Concluir o processo de avaliação TISAX e compartilhar o resultado da avaliação com seu parceiro

Publicado por

ENX Association
uma Associação de acordo com a Lei Francesa de 1901,
registrada sob o número w923004198 na Sous-préfecture de Boulogne-Billancourt, França

Endereços
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, França
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Alemanha

Autor

Florian Gleich

Contato

Versão

Data:

2023-12-07

Versão:

2.7

Classificação:

Public

ENX doc ID:

602-PT-BR

Aviso sobre direitos autorais

Todos os direitos reservados à ENX Association.
ENX, TISAX e seus respectivos logotipos são marcas registradas da ENX Association.
As marcas registradas de terceiros mencionadas são propriedade de seus respectivos proprietários.

1. Visão geral

1.1. Finalidade

Bem-vindo ao TISAX, o Trusted Information Security Assessment Exchange.

Um dos seus parceiros solicitou que você comprovasse que o gerenciamento de segurança das suas informações atende a um nível definido de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA). E agora você deseja saber como atender a esse pedido.

A finalidade desse manual é permitir que você atenda à solicitação do seu parceiro — ou tenha uma vantagem antecipando-a antes que um parceiro a solicite.

Esse manual descreve as etapas que você precisa seguir para passar na avaliação TISAX e para compartilhar o resultado da sua avaliação com seu parceiro.

Estabelecer e manter um sistema de gerenciamento de segurança da informação (SGSI) já é uma tarefa complexa. Provar ao seu parceiro que a gerenciamento de segurança da informação está adequada acrescenta ainda mais complexidade. Esse manual não vai ajudar a gerenciar a segurança da informação. No entanto, o objetivo é facilitar ao máximo o processo de comprovar seus esforços para o parceiro.

1.2. Escopo

Esse manual se aplica a todos os processos TISAX dos quais você possa fazer parte.

Ele contém tudo que você precisa saber para concluir o processo TISAX.

O manual dá alguns conselhos sobre como lidar com os requisitos de segurança da informação no centro da avaliação. Mas não tem como objetivo oferecer uma formação abrangente sobre o que você precisa fazer para ser aprovado na avaliação de segurança da informação.

1.3. Público

O público principal desse manual são as empresas que necessitam ou desejam comprovar um nível definido de gerenciamento de segurança da informação de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA).

Assim que estiver ativamente envolvido nos processos TISAX, você aproveitará as informações fornecidas nesse manual.

As empresas que solicitam aos seus fornecedores que comprovem níveis definidos de gerenciamento de segurança da informação também serão beneficiadas. Esse manual permite entender o que os seus fornecedores são obrigados a fazer para atender ao seu pedido.

1.4. Estrutura

Começamos com uma breve introdução ao TISAX e depois seguimos imediatamente com instruções sobre COMO fazer as coisas. Você vai encontrar tudo o que precisa para concluir o processo — na ordem em que precisa saber.

O tempo estimado de leitura do documento é de 75 a 90 minutos.

1.5. Como usar este documento

Mais cedo ou mais tarde, você provavelmente vai desejar entender a maior parte do que está descrito neste documento. Para estar devidamente preparado, recomendamos a leitura de todo o manual.

Estruturamos o manual de acordo com as três etapas principais do processo TISAX, para que você possa ir para a seção necessária e ler o restante mais tarde.

O manual usa ilustrações para ajudar a melhorar seu entendimento. As cores nas ilustrações geralmente têm um significado adicional. Portanto, recomendamos a leitura do documento na tela do computador ou em cópia impressa colorida.

Agradecemos seu feedback. Se você achar que algo está faltando nesse manual ou não está fácil de entender, não deixe de em nos informar. Nós e todos os futuros leitores desse manual ficaremos agradecidos pelo seu feedback.

Se você já usou uma versão anterior do manual do participante do TISAX, poderá encontrar algumas observações úteis no final do documento Seção 8, “Histórico do documento”.

1.6. Entre em contato conosco

Estamos aqui para orientar você sobre o processo TISAX e para responder a quaisquer perguntas que você possa ter.

Envie-nos um e-mail para:

tisax@enx.com

Ou ligue para:

+49 69 9866927-77

Você pode entrar em contato conosco durante o horário comercial normal na Alemanha (UTC+01:00).

Todos falamos Icon of the flag of the United Kingdom inglês e Icon of the flag of Germany alemão. Um dos nossos colegas é um falante nativo de Icon of the flag of Italy italiano.

1.7. Observe o Manual do participante TISAX em outros idiomas e formatos

O manual do participante TISAX está disponível nos seguintes idiomas e formatos:

Idioma Versão Formato Link

Icon of the flag of the United Kingdom Inglês

2.7

On-line

https://www.enx.com/handbook/tisax-participant-handbook.html

Off-line

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon of the flag of Germany Alemão

2.7

On-line

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

Off-line

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon of the flag of France Francês

2.7

On-line

https://www.enx.com/handbook/tph-fr.html

Off-line

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon of the flag of China Chinês

2.7

On-line

https://www.enx.com/handbook/tph-cn.html

Off-line

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon of the flag of Spain Espanhol

2.7

On-line

https://www.enx.com/handbook/tph-es.html

Off-line

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon of the flag of Japan Japonês

2.7

On-line

https://www.enx.com/handbook/tph-jp.html

Off-line

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon of the flag of Brazil Português do Brasil

2.7

On-line

https://www.enx.com/handbook/tph-pt.html

Off-line

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon of the flag of Italy Italiano

2.7

On-line

https://www.enx.com/handbook/tph-it.html

Off-line

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea Coreano

2.7

On-line

https://www.enx.com/handbook/tph-kr.html

Off-line

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Important

Observação importante:

A versão em inglês é a versão principal.
Todos os outros idiomas são traduções da versão em inglês.
Em caso de dúvida, a versão em inglês é a válida.

