TISAX 평가 프로세스를 진행하고 파트너와 평가 결과 공유
게시자
ENX 협회
1901년 프랑스 법에 따라 프랑스 불로뉴비양쿠르의
수프레펙튀르에서 w923004198번으로 등록된 협회
주소
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany
작성자
Florian Gleich
문의
버전
날짜: |
2023-12-07 |
버전: |
2.7 |
분류: |
Public |
ENX doc ID: |
602-KR |
저작권 고지
ENX 협회가 모든 권리를 보유합니다.
ENX 및 TISAX와 각각의 로고는 ENX 협회의 등록 상표입니다.
언급된 제3자 상표는 각각 해당 소유자의 재산입니다.
1. 개요
1.1. 목적
TISAX(Trusted Information Security Assessment Exchange)에 오신 것을 환영합니다.
귀사의 정보 보안 관리가 “정보 보안 평가”(ISA)의 요구 사항에 따라 정의된 수준을 준수함을 입증해 달라는 파트너의 요청을 받았습니다. 그래서 이제 이 요청을 이행할 방법을 알고 싶으실 것입니다.
본 안내서는 귀사에서 파트너의 요청을 이행하거나, 파트너의 요청을 받기 전에 미리 예측하여 경쟁력을 확보할 수 있도록 하기 위한 목적으로 작성되었습니다.
본 안내서에서는 TISAX 평가에 합격하고 평가 결과를 파트너와 공유하기 위해 취해야 하는 조치에 대해 설명합니다.
정보 보안 관리 시스템(ISMS)을 구축하고 유지하기만 하는 것도 이미 복잡한 일입니다. 귀사의 정보 보안 관리가 제 기능을 수행할 수 있음을 파트너에게 입증하려면 일이 더욱 복잡해집니다. 본 안내서는 귀사의 정보 보안을 관리하는 데 도움이 되지 않습니다. 하지만 파트너에게 귀사의 노력을 입증하는 일을 최대한 쉽게 할 수 있도록 하는 것이 목표입니다.
1.2. 범위
본 안내서는 참가하실 수 있는 모든 TISAX 프로세스에 적용됩니다.
안내서는 TISAX 프로세스를 거치기 위해 알아야 하는 모든 내용을 포함합니다.
안내서에서는 평가의 핵심에 있는 정보 보안 요구 사항에 대처하는 방법에 대한 조언을 몇 개 제시합니다. 하지만 정보 보안 평가에서 합격하기 위해 해야 하는 일에 대해 전반적으로 설명하는 것은 안내서의 목적이 아닙니다.
1.3. 대상
본 안내서의 주 대상은 “정보 보안 평가”(ISA)의 요구 사항에 따라 정의된 정보 보안 관리 수준을 입증해야 하거나 입증하고자 하는 회사입니다.
TISAX 프로세스에 능동적으로 관여하는 즉시, 본 안내서에 제시된 정보는 귀사에 유익이 됩니다.
이 정보는 정의된 정보 보안 관리 수준을 입증할 것을 공급업체에 요청하는 회사에도 유익이 됩니다. 이런 회사는 본 안내서를 통해 공급업체가 요청을 이행해야 하기 위해 무엇을 해야 하는지 알게 됩니다.
1.4. 구조
TISAX에 대한 간단한 소개로 시작한 다음, 필요한 작업을 수행하는 방법에 대한 설명으로 곧바로 넘어갑니다. 프로세스를 거치기 위해 필요한 모든 정보가 알아야 하는 순서대로 나옵니다.
문서를 읽는 데 걸리는 예상 시간은 75~90분입니다.
1.5. 본 문서를 사용하는 방법
언젠가는 본 문서에 서술된 내용을 대부분 이해하고 싶을 수 있습니다. 충분히 준비하려면 안내서 전문을 읽는 것이 좋습니다.
안내서는 TISAX 프로세스의 주요 3단계를 따르는 구조로 작성되었으므로, 필요한 섹션을 읽은 후 나머지는 나중에 읽어도 됩니다.
안내서에서는 이해를 돕기 위해 도해를 사용합니다. 이런 그림의 색상에는 추가적인 의미가 있는 경우가 많습니다. 그러므로 문서를 컴퓨터 화면에서 읽거나 컬러 인쇄본으로 읽는 것이 좋습니다.
피드백은 감사히 받겠습니다. 안내서에 누락되었거나 쉽게 이해할 수 없는 내용이 있다고 생각될 경우 언제든지 알려 주십시오. ENX 협회와 향후에 안내서를 읽는 모든 독자가 피드백에 대해 감사하게 생각할 것입니다.
TISAX 참가자 안내서의 이전 버전을 이미 사용한 적이 있는 경우, 문서의 끝부분에 있는 다음 섹션에서 유용한 참고 사항을 몇 개 찾을 수 있습니다. 섹션 8, “문서 수정 내역”.
1.6. 문의
ENX 협회는 TISAX 프로세스를 안내하고 질문에 답해 드릴 준비가 되어 있습니다.
이메일 문의: |
|
전화 문의: |
독일(UTC+01:00)의 일반 영업 시간 동안 문의가 가능합니다.
영어 및 독일어 상담이 지원됩니다. 동료 한 명은 이탈리아어가 모국어입니다.
