Concluir o processo de avaliação TISAX e compartilhar o resultado da avaliação com seu parceiro
Publicado por
ENX Association
uma Associação de acordo com a Lei Francesa de 1901,
registrada sob o número w923004198 na Sous-préfecture de Boulogne-Billancourt, França
Endereços
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, França
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Alemanha
Autor
Florian Gleich
Contato
Versão
Data: |
2023-12-07 |
Versão: |
2.7 |
Classificação: |
Public |
ENX doc ID: |
602-PT-BR |
Aviso sobre direitos autorais
Todos os direitos reservados à ENX Association.
ENX, TISAX e seus respectivos logotipos são marcas registradas da ENX Association.
As marcas registradas de terceiros mencionadas são propriedade de seus respectivos proprietários.
1. Visão geral
1.1. Finalidade
Bem-vindo ao TISAX, o Trusted Information Security Assessment Exchange.
Um dos seus parceiros solicitou que você comprovasse que o gerenciamento de segurança das suas informações atende a um nível definido de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA). E agora você deseja saber como atender a esse pedido.
A finalidade desse manual é permitir que você atenda à solicitação do seu parceiro — ou tenha uma vantagem antecipando-a antes que um parceiro a solicite.
Esse manual descreve as etapas que você precisa seguir para passar na avaliação TISAX e para compartilhar o resultado da sua avaliação com seu parceiro.
Estabelecer e manter um sistema de gerenciamento de segurança da informação (SGSI) já é uma tarefa complexa. Provar ao seu parceiro que a gerenciamento de segurança da informação está adequada acrescenta ainda mais complexidade. Esse manual não vai ajudar a gerenciar a segurança da informação. No entanto, o objetivo é facilitar ao máximo o processo de comprovar seus esforços para o parceiro.
1.2. Escopo
Esse manual se aplica a todos os processos TISAX dos quais você possa fazer parte.
Ele contém tudo que você precisa saber para concluir o processo TISAX.
O manual dá alguns conselhos sobre como lidar com os requisitos de segurança da informação no centro da avaliação. Mas não tem como objetivo oferecer uma formação abrangente sobre o que você precisa fazer para ser aprovado na avaliação de segurança da informação.
1.3. Público
O público principal desse manual são as empresas que necessitam ou desejam comprovar um nível definido de gerenciamento de segurança da informação de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA).
Assim que estiver ativamente envolvido nos processos TISAX, você aproveitará as informações fornecidas nesse manual.
As empresas que solicitam aos seus fornecedores que comprovem níveis definidos de gerenciamento de segurança da informação também serão beneficiadas. Esse manual permite entender o que os seus fornecedores são obrigados a fazer para atender ao seu pedido.
1.4. Estrutura
Começamos com uma breve introdução ao TISAX e depois seguimos imediatamente com instruções sobre COMO fazer as coisas. Você vai encontrar tudo o que precisa para concluir o processo — na ordem em que precisa saber.
O tempo estimado de leitura do documento é de 75 a 90 minutos.
1.5. Como usar este documento
Mais cedo ou mais tarde, você provavelmente vai desejar entender a maior parte do que está descrito neste documento. Para estar devidamente preparado, recomendamos a leitura de todo o manual.
Estruturamos o manual de acordo com as três etapas principais do processo TISAX, para que você possa ir para a seção necessária e ler o restante mais tarde.
O manual usa ilustrações para ajudar a melhorar seu entendimento. As cores nas ilustrações geralmente têm um significado adicional. Portanto, recomendamos a leitura do documento na tela do computador ou em cópia impressa colorida.
Agradecemos seu feedback. Se você achar que algo está faltando nesse manual ou não está fácil de entender, não deixe de em nos informar. Nós e todos os futuros leitores desse manual ficaremos agradecidos pelo seu feedback.
Se você já usou uma versão anterior do manual do participante do TISAX, poderá encontrar algumas observações úteis no final do documento Seção 8, “Histórico do documento”.
1.6. Entre em contato conosco
Estamos aqui para orientar você sobre o processo TISAX e para responder a quaisquer perguntas que você possa ter.
Envie-nos um e-mail para: |
|
Ou ligue para: |
Você pode entrar em contato conosco durante o horário comercial normal na Alemanha (UTC+01:00).
Todos falamos 
inglês e 
alemão. Um dos nossos colegas é um falante nativo de 
italiano.
