Możliwość poddania się procesowi oceny TISAX i udostępnienia wyniku partnerowi

Opublikowany przez

ENX Association
Stowarzyszenie zgodne z przepisami prawa francuskiego z roku 1901,
wpisane do rejestru pod nr w923004198 w Sous-préfecture, Boulogne-Billancourt, Francja

Adresy
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Francja
Bockenheimer Landstraße 97-99, 60325 Frankfurt nad Menem, Niemcy

Autor

Florian Gleich

Dane do kontaktu

Wersja

Data:

06.03.2024 r.

Wersja:

2.7.1

Klasyfikacja:

Public

ENX doc ID:

602-PL

Informacja o prawach autorskich

Wszelkie prawa zastrzeżone przez ENX Association.
ENX, TISAX oraz ich odpowiednie logo są zastrzeżonymi znakami towarowymi ENX Association.
Wspomniane znaki towarowe stron trzecich stanowią własność ich właścicieli.

1. Informacje ogólne

1.1. Cel

Witamy w TISAX (Trusted Information Security Assessment Exchange).

Jeden z Państwa partnerów zażądał od Państwa udowodnienia, że stosowane przez Państwa zarządzanie bezpieczeństwem informacji jest zgodne z poziomem określonym w wymaganiach „Oceny bezpieczeństwa informacji” (Information Security Assessment, ISA). Chcą Państwo wiedzieć, jak spełnić to żądanie.

Niniejszy podręcznik pozwoli Państwu zrealizować żądanie partnera — lub zyskać przewagę w drodze uprzedzenia takich żądań partnera.

W tym podręczniku opisano etapy, przez jakie należy przejść w celu uzyskania pomyślnego wyniku oceny TISAX oraz udostępnienia wyniku oceny partnerowi.

Już samo ustanowienie i utrzymanie systemu zarządzania bezpieczeństwem informacji (ISMS) jest złożonym zadaniem. Udowodnienie partnerowi, że zarządzanie bezpieczeństwem informacji spełnia wymogi dla danego zadania czyni je jeszcze trudniejszym. Ten podręcznik nie ułatwi zarządzania bezpieczeństwem informacji. Ma natomiast ułatwić udowodnienie partnerowi własnych wysiłków.

1.2. Zakres

Niniejszy podręcznik dotyczy wszystkich procesów TISAX, w których mogą Państwo uczestniczyć.

Zawiera wszystkie informacje niezbędne, by przejść proces TISAX.

Ten podręcznik podpowiada, jak spełnić wymagania dotyczące bezpieczeństwa informacji będące kluczowym elementem oceny. Nie zawiera jednak informacji ogólnych dotyczących czynności niezbędnych do uzyskania pomyślnego wyniku oceny bezpieczeństwa informacji.

1.3. Odbiorcy

Głównymi odbiorcami tego podręcznika są spółki, które muszą lub pragną udowodnić określony poziom zarządzania bezpieczeństwem informacji zgodnie z wymaganiami „Oceny bezpieczeństwa informacji” (Information Security Assessment, ISA).

Informacje zawarte w tym podręczniku przydadzą się po czynnym rozpoczęciu procesów TISAX.

Skorzystają z nich także spółki żądające od swych dostawców udowodnienia określonych poziomów zarządzania bezpieczeństwem informacji. Podręcznik pozwoli im zrozumieć, co muszą zrobić dostawcy w celu realizacji tego żądania.

1.4. Struktura

Zaczniemy od krótkiego wprowadzenia TISAX, a później przejdziemy do instrukcji dotyczących konkretnych działań. Znajdą tu Państwo wszystkie elementy potrzebne do przejścia procesu -- w określonej kolejności.

Szacowany czas czytania tego dokumentu wynosi 75–90 minut.

1.5. Sposób korzystania z tego dokumentu

Wcześniej czy później prawdopodobnie zapragną Państwo zrozumieć większość kwestii zawartych w tym dokumencie. Aby odpowiednio się przygotować, zalecamy zapoznanie się z całym podręcznikiem.

Struktura podręcznika opiera się na trzech głównych etapach procesu TISAX, dzięki czemu można przejść do potrzebnego punktu, a z pozostałą częścią zapoznać się później.

Wykorzystane w podręczniku ilustracje ułatwiają rozumienie. Kolory na ilustracjach często mają dodatkowe znaczenie. Dlatego też zalecamy zapoznanie się z niniejszym dokumentem na ekranie komputera lub w postaci kolorowego egzemplarza papierowego.

Cenimy Państwa opinie. Jeśli Państwa zdaniem w niniejszym podręczniku czegoś brakuje lub coś trudno zrozumieć, prosimy o informację. Za takie opinie będziemy wdzięczni zarówno my sami, jak i wszyscy przyszli czytelnicy podręcznika.

Jeśli korzystali już Państwo z poprzedniej wersji podręcznika uczestnika TISAX, na końcu dokumentu w Punkt 8, “Historia dokumentu” znajdą Państwo przydatne uwagi.

1.6. Zapraszamy do kontaktu

Z przyjemnością poprowadzimy Państwa przez proces TISAX oraz udzielimy odpowiedzi na ewentualne pytania.

Prosimy o wiadomość e-mail na adres:

tisax@enx.com

Lub o kontakt telefoniczny pod numerem:

+49 69 9866927-77

Można się z nami skontaktować w zwykłych godzinach pracy w Niemczech (UTC+01:00).

Wszyscy posługujemy się językiem Icon of the flag of the United Kingdom angielskim oraz Icon of the flag of Germany niemieckim. Dla jednego z członków naszego zespołu rodzimym językiem jest Icon of the flag of Italy włoski.