다음 섹션을 참조하십시오. 섹션 7.13, “부록: 불만 사항 관리”.
1.7. TISAX 참가자 안내서의 다른 언어 및 형식
TISAX 참가자 안내서는 다음 언어와 형식으로 제공됩니다.
언어 | 버전 | 형식 | 링크 |
---|---|---|---|
영어 |
2.7 |
온라인 |
https://www.enx.com/handbook/tisax-participant-handbook.html |
오프라인 |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
독일어 |
2.7 |
온라인 |
|
오프라인 |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
프랑스어 |
2.7 |
온라인 |
|
오프라인 |
|||
중국어 |
2.7 |
온라인 |
|
오프라인 |
|||
스페인어 |
2.7 |
온라인 |
|
오프라인 |
|||
일본어 |
2.7 |
온라인 |
|
오프라인 |
|||
포르투갈어(브라질) |
2.7 |
온라인 |
|
오프라인 |
|||
이탈리아어 |
2.7 |
온라인 |
|
오프라인 |
|||
한국어 |
2.7 |
온라인 |
|
오프라인 |
|||
중요
|
중요한 참고 사항: 영어 버전이 우선합니다. |
1.7.1. 한국어 번역
본 TISAX 참가자 안내서는 영어 버전의 번역본입니다.
TISAX의 기초를 이루는 모든 문서(예: 모든 TISAX 감사 서비스 제공자 계약서 및 요구 사항)는 영어로 작성되었습니다. 따라서 파트너 또는 감사 제공자가 일부 TISAX 관련 용어를 영어로 사용할 수 있습니다.
언어를 연결할 수 있도록 하기 위해, TISAX 참가자 안내서의 번역본에는 영문 TISAX 용어를 그대로 사용하거나 번역문 바로 뒤에 괄호로 묶어서 표시했습니다.
1.7.2. 온라인 형식에 대한 설명
각 섹션마다 고유 ID(형식: ID1234)가 있습니다.
ID는 언어에 관계없이 특정 섹션을 참조합니다.
다음과 같은 방법으로 특정 섹션에 연결할 수 있습니다.
-
섹션 제목을 마우스 오른쪽 단추로 클릭하고 링크 복사, 또는
-
섹션 제목을 클릭하고 브라우저의 주소 표시줄에서 링크 복사.
대부분의 그림은 여기에 기본적으로 표시된 것보다 더 큰 크기로 확인할 수 있습니다. 그림을 클릭하면 더 큰 그림이 열립니다.
1.7.3. 오프라인 형식에 대한 설명
오프라인 형식에는 온라인 형식의 기능이 대부분 유지됩니다. 대표적인 예로, 그림이 HTML 파일에 포함되어 있습니다. 오프라인 형식을 사용하려면 파일이 하나만 필요합니다.
온라인 형식과 달리, 오프라인 형식에는 다음이 포함되지 않습니다.
-
더 큰 이미지
-
온라인 형식의 원래 글꼴
브라우저의 기본 설정에 따라 글꼴이 정의됩니다.
1.7.4. PDF 형식에 대한 설명
PDF 형식을 컴퓨터에서 사용해도 참조 링크를 모두 클릭할 수 있습니다. 하지만 PDF 버전을 인쇄하면 페이지 번호 같은 것이 없고, 참조를 직접 찾아봐야 합니다.
2. 소개
이어지는 내용에서는 TISAX의 개념을 소개합니다.
시간이 많지 않으면 이 내용을 건너뛰고 다음 섹션에서 곧바로 시작해도 됩니다. 섹션 4.3, “등록 준비”.
2.1. TISAX가 왜 필요할까요?
이 글을 보고 계신 이유가 무엇일까요?
이 질문에 답하기 위해, 비즈니스에 대한 전반적인 설명과 특히 정보 보호에 대한 설명으로 시작하겠습니다.
파트너가 있다고 상상해 보십시오. 파트너에게 비밀 정보가 있습니다. 파트너가 이 정보를 공급업체인 귀사와 공유하려고 합니다. 귀사와 파트너가 협력하면 가치가 창출됩니다. 파트너가 귀사와 공유하는 정보는 이 가치 창출의 중요한 일부분입니다. 그래서 파트너는 이런 정보를 적절하게 보호하길 원합니다. 그리고 귀사에서 정보를 파트너와 똑같은 수준으로 주의를 기울여서 처리하고 있다고 확신할 수 있기를 원합니다.
하지만 어떻게 하면 파트너가 정보를 귀사에 믿고 맡겨도 된다고 확신할 수 있을까요? 귀사를 그냥 "믿을" 수만은 없습니다. 파트너가 어떤 증거를 확인해야 합니다.
그러면 두 가지 문제가 제기됩니다. 정보의 "안전한" 처리가 무엇을 의미하는지 누가 정할까요? 안전한 처리를 어떻게 증명할까요?
2.2. "안전(보안)"의 의미를 누가 정의할까요?
귀사와 귀사의 파트너만 이런 문제에 처음 부닥치는 것은 아닙니다. 거의 모두가 이런 문제에 대한 답을 찾아야 하고, 대부분의 답에는 유사점이 있을 것입니다.
