettivi titolari.
1. Panoramica
1.1. Scopo
Vi diamo il benvenuto su TISAX, il Trusted Information Security Assessment Exchange.
Uno dei vostri partner vi ha chiesto di dimostrare che la gestione della sicurezza delle informazioni della vostra azienda è conforme a un determinato livello secondo i requisiti del documento “Information Security Assessment” (ISA). Ora volete quindi capire come soddisfare questa richiesta.
Lo scopo di questo manuale è quello di aiutarvi a soddisfare la richiesta del vostro partner o di portarvi avanti anticipandola prima che venga formulata.
Il presente manuale descrive le azioni da compiere per superare la valutazione TISAX e per condividere il relativo risultato con il vostro partner.
Definire e mantenere un sistema di gestione della sicurezza delle informazioni (information security management system, ISMS) è già di per sé un’operazione impegnativa. Dimostrare al vostro partner che la gestione della sicurezza delle informazioni della vostra azienda è adeguata la rende ulteriormente complessa. Il presente manuale non vi aiuterà a gestire la sicurezza delle informazioni: il suo scopo è invece quello di rendere il più semplice possibile dimostrare l’impegno della vostra azienda al partner in questione.
1.2. Ambito di applicazione
Il presente manuale si applica a tutti i processi TISAX in cui la vostra azienda può essere coinvolta.
Contiene tutto ciò che dovete sapere per completare il processo TISAX.
Il manuale offre alcuni consigli su come gestire i requisiti di sicurezza delle informazioni al centro della valutazione. Il suo obiettivo, tuttavia, non è quello di fornirvi una preparazione generale su cosa è necessario fare per superare la valutazione della sicurezza delle informazioni.
1.3. Destinatari
Il presente manuale si rivolge principalmente alle aziende che devono o vogliono dimostrare di possedere un determinato livello di gestione della sicurezza delle informazioni secondo i requisiti dell’“Information Security Assessment” (ISA).
Non appena la vostra azienda sarà attivamente coinvolta nei processi TISAX, potrete beneficiare delle informazioni fornite in questo manuale.
Anche le aziende che richiedono ai propri fornitori di dimostrare di possedere determinati livelli di gestione della sicurezza delle informazioni ne trarranno vantaggio. Questo manuale permette a tali aziende di capire cosa devono fare i relativi fornitori per soddisfare la loro richiesta.
1.4. Struttura
Innanzitutto introdurremo brevemente TISAX, per passare subito dopo alle istruzioni su COME procedere. Troverete tutte le informazioni che vi servono per completare il processo nell’ordine più appropriato.
Il tempo di lettura stimato del documento è di 75-90 minuti.
1.5. Come utilizzare questo documento
È probabile che prima o poi avrete bisogno di familiarizzare con la maggior parte dei contenuti di questo documento. Per una preparazione adeguata, si consiglia di leggere l’intero manuale.
Il manuale è strutturato in base alle tre fasi principali del processo TISAX, in modo da poter passare alla sezione di cui avete bisogno e leggere il resto in un secondo momento.
Nel manuale sono contenute illustrazioni che facilitano la comprensione. I colori delle illustrazioni hanno spesso un significato aggiuntivo: si consiglia pertanto di leggere il documento da computer o su una copia cartacea a colori.
Il vostro feedback è molto apprezzato: se pensate che in questo manuale manchi qualcosa o che determinati contenuti non siano chiari, non esitate a comunicarcelo. Noi e tutti i futuri lettori del manuale vi saremo grati per il feedback fornito.
Se avete già utilizzato una versione precedente del Manuale per i partecipanti TISAX, troverete alcune note utili alla fine del documento in Sezione 8, “Cronologia dei documenti”.
1.6. Contatti
Restiamo a disposizione per guidarvi attraverso il processo TISAX e per rispondere a tutte le vostre domande.
Potete inviarci un’e-mail all’indirizzo: |
|
Oppure potete contattarci al numero: |
Siamo raggiungibili durante il normale orario di lavoro in Germania (UTC+01:00).
Tutti i nostri dipendenti parlano inglese e tedesco. Un dipendente è madrelingua italiano.
Si prega di consultare la Sezione 7.13, “Allegato: Gestione dei reclami”.
1.7. Il Manuale per i partecipanti TISAX in altre lingue e altri formati
Il Manuale per i partecipanti TISAX è disponibile nelle seguenti lingue e nei seguenti formati:
Lingua | Versione | Formato | Link |
---|---|---|---|
Inglese |
2.7.1 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
Tedesco |
2.7.1 |
Online |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
Francese |
2.7 |
Online |
|
Offline |
|||
Cinese |
2.7 |
Online |
|
Offline |
|||
Spagnolo |
2.7 |
Online |
|
Offline |
|||
Giapponese |
2.7 |
Online |
|
Offline |
|||
Portoghese del Brasile |
2.7 |
Online |
|
Offline |
|||
Italiano |
2.7.1 |
Online |
|
Offline |
|||
Coreano |
2.7 |
Online |
|
Offline |
|||
Ceco |
2.7.1 |
Online |
|
Offline |
|||
Polacco |
2.7.1 |
Online |
|
Offline |
|||
Importante
|
Nota importante: La versione inglese è quella di riferimento. |
1.7.1. Informazioni sulla traduzione in italiano
Il presente Manuale per i partecipanti TISAX è una traduzione della versione inglese.