1.7. Observe o Manual do participante TISAX em outros idiomas e formatos
O manual do participante TISAX está disponível nos seguintes idiomas e formatos:
| Idioma | Versão | Formato | Link |
|---|---|---|---|
|
2.7 |
On-line |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Off-line |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
|
2.7 |
On-line |
|
Off-line |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
2.7 |
On-line |
|
Off-line |
|||
|
Important
|
Observação importante: A versão em inglês é a versão principal. |
1.7.1. Sobre a tradução para Português do Brasil
Este Manual do Participante TISAX é uma tradução da versão em inglês.
Todos os documentos relacionados ao TISAX foram elaborados em inglês (por exemplo, todos os contratos e requisitos para provedores de serviços de auditoria do TISAX). Como resultado, seu parceiro ou provedor de auditoria poderá usar alguns dos termos específicos do TISAX em inglês.
Para permitir que você faça um mapeamento, mantivemos o termo TISAX original em inglês na tradução do Manual do Participante TISAX ou o indicamos entre colchetes logo após a tradução.
1.7.2. Sobre o formato on-line
Cada seção tem um ID exclusivo (formato: ID1234).
Um ID se refere a uma seção específica, independentemente do idioma.
Se desejar criar um link para uma seção específica, você poderá:
-
clicar com o botão direito no título da seção e copiar o link, ou
-
clicar no título da seção e copiar o link da barra de endereço do seu navegador.
A maioria das figuras está disponível em tamanho maior do que o exibido aqui por padrão. Clique na figura para abrir a versão maior.
1.7.3. Sobre o formato off-line
O formato off-line mantém a maioria dos recursos do formato on-line. De forma mais destacada, as figuras estão incorporadas no arquivo HTML. Você precisa apenas de um arquivo para usar o formato off-line.
Comparado ao formato on-line, o formato off-line não inclui:
-
as imagens maiores
-
as fontes originais do formato on-line
Os padrões do seu navegador definem as fontes.
1.7.4. Sobre o formato PDF
Se você usar o formato PDF no seu computador, ainda será possível clicar em todas as referências. Mas se você imprimir a versão em PDF, não contará com elementos como números de página e vai precisar pesquisar as referências por conta própria.
2. Introdução
As seções a seguir apresentam o conceito TISAX.
Se você estiver com pressa, poderá pular essa parte e começar imediatamente na Seção 4.3, “Preparação do cadastro”.
2.1. Por que o TISAX?
Ou melhor, por que você está aqui?
Para responder a essa pergunta, vamos começar com algumas considerações sobre como fazer negócios em geral e proteger informações em particular.
Imagine seu parceiro. Ele tem informações confidenciais. Ele deseja compartilhá-las com seu fornecedor — que é você. A cooperação entre você e seu parceiro produz valor. As informações que o seu parceiro compartilha com você são uma parte importante dessa produção de valor. Portanto, ele deseja protegê-las adequadamente. E ele quer ter certeza de que você está tratando as informações dele com o mesmo cuidado.
Mas como ele pode ter certeza de que as informações dele estão em boas mãos? Ele não poderá simplesmente “acreditar” em você. Seu parceiro precisa de alguma prova.
Agora temos duas perguntas. Quem define o que significa o tratamento “seguro” das informações? E a próxima pergunta é: como você prova isso?
2.2. Quem define o que significa "seguro"?
Você e seu parceiro não são os únicos se deparando com essas perguntas pela primeira vez. Quase todos precisam encontrar respostas para elas e a maioria das respostas será semelhante.
Em vez de criar sempre uma solução independente para um problema comum, uma maneira padrão de fazer isso elimina o fardo de criar tudo sempre a partir do zero. Embora definir um padrão seja um esforço enorme, isso é feito somente uma vez e aqueles que o seguem sempre se beneficiam.
Com toda certeza, existem diversas visões sobre o que é o correto a fazer para proteger informações. Mas devido aos benefícios acima mencionados, a maioria das empresas adota padrões. Um padrão é a síntese de todas as melhores práticas comprovadas e consolidadas ao longo do tempo para um determinado desafio.
No seu caso, normas como a ISO/IEC 27001 (sobre sistemas de gerenciamento de segurança da informação, ou SGSI) e a sua implementação estabelecem uma forma de última geração para lidar com informações confidenciais com segurança. Um padrão como esse como este economiza o trabalho de ter de reinventar a roda todas as vezes. Mais importante ainda, os padrões fornecem uma base comum quando duas empresas precisam compartilhar dados confidenciais.