1.7. Podręcznik uczestnika TISAX w innych językach i formatach

Podręcznik uczestnika TISAX jest dostępny w następujących językach i formatach:

Język Wersja Format Link

Icon of the flag of the United Kingdom angielski

2.7.1

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon of the flag of Germany niemiecki

2.7.1

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon of the flag of France francuski

2.7

Online

https://www.enx.com/handbook/tph-fr.html

Offline

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon of the flag of China chiński

2.7

Online

https://www.enx.com/handbook/tph-cn.html

Offline

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon of the flag of Spain hiszpański

2.7

Online

https://www.enx.com/handbook/tph-es.html

Offline

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon of the flag of Japan japoński

2.7

Online

https://www.enx.com/handbook/tph-jp.html

Offline

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon of the flag of Brazil brazylijski portugalski

2.7

Online

https://www.enx.com/handbook/tph-pt.html

Offline

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon of the flag of Italy włoski

2.7.1

Online

https://www.enx.com/handbook/tph-it.html

Offline

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea koreański

2.7

Online

https://www.enx.com/handbook/tph-kr.html

Offline

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Icon of the flag of Czech Republic czeski

2.7.1

Online

https://www.enx.com/handbook/tph-cz.html

Offline

https://www.enx.com/handbook/tph-cz-offline.html

PDF

https://www.enx.com/handbook/tph-cz.pdf

Icon of the flag of Poland polski

2.7.1

Online

https://www.enx.com/handbook/tph-pl.html

Offline

https://www.enx.com/handbook/tph-pl-offline.html

PDF

https://www.enx.com/handbook/tph-pl.pdf

Ważne

Ważna uwaga:

Wersją wiodącą jest wersja w języku angielskim.
Wersje w innych językach są tłumaczeniem wersji w języku angielskim.
W przypadku wątpliwości rozstrzygająca jest wersja anglojęzyczna.

1.7.1. O tłumaczeniu na język polski

Niniejszy Podręcznik uczestnika TISAX jest tłumaczeniem wersji w języku angielskim.

Wszystkie dokumenty leżące u podstaw TISAX opracowano w języku angielskim (np. wszystkie umowy i wymagania dotyczące dostawców usług audytu TISAX). w związku z tym Państwa partner lub dostawca usług audytu może używać niektórych związanych z TISAX terminów w języku angielskim.

Aby ułatwić rozumienie, w tłumaczeniu Podręcznika uczestnika TISAX zachowaliśmy oryginalny termin TISAX w języku angielskim lub podaliśmy go w nawiasach tuż po wersji tłumaczonej.

1.7.2. Informacje dotyczące formatu online

Każdy punkt posiada unikalny identyfikator (format: ID1234).
Niezależnie od języka, identyfikator odwołuje się do konkretnego punktu.

Aby przejść do konkretnego punktu, można:

  • kliknąć prawym klawiszem myszy tytuł punktu i skopiować link, lub

  • kliknąć tytuł punktu i skopiować link z paska adresu przeglądarki.

Większość rysunków jest dostępna w formacie większym od domyślnie wyświetlanego. Aby otworzyć większą wersję rysunku, należy go kliknąć.

1.7.3. Informacje dotyczące formatu offline

Format offline zachowuje większość cech formatu online. w szczególności ilustracje są zamieszczone w pliku HTML.
Aby użyć formatu offline, potrzebny jest tylko jeden plik.

W porównaniu do formatu online, format offline nie posiada:

  • większych ilustracji,

  • oryginalnych czcionek formatu online.
    Czcionki są zgodne z domyślnymi ustawieniami przeglądarki.

1.7.4. Informacje dotyczące formatu PDF

Korzystanie z pliku PDF na komputerze pozwala kliknąć wszystkie odnośniki. Natomiast w przypadku wydruku wersji PDF, nie będzie np. numerów stron, w związku z czym trzeba będzie samodzielnie wyszukiwać odnośniki.

2. Wprowadzenie

Poniższe punkty wprowadzają koncepcję TISAX.

Jeśli się Państwu spieszy, można je pominąć i zacząć od Punkt 4.3, “Przygotowanie do rejestracji”.

2.1. Dlaczego TISAX?

Czy też raczej, dlaczego są Państwo tutaj?

Odpowiedź na to pytanie zaczniemy od kilku ogólnych przemyśleń na temat prowadzenia działalności, ze szczególnym naciskiem na ochronę informacji.

Proszę wyobrazić sobie własnego partnera. Posiada informacje poufne. Chce je udostępnić swojemu dostawcy — Państwu. Współpraca Państwa z partnerem tworzy wartość. Informacje udostępnione Państwu przez partnera są ważnym elementem takiego tworzenia wartości. w związku z tym partner pragnie je odpowiednio chronić. Chce mieć także pewność, że Państwo dokładają takiej samej należytej staranności w odniesieniu do przekazanych przez niego informacji.

Jak może jednak zapewnić, że takie informacje są w dobrych rękach? Nie może po prostu Państwu „uwierzyć”. Partner potrzebuje dowodu.

I teraz dwa pytania. Kto określa, co oznacza „bezpieczne” postępowanie z informacjami? I jak to udowodnić?

2.2. Kto określa, co oznacza „bezpieczne”?

Przed tymi pytaniami nie stają tylko Państwo i Państwa partner. Niemal wszyscy muszą znaleźć na nie odpowiedź, a większość odpowiedzi wykazuje pewne podobieństwa.

Zamiast za każdym razem od nowa samodzielnie opracowywać rozwiązanie powszechnego problemu, można skorzystać ze standardowego sposobu działania, który zmniejsza obciążenie wynikające z tworzenia od podstaw. Choć opracowanie standardu wymaga ogromnego wysiłku, robi się to tylko raz, a stosowanie danego standardu za każdym razem przynosi korzyść.

Z całą pewnością różne osoby różnie postrzegają właściwe działania w kontekście ochrony informacji. Jednakże ze względu na powyższe korzyści, większość firm decyduje się korzystać ze standardu. Standard to skondensowana forma wszystkich potwierdzonych i sprawdzonych dobrych praktyk na potrzeby danego wyzwania.

W Państwa przypadku aktualny stan wiedzy na potrzeby bezpiecznego postępowania z informacjami poufnymi wynika z takich norm, jak ISO/IEC 27001 (dotycząca systemów zarządzania bezpieczeństwem informacji, tj. ISMS), i ich wdrożenia. Dzięki takiej normie nie muszą Państwo za każdym razem wynajdować koła na nowo. Co więcej, normy zapewniają wspólne podstawy wymiany danych poufnych przez dwie spółki.

2.3. Branża motoryzacyjna

Normy niezależne od branży opracowuje się jako rozwiązania uniwersalne, nie zaś dostosowane do konkretnych potrzeb firm motoryzacyjnych.