Tutti i documenti alla base di TISAX sono stati creati in inglese (ad esempio, tutti i contratti e i requisiti per i fornitori dei servizi di audit di TISAX). Di conseguenza, il vostro partner o fornitore di audit potrebbe utilizzare alcuni termini specifici di TISAX in inglese.
Per aiutarvi a effettuare una corretta interpretazione, abbiamo mantenuto il termine originale TISAX inglese nella traduzione del Manuale per i partecipanti TISAX o lo abbiamo indicato tra parentesi direttamente dopo la relativa traduzione.
1.7.2. Informazioni sul formato online
Ciascuna sezione è provvista di un ID unico (formato: ID1234).
Un ID fa riferimento a una sezione specifica, indipendentemente dalla lingua.
Per accedere a una sezione specifica potete:
-
fare clic con il tasto destro del mouse sul titolo della sezione e copiare il link, oppure
-
fare clic sul titolo della sezione e copiare il link dalla barra degli indirizzi del browser.
La maggior parte delle figure è disponibile con dimensioni più grandi rispetto a quelle visualizzate per impostazione predefinita in questo documento. Fate clic sulla figura in questione per aprire la versione ingrandita.
1.7.3. Informazioni sul formato offline
Il formato offline mantiene la maggior parte delle caratteristiche del formato online. In particolare, le figure sono incorporate nel file HTML. Per utilizzare il formato offline occorre un solo file.
Rispetto al formato online, il formato offline non contiene:
-
le immagini ingrandite
-
i caratteri originali del formato online
I caratteri sono definiti in base alle impostazioni predefinite del vostro browser.
1.7.4. Informazioni sul formato PDF
Se utilizzate il formato PDF da computer, potrete comunque fare clic su tutti i riferimenti. Se decidete invece di stampare la versione PDF, non avrete a disposizione i numeri di pagina e dovrete cercare i riferimenti autonomamente.
2. Introduzione
Le sezioni seguenti introducono il concetto di TISAX.
Se vi trovate in una situazione di urgenza, potete saltarle e passare subito alla Sezione 4.3, “Preparazione per la registrazione”.
2.1. Perché TISAX?
O per meglio dire: perché siete qui?
Per rispondere a questa domanda, cominceremo con alcune riflessioni sull’attività commerciale in generale e sulla protezione delle informazioni in particolare.
Mettetevi nei panni del vostro partner: possiede delle informazioni riservate e vuole condividerle con il suo fornitore, ossia la vostra azienda. La collaborazione tra voi e il vostro partner genera valore e le informazioni che il vostro partner condivide con voi sono una parte importante di questa creazione di valore. Per questo motivo vuole proteggerle in maniera adeguata. Vuole inoltre assicurarsi che voi gestiate le sue informazioni con la stessa cura.
Ma come può essere sicuro che le sue informazioni siano in buone mani? Non può semplicemente “fidarsi” di voi, deve averne la prova.
Le domande da porsi a questo punto sono due: chi stabilisce cosa si intende con gestione “sicura” delle informazioni? E come la si dimostra?
2.2. Chi stabilisce cosa si intende con "sicurezza"?
Voi e il vostro partner non siete gli unici a dover affrontare queste domande per la prima volta. Quasi tutti sono alla ricerca di una risposta e quasi tutte le risposte sono simili tra loro.
Invece di dover trovare ogni volta una soluzione individuale a un problema comune, l’adozione di un metodo standard elimina le difficoltà derivanti dal dover creare tutto da zero. Definire uno standard comporta uno sforzo enorme, ma è un’operazione che viene fatta una sola volta e chi lo segue ne trarrà vantaggio ogni volta.
Esistono sicuramente opinioni diverse su cosa sia giusto fare per proteggere le informazioni. Tuttavia, proprio per i vantaggi citati sopra, la maggior parte delle aziende decide di avvalersi di standard. Uno standard condensa dentro di sé tutte le best practice comprovate e testate nel tempo per una determinata sfida.
Nel vostro caso, standard come l’ISO/IEC 27001 (sui sistemi di gestione della sicurezza delle informazioni o ISMS) e la loro implementazione stabiliscono modalità avanzate per gestire in modo sicuro le informazioni riservate. Con uno standard come questo non dovrete perdere tempo ogni volta per inventare una soluzione che esiste già. Inoltre, gli standard forniscono una base comune che due aziende possono utilizzare quando devono scambiarsi dati riservati.
2.3. Il metodo del settore automotive
Per loro natura, gli standard indipendenti da un settore specifico sono concepiti come soluzioni universali, anziché essere adattate alle particolari esigenze delle aziende del settore automobilistico.