2.3. O jeito automotivo
Por natureza, os padrões independentes do setor são concebidos como soluções aplicáveis a diversas situações, em vez de adaptados às necessidades específicas das empresas automotivas.
Há muito tempo, o setor automotivo formou associações que visavam, — entre outros objetivos, — refinar e definir padrões que atendessem às suas necessidades mais específicas. A “Verband der Automobilindustrie” (VDA) é uma delas. No grupo de trabalho que trata da segurança da informação, vários integrantes do setor automotivo chegaram à conclusão de que têm necessidades semelhantes para adaptar os padrões de gerenciamento de segurança da informação existentes.
Seus esforços conjuntos levaram a um questionário que abrange os requisitos amplamente aceitos de segurança da informação do setor automotivo. Ele é denominado “Avaliação de Segurança da Informação” (ISA).
Com a ISA, temos agora uma resposta à pergunta “Quem define o que significa “seguro”?” Através da VDA, o próprio setor automotivo oferece essa resposta aos seus integrantes.
2.4. Como comprovar a segurança de forma eficiente?
Enquanto algumas empresas utilizam a ISA apenas para finalidades internas, outras a utilizam para avaliar a maturidade da gerenciamento de segurança da informação dos seus fornecedores. Em alguns casos, uma autoavaliação é suficiente para o relacionamento comercial. No entanto, em determinados casos, as empresas realizam uma avaliação completa da gerenciamento de segurança da informação dos seus fornecedores (incluindo auditorias no local).
Junto com o aumento geral da conscientização sobre a necessidade de gerenciamento de segurança da informação e a crescente adoção da ISA como uma ferramenta para avaliações da segurança da informação, mais fornecedores estavam se deparando com pedidos semelhantes de diferentes parceiros.
Esses parceiros ainda aplicavam padrões diferentes e tinham opiniões diversas sobre como interpretá-los. Mas os fornecedores essencialmente tinham que comprovar as mesmas coisas, apenas de maneiras diferentes.
E quanto mais os fornecedores precisavam comprovar o seu nível de gerenciamento de segurança da informação para os seus parceiros, mais aumentavam as suas reclamações em termos de esforços repetidos. Mostrar a auditor após auditor as mesmas medidas de gerenciamento de segurança da informação simplesmente não é eficiente.
O que pode ser feito para tornar isso mais eficiente? Não seria útil se o relatório de um auditor pudesse ser reutilizado por diversos parceiros?
OEMs e fornecedores do grupo de trabalho da ENX responsável pela manutenção da ISA ouviram as reclamações de seus fornecedores. Agora eles apresentam uma resposta aos seus fornecedores, bem como a todas as outras empresas do setor automotivo, para a pergunta “Como provar a segurança?”
A resposta é TISAX, abreviação de “Trusted Information Security Assessment Exchange” (
“Trusted Information Security Assessment Exchange” (Compartilhamento confiável de avaliação da segurança da informação)).
3. O processo TISAX
3.1. Visão geral
O processo TISAX geralmente[1] começa com um de seus parceiros solicitando que você comprove um nível definido de gerenciamento de segurança da informação de acordo com os requisitos da “Avaliação de Segurança da Informação” (ISA). Para atender a essa solicitação, você deve concluir o processo TISAX de 3 etapas. Esta seção oferece uma visão geral das etapas que você precisa seguir.
O processo TISAX de 3 etapas consiste nas seguintes etapas:
|
Etapa 1 |
|
Etapa 2 |
|
Etapa 3 |
-
Cadastro
Reunimos informações sobre a sua empresa e sobre o que deve fazer parte da avaliação. -
Avaliação
Você passa pela(s) avaliação(ões), que são realizadas por um dos nossos provedores de auditoria TISAX. -
Compartilhamento
Você compartilha o resultado da sua avaliação com o seu parceiro.
Cada etapa consiste em subetapas. Elas são apresentadas nas três seções abaixo e descritas em detalhes em suas respectivas seções mais adiante.
|
Observação
|
Observe: Embora certamente gostaríamos de dizer quanto tempo levará para receber o resultado da sua avaliação TISAX, pedimos sua compreensão, pois não é possível prever isso de forma confiável. A duração geral do processo TISAX depende de muitos fatores. A grande variedade de tamanhos de empresas e objetivos da avaliação, além do respectivo nível de preparação de um sistema de gerenciamento de segurança da informação, impossibilitam essa previsão. |
3.2. Cadastro
Sua primeira etapa é o cadastro TISAX.