공통적인 문제에 대한 솔루션을 매번 따로 만들지 않고 문제를 해결하는 표준 방식이 있으면 모든 것을 처음부터 만들어야 하는 부담이 없어집니다. 표준을 정의하려면 많은 노력이 필요하지만, 한 번만 하면 되고 표준을 따르는 사람이 매번 유익을 얻게 됩니다.
올바른 정보 보호 방법 무엇인지에 대한 생각은 분명 다양합니다. 하지만 앞에서 언급한 이점 때문에 대부분의 회사는 표준을 정합니다. 표준은 특정한 문제를 해결하는 효과가 입증되고 오랜 시간에 걸쳐 검증된 최선의 방법의 압축된 형태입니다.
귀사의 경우, (정보 보안 관리 시스템, 즉 ISMS에 대한) ISO/IEC 27001 같은 표준과 그 이행은 비밀 정보를 최첨단으로 안전하게 처리하는 방법이 됩니다. 이와 같은 표준을 사용하면 매번 같은 일을 반복해야 하는 낭비가 없어집니다. 표준은 두 회사가 비밀 데이터를 교환해야 할 때 공통된 근거를 제시한다는 더 중요한 장점이 있습니다.
2.3. 자동차 산업의 방식
산업과 무관한 공통 표준은 본질적으로 자동차 회사의 구체적인 필요에 맞춰지지 않고 모든 산업에 적용 가능한 솔루션으로 개발됩니다.
오래 전에 자동차 산업은 업계의 보다 구체적인 필요에 적합한 표준을 정의하고 개선하는 등의 목표를 달성하기 위해 협회를 설립했습니다. VDA(Verband der Automobilindustrie)는 그 중 하나입니다. 정보 보안을 다루는 워킹그룹에 참여한 자동차 산업의 몇몇 회사는 각사에 필요한 사항이 비슷해서 기존 정보 보안 관리 표준을 자동차 산업에 맞게 수정할 수 있겠다는 결론을 내렸습니다.
이 회사들은 자동차 산업에서 널리 인정되는 정보 보안 요구 사항에 관한 설문지를 함께 만들었습니다. 이것을 "정보 보안 평가"(ISA)라고 합니다.
ISA를 통해 이제는 “안전(보안)의 의미를 누가 정의하는가?” 라는 질문에 대한 답을 얻게 되었습니다. VDA를 통해, 자동차 산업은 이 답을 구성원들에게 직접 제시합니다.
2.4. 보안을 어떻게 효율적으로 입증할까요?
ISA를 내부용으로만 사용하는 회사가 있는가 하면, 자사 공급업체의 정보 보관 관리의 성숙도를 평가하기 위해 사용하는 회사도 있습니다. 경우에 따라서는 자가 평가가 비즈니스 관계에 충분합니다. 하지만 특정한 경우에는 회사가 자사 공급업체의 정보 보안 관리를 전체적으로 평가(현장 감사 포함)하는 경우도 있습니다.
정보 보안 관리의 필요성에 대한 인식이 전반적으로 높아지고 ISA가 정보 보안 평가 도구로 더 널리 채택됨에 따라 여러 파트너에게 유사한 요청을 받는 공급업체가 많아지고 있습니다.
이런 파트너는 계속 다른 표준을 적용했고, 표준 해석 방법에 대한 의견이 다양했습니다. 하지만 공급업체들은 근본적으로 같은 것을 증명해야 했고, 방법만 달랐습니다.
그리고 파트너들에게 정보 보안 관리 수준을 증명해 달라는 요청을 받는 공급업체가 많아질수록 반복되는 노력에 관한 불만이 점점 커졌습니다. 여러 감사관에게 같은 정보 보안 관리 조치를 계속 보여주는 것은 결코 효율적이지 않습니다.
어떻게 하면 효율을 높일 수 있을까요? 감사관의 보고서를 여러 파트너에 다시 사용할 수 있으면 도움이 되지 않을까요?
ENX 워킹그룹에서 ISA를 유지관리하는 책임을 지는 OEM 및 공급업체들은 자사 공급업체들의 불만 사항에 귀를 기울였습니다. 이제 이들은 자사 공급업체와 자동차 산업의 다른 모든 회사에 "보안을 어떻게 입증하는가?" 라는 질문에 대한 답을 제시합니다.
답은 “Trusted Information Security Assessment Exchange”( “신뢰할 수 있는 정보 보안 평가 교환”)의 약자인 TISAX입니다.
3. TISAX 프로세스
3.1. 개요
TISAX 프로세스는 일반적으로[1] 파트너 중 하나가 “정보 보안 평가”(ISA)의 요구 사항에 따라 정의된 정보 보안 관리 수준을 입증해 달라고 요청하는 것으로 시작됩니다. 이 요청에 따르려면 3단계로 구성된 TISAX 프로세스를 완료해야 합니다. 이 섹션에서는 이행해야 하는 단계를 요약합니다.
TISAX 프로세스를 구성하는 3단계는 다음과 같습니다.
1 단계 |
|
2 단계 |
|
3 단계 |
각 단계는 부단계로 구성됩니다. 부단계는 아래의 세 섹션에 약술되어 있고, 더 아래에 있는 각 섹션에 자세히 설명되어 있습니다.