Przed laty w branży motoryzacyjnej powstały stowarzyszenia, których celem było — między innymi — dopracowanie i określenie standardów dopasowanych do jej konkretnych potrzeb. Jednym z takich stowarzyszeń jest „Verband der Automobilindustrie” (VDA). Kilku członków branży motoryzacyjnej w grupie roboczej ds. bezpieczeństwa informacji doszło do wniosku, że posiadają zbliżone potrzeby w kontekście dostosowania istniejących standardów zarządzania bezpieczeństwem informacji.

Wspólnym staraniem opracowali kwestionariusz obejmujący powszechnie przyjęte wymogi dotyczące bezpieczeństwa informacji w branży motoryzacyjnej. Nosi on nazwę „Ocena bezpieczeństwa informacji” (Information Security Assessment, ISA).

Dzięki ISA mamy odpowiedź na pytanie „Kto określa, co oznacza bezpieczne?”. Za pośrednictwem VDA branża motoryzacyjna przekazuje tę odpowiedź swym członkom.

2.4. Jak skutecznie udowodnić bezpieczeństwo?

Niektóre spółki wykorzystują ISA wyłącznie do potrzeb wewnętrznych, zaś inne do oceny dojrzałości zarządzania bezpieczeństwem informacji u swoich dostawców. Czasem na potrzeby relacji biznesowych wystarczy samoocena. Jednakże w niektórych przypadkach spółki prowadzą pełną ocenę zarządzania bezpieczeństwem informacji u swoich dostawców (wraz z audytami na miejscu).

W miarę wzrostu świadomości zapotrzebowania na zarządzanie bezpieczeństwem informacji i coraz powszechniejszego przyjęcia ISA jako narzędzia do oceny bezpieczeństwa informacji, coraz większa liczba partnerów otrzymywała podobne żądania ze strony różnych partnerów.

Partnerzy ci stosowali różne standardy i interpretowali je w różny sposób. Dostawcy musieli jednak zasadniczo udowodnić to samo, choć odmiennie.

Im większa liczba dostawców otrzymywała od swych partnerów wnioski o udowodnienie poziomu zarządzania bezpieczeństwem informacji, tym głośniejsze były skargi na wielokrotne wysiłki. Przedstawianie kolejnym audytorom tych samych środków zarządzania bezpieczeństwem informacji po prostu nie jest wydajne.

Jak można zwiększyć wydajność tego procesu? Czy nie byłoby lepiej, gdyby różni partnerzy mogli skorzystać z raportu dowolnego audytora?

Producenci oryginalnego sprzętu i dostawcy w grupie roboczej ENX odpowiedzialnej za utrzymanie ISA wysłuchali skarg dostawców. Obecnie zapewniają swym dostawcom oraz innym spółkom w branży motoryzacyjnej odpowiedź na pytanie „Jak udowodnić bezpieczeństwo?”.

Odpowiedzią jest TISAX, skrót od „Trusted Information Security Assessment Exchange”.

3. Proces TISAX

3.1. Informacje ogólne

Proces TISAX zwykle[1] rozpoczyna się od wniosku jednego z partnerów o udowodnienie określonego poziomu zarządzania bezpieczeństwem informacji zgodnie z wymogami „Oceny bezpieczeństwa informacji” (ISA). Aby zrealizować takie żądanie, należy ukończyć 3-etapowy proces TISAX. Niniejszy punkt zawiera informacje ogólne na temat etapów, przez jakie trzeba przejść.

3-etapowy proces TISAX składa się z następujących etapów:

Omówienie procesu TISAX
Rysunek 1. Omówienie procesu TISAX
img callout black 01

Etap 1
Rejestracja

img callout black 02

Etap 2
Ocena

img callout black 03

Etap 3
Wymiana

  1. Rejestracja
    Zbieramy informacje na temat Państwa firmy oraz elementów wchodzących w skład oceny.

  2. Ocena
    Przechodzą Państwo proces ocen prowadzonych przez jednego z naszych dostawców usług audytu TISAX.

  3. Wymiana
    Wyniki Państwa oceny udostępniają Państwo swojemu partnerowi.

Każdy etap składa się z etapów pomocniczych. Ich zarys znajduje się w trzech poniższych punktach, a szczegółowy opis w odpowiednich punktach w dalszej części dokumentu.

Uwaga

Uwaga:

Choć chcielibyśmy wskazać termin uzyskania wyniku oceny TISAX, prosimy o wyrozumiałość, ponieważ nie jesteśmy w stanie wiarygodnie tego przewidzieć. Całkowity czas trwania procesu TISAX zależy od zbyt wielu czynników. Niemożność przewidzenia terminu wynika z różnic wielkości spółek oraz celów oceny, a także gotowości systemu zarządzania bezpieczeństwem informacji.

3.2. Rejestracja

Pierwszy etap to rejestracja TISAX.

Głównym celem rejestracji TISAX jest zebranie informacji na temat Państwa spółki. Aby ułatwić przekazywanie nam takich informacji, używamy procesu rejestracji online.

Jest on warunkiem wstępnym wszystkich kolejnych etapów. Wiąże się z opłatą.

W trakcie procesu rejestracji online:

  • Poprosimy o dane do kontaktu i dane do rozliczeń.

  • Muszą Państwo zaakceptować nasze warunki.

  • Mogą Państwo określić zakres oceny bezpieczeństwa informacji.

Bezpośrednie rozpoczęcie tego etapu opisano w Punkt 4, “Rejestracja (Etap 1)”.

Proces rejestracji online szczegółowo opisano w Punkt 4.5, “Proces rejestracji online”. Jeśli jednak chcą Państwo zacząć od razu, proszę przejść do Icon of the flag of the United Kingdom enx.com/en-US/TISAX/.

3.3. Ocena

Drugim etapem jest ocena bezpieczeństwa informacji.

Ma ona cztery etapy pomocnicze:

  1. Przygotowanie do oceny
    Muszą się Państwo przygotować do oceny. Zakres przygotowań zależy od aktualnego poziomu dojrzałości systemu zarządzania bezpieczeństwem informacji. Przygotowania muszą być oparte na katalogu ISA.