A principal finalidade do cadastro TISAX é coletar informações sobre sua empresa. Usamos um processo de cadastro on-line para ajudar você a nos fornecer essas informações.
É o pré-requisito para todas as etapas subsequentes. Ele está sujeito a uma taxa.
Durante o processo de cadastro on-line:
-
Solicitamos dados de contato e informações de faturamento.
-
Você deve aceitar nossos termos e condições.
-
Você pode definir o escopo da sua avaliação de segurança da informação.
Para iniciar diretamente com essa etapa, consulte a Seção 4, “Cadastro (Etapa 1)”.
O processo de cadastro on-line é descrito detalhadamente na Seção 4.5, “Processo de cadastro on-line”. Mas se você desejar começar imediatamente, acesse enx.com/en-US/TISAX/.
3.3. Avaliação
A segunda etapa é passar pela avaliação de segurança da informação.
Existem quatro subetapas:
-
Preparação da avaliação
É necessário se preparar para a avaliação. A abrangência disso está condicionada ao nível atual de maturidade do seu sistema de gerenciamento de segurança da informação. A sua preparação deve ser baseada na lista da ISA. -
Seleção do provedor de auditoria
Você deve escolher um de nossos provedores de auditoria TISAX. -
Avaliação(ões) de segurança da informação
Seu provedor de auditoria vai realizar a avaliação com base em um escopo da avaliação que corresponda aos requisitos do seu parceiro. O processo de avaliação vai consistir, no mínimo, na auditoria inicial.
Se a sua empresa não for aprovada imediatamente, o processo de avaliação poderá exigir etapas adicionais. -
Resultado da avaliação
Depois da aprovação da sua empresa na avaliação, seu provedor de auditoria fornecerá a você o relatório oficial de avaliação TISAX. O resultado da sua avaliação também receberá selos TISAX[2].
Para obter mais informações sobre essa etapa, consulte a Seção 5, “Avaliação (Etapa 2)”.
3.4. Compartilhamento
A terceira e última etapa é compartilhar o resultado da avaliação com seu parceiro. O conteúdo do relatório de avaliação da TISAX está estruturado em níveis. Você pode decidir até qual nível seu parceiro terá acesso.
O resultado da sua avaliação é válido por três anos. Supondo que você ainda seja um fornecedor do seu parceiro, você precisará passar pelo processo de três etapas novamente[3].
Para obter mais informações sobre essa etapa, consulte a Seção 6, “Compartilhamento (Etapa 3)”.
Agora que você entende fundamentalmente o que é o processo TISAX, você encontrará instruções sobre como concluir cada etapa nas seções seguintes.
4. Cadastro (Etapa 1)
O tempo estimado de leitura da seção de cadastro é de 30 a 40 minutos.
4.1. Visão geral
O cadastro TISAX é a sua primeira etapa. É o pré-requisito para todas as etapas subsequentes.
As seções a seguir vão orientar você durante o cadastro:
-
Começamos explicando um novo termo essencial.
-
A seguir damos conselhos sobre o que você deve fazer para estar preparado para o processo de cadastro on-line.
-
A seguir, damos orientações sobre o processo de cadastro on-line.
4.2. Você é um participante TISAX
Vamos primeiro apresentar um novo termo que é necessário entender. Até agora, você tem sido o “fornecedor”. Você está aqui para atender a um requisito do seu “cliente”. Entretanto, o TISAX não diferencia realmente essas duas funções. Para o TISAX, todos os cadastrados são “participantes”. Você — e seu parceiro — “participam” do compartilhamento dos resultados da avaliação de segurança da informação.
|
|
Sua empresa |
|
|
Cadastro no processo de avaliação TISAX |
|
|
Participante do processo de avaliação TISAX |
Para diferenciar as duas funções desde o início, nos referimos a você, fornecedor, como “participante ativo”. E, nos referimos ao seu parceiro como “participante passivo”. Como “participante ativo”, você é avaliado pelo TISAX e compartilha o resultado da sua avaliação com outros participantes. O “participante passivo” é aquele que solicitou que você fosse avaliado pelo TISAX. O “participante passivo” recebe o resultado da sua avaliação.