Molto tempo fa, l’industria automobilistica ha formato delle associazioni che avevano come obiettivo, tra gli altri, quello di perfezionare e definire standard adatti alle specifiche necessità del settore. L’associazione “Verband der Automobilindustrie” (VDA) è una di queste. All’interno del gruppo di lavoro che si occupa di sicurezza delle informazioni, diversi membri dell’industria automobilistica sono giunti alla conclusione che le loro esigenze sono sufficientemente simili per adattare gli standard esistenti di gestione della sicurezza delle informazioni.
Il loro impegno congiunto ha portato alla realizzazione di un questionario relativo ai requisiti di sicurezza delle informazioni ampiamente accettati dal settore automobilistica, denominato “Information Security Assessment” (ISA, Valutazione della sicurezza delle informazioni).
Grazie all’ISA, ora abbiamo una risposta alla domanda “Chi stabilisce cosa si intende con sicurezza?”. Attraverso la VDA, il settore automobilistico stesso offre questa risposta ai suoi membri.
2.4. Come si può dimostrare la sicurezza in modo efficace?
Mentre alcune aziende utilizzano l’ISA solo per finalità interne, altre lo usano per valutare la maturità della gestione della sicurezza delle informazioni dei loro fornitori. In alcuni casi, un’autovalutazione è sufficiente ai fini dei rapporti commerciali. Tuttavia, a volte, le aziende conducono una valutazione completa della gestione della sicurezza delle informazioni dei propri fornitori (compresi gli audit in loco).
Parallelamente alla crescente consapevolezza della necessità di gestire la sicurezza delle informazioni e alla diffusione dell’ISA come strumento di valutazione della sicurezza delle informazioni, un numero considerevole di fornitori si è trovato di fronte a richieste simili da partner diversi.
Tali partner applicavano comunque standard diversi e avevano opinioni differenti su come interpretarli. In sostanza i fornitori dovevano dimostrare le stesse cose, solo in modi diversi.
E più i partner chiedevano ai fornitori di dimostrare il proprio livello di gestione della sicurezza delle informazioni, più le proteste di questi ultimi aumentavano per il continuo lavoro che veniva loro richiesto. Mostrare a un auditor dopo l’altro le stesse misure di gestione della sicurezza delle informazioni è semplicemente un metodo inefficace.
Come rendere quindi questa operazione più efficace? Non sarebbe utile poter riutilizzare la relazione di uno stesso auditor per più partner?
Gli OEM e i fornitori del gruppo di lavoro di ENX responsabile della gestione dell’ISA hanno ascoltato le rimostranze dei propri fornitori. Oggi sono quindi in grado di offrire loro e a tutte le altre aziende del settore automobilistico una risposta alla domanda “Come si può dimostrare la sicurezza?”.
Questa risposta è TISAX, acronimo di “Trusted Information Security Assessment Exchange” ( “Scambio affidabile delle valutazioni sulla sicurezza delle informazioni”).
3. Il processo TISAX
3.1. Panoramica
Il processo TISAX normalmente[1] inizia con la richiesta da parte di uno dei vostri partner di dimostrare un determinato livello di gestione della sicurezza delle informazioni in base ai requisiti dell’“Information Security Assessment” (ISA). Per soddisfare tale richiesta, dovete completare il processo TISAX in 3 fasi. In questa sezione troverete una panoramica delle fasi da completare.
Il processo TISAX è composto dalle seguenti 3 fasi:
Fase 1 |
|
Fase 2 |
|
Fase 3 |
-
Registrazione
Raccogliamo informazioni sulla vostra azienda e su quali elementi devono essere inclusi nella valutazione. -
Valutazione
La vostra azienda completa la valutazione (o le valutazioni) condotta da parte di uno dei nostri fornitori di audit TISAX. -
Scambio
La vostra azienda condivide il risultato della valutazione con il partner in questione.
Ciascuna fase è composta da sotto-fasi, delineate nelle tre sezioni seguenti e descritte in dettaglio nelle rispettive sezioni più avanti.
Nota
|
Attenzione: Anche se ci piacerebbe potervi dire quanto tempo è necessario per ottenere il risultato della valutazione TISAX, ci teniamo a precisare che non è possibile per noi fare previsioni affidabili. La durata complessiva del processo TISAX dipende da troppi fattori. Le diverse dimensioni delle aziende, la varietà degli obiettivi di valutazione e il grado di sviluppo di ciascun sistema di gestione della sicurezza delle informazioni rendono questa previsione impossibile. |
3.2. Registrazione
Il primo passo è la registrazione a TISAX.
Lo scopo principale della registrazione a TISAX è quello di raccogliere informazioni sulla vostra azienda. Utilizziamo una procedura di registrazione online attraverso la quale potete fornirci queste informazioni.
Si tratta di un prerequisito per tutte le fasi successive. e prevede il pagamento di una tariffa.
Durante la procedura di registrazione online:
-
Vi chiediamo di fornirci i vostri dati di contatto e di fatturazione.
-
Dovete accettare le nostre condizioni.
-
Potete definire l’ambito della valutazione della sicurezza delle informazioni della vostra azienda.
Per un avvio diretto con questa azione, si veda Sezione 4, “Registrazione (fase 1)”.