참고
|
참고: 당연히 TISAX 평가 결과를 얻는 데 얼마나 걸릴지 알려드리고 싶지만, 이 기간을 신뢰할 수 있는 방법으로 예측하기는 불가능하다는 점을 양해해 주시기 바랍니다. 전체 TISAX 프로세스 소요 시간을 좌우하는 요인이 너무 많고, 회사 규모 및 평가 목표와 각 회사의 정보 보안 관리 시스템 준비 상태가 매우 다양해서 이렇게 하는 것이 불가능합니다. |
3.2. 등록
첫 단계는 TISAX 등록입니다.
TISAX 등록의 주된 목적은 귀사에 대한 정보를 수집하는 것입니다. ENX 협회는 이 정보를 제공하는 데 도움이 되는 온라인 등록 프로세스를 사용합니다.
등록은 모든 후속 단계의 전제 조건입니다. 등록 수수료가 부과됩니다.
온라인 등록 프로세스를 진행하는 동안:
-
자세한 연락처 및 대금청구 정보가 요청됩니다.
-
이용 약관에 동의해야 합니다.
-
정보 보안 평가의 범위를 정의할 수 있습니다.
이 단계부터 곧바로 시작하려면 다음을 참조하십시오. 섹션 4, “등록(1 단계)”.
온라인 등록 프로세스에 대한 자세한 설명은 다음을 참조하십시오. 섹션 4.5, “온라인 등록 프로세스”. 하지만 곧바로 시작하려면 다음 웹 페이지로 이동하십시오. enx.com/en-US/TISAX/.
3.3. 평가
두 번째 단계에는 정보 보안 평가를 거칩니다.
이 단계에는 부단계가 네 개 있습니다.
-
평가 준비
평가를 준비해야 합니다. 준비해야 하는 정도는 귀사 정보 보안 관리 시스템의 현재 성숙도 수준에 따라 다릅니다. 준비는 ISA 카탈로그를 근거로 해야 합니다. -
감사 제공자 선택
ENX 협회의 TISAX 감사 제공자 중에서 선택해야 합니다. -
정보 보안 평가
선택한 감사 제공자가 파트너의 요구 사항과 일치하는 평가 범위에 따라 평가를 실시합니다. 평가 프로세스에는 최소한 첫 감사가 포함됩니다.
귀사가 평가에 곧바로 합격하지 않으면 평가 프로세스에 추가 단계가 필요할 수 있습니다. -
평가 결과
평가에 합격한 후에는 감사 제공자가 공식 TISAX 평가 보고서를 귀사에 제공합니다. 평가 결과에는 TISAX 레이블도 부여됩니다[2].
이 단계에 대한 자세한 내용은 다음을 참조하십시오. 섹션 5, “평가(2 단계)”.
3.4. 교환
세 번째이자 마지막 단계에는 평가 결과를 파트너와 공유합니다. TISAX 평가 보고서의 내용은 수준별 구조를 따릅니다. 파트너가 액세스할 수 있는 수준을 귀사에서 결정할 수 있습니다.
평가 결과는 3년 동안 유효합니다. 3년 후에도 귀사가 계속 파트너의 공급업체인 경우, 이 3 단계 프로세스를 다시 거쳐야 합니다[3].
이 단계에 대한 자세한 내용은 다음을 참조하십시오. 섹션 6, “교환(3 단계)”.
이제 TISAX 프로세스가 무엇인지에 대한 기초적인 개념에 대해 알아보았으므로, 각 단계를 완료하는 방법에 대한 설명을 이어지는 내용에서 확인할 수 있습니다.
4. 등록(1 단계)
등록 섹션을 읽는 데 걸리는 예상 시간은 30~40분입니다.
4.1. 개요
TISAX 등록은 첫 단계입니다. 등록은 모든 후속 단계의 전제 조건입니다.
이어지는 내용에서는 등록 과정을 안내합니다.
-
필수적인 새 용어에 대한 설명으로 시작합니다.
-
그런 다음 온라인 등록 프로세스를 준비하기 위해 해야 할 일에 대해 알립니다.
-
그런 다음 온라인 등록 프로세스를 안내합니다.
4.2. 귀사 = TISAX 참가자
알아야 하는 새 용어를 먼저 소개하겠습니다. 지금까지 귀사는 “공급업체”였습니다. 여기까지 온 이유는 “고객”의 요구 사항을 충족하기 위해서입니다. 하지만 TISAX에서는 이 두 역할이 사실상 구별되지 않습니다. 등록하면 누구나 TISAX “참가자”가 됩니다. 귀사와 귀사의 파트너는 모두 정보 보안 평가 결과 교환에 "참가"합니다.
귀사 |
|
TISAX 등록 |
|
TISAX 참가자 |
처음부터 두 역할을 구별하기 위해, 여기서는 공급업체인 귀사를 “능동적 참가자” 라고 지칭합니다. 귀사의 파트너는 “수동적 참가자” 라고 지칭합니다. 귀사는 “능동적 참가자”로서 TISAX 평가를 받고 평과 결과를 다른 참가자들과 공유합니다. “수동적 참가자”는 TISAX 평가를 받을 것을 귀사에 요청한 참가자입니다. “수동적 참가자”는 귀사의 평가 결과를 수신합니다.