|
|
1 Solicita avaliação de |
|
|
Participante passivo |
|
|
Participante ativo |
|
2 É avaliado pelo TISAX |
|
3 Compartilha resultado com |
A empresa pode atuar nas duas funções. Você pode compartilhar o resultado de uma avaliação com seu parceiro e, ao mesmo tempo, solicitar que seus próprios fornecedores sejam avaliados pelo TISAX.
|
|
Seu cliente |
|
|
Você compartilha com o cliente |
|
|
Participante ativo |
|
|
Você |
|
|
Participante passivo |
|
Compartilha com você |
|
Seu próprio fornecedor |
Solicitar que seus próprios fornecedores sejam avaliados pelo TISAX pode até ser especialmente aconselhável se seus próprios fornecedores também estiverem lidando com as informações de seus parceiros com necessidades de proteção.
4.3. Preparação do cadastro
Nessa seção, damos recomendações sobre como se preparar para o cadastro. Descrevemos o processo de cadastro em detalhes na Seção 4.5, “Processo de cadastro on-line”.
Antes de começar a realizar nosso processo de cadastro on-line, recomendamos de forma enfática:
-
reunir as informações com antecedência
-
e tomar algumas decisões.
4.3.1. A base jurídica
Normalmente, você precisa assinar dois contratos. O primeiro contrato que você assina é entre você e a ENX Association: Os “Termos e Condições Gerais de Participação TISAX” (TCGs do Participante TISAX). O segundo contrato é entre você e um dos nossos provedores de auditoria TISAX. No cadastro, vamos analisar apenas o primeiro contrato.
Os TCGs do Participante TISAX regem o nosso relacionamento mútuo e o seu relacionamento com outros participantes TISAX. Eles definem os direitos e deveres de todos nós. Além das cláusulas usuais que você vai encontrar na maioria dos contratos, eles definem em detalhes o tratamento das informações compartilhadas e obtidas durante o processo TISAX. O objetivo principal dessas regras é manter a confidencialidade dos resultados da avaliação TISAX. Como todos os participantes do TISAX estão sujeitos às mesmas regras, você pode esperar a proteção adequada do resultado da sua avaliação TISAX por parte do seu parceiro (na sua função de participante passivo).
Bem no início do processo de cadastro on-line, vamos solicitar que você aceite os TCGs do Participante TISAX. Por se tratar de um contrato real, recomendamos a leitura dos TCGs do Participante TISAX antes de iniciar o processo de cadastro on-line. Um dos motivos é que, dependendo da sua função na empresa, pode ser necessário obter autorização de um advogado interno ou externo.
Você pode baixar os “Termos e Condições Gerais de Participação TISAX”.[4] em nosso site em:
enx.com/en-US/TISAX/downloads/
Download direto do PDF:
enx.com/tisaxgtcen.pdf
Durante o processo de cadastro on-line, vamos solicitar que você marque duas caixas de seleção obrigatórias:
-
❏ We accept the TISAX Participation General Terms and Conditions (
Aceitamos os Termos e Condições Gerais de Participação TISAX) -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; (
Confirmamos o conhecimento da liberação do Requerente dos deveres profissionais de sigilo dos Provedores de auditoria de acordo com a Seção IX.5. e X.3 dos Termos e Condições Gerais de Participação TISAX;)
Temos a segunda caixa de seleção porque alguns de nossos provedores de auditoria TISAX são contadores públicos credenciados. Eles têm requisitos específicos em relação ao sigilo profissional. Normalmente, os requisitos específicos em relação ao sigilo profissional proíbem os contadores públicos credenciados dentre os nossos provedores de serviços de auditoria de compartilharem informações conosco. Particularmente, isso comprometeria as opções de controle que precisamos para nossa função de governança. Portanto, precisamos dessa liberação. É aconselhável que você se concentre especialmente nessas cláusulas antes de marcar a caixa.
Se normalmente você precisa de um acordo de não divulgação (NDA) entre você e qualquer pessoa que lide com informações confidenciais, examine as respectivas seções de nossos TCGs. Eles devem abordar todas as suas preocupações. Além disso, normalmente você não precisa nos fornecer nenhuma informação confidencial.
Para concluir a seção jurídica, pedimos a sua compreensão de que o sistema depende de todos aceitarem as mesmas regras. Portanto, não podemos aceitar quaisquer termos e condições gerais adicionais.[5].