La procedura di registrazione online è descritta in dettaglio in Sezione 4.5, “Procedura di registrazione online”. Se invece volete iniziare subito il processo, accedete a enx.com/en-US/TISAX/.
3.3. Valutazione
La seconda fase consiste nel completamento della valutazione della sicurezza delle informazioni.
Sono previste quattro sotto-fasi:
-
Preparazione della valutazione
Dovete predisporre la valutazione. La portata di tale preparazione dipende dal livello di maturità corrente del sistema di gestione della sicurezza delle informazioni della vostra azienda. La vostra preparazione deve basarsi sul catalogo dell’ISA. -
Selezione del fornitore di audit
Dovete scegliere uno dei nostri fornitori di audit TISAX. -
Valutazione/i della sicurezza delle informazioni
Il vostro fornitore di audit condurrà la valutazione sulla base di un ambito di valutazione che corrisponde ai requisiti del vostro partner. Come minimo, il processo di valutazione consiste nell’audit iniziale.
Qualora la vostra azienda non superi subito la valutazione, il processo può richiedere ulteriori fasi. -
Risultato della valutazione
Una volta che la vostra azienda ha superato la valutazione, il vostro fornitore di audit vi fornirà la relazione della valutazione TISAX ufficiale. Il risultato della valutazione sarà anche accompagnato dalle etichette TISAX[2].
Per maggiori informazioni su questa azione, si veda Sezione 5, “Valutazione (fase 2)”.
3.4. Scambio
La terza e ultima fase consiste nel condividere il risultato della valutazione con il vostro partner. Il contenuto della relazione della valutazione TISAX è strutturato in livelli. Potete decidere fino a quale livello concedere l’accesso al vostro partner.
Il risultato della valutazione ha una validità di tre anni. Se a quel punto sarete ancora un fornitore del partner in questione, dovrete ripetere le tre fasi del processo[3].
Per maggiori informazioni su questa azione, si veda Sezione 6, “Scambio (fase 3)”.
Ora che vi siete fatti un’idea di base del processo TISAX, nelle sezioni seguenti troverete le istruzioni su come completare ogni fase.
4. Registrazione (fase 1)
Il tempo di lettura stimato per la sezione relativa alla registrazione è di 30-40 minuti.
4.1. Panoramica
La registrazione a TISAX è il primo passo da compiere. Si tratta di un prerequisito per tutte le fasi successive.
Le sezioni che seguono vi guideranno durante la procedura di registrazione:
-
Cominceremo con lo spiegare un nuovo termine essenziale.
-
Vi forniremo poi consigli su come prepararvi per la procedura di registrazione online.
-
Infine vi guideremo durante la procedura di registrazione online.
4.2. La vostra azienda è un partecipante TISAX
Cominciamo con l’introdurre innanzitutto un nuovo termine indispensabile da comprendere. Finora la vostra azienda ha ricoperto il ruolo di “fornitore”, chiamato a soddisfare una richiesta del suo “cliente”. TISAX, tuttavia, non fa una vera e propria distinzione tra questi due ruoli. Per TISAX ogni soggetto che si registra è un “partecipante”. La vostra azienda, così come il vostro partner, “partecipa” allo scambio dei risultati relativi alla valutazione della sicurezza delle informazioni.
La vostra azienda |
|
Registrazione a TISAX |
|
Partecipante TISAX |
Per distinguere i due ruoli fin dall’inizio, ci riferiremo alla vostra azienda, il fornitore, come “partecipante attivo”, mentre il vostro partner verrà indicato come “partecipante passivo”. In quanto “partecipante attivo”, la vostra azienda verrà sottoposta alla valutazione TISAX e condividerà il risultato della valutazione con gli altri partecipanti. Il “partecipante passivo” è il soggetto che ha richiesto alla vostra azienda di sottoporsi alla valutazione TISAX e che riceve quindi il risultato della valutazione.
1 Richiede la valutazione a |
|
Partecipante passivo |
|
Partecipante attivo |
|
2 Si sottopone alla valutazione TISAX |
|
3 Condivide il risultato con |
Tutte le aziende possono ricoprire entrambi i ruoli. Potete condividere il risultato di una valutazione con il vostro partner e chiedere al tempo stesso ai vostri fornitori di sottoporsi a una valutazione TISAX.
Il vostro cliente |
|
La vostra azienda condivide il risultato con il cliente |
|
Partecipante attivo |
|
La vostra azienda |
|
Partecipante passivo |
|
Condivide il risultato con la vostra azienda |
|
Il vostro fornitore |
Richiedere ai propri fornitori di sottoporsi alla valutazione TISAX può essere particolarmente opportuno se anche loro gestiscono le informazioni del vostro partner con esigenze di protezione.
4.3. Preparazione per la registrazione
Questa sezione contiene consigli su come prepararsi per la registrazione. La procedura di registrazione è descritta in dettaglio in Sezione 4.5, “Procedura di registrazione online”.
Prima di iniziare la procedura di registrazione online, vi consigliamo vivamente di:
-
raccogliere le informazioni in anticipo
-
e prendere alcune decisioni.