1 평가를 받을 것을 요청 |
|
수동적 참가자 |
|
능동적 참가자 |
|
2 TISAX 평가를 받음 |
|
3 결과 공유 |
모든 회사는 두 역할을 모두 수행할 수 있습니다. 귀사는 평가 결과를 파트너와 공유함과 동시에 공급업체에 TISAX 평가를 받으라고 요청할 수 있습니다.
귀사의 고객 |
|
고객과 공유 |
|
능동적 참가자 |
|
귀사 |
|
수동적 참가자 |
|
귀사와 공유 |
|
귀사의 자체 공급업체 |
귀사의 공급업체가 보호해야 할 필요가 있는 귀사 파트너의 정보도 처리하는 경우에는 특히 귀사의 공급업체에도 TISAX 평가를 받을 것을 요청하는 것이 좋습니다.
4.3. 등록 준비
이 섹션에서는 등록을 준비하는 방법에 대한 권장 사항을 제시합니다. 등록 프로세스 자체에 대해서는 다음 섹션에서 자세히 설명합니다. 섹션 4.5, “온라인 등록 프로세스”.
온라인 등록 프로세스 진행을 시작하기 전에 다음과 같은 준비 작업이 적극 권장됩니다.
-
정보 미리 수집
-
몇 가지 결정 내리기
4.3.1. 법적 기초
일반적으로 두 가지 계약에 서명해야 합니다. 첫 계약은 귀사와 ENX 협회가 체결하는 “TISAX 참가 일반 약관”(TISAX 참가자 GTC)입니다. 두 번째 계약은 귀사와 TISAX 감사 제공자가 체결합니다. 등록에 관해서는 첫 번째 계약만 살펴보겠습니다.
TISAX 참가자 GTC는 ENX 협회와 귀사의 상호 관계와 귀사와 다른 TISAX 참가자의 관계에 적용됩니다. 이 약관은 모두의 권리와 의무를 규정합니다. 대부분의 계약에 있는 일반적인 조항 외에, 약관에서는 TISAX 프로세스 도중에 교환 및 수집되는 정보의 처리에 대해 자세히 규정합니다. 이런 규칙의 핵심적인 목표는 TISAX 평가 결과를 비밀로 유지하는 것입니다. 모든 TISAX 참가자에게 같은 규칙이 적용되므로, 파트너가 (수동적 참가자 역할을 수행하면서) 귀사의 TISAX 평가 결과를 적절하게 보호할 것이라고 기대할 수 있습니다.
ENX 협회는 온라인 등록 프로세스의 이른 초기에 귀사에 TISAX 참가자 GTC 동의를 요청합니다. 이 약관은 실제 계약이므로 온라인 프로세스를 시작하기 전에 TISAX 참가자 GTC를 읽어보는 것이 좋습니다. 그 이유 중 하나는 사내 또는 외부 변호사의 허가를 받아야 하는 사내 직책이 있을 수 있기 때문입니다.
“TISAX 참가자 일반 약관”은[4] ENX 협회 웹 사이트에서 다운로드할 수 있습니다. 주소:
enx.com/en-US/TISAX/downloads/
PDF 직접 다운로드:
enx.com/tisaxgtcen.pdf
온라인 등록 프로세스를 진행하는 동안 다음과 같은 필수 확인란 두 개를 선택해야 합니다.
-
❏ We accept the TISAX Participation General Terms and Conditions ( TISAX 참가 일반 약관에 동의합니다)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( TISAX 참가 일반 약관 IX.5. 및 X.3항에 따른 감사 제공자의 직업상 비밀유지 의무를 신청인이 면제함을 알고 있음을 확인합니다.)
이 두 번째 확인란이 있는 이유는 ENX 협회의 몇몇 TISAX 감사 제공자가 공인회계사이기 때문입니다. 이들에게는 직업상 비밀유지에 관해 특별히 요구되는 사항이 있습니다. 일반적으로, 공인회계사이기도 한 감사 제공자는 직업상 비밀유지에 관해 특별히 요구되는 사항 때문에 정보를 ENX 협회와 공유할 수 없습니다. 이 경우, 특히 ENX 협회의 거버넌스 역할에 필요한 통제 옵션이 취소됩니다. 그러므로 이 동의가 필요합니다. 상자를 선택하기 전에 해당 조항에 특별히 주의를 기울여야 합니다.
귀사에서 비밀 정보 처리자와 비밀유지 계약(NDA)을 체결해야 한다고 일반적으로 요구하는 경우, GTC의 해당하는 조항을 각각 살펴보십시오. 모든 우려 사항에 대한 답을 얻게 될 것입니다. 또한 귀사에서는 일반적으로 ENX 협회에 비밀 정보를 전혀 제공하지 않아도 됩니다.
법률 섹션 끝에서는 시스템이 제대로 작동하려면 모두가 같은 규칙에 동의해야 함을 양해해 줄 것을 요청합니다. 그러므로 ENX 협회는 추가적인 일반 약관에 동의할 수 없습니다[5].
4.3.2. TISAX 평가 범위
TISAX 프로세스의 두 번째 단계에 TISAX 감사 제공자 중 한 명이 정보 보안 평가를 실시합니다. 제공자는 어디서 시작하고 어디서 멈춰야 하는지 알아야 합니다. 그렇기 때문에 "평가 범위"를 정의해야 합니다.