4.3.2. O escopo da avaliação TISAX
Na segunda etapa do processo TISAX, um dos nossos provedores de auditoria TISAX vai realizar a avaliação de segurança da informação. Ele precisa saber por onde começar e onde parar. É por isso que você precisa definir um “escopo da avaliação”.
O “escopo da avaliação” descreve o escopo da avaliação da segurança da informação. Em termos simples, todas as partes da sua empresa que lidam com as informações confidenciais do seu parceiro fazem parte do escopo da avaliação. Você pode considerá-lo um elemento importante da descrição da tarefa do provedor de auditoria. Ele determina o que o provedor de auditoria precisa avaliar.
O escopo da avaliação é importante por dois motivos:
-
O resultado de uma avaliação só vai atender aos requisitos do seu parceiro se o respectivo escopo da avaliação abranger todas as partes da sua empresa que lidam com as informações do parceiro.
-
Um escopo da avaliação definido com precisão é um pré-requisito essencial para cálculos de custos significativos por parte de nossos provedores de auditoria TISAX.
|
Important
|
Observação importante: ISO/IEC 27001 vs. TISAX Primeiro, precisamos diferenciar dois tipos de escopos: Para a certificação ISO/IEC 27001, você define o escopo do seu SGSI (na “declaração do escopo”). Você é totalmente livre para definir o escopo do seu SGSI. No entanto, o escopo da avaliação (também conhecido como “escopo da auditoria”) deve ser idêntico ao escopo do seu SGSI. Para o TISAX, você também deve definir seu SGSI. Mas o escopo da avaliação pode ser diferente. Para a certificação ISO/IEC 27001, você pode configurar livremente o escopo da avaliação através da forma como define o escopo do seu SGSI. Em contrapartida, para o TISAX, o escopo da avaliação é predefinido. O escopo da avaliação pode ser menor que o escopo do seu SGSI. Mas deve estar dentro do escopo do seu SGSI. |
4.3.2.1. Descrição do escopo
A descrição do escopo define o escopo da avaliação. Na descrição do escopo, você deve escolher um dos dois tipos de escopo:
-
Standard scope (
Escopo padrão) -
Custom scope (
Escopo personalizado)-
Custom extended scope (
Escopo ampliado personalizado) -
Full custom scope (
Escopo personalizado completo)
-
Vamos discutir o escopo padrão na próxima seção. O escopo padrão é a opção certa para mais de 99% de todos os participantes. Portanto, vamos discutir apenas os escopos personalizados na Seção 7.8, “Anexo: Escopos personalizados”.
4.3.2.2. Escopo padrão
A descrição do escopo padrão é a base para uma avaliação TISAX. Outros participantes TISAX aceitam apenas resultados de avaliação baseados na descrição do escopo padrão.
A descrição do escopo padrão é predefinida e não é possível alterá-la.
Um benefício importante de um escopo padrão é que você não precisa criar sua própria definição.
Essa é a descrição do escopo padrão (versão 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
O escopo da avaliação TISAX define o escopo da avaliação. A avaliação inclui todos os processos, procedimentos e recursos sob a responsabilidade da organização avaliada que são relevantes para a segurança dos objetos de proteção e seus objetivos de proteção, conforme definido nos objetivos da avaliação listados nas localizações listadas. A avaliação é realizada pelo menos no nível de avaliação mais elevado listado em qualquer um dos objetivos da avaliação listados. Todos os critérios da avaliação listados nos objetivos da avaliação listados estão sujeitos à avaliação. |
Recomendamos de forma enfática a escolha do escopo padrão. Todos os participantes TISAX aceitam os resultados da avaliação de segurança da informação com base no escopo padrão.
4.3.2.3. Definição do escopo
Sua próxima tarefa após a definição do tipo de escopo é decidir quais localizações pertencem ao escopo da avaliação.
Se a sua empresa for pequena (uma localização), a tarefa é fácil. Basta adicionar sua localização ao escopo da avaliação.
Se a sua empresa for grande, considere cadastrar mais de um escopo da avaliação.
Ter um único escopo contendo todas as suas localizações tem vantagens:
-
Você tem um relatório de avaliação, um resultado da avaliação, uma data de validade.