4.3.1. Le basi giuridiche
Normalmente è necessario firmare due contratti. Il primo contratto viene stipulato tra la vostra azienda ed ENX Association: le “Condizioni generali di partecipazione a TISAX” (CG di Partecipazione a TISAX). Il secondo contratto viene invece concluso tra la vostra azienda e uno dei nostri fornitori di audit TISAX. Ai fini della registrazione ci soffermeremo solo sul primo contratto.
Le CG di Partecipazione a TISAX regolano i rapporti tra noi e la vostra azienda e quelli tra la vostra azienda e gli altri partecipanti TISAX. In esse sono stabiliti i diritti e i doveri di tutti i soggetti coinvolti. Oltre alle clausole standard che si trovano nella maggior parte dei contratti, esse definiscono nel dettaglio come vengono trattate le informazioni scambiate e ottenute durante il processo TISAX. Un obiettivo fondamentale di queste regole è quello di mantenere riservati i risultati delle valutazioni TISAX. Poiché tutti i partecipanti TISAX sono soggetti alle stesse regole, potete aspettarvi un’adeguata protezione dei risultati della valutazione TISAX da parte del vostro partner (nel suo ruolo di partecipante passivo).
Già nella fase iniziale della procedura di registrazione online, vi chiederemo di accettare le CG di Partecipazione a TISAX. Trattandosi di un vero e proprio contratto, consigliamo di leggere le CG di Partecipazione a TISAX prima di iniziare la procedura di registrazione online. A seconda del vostro ruolo in azienda, infatti, potrebbe essere necessario ottenere l’autorizzazione da parte di un consulente legale interno o esterno.
Le “Condizioni generali di partecipazione a TISAX”[4] possono essere scaricate dal nostro sito web al seguente indirizzo:
enx.com/en-US/TISAX/downloads/
Download diretto del PDF:
enx.com/tisaxgtcen.pdf
Durante la procedura di registrazione online, vi chiederemo di selezionare due caselle obbligatorie:
-
❏ We accept the TISAX Participation General Terms and Conditions ( Accettiamo le Condizioni generali di partecipazione a TISAX)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( Confermiamo di essere a conoscenza del fatto che il Richiedente esonera i Fornitori di Audit dai propri obblighi di segretezza professionale conformemente alle Sezioni IX.5. e X.3 delle Condizioni generali di partecipazione a TISAX;)
Abbiamo inserito la seconda casella perché alcuni dei nostri fornitori di audit TISAX sono revisori contabili certificati e devono quindi rispettare speciali requisiti in materia di segreto professionale. Di solito, i requisiti speciali in materia di segreto professionale vietano ai revisori contabili certificati che operano in qualità di nostri fornitori di audit di condividere informazioni con noi. In particolare, ciò ci impedirebbe di eseguire i controlli necessari per svolgere la nostra funzione di governance. Pertanto, abbiamo bisogno di questa liberatoria. Si consiglia di prestare particolare attenzione a queste clausole prima di selezionare la relativa casella.
Se generalmente la vostra azienda necessita di stipulare un accordo di riservatezza (NDA) con qualunque soggetto che gestisca informazioni riservate, vi invitiamo a consultare le rispettive sezioni delle nostre CG, dove dovreste trovare risposta a tutti i vostri dubbi. Inoltre, di solito non è previsto che ci forniate alcuna informazione riservata.
Per concludere la sezione legale, precisiamo che il nostro sistema si basa sull’accettazione delle stesse regole da parte di tutti. Per questo motivo non possiamo accettare condizioni generali aggiuntive[5].
4.3.2. L’ambito di valutazione TISAX
Durante la seconda fase del processo TISAX, uno dei nostri fornitori di audit TISAX condurrà la valutazione della sicurezza delle informazioni. Tale fornitore deve sapere da quale punto iniziare e quando fermarsi, ecco perché è necessario che definiate un “ambito di valutazione”.
L’“ambito di valutazione” descrive il perimetro della valutazione della sicurezza delle informazioni. In parole povere, ogni area della vostra azienda coinvolta nella gestione delle informazioni riservate del vostro partner rientra nell’ambito di valutazione. Si tratta di un elemento fondamentale nella descrizione dei compiti del fornitore di audit e stabilisce gli elementi che egli deve valutare.
L’ambito di valutazione è importante per due motivi:
-
Il risultato della valutazione soddisferà i requisiti del vostro partner solo se il relativo ambito di valutazione copre tutte le aree della vostra azienda coinvolte nella gestione delle informazioni di tale partner.
-
Un ambito di valutazione definito con precisione è un prerequisito essenziale per permettere ai nostri fornitori di audit TISAX di calcolare correttamente i costi.