"평가 범위"는 정보 보안 평가의 범위를 서술합니다. 간단히 말해, 파트너의 비밀 정보를 처리하는 귀사의 모든 부분이 평가 범위에 포함됩니다. 평가 범위는 감사 제공자의 직무를 구성하는 중요한 요소라고 간주할 수 있습니다. 평가 범위는 감사 제공자가 평가해야 하는 것을 정합니다.
평가 범위가 중요한 두 가지 이유는 다음과 같습니다.
-
평가 결과는 각각의 평가 범위에 귀사에서 파트너 정보를 처리하는 모든 부분이 포함되는 경우에만 파트너의 요구 사항을 충족합니다.
-
정확하게 정의된 평가 범위는 TISAX 제공자가 비용을 유의미하게 계산하기 위한 필수적인 전제 조건입니다.
중요
|
중요한 참고 사항: ISO/IEC 27001과 TISAX 비교 첫째, 다음 두 가지 유형의 범위를 구별해야 합니다. ISO/IEC 27001 인증을 위해서는 ISMS의 범위를 (“범위 명세”에서) 정의합니다. ISMS의 범위는 완전히 자유롭게 정의할 수 있습니다. 하지만 평가 범위("감사 범위"라고도 함)는 귀사의 ISMS 범위와 동일해야 합니다. TISAX의 경우 ISMS도 정의해야 합니다. 하지만 평가 범위는 다를 수 있습니다. ISO/IEC 27001 인증의 경우 ISMS 범위를 정의하는 방법을 통해 평가 범위를 자유롭게 정할 수 있습니다. 반대로, TISAX의 경우 평가 범위가 미리 정의됩니다. 평가 범위는 ISMS의 범위보다 작을 수 있습니다. 하지만 평가 범위는 ISMS 범위 안에 있어야 합니다. |
4.3.2.1. 범위 설명
범위 설명은 평가 범위를 정의합니다. 범위 설명은 다음 두 가지 유형 중에서 하나를 선택해야 합니다.
-
Standard scope ( 표준 범위)
-
Custom scope ( 맞춤 범위)
-
Custom extended scope ( 맞춤 확장 범위)
-
Full custom scope ( 전체 맞춤 범위)
-
표준 범위에 대해서는 다음 섹션에서 설명합니다. 표준 범위는 거의 모든(99% 이상) 참가자에게 적합한 선택입니다. 그러므로 맞춤 범위에 대해서는 다음 섹션에서만 설명합니다. 섹션 7.8, “부록: 맞춤 범위”.
4.3.2.2. 표준 범위
표준 범위 설명은 TISAX 평가의 근거입니다. 다른 TISAX 참가자들은 표준 범위 설명에 근거한 평가 결과만 수락합니다.
표준 범위 설명은 미리 정의되어 있어 변경할 수 없습니다.
표준 범위를 사용하면 정의를 직접 생각해 낼 필요가 없다는 중요한 이점이 있습니다.
다음은 표준 범위 설명(2.0 버전)입니다.
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
TISAX 평가 범위는 평가의 범위를 정의합니다. 평가에는 평가 받는 조직이 책임지고 나열된 위치의 나열된 평가 목표에 정의된 보호 개체의 보안과 각각의 보호 목표와 관련이 있는 모든 프로세스, 절차 및 리소스가 포함됩니다. 평가는 최소한 나열된 평가 목표에 나열된 가장 높은 평가 수준으로 수행됩니다. 나열된 평가 목표에 나열된 모든 평가 기준이 평가 대상입니다. |
표준 범위 선택이 적극 권장됩니다. 모든 TISAX 참가자는 표준 범위에 근거한 정보 보안 평가 결과를 수락합니다.
4.3.2.3. 범위 지정
범위 유형을 정의한 다음에는 평가 범위에 포함되는 위치를 결정하는 작업을 수행해야 합니다.
귀사의 규모가 작은 경우(위치 1개) 이 일은 쉽습니다. 간단히 해당 위치를 평가 범위에 추가하기만 하면 됩니다.
회사 규모가 큰 경우 평가 범위를 한 개보다 많이 등록하는 방법을 고려할 수 있습니다.
귀사의 모든 위치를 포함하는 범위가 하나만 있으면 다음과 같은 장점이 있습니다.
-
평가 보고서, 평가 결과, 만료 날짜가 하나씩만 있습니다.
-
TISAX 감사 제공자가 귀사의 중심 프로세스, 절차 및 리소스를 한 번만 평가하면 되므로 평가 비용이 절감되는 이점이 있습니다.
하지만 범위가 하나뿐이면 다음과 같은 단점이 있을 수 있습니다.
-
모든 위치의 평가 목표가 같아야 합니다.
-
TISAX 감사 제공자가 모든 위치를 평가한 후에만 평가 결과가 제공됩니다. 이 사실은 평가 결과가 긴급하게 필요한 경우에 중요할 수 있습니다.
-
평가 결과가 좋으려면 모든 위치에서 평가에 합격해야 합니다. 불합격하는 위치가 하나만 있어도 긍정적인 평가 결과를 받을 수 없습니다. 해결 방법은 다음과 같습니다. A) 불합격한 위치를 범위에서 제거, b) 문제 해결하고, c) 해당 위치를 이후에 범위 확장 평가로 추가합니다.