1.7.1. Sobre a tradução para Português do Brasil

Este Manual do Participante TISAX é uma tradução da versão em inglês.

Todos os documentos relacionados ao TISAX foram elaborados em inglês (por exemplo, todos os contratos e requisitos para provedores de serviços de auditoria do TISAX). Como resultado, seu parceiro ou provedor de auditoria poderá usar alguns dos termos específicos do TISAX em inglês.

Para permitir que você faça um mapeamento, mantivemos o termo TISAX original em inglês na tradução do Manual do Participante TISAX ou o indicamos entre colchetes logo após a tradução.

1.7.2. Sobre o formato on-line

Cada seção tem um ID exclusivo (formato: ID1234).
Um ID se refere a uma seção específica, independentemente do idioma.

Se desejar criar um link para uma seção específica, você poderá:

  • clicar com o botão direito no título da seção e copiar o link, ou

  • clicar no título da seção e copiar o link da barra de endereço do seu navegador.

A maioria das figuras está disponível em tamanho maior do que o exibido aqui por padrão. Clique na figura para abrir a versão maior.

1.7.3. Sobre o formato off-line

O formato off-line mantém a maioria dos recursos do formato on-line. De forma mais destacada, as figuras estão incorporadas no arquivo HTML. Você precisa apenas de um arquivo para usar o formato off-line.

Comparado ao formato on-line, o formato off-line não inclui:

  • as imagens maiores

  • as fontes originais do formato on-line
    Os padrões do seu navegador definem as fontes.

1.7.4. Sobre o formato PDF

Se você usar o formato PDF no seu computador, ainda será possível clicar em todas as referências. Mas se você imprimir a versão em PDF, não contará com elementos como números de página e vai precisar pesquisar as referências por conta própria.

2. Introdução

As seções a seguir apresentam o conceito TISAX.

Se você estiver com pressa, poderá pular essa parte e começar imediatamente na Seção 4.3, “Preparação do cadastro”.

2.1. Por que o TISAX?

Ou melhor, por que você está aqui?

Para responder a essa pergunta, vamos começar com algumas considerações sobre como fazer negócios em geral e proteger informações em particular.

Imagine seu parceiro. Ele tem informações confidenciais. Ele deseja compartilhá-las com seu fornecedor — que é você. A cooperação entre você e seu parceiro produz valor. As informações que o seu parceiro compartilha com você são uma parte importante dessa produção de valor. Portanto, ele deseja protegê-las adequadamente. E ele quer ter certeza de que você está tratando as informações dele com o mesmo cuidado.

Mas como ele pode ter certeza de que as informações dele estão em boas mãos? Ele não poderá simplesmente “acreditar” em você. Seu parceiro precisa de alguma prova.

Agora temos duas perguntas. Quem define o que significa o tratamento “seguro” das informações? E a próxima pergunta é: como você prova isso?

2.2. Quem define o que significa "seguro"?

Você e seu parceiro não são os únicos se deparando com essas perguntas pela primeira vez. Quase todos precisam encontrar respostas para elas e a maioria das respostas será semelhante.

Em vez de criar sempre uma solução independente para um problema comum, uma maneira padrão de fazer isso elimina o fardo de criar tudo sempre a partir do zero. Embora definir um padrão seja um esforço enorme, isso é feito somente uma vez e aqueles que o seguem sempre se beneficiam.

Com toda certeza, existem diversas visões sobre o que é o correto a fazer para proteger informações. Mas devido aos benefícios acima mencionados, a maioria das empresas adota padrões. Um padrão é a síntese de todas as melhores práticas comprovadas e consolidadas ao longo do tempo para um determinado desafio.

No seu caso, normas como a ISO/IEC 27001 (sobre sistemas de gerenciamento de segurança da informação, ou SGSI) e a sua implementação estabelecem uma forma de última geração para lidar com informações confidenciais com segurança. Um padrão como esse como este economiza o trabalho de ter de reinventar a roda todas as vezes. Mais importante ainda, os padrões fornecem uma base comum quando duas empresas precisam compartilhar dados confidenciais.

2.3. O jeito automotivo

Por natureza, os padrões independentes do setor são concebidos como soluções aplicáveis a diversas situações, em vez de adaptados às necessidades específicas das empresas automotivas.

Há muito tempo, o setor automotivo formou associações que visavam, — entre outros objetivos, — refinar e definir padrões que atendessem às suas necessidades mais específicas. A “Verband der Automobilindustrie” (VDA) é uma delas. No grupo de trabalho que trata da segurança da informação, vários integrantes do setor automotivo chegaram à conclusão de que têm necessidades semelhantes para adaptar os padrões de gerenciamento de segurança da informação existentes.