Importante
|
Nota importante: ISO/IEC 27001 vs TISAX Dobbiamo innanzitutto distinguere tra due tipi di ambito: Per la certificazione ISO/IEC 27001, potete definire l’ambito dell’ISMS della vostra azienda (nella “definizione dell’ambito”) in completa libertà. Tuttavia, l’ambito della valutazione (noto anche come “ambito dell’audit”) deve essere identico all’ambito dell’ISMS della vostra azienda. Anche nel caso di TISAX vi viene chiesto di definire l’ISMS della vostra azienda, ma l’ambito della valutazione può essere diverso. Per la certificazione ISO/IEC 27001, potete stabilire liberamente l’ambito della valutazione nello stesso modo in cui stabilite l’ambito dell’ISMS della vostra azienda. Nel caso di TISAX, invece, l’ambito della valutazione è predefinito. L’ambito della valutazione può essere inferiore rispetto all’ambito dell’ISMS della vostra azienda, ma deve rientrare in quest’ultimo. |
4.3.2.1. Descrizione dell’ambito
La descrizione dell’ambito definisce l’ambito di valutazione. Per la descrizione dell’ambito, è necessario scegliere uno dei seguenti due tipi di ambito:
-
Standard scope ( Ambito standard)
-
Custom scope ( Ambito personalizzato)
-
Custom extended scope ( Ambito personalizzato esteso)
-
Full custom scope ( Ambito personalizzato completo)
-
Parleremo dell’ambito standard nella sezione seguente. L’ambito standard è la scelta giusta per oltre il 99% dei partecipanti. Pertanto, parleremo degli ambiti personalizzati solo in Sezione 7.8, “Allegato: Ambiti personalizzati”.
4.3.2.2. Ambito standard
La descrizione dell’ambito standard è alla base della valutazione TISAX. Gli altri partecipanti TISAX accettano solo i risultati di valutazioni basati sulla descrizione dell’ambito standard.
La descrizione dell’ambito standard è predefinita e non può essere modificata.
Uno dei vantaggi principali dell’adottare un ambito standard è il fatto che non occorre elaborare una propria definizione.
Di seguito è riportata la descrizione dell’ambito standard (versione 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
L’ambito di valutazione TISAX definisce il perimetro della valutazione. La valutazione include tutti i processi, le procedure e le risorse di cui l’organizzazione soggetta a valutazione è responsabile e che sono rilevanti per la sicurezza degli elementi oggetto di protezione e i relativi obiettivi di protezione, definiti negli obiettivi di valutazione indicati, nelle sedi indicate. La valutazione viene condotta almeno al livello di valutazione più alto tra quelli elencati negli obiettivi di valutazione indicati. Tutti i criteri di valutazione elencati negli obiettivi di valutazione indicati sono soggetti a valutazione. |
Consigliamo vivamente di scegliere l’ambito standard. Tutti i partecipanti TISAX accettano i risultati della valutazione della sicurezza delle informazioni basati sull’ambito standard.
4.3.2.3. Definizione dell’ambito di applicazione
Dopo aver definito il tipo di ambito, dovete decidere quali sedi rientrano nell’ambito di valutazione.
Se la vostra azienda è di piccole dimensioni (una sola sede), si tratta di un’operazione facile. Dovrete semplicemente aggiungere la vostra sede all’ambito di valutazione.
Se si tratta invece di un’azienda di grandi dimensioni, potete valutare se registrare più di un ambito di valutazione.
Definire un unico ambito che racchiuda tutte le vostre sedi presenta dei vantaggi:
-
Avrete una sola relazione della valutazione, un solo risultato della valutazione e una sola data di scadenza.
-
La valutazione avrà costi ridotti, perché il fornitore di audit TISAX dovrà valutare i processi, le procedure e le risorse centrali una sola volta.
Tuttavia la definizione di un unico ambito può presentare anche degli svantaggi, come ad esempio:
-
Tutte le sedi devono avere gli stessi obiettivi di valutazione.
-
Il risultato della valutazione è disponibile solo dopo che il fornitore di audit TISAX ha valutato tutte le sedi. Questo può essere un aspetto rilevante se avete bisogno di ricevere un risultato della valutazione con urgenza.
-
Il risultato della valutazione è subordinato al superamento della stessa da parte di tutte le sedi. Se una sola sede non supera la valutazione, il risultato non sarà positivo. Una soluzione a questo problema è: a) rimuovere la sede dall’ambito, b) risolvere i problemi, c) aggiungere la sede in seguito con una valutazione di estensione dell’ambito.
4.3.2.4. Personalizzazione dell’ambito
La decisione se avere un solo ambito o più ambiti spetta unicamente a voi. Tuttavia, rispondere alle domande presenti nel seguente grafico può aiutarvi a decidere.
INIZIO |
|
Passaggio 1: Avete bisogno di una valutazione per più di una sede? |
|
Passaggio 2: Disponete di tempo sufficiente per prepararvi per la valutazione in tutte le sedi? |
|
Passaggio 3: Tutte le sedi condividono un ISMS centrale (responsabilità, infrastruttura, politiche e processi)? |
|
Passaggio 4: Tutte le sedi condividono lo stesso obiettivo di valutazione (protezione di prototipi di veicoli o informazioni con esigenze di protezione molto elevate)? |
|
Fine: registrazione dell’ambito di valutazione |
|
Considera le sedi separatamente le une dalle altre. |
|
No |
|
Sì |
Nota
|
Attenzione: Non lasciatevi intimidire da questa decisione. È possibile modificare qualsiasi ambito, purché il fornitore di audit non abbia ancora concluso la valutazione. Ad esempio, durante la preparazione della valutazione potreste scoprire che l’ambito scelto non è adatto --e modificarlo di conseguenza. Oppure il fornitore di audit potrebbe consigliare di modificare l’ambito durante le fasi iniziali della valutazione. Note aggiuntive:
|
4.3.2.5. Sedi dell’ambito
Ora che avete deciso quali sedi rientrano nell’ambito di valutazione, potete continuare a raccogliere informazioni specifiche sulle sedi.