4.3.2.4. 범위 맞춤 조정
범위를 하나만 지정할지 아니면 몇 개 지정할 것인지의 문제에는 귀사만 답할 수 있습니다. 하지만 다음 도표에 있는 질문에 답하면 결정하는 데 도움이 될 수 있습니다.
시작 |
|
1 단계: 평가가 필요한 위치가 하나보다 많습니까? |
|
2 단계: 모든 위치에서 평가를 준비할 시간이 충분합니까? |
|
3 단계: 모든 위치에서 중앙 ISMS(책임, 인프라, 정책 및 프로세스)를 공유합니까? |
|
4 단계: 모든 현장의 평가 목표가 같습니까(매우 높은 보호 수준이 필요한 프로토타입 차량 또는 정보의 보호)? |
|
끝: 평가 범위 등록 |
|
위치를 서로 분리합니다. |
|
아니요 |
|
예 |
참고
|
참고: 이 결정을 두려워하지 마십시오. 감사 제공자가 평가를 미칠 때까지 범위를 변경할 수 있습니다. 예를 들어 평가를 준비하는 동안 범위가 적합하지 않음을 알게 되고, 그래서 범위를 적절히 변경할 수 있습니다. 아니면 감사 제공자가 평가의 초기 단계에 범위 변경을 권장할 수도 있습니다. 추가 참고 사항:
|
4.3.2.5. 범위 위치
이제 평가 범위에 포함되는 위치를 결정했으므로 위치 관련 정보를 계속 수집할 수 있습니다.
각 위치마다 회사 이름과 주소 같은 정보가 요청됩니다. TISAX 감사 제공자가 회사 구조를 더 잘 알 수 있도록 몇 가지 추가 정보도 요청됩니다. 답변을 근거로 제공자의 작업량이 추산됩니다.
각 위치에 대해 다음과 같은 세부 정보를 제공할 수 있도록 준비하십시오(빨간색 별표 * 는 온라인 프로세스에서 필수인 정보를 나타냄).
필드 | 옵션 |
---|---|
위치 이름 * |
해당 없음 |
해당 없음 |
|
위치 유형 * |
회사가 단독으로 소유 및 사용하는 건물 |
수동적 현장 보호 * |
예 |
산업 |
정보 기술(IT)
|
경영
|
|
미디어
|
|
연구 개발
|
|
생산
|
|
영업 및 AS
|
|
기타 산업 |
|
위치의 직원 수: 전체 * |
0 |
위치의 직원 수: IT * |
0 |
위치의 직원 수: IT 보안 * |
0 |
위치의 직원 수: 위치 보안 * |
0 |
이 위치의 인증 |
ISO 27001 |
참고
|
참고: “산업”은 아는 범위 내에서 가장 가깝게 일치하는 항목을 선택하십시오. 위 보기에서 선택할 때 정답이나 오답은 없습니다. 귀사의 사업 유형과 일치하는 보기를 찾을 수 없으면 “기타” 아래에 적절한 내용을 입력하십시오. |
각 위치마다 “location name”( “위치 이름”)을 지정해야 합니다. 위치 이름은 위치를 평가 범위에 할당할 때 위치를 더 쉽게 지칭하기 위한 목적으로 사용됩니다.
다음 패턴에 따라 위치 이름을 지정하는 방법이 권장됩니다.
패턴: |
[지역명] |
예시: |
“ACME”라는 가상 회사
|
4.3.2.6. 범위 이름
각 범위마다 “scope name”( “범위 이름”)을 지정해야 합니다. 범위 이름은 주로 ENX 포털의 범위 요약 목록에서 범위를 쉽게 식별하기 위한 목적으로 사용됩니다. 독자와 동료들에게 도움이 되는 이름을 지정해야 합니다. 외부 통신에는 범위 ID를 사용해야 합니다.
원하는 이름을 지정할 수 있습니다. 하지만 같은 범위 이름을 한 개보다 많은 범위에 지정해서는 안 됩니다.
나중에 TISAX 평가를 갱신하고 싶으면 새 범위(현재 범위와 동일할 수 있음)를 만들어야 합니다. 그러므로 범위 이름에 평가 연도를 추가하는 것이 좋습니다.
다음 패턴에 따라 범위 이름을 지정하는 방법이 권장됩니다.
패턴: |
[지역명 또는 기능명] [평가 연도] |
예시: |
“ACME”라는 가상 회사
|
4.3.2.7. 연락 담당자
ENX 협회는 귀사와 연락을 주고받기 위해 귀사의 연락 담당자에 대한 정보를 수집합니다.
귀사(TISAX 참가자)의 전체 연락 담당자 한 명 이상과 각 평가 범위의 연락 담당자 한 명 이상에 대한 정보가 요청됩니다. 추가 연락 담당자 정보를 제공하기로 선택할 수 있습니다.
등록을 준비하는 동안 누가 귀사의 연락 담당자가 될 것인지 결정해야 합니다.
연락 담당자에 대한 다음과 같은 세부 정보가 요청됩니다.