  2. Wybór dostawcy usług audytu
    Muszą Państwo wybrać jednego z naszych dostawców usług audytu TISAX.

  3. Ocena(-y) bezpieczeństwa informacji
    Dostawca usług audytu przeprowadzi ocenę na podstawie zakresu oceny odpowiadającego wymaganiom Państwa partnera. Proces oceny będzie się składał co najmniej z audytu wstępnego.
    Jeśli spółka nie przejdzie oceny za pierwszym razem, proces oceny może wymagać dodatkowych etapów.

  4. Wynik oceny
    Kiedy spółka pomyślnie przejdzie ocenę, dostawca usług audytu przekaże Państwu oficjalny raport z oceny TISAX. Wynik Państwa oceny opatrzymy także etykietami TISAX[2].

Bardziej szczegółowe informacje na temat tego etapu znajdują się w Punkt 5, “Ocena (Etap 2)”.

3.4. Wymiana

Trzecim i ostatnim etapem jest udostępnienie wyniku oceny Państwa partnerowi. Treść raportu z oceny TISAX podzielono na poziomy. To od Państwa zależy, do jakiego poziomu zyska dostęp Państwa partner.

Wynik Państwa oceny zachowuje ważność przez trzy lata. Jeśli po upływie tego czasu nadal będą Państwo dostawcą swojego partnera, będą Państwo musieli ponownie przejść ten trzyetapowy proces[3].

Bardziej szczegółowe informacje na temat tego etapu znajdują się w Punkt 6, “Wymiana (Etap 3)”.


Ponieważ znają już Państwo podstawy procesu TISAX, w poniższych punktach mogą się Państwo zapoznać z instrukcjami realizacji poszczególnych etapów.

4. Rejestracja (Etap 1)

Szacowany czas czytania punktu poświęconego rejestracji wynosi 30–40 minut.

4.1. Informacje ogólne

Rejestracja TISAX to pierwszy etap. Jest on warunkiem wstępnym wszystkich kolejnych etapów.

Poniższe punkty poprowadzą Państwa przez proces rejestracji:

  1. Zaczniemy od wyjaśnienia istotnego nowego terminu.

  2. Później wskażemy, jak się przygotować do procesu rejestracji online.

  3. Następnie poprowadzimy przez proces rejestracji online.

4.2. Są Państwo uczestnikiem TISAX

Przedstawmy najpierw nowy termin, który muszą Państwo rozumieć. Jak dotąd byli Państwo „dostawcą”. Są Państwo tutaj, by zrealizować wymóg swojego „klienta”. Sam TISAX nie rozróżnia jednak tych dwóch ról. w ramach TISAX wszyscy rejestrują się jako „uczestnik”. Państwo -- i Państwa partner — „uczestniczą” w wymianie wyników oceny bezpieczeństwa informacji.

Rejestracja
Rysunek 2. Rejestracja, by zostać uczestnikiem TISAX
img callout black 01

Państwa spółka

img callout black 02

Rejestracja TISAX

img callout black 03

Uczestnik TISAX

Aby od początku rozróżnić te dwie role, Państwa, czyli dostawcę, nazywamy „uczestnikiem czynnym”. Państwa partnera natomiast „uczestnikiem biernym”. Jako „uczestnik czynny” poddają się Państwo ocenie TISAX, której wynik udostępniają innym uczestnikom. „Uczestnik bierny” to podmiot, który zażądał od Państwa poddania się ocenie TISAX. „Uczestnik bierny” to podmiot otrzymujący wynik Państwa oceny.

Uczestnik bierny i uczestnik czynny
Rysunek 3. Uczestnik bierny i uczestnik czynny
img callout black 01

1 Żąda oceny od

img callout black 02

Uczestnik bierny

img callout black 03

Uczestnik czynny

img callout black 04

2 Poddaje się ocenie TISAX

img callout black 05

3 Udostępnia wynik

Każda spółka może występować w obu rolach. Mogą Państwo udostępnić wynik oceny partnerowi, a jednocześnie żądać od własnych dostawców poddania się ocenie TISAX.

Uczestnicy TISAX mogą być jednocześnie czynni i bierni
Rysunek 4. Uczestnicy TISAX mogą być jednocześnie czynni i bierni
img callout black 01

Państwa klient
= bierny

img callout black 02

Udostępniają Państwo klientowi

img callout black 03

Uczestnik czynny

img callout black 04

Państwo

img callout black 05

Uczestnik bierny

img callout black 06

Udostępnia Państwu

img callout black 07

Państwa dostawca
= czynny

Żądanie od własnych dostawców poddania się ocenie TISAX sugeruje się szczególnie w przypadku, gdy Państwa dostawcy mają dostęp także do wymagających ochrony informacji Państwa partnera.

4.3. Przygotowanie do rejestracji

W tym punkcie znajdą Państwo zalecenia dotyczące sposobu przygotowania się do rejestracji. Sam proces rejestracji szczegółowo opisano w Punkt 4.5, “Proces rejestracji online”.

Przed rozpoczęciem procesu rejestracji online zalecamy:

  • wcześniejsze zebranie informacji

  • i podjęcie pewnych decyzji.

4.3.1. Kwestie prawne

Zwykle muszą Państwo podpisać dwie umowy. Pierwszą z nich jest umowa z ENX Association: „Warunki ogólne uczestnictwa TISAX” (OWU uczestnika TISAX). Drugą jest umowa między Państwem a jednym z naszych dostawców usług audytu TISAX. w kontekście rejestracji, omówimy tylko pierwszą z nich.

OWU uczestnika TISAX regulują nasze wzajemne relacje oraz Państwa stosunki z innymi uczestnikami TISAX. Określają one prawa i obowiązki wszystkich stron. Oprócz zwykłych postanowień, jakie występują w większości umów, szczegółowo określają one postępowanie z informacjami przekazywanymi i otrzymywanymi w ramach procesu TISAX. Najważniejszym celem tych zasad jest zapewnienie poufności wyników oceny TISAX. Ponieważ wszyscy uczestnicy TISAX podlegają tym samym zasadom, można liczyć na odpowiednią ochronę własnego wyniku oceny TISAX przez partnera (będącego uczestnikiem biernym).