Per ogni sede abbiamo bisogno di informazioni come la denominazione e l’indirizzo dell’azienda. Vi chiediamo inoltre alcune informazioni aggiuntive che consentono ai nostri fornitori di audit TISAX di farsi un’idea più precisa della vostra struttura aziendale. In base alle vostre risposte essi formuleranno una stima del lavoro richiesto.
Preparate quindi le seguenti informazioni per ciascuna delle vostre sedi (l’asterisco rosso * indica le informazioni obbligatorie nella procedura online):
Campo | Opzioni |
---|---|
Nome della sede * |
N/A |
N/A |
|
Tipo di sede * |
Edificio (o edifici) di proprietà e uso esclusivo dell’azienda |
Protezione passiva del sito * |
Sì |
Settore |
Information Technology
|
Gestione
|
|
Comunicazione
|
|
Ricerca e sviluppo
|
|
Produzione
|
|
Vendita e post-vendita
|
|
Altro settore |
|
Dipendenti presso la sede: totali * |
0 |
Dipendenti presso la sede: IT * |
0 |
Dipendenti presso la sede: sicurezza informatica * |
0 |
Dipendenti presso la sede: sicurezza della sede * |
0 |
Certificazioni per questa sede |
ISO 27001 |
Nota
|
Attenzione: Per quanto riguarda il campo “Settore”: selezionate l’opzione migliore in base alle vostre conoscenze. Non esistono scelte giuste o sbagliate quando si selezionano le opzioni di cui sopra. Se non è presente un’opzione che corrisponde alla vostra tipologia di azienda, indicate quella appropriata in “Altro”. |
Per ciascuna sede dovete specificare un “location name” ( “nome della sede”). Il nome della sede consente di individuare una determinata sede con più facilità quando la si assegna a un ambito di valutazione.
Consigliamo di assegnare i nomi delle sedi in base al seguente schema:
Schema: |
[Riferimento geografico] |
Esempio: |
per l’azienda di fantasia “ACME”
|
4.3.2.6. Nome dell’ambito
Per ogni ambito è necessario specificare uno “scope name” ( “nome dell’ambito”). Lo scopo principale del nome dell’ambito è quello di facilitare l’identificazione di un determinato ambito nell’elenco generale degli ambiti nel portale ENX. Scegliete un nome che sia utile al lettore e ai vostri colleghi. Per le comunicazioni esterne, utilizzate l’ID Ambito.
Potete usare il nome che volete, ma non è possibile assegnare lo stesso nome a più di un ambito.
Se in seguito desiderate rinnovare la valutazione TISAX, dovrete creare un nuovo ambito (possibilmente identico a quello attuale). Consigliamo quindi di aggiungere l’anno della valutazione al nome dell’ambito.
Consigliamo di assegnare i nomi degli ambiti in base al seguente schema:
Schema: |
[Riferimento geografico o funzionale anno ] [della valutazione] |
Esempi: |
per l’azienda di fantasia “ACME”
|
4.3.2.7. Contatti
Per poter comunicare con voi, raccogliamo i dati di contatto dei referenti presso la vostra azienda.
Chiediamo di fornirci almeno un contatto per la vostra azienda in quanto partecipante TISAX in generale e uno per ciascun ambito di valutazione. Potete anche fornire contatti aggiuntivi.
Durante i preparativi per la registrazione, dovete quindi decidere chi saranno i referenti della vostra azienda da inserire come contatti.
Chiediamo di indicare i seguenti dati di contatto:
Dato del contatto | Obbligatorio? | Esempio | |
---|---|---|---|
1. |
Formula di saluto |
Sì |
Sig.ra, Sig. |
2. |
Titolo accademico |
Dott./Dott.ssa, Ph.D., altro |
|
3. |
Nome |
Sì |
John |
4. |
Cognome |
Sì |
Doe |
5. |
Qualifica professionale |
Sì |
Responsabile IT |
6. |
Ufficio |
Sì |
Information Technology |
7. |
Numero di telefono principale |
Sì |
+49 69 986692777 |
8. |
Numero di telefono secondario |
||
9. |
Indirizzo e-mail |
Sì |
john.doe@acme.com |
10. |
Lingua preferita |
Sì |
Inglese (impostazione predefinita) |
11. |
Altre lingue |
Tedesco, francese |
|
12. |
Identificatore dell’indirizzo personale |
HPC 1234 |
|
13. |
Via |
Sì |
Bockenheimer Landstraße 97-99 |
14. |
Codice postale |
Sì |
60325 |
15. |
Città |
Sì |
Francoforte |
16. |
Stato/Provincia |
||
17. |
Paese |
Sì |
Germania |
Importante
|
Nota importante: |
4.3.2.8. Pubblicazione e condivisione
Lo scopo principale di TISAX è quello di pubblicare il risultato della vostra valutazione rendendolo disponibile per gli altri partecipanti TISAX e di condividerlo con il/i vostro/i partner.