연락 담당자 세부 정보 | 필수? | 예시 | |
---|---|---|---|
1. |
호칭 |
예 |
Mrs., Mr. |
2. |
학위 |
의학 박사, 박사 등 |
|
3. |
이름 |
예 |
존 |
4. |
성 |
예 |
도우 |
5. |
직책 |
예 |
IT 책임자 |
6. |
부서 |
예 |
정보 기술(IT) |
7. |
주 전화번호 |
예 |
+49 69 986692777 |
8. |
부 전화번호 |
||
9. |
이메일 주소 |
예 |
john.doe@acme.com |
10. |
선호하는 언어 |
예 |
영어(기본) |
11. |
기타 언어 |
독일어, 프랑스어 |
|
12. |
개인 주소 식별자 |
HPC 1234 |
|
13. |
거리 주소 |
예 |
Bockenheimer Landstraße 97-99 |
14. |
우편번호 |
예 |
60325 |
15. |
시 |
예 |
프랑크푸르트 |
16. |
주/도 |
||
17. |
국가 |
예 |
독일 |
중요
|
중요한 참고 사항: |
4.3.2.8. 게시 및 공유
TISAX의 주 목적은 평가 결과를 다른 TISAX 참가자를 위해 게시하고 평가 결과를 파트너(들)와 공유하는 것입니다.
평가 결과 게시 및 공유에 대해서는 등록 프로세스 도중이나 그 후 언제든지 결정할 수 있습니다.
선제 조치로서 TISAX 프로세스를 진행하는 경우, 평가 결과를 TISAX 참가자 커뮤니티를 위해 게시하기로 미리 결정할 수 있습니다. 그렇지 않으면 이 단계에 준비할 것이 없습니다.
파트너가 귀사에 TISAX 프로세스 진행을 요청한 경우, 평가 결과를 더 빨리 공유해야 합니다. 등록하는 동안 상태 정보를 파트너와 미리 공유할 수 있습니다. 평가 결과를 확인할 수 있게 되면 파트너가 평가 결과에 액세스할 권한을 자동으로 갖게 됩니다[6].
상태 정보를 공유하려면 다음 두 가지가 필요합니다.
-
파트너의 TISAX 참가자 ID
TISAX 참가자 ID는 파트너를 TISAX 참가자로 식별합니다.
일반적으로 파트너는 귀사에 자사의 TISAX 참가자 ID를 제공해야 합니다.
편의를 위해, 등록 양식에는 공유된 평가 결과를 자주 수신하는 몇몇 회사를 위한 참가자 ID 드롭다운 목록이 있습니다.[7]
-
필수 공유 수준
공유 수준은 파트너가 귀사의 평가 결과에 액세스할 수 있는 깊이를 정의합니다.
파트너가 특정 공유 수준을 요청하거나, 귀사에서 평가 결과에 대해 파트너에 부여할 액세스 수준을 결정할 수 있습니다.
공유 수준에 대한 자세한 내용은 다음을 참조하십시오. 섹션 6.5, “공유 수준”.
따라서 이 정보를 갖고 있는지 확인해야 합니다.
참고
|
참고:
|
중요
|
중요한 참고 사항: 평가 결과를 게시하지 않거나 공유하지 않으면 아무도 평가 결과를 볼 수 없습니다. |
중요
|
중요한 참고 사항: 게시 또는 공유를 취소할 수 없습니다. 자세한 내용은 다음을 참조하십시오. 섹션 6.4, “교환된 결과의 영속성”. |
참고
|
참고: 이상한 말처럼 들릴 수 있지만, 실제로 평가 프로세스를 아직 시작하지 않은 경우에도 “평가 결과”를 공유할 수 있습니다. 이 초기 단계에는 “평가 상태”만 공유하게 됩니다. “평가 결과”를 공유 받는 참가자에게는 평가 프로세스가 어디까지 진행되었는지 표시됩니다. 일부 TISAX 참가자는 귀사에서 TISAX 레이블을 보여줘야 하지만 아직 평가 프로세스를 마치지 않은 경우 특별 면제를 허가해야 합니다. 이런 경우에는 파트너가 자신의 ENX 포털 계정에서 귀사의 “평가 상태”를 확인해야 할 수 있습니다. 평가 상태에 대한 자세한 내용은 다음을 참조하십시오. 섹션 7.6, “부록: Assessment status( 평가 상태)”. |
평가 결과 게시 및 공유에 대한 자세한 내용은 다음을 참조하십시오. 섹션 6, “교환(3 단계)”.
4.3.3. 평가 목표
등록 프로세스를 진행하는 동안 평가 목표를 정의해야 합니다. 평가 목표( assessment objective)는 정보 보안 관리 시스템(ISMS)이 충족해야 하는 해당하는 요구 사항을 결정합니다. 평가 목표는 전적으로 파트너 대신 처리하는 데이터의 유형에 따라 결정됩니다.
이어지는 내용에서는 평가 목표에 대해 설명하고 올바른 평가 목표를 선택하는 방법에 대해 조언합니다.
평가 목표를 사용하면 파트너 및 TISAX 감사 제공자와 TISAX에 관해 더 쉽게 소통할 수 있습니다. TISAX 평가 프로세스에 투입되는 정의된 정보가 평가 목표에 언급되기 때문입니