Seus esforços conjuntos levaram a um questionário que abrange os requisitos amplamente aceitos de segurança da informação do setor automotivo. Ele é denominado “Avaliação de Segurança da Informação” (ISA).

Com a ISA, temos agora uma resposta à pergunta “Quem define o que significa “seguro”?” Através da VDA, o próprio setor automotivo oferece essa resposta aos seus integrantes.

2.4. Como comprovar a segurança de forma eficiente?

Enquanto algumas empresas utilizam a ISA apenas para finalidades internas, outras a utilizam para avaliar a maturidade da gerenciamento de segurança da informação dos seus fornecedores. Em alguns casos, uma autoavaliação é suficiente para o relacionamento comercial. No entanto, em determinados casos, as empresas realizam uma avaliação completa da gerenciamento de segurança da informação dos seus fornecedores (incluindo auditorias no local).

Junto com o aumento geral da conscientização sobre a necessidade de gerenciamento de segurança da informação e a crescente adoção da ISA como uma ferramenta para avaliações da segurança da informação, mais fornecedores estavam se deparando com pedidos semelhantes de diferentes parceiros.

Esses parceiros ainda aplicavam padrões diferentes e tinham opiniões diversas sobre como interpretá-los. Mas os fornecedores essencialmente tinham que comprovar as mesmas coisas, apenas de maneiras diferentes.

E quanto mais os fornecedores precisavam comprovar o seu nível de gerenciamento de segurança da informação para os seus parceiros, mais aumentavam as suas reclamações em termos de esforços repetidos. Mostrar a auditor após auditor as mesmas medidas de gerenciamento de segurança da informação simplesmente não é eficiente.

O que pode ser feito para tornar isso mais eficiente? Não seria útil se o relatório de um auditor pudesse ser reutilizado por diversos parceiros?

OEMs e fornecedores do grupo de trabalho da ENX responsável pela manutenção da ISA ouviram as reclamações de seus fornecedores. Agora eles apresentam uma resposta aos seus fornecedores, bem como a todas as outras empresas do setor automotivo, para a pergunta “Como provar a segurança?”

A resposta é TISAX, abreviação de “Trusted Information Security Assessment Exchange” ({img-ptflag-alt} “Trusted Information Security Assessment Exchange” (Compartilhamento confiável de avaliação da segurança da informação)).

3. O processo TISAX

3.1. Visão geral

O processo TISAX geralmente[1] começa com um de seus parceiros solicitando que você comprove um nível definido de gerenciamento de segurança da informação de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA). Para atender a essa solicitação, você deve concluir o processo TISAX de 3 etapas. Esta seção oferece uma visão geral das etapas que você precisa seguir.

O processo TISAX de 3 etapas consiste nas seguintes etapas:

Visão geral do processo TISAX
Figura 1. Visão geral do processo TISAX
img callout black 01

Etapa 1
Cadastro

img callout black 02

Etapa 2
Avaliação

img callout black 03

Etapa 3
Compartilhamento

  1. Cadastro
    Reunimos informações sobre a sua empresa e sobre o que deve fazer parte da avaliação.

  2. Avaliação
    Você passa pela(s) avaliação(ões), que são realizadas por um dos nossos provedores de auditoria TISAX.

  3. Compartilhamento
    Você compartilha o resultado da sua avaliação com o seu parceiro.

Cada etapa consiste em subetapas. Elas são apresentadas nas três seções abaixo e descritas em detalhes em suas respectivas seções mais adiante.

Observação

Observe:

Embora certamente gostaríamos de dizer quanto tempo levará para receber o resultado da sua avaliação TISAX, pedimos sua compreensão, pois não é possível prever isso de forma confiável. A duração geral do processo TISAX depende de muitos fatores. A grande variedade de tamanhos de empresas e objetivos da avaliação, além do respectivo nível de preparação de um sistema de gerenciamento de segurança da informação, impossibilitam essa previsão.

3.2. Cadastro

Sua primeira etapa é o cadastro TISAX.

A principal finalidade do cadastro TISAX é coletar informações sobre sua empresa. Usamos um processo de cadastro on-line para ajudar você a nos fornecer essas informações.

É o pré-requisito para todas as etapas subsequentes. Ele está sujeito a uma taxa.

Durante o processo de cadastro on-line:

  • Solicitamos dados de contato e informações de faturamento.

  • Você deve aceitar nossos termos e condições.

  • Você pode definir o escopo da sua avaliação de segurança da informação.

Para iniciar diretamente com essa etapa, consulte a Seção 4, “Cadastro (Etapa 1)”.

O processo de cadastro on-line é descrito detalhadamente na Seção 4.5, “Processo de cadastro on-line”. Mas se você desejar começar imediatamente, acesse Icon of the flag of the United Kingdom enx.com/en-US/TISAX/.

3.3. Avaliação

A segunda etapa é passar pela avaliação de segurança da informação.

Existem quatro subetapas:

  1. Preparação da avaliação
    É necessário se preparar para a avaliação. A abrangência disso está condicionada ao nível atual de maturidade do seu sistema de gerenciamento de segurança da informação. A sua preparação deve ser baseada na lista da ISA.