Na dość wczesnym etapie procesu rejestracji online poprosimy Państwa o akceptację OWU uczestnika TISAX. Ponieważ jest to umowa, przed rozpoczęciem procesu rejestracji online zalecamy zapoznanie się z OWU uczestnika TISAX. Wynika to m.in. z faktu, że zależnie od własnej roli w firmie mogą być Państwo zmuszeni do uzyskania zgody prawnika firmowego lub zewnętrznego.

„Warunki ogólne uczestnictwa TISAX” można pobrać[4] z naszej strony internetowej pod adresem:
Icon of the flag of the United Kingdom enx.com/en-US/TISAX/downloads/

PDF do pobrania:
Icon of the flag of the United Kingdom enx.com/tisaxgtcen.pdf

W trakcie procesu rejestracji online poprosimy Państwa o zaznaczenie dwóch obowiązkowych pól wyboru:

  • ❏ We accept the TISAX Participation General Terms and Conditions ({img-plflag-alt} Akceptujemy Warunki ogólne uczestnictwa TISAX)

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ({img-plflag-alt} Potwierdzamy zaznajomienie się z wersją dla Wnioskodawcy zawodowych obowiązków zachowania tajemnicy Dostawców usług audytu zgodnie z punktem IX.5. i X.3 Warunków ogólnych uczestnictwa TISAX)

Drugie pole wyboru wynika z faktu, że część naszych dostawców usług audytu TISAX to biegli rewidenci. Obowiązują ich szczególne wymagania dotyczące zachowania tajemnicy zawodowej. Zwykle szczególne wymagania dotyczące zachowania tajemnicy zawodowej zakazują biegłym rewidentom wśród naszych dostawców usług audytu przekazywania nam informacji. Wykluczyłoby to opcje kontroli niezbędne nam do realizacji naszej roli zarządczej. Dlatego też potrzebujemy tej informacji. Przed zaznaczeniem pola warto zwrócić szczególną uwagę na te postanowienia.

Jeśli zwykle potrzebują Państwo zawrzeć z osobą mającą dostęp do informacji poufnych umowę o nieujawnianiu informacji, prosimy o zapoznanie się z odpowiednimi punktami naszych OWU. Prawdopodobnie znajdą tam Państwo odpowiedź na wszystkie swoje obawy. Co więcej, zwykle nie muszą nam Państwo przekazywać żadnych informacji poufnych.

Na zakończenie punktu dotyczącego kwestii prawnych przypominamy, że działanie systemu wymaga akceptacji jednakowych zasad przez wszystkie strony. w związku z tym nie możemy zaakceptować dodatkowych warunków ogólnych[5].

4.3.2. Zakres postępowania TISAX

W ramach drugiego etapu procesu TISAX, jeden z naszych dostawców usług audytu TISAX przeprowadzi ocenę bezpieczeństwa informacji. Musi jednak wiedzieć, gdzie zacząć, a gdzie przerwać. Właśnie dlatego muszą Państwo określić „zakres oceny”.

„Zakres oceny” określa zakres oceny bezpieczeństwa informacji. Dla uproszczenia, zakres oceny obejmuje każdą część Państwa firmy mającą dostęp do informacji poufnych Państwa partnera. Można go uznać za główny element opisu zadania dostawcy usług audytu. Wskazuje, co ma ocenić dostawca usług audytu.

Zakres oceny jest istotny z dwóch powodów:

  1. Wynik oceny spełni wymogi partnera jedynie w przypadku, gdy dany zakres oceny obejmie wszystkie części firmy mające dostęp do informacji poufnych partnera.

  2. Precyzyjnie określony zakres oceny jest ważnym warunkiem wstępnym konstruktywnych obliczeń kosztów prowadzonych przez naszych dostawców usług audytu TISAX.

Ważne

Ważna uwaga:

ISO/IEC 27001 a TISAX

Przede wszystkim musimy rozróżnić dwa rodzaje zakresów:
1) zakres systemu zarządzania bezpieczeństwem informacji (ISMS) oraz
2) zakres oceny.
Nie muszą one być tożsame.

Na potrzeby procesu certyfikacji zgodności z normą ISO/IEC 27001, określają Państwo zakres swojego ISMS (w „określeniu zakresu”). Zakres ISMS można określić całkowicie dowolnie. Jednakże zakres oceny (zwany także „zakresem audytu”) musi być tożsamy z zakresem ISMS.

Na potrzeby TISAX również trzeba określić ISMS. Zakres oceny nie musi się z nim jednak pokrywać.

Na potrzeby procesu certyfikacji zgodności z normą ISO/IEC 27001, mogą Państwo dowolnie kształtować zakres oceny za pomocą określenia zakresu ISMS.

Natomiast w przypadku TISAX, zakres oceny jest wstępnie określony. Zakres oceny może być mniejszy od zakresu ISMS. Musi się jednak mieścić w zakresie ISMS.

4.3.2.1. Opis zakresu

Opis zakresu określa zakres oceny. Na potrzeby opisu zakresu trzeba wybrać jeden z dwóch rodzajów zakresu:

  1. Standard scope ({img-plflag-alt} Zakres standardowy)

  2. Custom scope ({img-plflag-alt} Zakres niestandardowy)

    1. Custom extended scope ({img-plflag-alt} Zakres niestandardowy rozszerzony)

    2. Full custom scope ({img-plflag-alt} Zakres niestandardowy pełny)

Zakres standardowy omówimy w następnym punkcie. Zakres standardowy jest właściwym wyborem dla ponad 99% uczestników. Dlatego zakresy niestandardowe omówimy w Punkt 7.8, “Załącznik: Zakresy niestandardowe”.

4.3.2.2. Zakres standardowy

Opis zakresu standardowego stanowi podstawę oceny TISAX. Inni uczestnicy TISAX akceptują jedynie wyniki oceny opartej na opisie zakresu standardowego.

Opis zakresu standardowego jest wstępnie określony i nie można go zmienić.

Główną zaletą zakresu standardowego jest brak konieczności opracowywania własnej definicji.

Oto opis zakresu standardowego (wersja 2.0):

Icon of the flag of the United Kingdom

{img-plflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
Zakres oceny TISAX określa zakres oceny. Ocena obejmuje wszystkie procesy, procedury{nbsp}i{nbsp}zasoby, za jakie odpowiada oceniana firma, istotne dla bezpieczeństwa przedmiotów ochrony{nbsp}i{nbsp}celów takiej ochrony, jak określono na liście celów oceny{nbsp}w{nbsp}wymienionych lokalizacjach.
Ocenę prowadzi się na co najmniej najwyższym poziomie oceny wskazanym dla dowolnego{nbsp}z{nbsp}wymienionych celów oceny. Ocenie podlegają wszystkie kryteria oceny wymienione{nbsp}w{nbsp}wymienionych celach oceny.