-
Você pode se beneficiar de custos reduzidos para a avaliação porque um provedor de auditoria TISAX só precisa avaliar seus processos, procedimentos e recursos centrais uma vez.
Mas um único escopo pode ter desvantagens como:
-
Todas as localizações devem ter os mesmos objetivos da avaliação.
-
O resultado da avaliação só estará disponível depois que o provedor de auditoria TISAX tiver avaliado todas as localizações. Esse fato pode ser relevante se você precisar urgentemente de um resultado da avaliação.
-
O resultado da avaliação depende de todas as localizações que passarem na avaliação. Se houver erro em apenas uma localização, você não terá um resultado da avaliação positivo. Uma solução alternativa para isso é: a) remover a localização do escopo, b) resolver os problemas, c) adicionar a localização posteriormente com uma avaliação da ampliação do escopo.
4.3.2.4. Adaptação do escopo
A dúvida sobre se deve haver apenas um escopo ou vários escopos é algo que somente você pode decidir. Mas responder às perguntas do diagrama a seguir pode ajudar na decisão.
|
|
INÍCIO |
|
|
Etapa 1: você precisa de uma avaliação para mais de uma localização? |
|
|
Etapa 2: você tem tempo suficiente para se preparar para a avaliação em todas as localizações? |
|
|
Etapa 3: todas as localizações compartilham um SGSI central (ou seja, responsabilidades, infraestrutura, políticas e processos)? |
|
|
Etapa 4: todas as localizações compartilham o mesmo objetivo da avaliação (ou seja, proteção de protótipos de veículos ou informações com necessidades de proteção muito elevadas)? |
|
|
Final: cadastrar o escopo da avaliação |
|
|
Separe as localizações umas das outras. |
|
Não |
|
Sim |
|
Observação
|
Observe: Não deixe essa decisão intimidar você. Você pode alterar qualquer escopo, desde que o provedor de auditoria não tenha concluído a avaliação. Por exemplo, durante a preparação da sua avaliação você pode descobrir que o escopo não se enquadra em — e alterá-lo conforme necessário. Ou o seu provedor de auditoria pode recomendar a alteração do escopo durante as etapas iniciais da avaliação. Observações adicionais:
|
4.3.2.5. Localizações do escopo
Agora que você decidiu quais localizações fazem parte do escopo da sua avaliação, é possível continuar coletando algumas informações específicas da localização.
Para cada localização solicitamos informações como nome e endereço da empresa. Solicitamos também algumas informações adicionais que permitam aos nossos provedores de auditoria TISAX ter uma ideia melhor da estrutura da sua empresa. Suas respostas serão usadas como base para as estimativas de esforço deles.
Prepare-se para fornecer os seguintes dados para cada uma das suas localizações (o asterisco vermelho * indica informações obrigatórias no processo on-line):
| Campo | Opções |
|---|---|
Nome da localização * |
N/A |
N/A |
|
Tipo da localização * |
Edifício(s) pertencente(s) e utilizado(s) exclusivamente pela empresa |
Proteção passiva do local * |
Sim |
Indústria |
Tecnologia da Informação
|
Gerenciamento
|
|
Mídia
|
|
Pesquisa e Desenvolvimento
|
|
Produção
|
|
Vendas e pós-venda
|
|
Outra indústria |
|
Funcionários na localização: Geral * |
0 |
Funcionários na localização: TI * |
0 |
Funcionários na localização: Segurança de TI * |
0 |
Funcionários na localização: Segurança da localização * |
0 |
Certificações para essa localização |
ISO 27001 |
|
Observação
|
Observe: Em relação ao “Setor”: Selecione de acordo com seu melhor conhecimento. Não há resposta certa ou errada ao selecionar uma das opções acima. Se não encontrar uma opção que corresponda ao seu tipo de negócio, basta inserir a opção adequada em “Outro”. |
Para cada localização você deve especificar um “location name” (“nome da localização”). A finalidade do nome da localização é facilitar a referência à mesma ao atribuí-lo a um escopo da avaliação.
Recomendamos a atribuição dos nomes das localizações com base no seguinte padrão:
Padrão: |
[Referência geográfica] |
Exemplo: |
para a empresa fictícia “ACME”
|
4.3.2.6. Nome do escopo
Para cada escopo você deve especificar um “scope name” (“nome do escopo”). A finalidade principal do nome do escopo é facilitar a identificação de um escopo na lista de visão geral de escopos no portal ENX. Você deve atribuir um nome que seja útil para o leitor e seus colegas. Para a comunicação externa, você deve usar o ID do escopo.