  2. Seleção do provedor de auditoria
    Você deve escolher um de nossos provedores de auditoria TISAX.

  3. Avaliação(ões) de segurança da informação
    Seu provedor de auditoria vai realizar a avaliação com base em um escopo da avaliação que corresponda aos requisitos do seu parceiro. O processo de avaliação vai consistir, no mínimo, na auditoria inicial.
    Se a sua empresa não for aprovada imediatamente, o processo de avaliação poderá exigir etapas adicionais.

  4. Resultado da avaliação
    Depois da aprovação da sua empresa na avaliação, seu provedor de auditoria fornecerá a você o relatório oficial de avaliação TISAX. O resultado da sua avaliação também receberá selos TISAX[2].

Para obter mais informações sobre essa etapa, consulte a Seção 5, “Avaliação (Etapa 2)”.

3.4. Compartilhamento

A terceira e última etapa é compartilhar o resultado da avaliação com seu parceiro. O conteúdo do relatório de avaliação da TISAX está estruturado em níveis. Você pode decidir até qual nível seu parceiro terá acesso.

O resultado da sua avaliação é válido por três anos. Supondo que você ainda seja um fornecedor do seu parceiro, você precisará passar pelo processo de três etapas novamente[3].

Para obter mais informações sobre essa etapa, consulte a Seção 6, “Compartilhamento (Etapa 3)”.


Agora que você entende fundamentalmente o que é o processo TISAX, você encontrará instruções sobre como concluir cada etapa nas seções seguintes.

4. Cadastro (Etapa 1)

O tempo estimado de leitura da seção de cadastro é de 30 a 40 minutos.

4.1. Visão geral

O cadastro TISAX é a sua primeira etapa. É o pré-requisito para todas as etapas subsequentes.

As seções a seguir vão orientar você durante o cadastro:

  1. Começamos explicando um novo termo essencial.

  2. A seguir damos conselhos sobre o que você deve fazer para estar preparado para o processo de cadastro on-line.

  3. A seguir, damos orientações sobre o processo de cadastro on-line.

4.2. Você é um participante TISAX

Vamos primeiro apresentar um novo termo que é necessário entender. Até agora, você tem sido o “fornecedor”. Você está aqui para atender a um requisito do seu “cliente”. Entretanto, o TISAX não diferencia realmente essas duas funções. Para o TISAX, todos os cadastrados são “participantes”. Você — e seu parceiro — “participam” do compartilhamento dos resultados da avaliação de segurança da informação.

Cadastre-se para se tornar um participante TISAX
Figura 2. Cadastre-se para se tornar um participante TISAX
img callout black 01

Sua empresa

img callout black 02

Cadastro no processo de avaliação TISAX

img callout black 03

Participante do processo de avaliação TISAX

Para diferenciar as duas funções desde o início, nos referimos a você, fornecedor, como “participante ativo”. E, nos referimos ao seu parceiro como “participante passivo”. Como “participante ativo”, você é avaliado pelo TISAX e compartilha o resultado da sua avaliação com outros participantes. O “participante passivo” é aquele que solicitou que você fosse avaliado pelo TISAX. O “participante passivo” recebe o resultado da sua avaliação.

Participante passivo e participante ativo
Figura 3. Participante passivo e participante ativo
img callout black 01

1 Solicita avaliação de

img callout black 02

Participante passivo

img callout black 03

Participante ativo

img callout black 04

2 É avaliado pelo TISAX

img callout black 05

3 Compartilha resultado com

A empresa pode atuar nas duas funções. Você pode compartilhar o resultado de uma avaliação com seu parceiro e, ao mesmo tempo, solicitar que seus próprios fornecedores sejam avaliados pelo TISAX.

Os participantes TISAX podem ser ativos e passivos ao mesmo tempo
Figura 4. Os participantes TISAX podem ser ativos e passivos ao mesmo tempo
img callout black 01

Seu cliente
= passivo

img callout black 02

Você compartilha com o cliente

img callout black 03

Participante ativo

img callout black 04

Você

img callout black 05

Participante passivo

img callout black 06

Compartilha com você

img callout black 07

Seu próprio fornecedor
= ativo

Solicitar que seus próprios fornecedores sejam avaliados pelo TISAX pode até ser especialmente aconselhável se seus próprios fornecedores também estiverem lidando com as informações de seus parceiros com necessidades de proteção.

4.3. Preparação do cadastro

Nessa seção, damos recomendações sobre como se preparar para o cadastro. Descrevemos o processo de cadastro em detalhes na Seção 4.5, “Processo de cadastro on-line”.

Antes de começar a realizar nosso processo de cadastro on-line, recomendamos de forma enfática:

  • reunir as informações com antecedência

  • e tomar algumas decisões.

4.3.1. A base jurídica

Normalmente, você precisa assinar dois contratos. O primeiro contrato que você assina é entre você e a ENX Association: Os “Termos e Condições Gerais de Participação TISAX” (TCGs do Participante TISAX). O segundo contrato é entre você e um dos nossos provedores de auditoria TISAX. No cadastro, vamos analisar apenas o primeiro contrato.