Zdecydowanie zalecamy wybór zakresu standardowego. Wszyscy uczestnicy TISAX akceptują wyniki oceny bezpieczeństwa informacji opartej na zakresie standardowym.

4.3.2.3. Wybór lokalizacji

Kolejnym zadaniem po określeniu rodzaju zakresu jest wskazanie lokalizacji wchodzących w zakres oceny.

W przypadku małej spółki (jedna lokalizacja) to proste zadanie. Po prostu należy dodać lokalizację do zakresu oceny.

W przypadku dużej spółki można rozważyć rejestrację więcej niż jednego zakresu oceny.

Jeden zakres obejmujący wszystkie lokalizacje ma pewne zalety:

  • Otrzymują Państwo jeden raport z oceny, jeden wynik oceny i jeden termin ważności.

  • Mają Państwo prawo do obniżki kosztów oceny, ponieważ dostawca usług audytu TISAX tylko jeden raz ocenia procesy, procedury i zasoby na szczeblu centralnym.

Jeden zakres może także mieć następujące wady:

  • Wszystkie lokalizacje muszą mieć takie same cele oceny.

  • Wynik oceny jest dostępny dopiero, kiedy dostawca usług audytu TISAX oceni wszystkie lokalizacje. Może to być istotne, jeśli pilnie potrzebują Państwo wyniku oceny.

  • Wynik oceny zależy od pomyślnego wyniku oceny wszystkich lokalizacji. Jeśli nie uda się to jednej lokalizacji, nie otrzymają Państwo pozytywnego wyniku oceny. Ten problem można obejść następująco: a) wyłączyć lokalizację z zakresu, b) usunąć problemy, c) dodać lokalizację w późniejszym terminie z oceną rozszerzenia zakresu.

4.3.2.4. Dostosowanie zakresu

Tylko Państwo mogą udzielić odpowiedzi na pytanie, czy będzie to jeden zakres, czy też kilka zakresów. Pomoc w udzieleniu na nie odpowiedzi znajdą Państwo na poniższym schemacie.

Drzewo decyzyjne dostosowania zakresu
Rysunek 5. Drzewo decyzyjne dostosowania zakresu
img callout black 01

ROZPOCZĘCIE
Wszystkie lokalizacje wymagające oceny w przyszłości

img callout black 02

Etap 1: Czy potrzebuję oceny dla więcej niż jednej lokalizacji?

img callout black 03

Etap 2: Czy mam dość czasu, by przygotować się do oceny we wszystkich lokalizacjach?

img callout black 04

Etap 3: Czy wszystkie lokalizacje posiadają ten sam centralny ISMS (tj. obowiązki, infrastrukturę, zasady i procesy?)

img callout black 05

Etap 4: Czy wszystkie lokalizacje posiadają ten sam cel oceny (tj. ochrona prototypów pojazdów lub informacji wymagających bardzo wysokiej ochrony)?

img callout black 06

Zakończenie: Rejestracja zakresu oceny
Zarejestrowany zakres oceny powinien obejmować pozostałe lokalizacje.

img callout black 07

Teraz proszę oddzielić lokalizacje od siebie.
A później zacząć ponownie z każdym zbiorem lokalizacji.

img callout black 08

Nie

img callout black 09

Tak

Uwaga

Uwaga:

Proszę się nie bać tej decyzji. Zakres można zmienić do czasu, gdy dostawca usług audytu nie zakończy oceny.

Na przykład, podczas przygotowań do oceny mogą Państwo stwierdzić, że zakres nie jest właściwy -- i odpowiednio go zmienić. Albo dostawca usług audytu może sugerować zmianę zakresu na wcześniejszych etapach oceny.

Uwagi dodatkowe:

  • W sensie technicznym nie można zmienić zakresu oceny określonego na etapie procesu rejestracji online w portalu ENX. Dostawca usług audytu może jednak zaktualizować zakres oceny podczas wczytywania wyniku oceny w portalu ENX.

  • Zwiększenie zakresu powoduje podwyższenie opłaty, zaś wyłączenie niektórych lokalizacji z zakresu nie przekłada się na zwrot kosztów. Ponieważ dostawcy usług audytu obliczają koszty na podstawie pierwotnego zakresu, należy się spodziewać zmian.

4.3.2.5. Lokalizacje w ramach zakresu

Po podjęciu decyzji, jakie lokalizacje wchodzą w skład zakresu oceny, można dalej zbierać informacje dotyczące poszczególnych lokalizacji.

Dla każdej lokalizacji prosimy o takie informacje, jak nazwa i adres spółki. Prosimy także o dodatkowe informacje, które pozwolą naszym dostawcom usług audytu TISAX lepiej poznać strukturę Państwa spółki. Państwa odpowiedzi staną się podstawą szacowania ich nakładu pracy.

Należy się przygotować do podania następujących danych dla każdej z lokalizacji (czerwona gwiazdka * wskazuje obowiązkowe informacje w procesie online):

Tabela 1. Dane dotyczące lokalizacji
Pole Opcje

Nazwa lokalizacji *

nd.

NUMER D&B D-U-N-S

nd.