Potete decidere se pubblicare e condividere il risultato della valutazione durante la procedura di registrazione o in qualsiasi momento successivo.
Se avete deciso di intraprendere il processo TISAX in via preventiva, potete già decidere di pubblicare il risultato della valutazione e renderlo disponibile alla comunità dei partecipanti TISAX. Per il resto, non dovete preparare nient’altro in questa fase.
Se è stato il vostro partner a chiedervi di sottoporvi al processo TISAX, prima o poi dovrete condividere il risultato della valutazione. È possibile condividere le informazioni sullo stato con il partner già durante la registrazione. Una volta che il risultato della valutazione sarà disponibile, il vostro partner sarà automaticamente autorizzato ad accedervi[6].
Per condividere le informazioni sullo stato sono necessarie due cose:
-
L’ID Partecipante TISAX del vostro partner
L’ID Partecipante TISAX identifica il vostro partner come partecipante TISAX.
Solitamente, è il vostro partner a dovervi fornire il suo ID Partecipante TISAX.
Per comodità, il nostro modulo di registrazione offre un elenco a discesa di ID Partecipante per alcune aziende che ricevono frequentemente risultati di valutazione condivisi.[7]
-
Il livello di condivisione necessario
Il livello di condivisione definisce il grado di accesso al risultato della valutazione da parte del vostro partner.
Il vostro partner può richiedere un livello di condivisione specifico oppure potete decidere voi fino a quale livello concedergli l’accesso al risultato della valutazione.
Per maggiori informazioni sui livelli di condivisione, si veda Sezione 6.5, “Livelli di condivisione”.
Assicuratevi quindi di disporre di queste informazioni.
Nota
|
Attenzione:
|
Importante
|
Nota importante: Se non pubblicate o non condividete il risultato della vostra valutazione, nessuno potrà vederlo. |
Importante
|
Nota importante: Non è possibile annullare la pubblicazione o la condivisione. Per maggiori informazioni, si veda Sezione 6.4, “Permanenza dei risultati scambiati”. |
Nota
|
Attenzione: Può sembrare assurdo, ma in realtà potete condividere il “risultato della valutazione” anche se il processo di valutazione non è ancora iniziato. In questa fase iniziale, condividerete solo lo “stato della valutazione”. Il partecipante con cui condividete il “risultato della valutazione” vedrà in quale fase del processo di valutazione si trova la vostra azienda. Alcuni partecipanti TISAX devono rilasciare una liberatoria apposita per mostrare le etichette TISAX quando il processo di valutazione non è ancora terminato. In questo caso, il vostro partner potrebbe aver bisogno di vedere lo “stato della valutazione” della vostra azienda nel suo account del portale ENX. Per maggiori informazioni sullo stato della valutazione, si veda Sezione 7.6, “Allegato: Assessment status ( Stato della valutazione)”. |
Per maggiori informazioni sulla pubblicazione e la condivisione del risultato della valutazione, si veda Sezione 6, “Scambio (fase 3)”.
4.3.3. Obiettivi di valutazione
L’obiettivo (o gli obiettivi) di valutazione devono essere definiti durante la procedura di registrazione. L’obiettivo di valutazione ( assessment objective) determina i requisiti applicabili che il sistema di gestione della sicurezza delle informazioni (ISMS) della vostra azienda deve soddisfare. L’obiettivo di valutazione si basa interamente sul tipo di dati che gestite per conto del vostro partner.
Le sezioni seguenti contengono una descrizione degli obiettivi di valutazione e consigli su come selezionare quelli più adatti per la vostra azienda.
L’uso degli obiettivi di valutazione semplifica la comunicazione relativa a TISAX con il vostro partner e con i nostri fornitori di audit TISAX, in quanto si riferiscono a un elemento specifico a monte del processo di valutazione TISAX.
Nota
|
Attenzione: Alcuni partner potrebbero chiedere alla vostra azienda di sottoporsi a una valutazione TISAX con un determinato “livello di valutazione” (assessment level, AL) invece di specificare un obiettivo di valutazione. Per maggiori informazioni sui livelli di valutazione, si veda Sezione 4.3.3.5, “Esigenze di protezione e livelli di valutazione” (sotto-sezione “Informazioni aggiuntive”). |
4.3.3.1. Elenco degli obiettivi di valutazione
Attualmente sono disponibili 12 obiettivi di valutazione TISAX. È necessario selezionarne almeno uno, ma si può selezionare anche più di un obiettivo.
Considerate l’obiettivo di valutazione come il punto di riferimento per il sistema di gestione della sicurezza delle informazioni della vostra azienda. L’obiettivo di valutazione è un elemento fondamentale a monte del processo TISAX. Tutti i fornitori di audit TISAX basano la pr