Os TCGs do Participante TISAX regem o nosso relacionamento mútuo e o seu relacionamento com outros participantes TISAX. Eles definem os direitos e deveres de todos nós. Além das cláusulas usuais que você vai encontrar na maioria dos contratos, eles definem em detalhes o tratamento das informações compartilhadas e obtidas durante o processo TISAX. O objetivo principal dessas regras é manter a confidencialidade dos resultados da avaliação TISAX. Como todos os participantes do TISAX estão sujeitos às mesmas regras, você pode esperar a proteção adequada do resultado da sua avaliação TISAX por parte do seu parceiro (na sua função de participante passivo).

Bem no início do processo de cadastro on-line, vamos solicitar que você aceite os TCGs do Participante TISAX. Por se tratar de um contrato real, recomendamos a leitura dos TCGs do Participante TISAX antes de iniciar o processo de cadastro on-line. Um dos motivos é que, dependendo da sua função na empresa, pode ser necessário obter autorização de um advogado interno ou externo.

Você pode baixar os “Termos e Condições Gerais de Participação TISAX”.[4] em nosso site em:
Icon of the flag of the United Kingdom enx.com/en-US/TISAX/downloads/

Download direto do PDF:
Icon of the flag of the United Kingdom enx.com/tisaxgtcen.pdf

Durante o processo de cadastro on-line, vamos solicitar que você marque duas caixas de seleção obrigatórias:

  • ❏ We accept the TISAX Participation General Terms and Conditions ({img-ptflag-alt} Aceitamos os Termos e Condições Gerais de Participação TISAX)

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ({img-ptflag-alt} Confirmamos o conhecimento da liberação do Requerente dos deveres profissionais de sigilo dos Provedores de auditoria de acordo com a Seção IX.5. e X.3 dos Termos e Condições Gerais de Participação TISAX;)

Temos a segunda caixa de seleção porque alguns de nossos provedores de auditoria TISAX são contadores públicos credenciados. Eles têm requisitos específicos em relação ao sigilo profissional. Normalmente, os requisitos específicos em relação ao sigilo profissional proíbem os contadores públicos credenciados dentre os nossos provedores de serviços de auditoria de compartilharem informações conosco. Particularmente, isso comprometeria as opções de controle que precisamos para nossa função de governança. Portanto, precisamos dessa liberação. É aconselhável que você se concentre especialmente nessas cláusulas antes de marcar a caixa.

Se normalmente você precisa de um acordo de não divulgação (NDA) entre você e qualquer pessoa que lide com informações confidenciais, examine as respectivas seções de nossos TCGs. Eles devem abordar todas as suas preocupações. Além disso, normalmente você não precisa nos fornecer nenhuma informação confidencial.

Para concluir a seção jurídica, pedimos a sua compreensão de que o sistema depende de todos aceitarem as mesmas regras. Portanto, não podemos aceitar quaisquer termos e condições gerais adicionais.[5].

4.3.2. O escopo da avaliação TISAX

Na segunda etapa do processo TISAX, um dos nossos provedores de auditoria TISAX vai realizar a avaliação de segurança da informação. Ele precisa saber por onde começar e onde parar. É por isso que você precisa definir um “escopo da avaliação”.

O “escopo da avaliação” descreve o escopo da avaliação da segurança da informação. Em termos simples, todas as partes da sua empresa que lidam com as informações confidenciais do seu parceiro fazem parte do escopo da avaliação. Você pode considerá-lo um elemento importante da descrição da tarefa do provedor de auditoria. Ele determina o que o provedor de auditoria precisa avaliar.

O escopo da avaliação é importante por dois motivos:

  1. O resultado de uma avaliação só vai atender aos requisitos do seu parceiro se o respectivo escopo da avaliação abranger todas as partes da sua empresa que lidam com as informações do parceiro.

  2. Um escopo da avaliação definido com precisão é um pré-requisito essencial para cálculos de custos significativos por parte de nossos provedores de auditoria TISAX.

Important

Observação importante:

ISO/IEC 27001 vs. TISAX

Primeiro, precisamos diferenciar dois tipos de escopos:
1) o escopo do seu sistema de gerenciamento de segurança da informação (SGSI) e
2) o escopo da avaliação.
Os dois não são necessariamente idênticos.

Para a certificação ISO/IEC 27001, você define o escopo do seu SGSI (na “declaração do escopo”). Você é totalmente livre para definir o escopo do seu SGSI. No entanto, o escopo da avaliação (também conhecido como “escopo da auditoria”) deve ser idêntico ao escopo do seu SGSI.

Para o TISAX, você também deve definir seu SGSI. Mas o escopo da avaliação pode ser diferente.

Para a certificação ISO/IEC 27001, você pode configurar livremente o escopo da avaliação através da forma como define o escopo do seu SGSI.

Em contrapartida, para o TISAX, o escopo da avaliação é predefinido. O escopo da avaliação pode ser menor que o escopo do seu SGSI. Mas deve estar dentro do escopo do seu SGSI.

4.3.2.1. Descrição do escopo

A descrição do escopo define o escopo da avaliação. Na descrição do escopo, você deve escolher um dos dois tipos de escopo:

  1. Standard scope ({img-ptflag-alt} Escopo padrão)

  2. Custom scope ({img-ptflag-alt} Escopo personalizado)

    1. Custom extended scope ({img-ptflag-alt} Escopo ampliado personalizado)

    2. Full custom scope ({img-ptflag-alt} Escopo personalizado completo)

Vamos discutir o escopo padrão na próxima seção. O escopo padrão é a opção certa para mais de 99% de todos os participantes. Portanto, vamos discutir apenas os escopos personalizados na Seção 7.8, “Anexo: Escopos personalizados”.