Rodzaj lokalizacji *

Budynek/budynki należący/-e do spółki i tylko przez nią używany/-e
Budynek/budynki wynajmowany/-e przez spółkę
Piętro/biuro wynajmowane przez spółkę w budynku współdzielonym
Biuro współdzielone z innymi spółkami
Własne centrum danych
Współdzielone centrum danych

Bierna ochrona lokalizacji *

Tak
Nie

Branża
(Można wybrać kilka opcji)

Technologie informacyjne

  • ❏ Usługi IT

  • ❏ Usługi telekomunikacyjne

  • ❏ Rozwój oprogramowania

Zarządzanie

  • ❏ Doradztwo

Media

  • ❏ Marketing

  • ❏ Agencja

  • ❏ Usługi drukarskie

  • ❏ Fotografia

  • ❏ Usługi tłumaczeniowe

Prace badawczo-rozwojowe

  • ❏ Testy pojazdów

  • ❏ Symulacje pojazdów

  • ❏ Budowa prototypów

  • ❏ Miniaturowe modele samochodów

  • ❏ Usługi rozwojowe

  • ❏ Usługi rozwojowe CAx

Produkcja

  • ❏ Usługi produkcyjne

  • ❏ Produkcja na zlecenie

  • ❏ Dział produkcji

  • ❏ Logistyka

Sprzedaż i usługi posprzedażne

  • ❏ Import, NSC

  • ❏ Dystrybucja

  • ❏ Usługi finansowe

  • ❏ Ubezpieczenia

  • ❏ Obsługa roszczeń

Inna branża
(proszę podać)

Liczba pracowników lokalizacji: ogółem *

0
1–10
11–100
101–1000
1001–5000
Ponad 5000

Liczba pracowników lokalizacji: IT *

0
1–10
11–25
26–50
Ponad 50

Liczba pracowników lokalizacji: Bezpieczeństwo IT *

0
Na część etatu
1–5
6–25
Ponad 25

Liczba pracowników lokalizacji: Bezpieczeństwo lokalizacji *

0
Na część etatu
1–3
4–10
Ponad 10

Certyfikaty danej Lokalizacji

ISO 27001
Inne (proszę podać)
ISAE 3402
SOC2

Uwaga

Uwaga:

W odniesieniu do „Branży”: należy wybrać zgodnie z własną wiedzą. w przypadku wyboru powyższych opcji nie ma prawidłowych i błędnych odpowiedzi. Jeśli nie mogą Państwo znaleźć opcji odpowiadającej rodzajowi własnego przedsiębiorstwa, proszę po prostu zaznaczyć odpowiednią opcję w „Inne”.

Dla każdej lokalizacji należy określić „location name” ({img-plflag-alt} „nazwę lokalizacji”). Nazwa lokalizacji ułatwia odwoływanie się do niej podczas przypisywania do zakresu oceny.

Zalecamy przydzielanie nazw lokalizacji na podstawie poniższego wzorca:

Wzorzec:

[Odnośnik geograficzny]

Przykład:

dla fikcyjnej spółki „ACME”

  • Frankfurt
    (dla lokalizacji w niemieckim mieście Frankfurt)

4.3.2.6. Nazwa zakresu

Dla każdego zakresu należy określić „scope name” ({img-plflag-alt} „nazwę zakresu”). Głównym celem nazwy zakresu jest ułatwienie Państwu identyfikacji zakresu na poglądowej liście zakresów na portalu ENX. Należy przypisać nazwę, która ułatwi życie zarówno czytelnikowi, jak i kolegom po fachu. w komunikacji zewnętrznej należy użyć Identyfikatora zakresu.

Można podać dowolną nazwę. Nie należy jednak nadawać tej samej nazwy zakresu więcej niż jednemu zakresowi.

W przypadku późniejszego odnowienia oceny TISAX należy utworzyć nowy zakres (być może identyczny z aktualnym). w związku z tym zalecamy, by do nazwy zakresu dodać rok oceny.

Zalecamy przydzielanie nazw zakresów na podstawie poniższego wzorca:

Wzorzec:

[Odnośnik geograficzny lub funkcjonalny ] [Rok oceny]

Przykłady:

dla fikcyjnej spółki „ACME”

  • 2024
    (bez odnośnika geograficznego, jeśli spółka posiada tylko jedną lokalizację)

  • Frankfurt 2024
    (dla zakresu obejmującego kilka lokalizacji w niemieckim mieście Frankfurt)

  • Dolna Saksonia 2024
    (dla zakresu obejmującego wszystkie lokalizacje w niemieckim kraju związkowym Dolna Saksonia)

  • Niemcy 2024
    (dla zakresu obejmującego wszystkie lokalizacje w *państwie* Niemcy)

  • EMEA 2024
    (dla zakresu obejmującego wszystkie lokalizacje w *regionie* EMEA („Europa, Bliski Wschód, Afryka”))

  • Opracowywanie prototypów 2024
    (odnośnik funkcjonalny dla zakresu obejmującego wszystkie lokalizacje zajmujące się opracowywaniem prototypów)

4.3.2.7. Osoby do kontaktu

W celu komunikacji z Państwem, zbieramy dane osób do kontaktu w Państwa firmie.

Prosimy o co najmniej jedną osobę do kontaktu ogólnie dla Państwa firmy jako uczestnika TISAX oraz po jednej na każdy zakres oceny. Mogą Państwo wskazać dodatkowe osoby do kontaktu.

Podczas przygotowań do rejestracji należy zdecydować, kto będzie osobą do kontaktu w Państwa firmie.

Prosimy o następujące dane osób do kontaktu:

Tabela 2. Dane osób do kontaktu
Dane osób do kontaktu Obowiązkowe? Przykład

1.

Zwrot grzecznościowy

Tak

Pani, Pan

2.

Stopień naukowy

Dr, inny

3.

Imię

Tak

John

4.

Nazwisko

Tak

Doe

5.

Stanowisko

Tak

Szef IT

6.

Dział

Tak

Technologie informacyjne

7.

Podstawowy numer telefonu

Tak

+49 69 986692777

8.

Pomocniczy numer telefonu

9.

Adres e-mail

Tak

john.doe@acme.com

10.

Preferowany język

Tak

angielski (domyślnie)

11.

Inne języki

niemiecki, francuski

12.

Osobisty identyfikator adresowy

HPC 1234

13.

Ulica i numer domu

Tak

Bockenheimer Landstraße 97–99

14.

Kod pocztowy

Tak

60325

15.

Miejscowość

Tak

Frankfurt

16.

Kraj związkowy/stan/województwo

17.

Państwo

Tak

Niemcy

Ważne

Ważna uwaga:
 
Zalecamy wyznaczenie co najmniej jednego zastępcy każdej osoby do kontaktu. w przypadku czasowej niedostępności osoby do kontaktu lub zakończenia jej zatrudnienia w firmie, danymi uczestnika firmy będzie mogła zarządzać inna osoba.
Konieczność wyznaczenia nowej osoby do kontaktu (przy braku aktualnie wyznaczonych zastępców) pociąga za sobą skomplikowany proces. Nasz proces zapewnia, że jedynie osoby mogące udowodnić swoje prawo do reprezentowania spółki mogą zatwierdzić wyznaczenie nowej głównej osoby do kontaktu.