4.3.2.2. Escopo padrão

A descrição do escopo padrão é a base para uma avaliação TISAX. Outros participantes TISAX aceitam apenas resultados de avaliação baseados na descrição do escopo padrão.

A descrição do escopo padrão é predefinida e não é possível alterá-la.

Um benefício importante de um escopo padrão é que você não precisa criar sua própria definição.

Essa é a descrição do escopo padrão (versão 2.0):

Icon of the flag of the United Kingdom

{img-ptflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
O escopo da avaliação TISAX define o escopo da avaliação. A avaliação inclui todos os processos, procedimentos e recursos sob a responsabilidade da organização avaliada que são relevantes para a segurança dos objetos de proteção e seus objetivos de proteção, conforme definido nos objetivos da avaliação listados nas localizações listadas.
A avaliação é realizada pelo menos no nível de avaliação mais elevado listado em qualquer um dos objetivos da avaliação listados. Todos os critérios da avaliação listados nos objetivos da avaliação listados estão sujeitos à avaliação.

Recomendamos de forma enfática a escolha do escopo padrão. Todos os participantes TISAX aceitam os resultados da avaliação de segurança da informação com base no escopo padrão.

4.3.2.3. Definição do escopo

Sua próxima tarefa após a definição do tipo de escopo é decidir quais localizações pertencem ao escopo da avaliação.

Se a sua empresa for pequena (uma localização), a tarefa é fácil. Basta adicionar sua localização ao escopo da avaliação.

Se a sua empresa for grande, considere cadastrar mais de um escopo da avaliação.

Ter um único escopo contendo todas as suas localizações tem vantagens:

  • Você tem um relatório de avaliação, um resultado da avaliação, uma data de validade.

  • Você pode se beneficiar de custos reduzidos para a avaliação porque um provedor de auditoria TISAX só precisa avaliar seus processos, procedimentos e recursos centrais uma vez.

Mas um único escopo pode ter desvantagens como:

  • Todas as localizações devem ter os mesmos objetivos da avaliação.

  • O resultado da avaliação só estará disponível depois que o provedor de auditoria TISAX tiver avaliado todas as localizações. Esse fato pode ser relevante se você precisar urgentemente de um resultado da avaliação.

  • O resultado da avaliação depende de todas as localizações que passarem na avaliação. Se houver erro em apenas uma localização, você não terá um resultado da avaliação positivo. Uma solução alternativa para isso é: a) remover a localização do escopo, b) resolver os problemas, c) adicionar a localização posteriormente com uma avaliação da ampliação do escopo.

4.3.2.4. Adaptação do escopo

A dúvida sobre se deve haver apenas um escopo ou vários escopos é algo que somente você pode decidir. Mas responder às perguntas do diagrama a seguir pode ajudar na decisão.

Árvore de decisão de adaptação do escopo
Figura 5. Árvore de decisão de adaptação do escopo
img callout black 01

INÍCIO
Todas as localizações que vão precisar de uma avaliação no futuro

img callout black 02

Etapa 1: você precisa de uma avaliação para mais de uma localização?

img callout black 03

Etapa 2: você tem tempo suficiente para se preparar para a avaliação em todas as localizações?

img callout black 04

Etapa 3: todas as localizações compartilham um SGSI central (ou seja, responsabilidades, infraestrutura, políticas e processos)?

img callout black 05

Etapa 4: todas as localizações compartilham o mesmo objetivo da avaliação (ou seja, proteção de protótipos de veículos ou informações com necessidades de proteção muito elevadas)?

img callout black 06

Final: cadastrar o escopo da avaliação
O escopo da avaliação cadastrada deve abranger as localizações restantes.

img callout black 07

Separe as localizações umas das outras.
Comece novamente com cada conjunto de localizações.

img callout black 08

Não

img callout black 09

Sim

Observação

Observe:

Não deixe essa decisão intimidar você. Você pode alterar qualquer escopo, desde que o provedor de auditoria não tenha concluído a avaliação.

Por exemplo, durante a preparação da sua avaliação você pode descobrir que o escopo não se enquadra em — e alterá-lo conforme necessário. Ou o seu provedor de auditoria pode recomendar a alteração do escopo durante as etapas iniciais da avaliação.

Observações adicionais:

  • Tecnicamente, você não pode alterar o escopo da avaliação definido durante o processo de cadastro on-line no portal ENX. Mas o provedor de auditoria pode atualizar o escopo da sua avaliação ao carregar o resultado da sua avaliação no portal ENX.

  • Adicionar itens ao escopo aumenta a taxa e você não receberá reembolso se remover localizações do escopo. Como os provedores de auditoria usam o escopo original como base para o cálculo de custos, você também deve esperar alterações.

4.3.2.5. Localizações do escopo

Agora que você decidiu quais localizações fazem parte do escopo da sua avaliação, é possível continuar coletando algumas informações específicas da localização.

Para cada localização solicitamos informações como nome e endereço da empresa. Solicitamos também algumas informações adicionais que permitam aos nossos provedores de auditoria TISAX ter uma ideia melhor da estrutura da sua empresa. Suas respostas serão usadas como base para as estimativas de esforço deles.

Prepare-se para fornecer os seguintes dados para cada uma das suas localizações (o asterisco vermelho * indica informações obrigatórias no processo on-line):

Tabela 1. Dados específicos da localização
Campo Opções

Nome da localização *

N/A

NÚMERO D-U-N-S da D&B

N/A

Tipo da localização *

Edifício(s) pertencente(s) e utilizado(s) exclusivamente pela empresa
Edifício(s) alugado(s) pela empresa
Andar/escritório alugado pela empresa em edifício compartilhado
Escritório compartilhado com outras empresas
Centro de dados próprio
Centro de dados compartilhado

Proteção passiva do local *

Sim
Não

Indústria
(Possibilidade de várias seleções)

Tecnologia da Informação

  • ❏ Serviços de TI

  • ❏ Serviços de telecomunicações

  • ❏ Desenvolvimento de software

Gerenciamento

  • ❏ Consultoria

Mídia

  • ❏ Marketing

  • ❏ Agência

  • ❏ Serviços de impressão

  • ❏ Fotografia

  • ❏ Serviços de tradução

Pesquisa e Desenvolvimento

  • ❏ Testes de veículos

  • ❏ Simulação de veículos

  • ❏ Criação de protótipo

  • ❏ Modelos de carros em miniatura

  • ❏ Serviços de desenvolvimento

  • ❏ Serviços de desenvolvimento CAx

Produção

  • ❏ Serviços de produção

  • ❏ Fabricação por contrato

  • ❏ Chão de fábrica

  • ❏ Logística

Vendas e pós-venda

  • ❏ Importação, NSC

  • ❏ Concessionária

  • ❏ Serviços financeiros

  • ❏ Seguros

  • ❏ Liquidação de sinistros

Outra indústria
(digite)

Funcionários na localização: Geral *

0
1–10
11–100
101–1.000
1.001–5.000
Mais de 5.000

Funcionários na localização: TI *

0
1–10
11–25
26–50
Mais de 50

Funcionários na localização: Segurança de TI *

0
Meio período
1–5
6–25
Mais de 25

Funcionários na localização: Segurança da localização *

0
Meio período
1–3
4–10
Mais de 10

Certificações para essa localização

ISO 27001
Outra (digite)
ISAE 3402
SOC2

Observação

Observe:

Em relação ao “Setor”: Selecione de acordo com seu melhor conhecimento. Não há resposta certa ou errada ao selecionar uma das opções acima. Se não encontrar uma opção que corresponda ao seu tipo de negócio, basta inserir a opção adequada em “Outro”.

Para cada localização você deve especificar um “location name” ({img-ptflag-alt}“nome da localização”). A finalidade do nome da localização é facilitar a referência à mesma ao atribuí-lo a um escopo da avaliação.

Recomendamos a atribuição dos nomes das localizações com base no seguinte padrão:

Padrão:

[Referência geográfica]

Exemplo:

para a empresa fictícia “ACME”

  • Frankfurt
    (para uma localização na cidade alemã Frankfurt)

4.3.2.6. Nome do escopo

Para cada escopo você deve especificar um “scope name” ({img-ptflag-alt}“nome do escopo”). A finalidade principal do nome do escopo é facilitar a identificação de um escopo na lista de visão geral de escopos no portal ENX. Você deve atribuir um nome que seja útil para o leitor e seus colegas. Para a comunicação externa, você deve usar o ID do escopo.

Você pode especificar qualquer nome que desejar. Mas não deve atribuir o mesmo nome de escopo para mais de um escopo.

Mais tarde, quando você quiser renovar sua avaliação TISAX, será necessário criar um novo escopo (possivelmente idêntico ao escopo atual). Portanto, recomendamos adicionar o ano da avaliação ao nome do escopo.

Recomendamos a atribuição dos nomes das escopos com base no seguinte padrão:

Padrão:

[Referência geográfica ou funcional] [Ano da avaliação]

Exemplos:

para a empresa fictícia “ACME”

  • 2024
    (sem referência geográfica se sua empresa tiver apenas uma localização)

  • Frankfurt 2024
    (para um escopo com várias localizações na cidade alemã Frankfurt)

  • Baixa Saxônia 2024
    (para um escopo com todas as localizações no estado alemão Baixa Saxônia)

  • Alemanha 2024
    (para um escopo com todas as localizações no país Alemanha)

  • EMEA 2024
    (para um escopo com todas as localizações na região EMEA (“Europa, Oriente Médio, África”))

  • Desenvolvimento de protótipo 2024
    (referência funcional para um escopo com todas as localizações envolvidas no desenvolvimento de protótipos)

4.3.2.7. Contatos

Para nos comunicarmos com você, coletamos informações sobre os contatos da sua empresa.

Solicitamos pelo menos um contato da sua empresa como participante TISAX em geral e um para cada escopo da avaliação. Você tem a opção de fornecer contatos adicionais.

Durante os preparativos para o cadastro, você deve decidir quem será o contato na sua empresa.