4.3.2.8. Publikacja i udostępnianie

Głównym celem TISAX jest przekazanie wyniku Państwa oceny innym uczestnikom TISAX oraz udostępnienia wyniku Państwa oceny Państwa partnerowi/partnerom.

Decyzję o publikacji i udostępnianiu Państwa wyniku oceny mogą Państwo podjąć w trakcie procesu rejestracji lub w dowolnym późniejszym terminie.

Jeśli proces TISAX jest u Państwa etapem wstępnym, mogą Państwo podjąć decyzję o publikacji wyniku własnej oceny na potrzeby społeczności uczestników TISAX. w przeciwnym razie na tym etapie nie trzeba się do niczego przygotowywać.

Jeśli proces TISAX przechodzą Państwo na żądanie partnera, wcześniej czy później będą Państwo musieli udostępnić wynik oceny. Informacje na temat statusu mogą Państwo udostępnić partnerowi już na etapie rejestracji. Kiedy wynik oceny będzie dostępny, partner automatycznie otrzyma zgodę na dostęp[6].

Aby udostępnić informacje dotyczące statusu, potrzebne są dwa elementy:

  1. Identyfikator uczestnika TISAX Państwa partnera

    Identyfikator uczestnika TISAX umożliwia identyfikację Państwa partnera jako uczestnika TISAX.

    Zwykle partner powinien podać Państwu swój Identyfikator uczestnika TISAX.

    Dla ułatwienia formularz rejestracyjny zawiera rozwijaną listę Identyfikatorów uczestnika wybranych spółek, które często otrzymują udostępniane wyniki oceny.[7]

  2. Wymagany poziom udostępniania

    Poziom udostępniania określa poziom dostępu partnera do wyników Państwa oceny.

    Partner może zażądać określonego poziomu udostępniania lub Państwo mogą zdecydować, na jakim poziomie chcą Państwo zapewnić partnerowi dostęp do wyniku oceny.

    Bardziej szczegółowe informacje na temat poziomu udostępniania znajdują się w Punkt 6.5, “Poziomy udostępniania”.

Warto się upewnić, czy posiadają Państwo takie informacje.

Uwaga

Uwaga:

  • Decyzję o publikacji wyniku oceny można podjąć w późniejszym terminie.

  • Zgody na udostępnianie partnerowi można udzielić w późniejszym terminie.

Ważne

Ważna uwaga:

Jeśli Państwo nie opublikują wyniku oceny lub go nie udostępnią, nikt nie będzie miał do niego dostępu.

Ważne

Ważna uwaga:

Nie można cofnąć zgody na publikację lub udostępnianie.

Bardziej szczegółowe informacje znajdują się w Punkt 6.4, “Trwałość wyników będących przedmiotem wymiany”.

Uwaga

Uwaga:

Choć może się to wydawać dziwne, „wynik oceny” można udostępnić, nawet jeśli nie zaczęli Państwo jeszcze procesu oceny. Na tym wczesnym etapie po prostu udostępniają Państwo „status oceny”. Uczestnik, któremu udostępnią Państwo „wynik oceny”, będzie mógł sprawdzić, na jakim etapie procesu oceny się Państwo znajdują.

Niektóry uczestnicy TISAX muszą wydać specjalny komunikat, jeśli muszą Państwo pokazać etykiety TISAX, choć nie ukończyli Państwo jeszcze procesu oceny. w takim przypadku Państwa partner może chcieć zobaczyć Państwa „status oceny” na swoim koncie w portalu ENX.

Bardziej szczegółowe informacje na temat statusu oceny znajdują się w Punkt 7.6, “Załącznik: Assessment status ({img-plflag-alt} Status oceny)”.

Bardziej szczegółowe informacje na temat publikacji i udostępniania wyniku oceny znajdują się w Punkt 6, “Wymiana (Etap 3)”.

4.3.3. Cele oceny

Cele oceny należy określić w procesie rejestracji. Cel oceny (Icon of the flag of the United Kingdom assessment objective) określa obowiązujące wymagania, jakie musi spełnić Państwa system zarządzania bezpieczeństwem informacji (ISMS). Cel oceny całkowicie zależy od rodzaju danych, jakie przetwarzają Państwo w imieniu partnera.

W kolejnych punktach opiszemy cele oceny i podpowiemy, jak je poprawnie wybrać.

Wykorzystanie celów oceny ułatwia związaną z TISAX komunikację z partnerem oraz dostawcami usług audytu TISAX, ponieważ odnoszą się one do określonych danych wejściowych procesu oceny TISAX.

Uwaga

Uwaga:

Niektórzy partnerzy mogą żądać oceny TISAX na określonym „poziomie oceny” (assessment level, AL), zamiast określać cel oceny.

Bardziej szczegółowe informacje na temat poziomów oceny znajdują się w punkcie Punkt 4.3.3.5, “Potrzeby ochrony i poziomy oceny” (podpunkt „Informacje dodatkowe”).

4.3.3.1. Lista celów oceny

Obecnie istnieje dwanaście celów oceny TISAX. Trzeba wybrać co najmniej jeden z nich. Można wybrać więcej niż jeden.

Cel oceny należy uznać za wzorzec porównawczy systemu zarządzania bezpieczeństwem informacji. Cel oceny stanowi kluczowe dane wejściowe procesu TISAX. Wszyscy dostawcy usług audytu TISAX opierają strategię oceny przede wszystkim na celu oceny.

Aktualne cele oceny TISAX są następujące:

Tabela 3. Aktualne cele oceny TISAX
Lp. Nazwa Opis

1.

 Info high

Icon of the flag of the United Kingdom Handling of information with high protection needs
{img-plflag-alt} Postępowanie z informacjami wymagającymi wysokiej ochrony

2.

 Info very high

Icon of the flag of the United Kingdom Handling of information with very high protection needs
{img-plflag-alt} Postępowanie z informacjami wymagającymi bardzo wysokiej ochrony

3.

 Confidential