Solicitamos os seguintes dados do contato:

Tabela 2. Dados do contato
Dado do contato Obrigatório? Exemplo

1.

Cumprimentos

Sim

Sra., Sr.

2.

Título acadêmico

Dr., Ph.D., outro

3.

Nome

Sim

John

4.

Sobrenome

Sim

Doe

5.

Cargo

Sim

Chefe do departamento

6.

de TI

Sim

Tecnologia da Informação

7.

Telefone principal

Sim

+49 69 986692777

8.

Telefone secundário

9.

Endereço de e-mail

Sim

john.doe@acme.com

10.

Idioma preferido

Sim

Inglês (padrão)

11.

Outros idiomas

Alemão, francês

12.

Identificador de endereço pessoal

HPC 1234

13.

Endereço

Sim

Bockenheimer Landstraße 97-99

14.

CEP

Sim

60325

15.

Cidade

Sim

Frankfurt

16.

Estado/Província

17.

País

Sim

Alemanha

Important

Observação importante:
 
Recomendamos a atribuição de pelo menos um substituto para cada contato. Se um contato estiver temporariamente indisponível ou sair da empresa, outra pessoa poderá gerenciar os dados dos participantes da sua empresa.
Se precisar fazer a atribuição de um novo contato (na ausência de outros contatos válidos), você precisará passar por um processo complexo. Nosso processo garante que somente pessoas que possam provar que têm o direito de representar legalmente a empresa possam aprovar a atribuição de um novo contato principal.

4.3.2.8. Publicação e compartilhamento

A finalidade principal do TISAX é publicar o resultado da sua avaliação para outros participantes TISAX e compartilhar o resultado da sua avaliação com seu(s) parceiro(s).

Você pode decidir sobre a publicação e compartilhamento do resultado da sua avaliação durante o processo de cadastro ou a qualquer momento posteriormente.

Se você estiver passando pelo processo TISAX como uma etapa preventiva, já poderá decidir publicar o resultado da sua avaliação para a comunidade de participantes TISAX. Caso contrário, não há nada a ser preparado nesta fase.

Se seu parceiro solicitou que você passasse pelo processo TISAX, você vai precisar compartilhar o resultado da sua avaliação mais cedo ou mais tarde. Você já pode compartilhar as informações do status com seu parceiro durante o cadastro. Assim que o resultado da sua avaliação estiver disponível, seu parceiro terá automaticamente permissão para acessá-lo.[6].

Existem duas coisas necessárias para compartilhar as informações do status:

  1. ID de participante TISAX do seu parceiro

    O ID de participante TISAX identifica seu parceiro como participante TISAX.

    Normalmente, seu parceiro deve fornecer a você seu ID de participante TISAX.

    Para sua conveniência, nosso formulário de cadastro fornece uma lista suspensa de IDs de participantes para algumas empresas que frequentemente recebem resultados de avaliações compartilhadas.[7]

  2. O nível de compartilhamento necessário

    O nível de compartilhamento define o grau de acesso do seu parceiro aos resultados da sua avaliação.

    Seu parceiro solicitar um nível de compartilhamento específico ou você decidir até qual nível deseja conceder acesso ao resultado da avaliação ao seu parceiro.

    Para obter mais informações sobre os níveis de compartilhamento, consulte Seção 6.5, “Níveis de compartilhamento”.

Portanto, você pode querer garantir a posse dessas informações.

Observação

Observe:

  • Você sempre pode decidir publicar o resultado da sua avaliação posteriormente.

  • Você pode criar uma permissão de compartilhamento para seu parceiro posteriormente.

Important

Observação importante:

Se você não publicar ou compartilhar o resultado da sua avaliação, ninguém poderá ver o seu resultado.

Important

Observação importante:

Você não pode revogar a publicação ou o compartilhamento.

Observação

Observe:

Pode parecer estranho, mas na verdade você pode compartilhar o “resultado da avaliação” mesmo que ainda não tenha iniciado o processo de avaliação. Nessa fase inicial, você está apenas compartilhando o “status da avaliação”. O participante com quem você compartilha o “resultado da avaliação” verá onde você está no processo de avaliação.

Alguns participantes TISAX precisam emitir uma autorização especial se você precisar mostrar os selos TISAX, mas ainda não concluiu o processo de avaliação. Nesse caso, seu parceiro pode precisar ver seu “status da avaliação” em sua conta no portal ENX.

Para obter mais informações sobre o status da avaliação, consulte Seção 7.6, “Anexo: Assessment status ({img-ptflag-alt} Status da avaliação)”.

Para obter mais informações sobre como publicar e compartilhar o resultado da sua avaliação, consulte Seção 6, “Compartilhamento (Etapa 3)”.

4.3.3. Objetivos da avaliação

Você precisa definir seu(s) objetivo(s) da avaliação durante o processo de cadastro. O objetivo da avaliação (Icon of the flag of the United Kingdom assessment objective) determina os requisitos aplicáveis que seu sistema de gerenciamento de segurança da informação (SGSI) deve cumprir. O objetivo da avaliação é inteiramente baseado no tipo de dados que você trata em nome do seu parceiro.

Nas seções a seguir, descrevemos os objetivos da avaliação e damos conselhos sobre como selecionar o(s) objetivo(s) correto(s) da avaliação.