Você pode especificar qualquer nome que desejar. Mas não deve atribuir o mesmo nome de escopo para mais de um escopo.
Mais tarde, quando você quiser renovar sua avaliação TISAX, será necessário criar um novo escopo (possivelmente idêntico ao escopo atual). Portanto, recomendamos adicionar o ano da avaliação ao nome do escopo.
Recomendamos a atribuição dos nomes das escopos com base no seguinte padrão:
Padrão: |
[Referência geográfica ou funcional] [Ano da avaliação] |
Exemplos: |
para a empresa fictícia “ACME”
|
4.3.2.7. Contatos
Para nos comunicarmos com você, coletamos informações sobre os contatos da sua empresa.
Solicitamos pelo menos um contato da sua empresa como participante TISAX em geral e um para cada escopo da avaliação. Você tem a opção de fornecer contatos adicionais.
Durante os preparativos para o cadastro, você deve decidir quem será o contato na sua empresa.
Solicitamos os seguintes dados do contato:
| Dado do contato | Obrigatório? | Exemplo | |
|---|---|---|---|
1. |
Cumprimentos |
Sim |
Sra., Sr. |
2. |
Título acadêmico |
Dr., Ph.D., outro |
|
3. |
Nome |
Sim |
John |
4. |
Sobrenome |
Sim |
Doe |
5. |
Cargo |
Sim |
Chefe do departamento |
6. |
de TI |
Sim |
Tecnologia da Informação |
7. |
Telefone principal |
Sim |
+49 69 986692777 |
8. |
Telefone secundário |
||
9. |
Endereço de e-mail |
Sim |
john.doe@acme.com |
10. |
Idioma preferido |
Sim |
Inglês (padrão) |
11. |
Outros idiomas |
Alemão, francês |
|
12. |
Identificador de endereço pessoal |
HPC 1234 |
|
13. |
Endereço |
Sim |
Bockenheimer Landstraße 97-99 |
14. |
CEP |
Sim |
60325 |
15. |
Cidade |
Sim |
Frankfurt |
16. |
Estado/Província |
||
17. |
País |
Sim |
Alemanha |
|
Important
|
Observação importante: |
4.3.2.8. Publicação e compartilhamento
A finalidade principal do TISAX é publicar o resultado da sua avaliação para outros participantes TISAX e compartilhar o resultado da sua avaliação com seu(s) parceiro(s).
Você pode decidir sobre a publicação e compartilhamento do resultado da sua avaliação durante o processo de cadastro ou a qualquer momento posteriormente.
Se você estiver passando pelo processo TISAX como uma etapa preventiva, já poderá decidir publicar o resultado da sua avaliação para a comunidade de participantes TISAX. Caso contrário, não há nada a ser preparado nesta fase.
Se seu parceiro solicitou que você passasse pelo processo TISAX, você vai precisar compartilhar o resultado da sua avaliação mais cedo ou mais tarde. Você já pode compartilhar as informações do status com seu parceiro durante o cadastro. Assim que o resultado da sua avaliação estiver disponível, seu parceiro terá automaticamente permissão para acessá-lo.[6].
Existem duas coisas necessárias para compartilhar as informações do status:
-
ID de participante TISAX do seu parceiro
O ID de participante TISAX identifica seu parceiro como participante TISAX.
Normalmente, seu parceiro deve fornecer a você seu ID de participante TISAX.
Para sua conveniência, nosso formulário de cadastro fornece uma lista suspensa de IDs de participantes para algumas empresas que frequentemente recebem resultados de avaliações compartilhadas.[7]
-
O nível de compartilhamento necessário
O nível de compartilhamento define o grau de acesso do seu parceiro aos resultados da sua avaliação.
Seu parceiro solicitar um nível de compartilhamento específico ou você decidir até qual nível deseja conceder acesso ao resultado da avaliação ao seu parceiro.
Para obter mais informações sobre os níveis de compartilhamento, consulte Seção 6.5, “Níveis de compartilhamento”.
Portanto, você pode querer garantir a posse dessas informações.
|
Observação
|
Observe:
|
|
Important
|
Observação importante: Se você não publicar ou compartilhar o resultado da sua avaliação, ninguém poderá ver o seu resultado. |
|
Important
|
Observação importante: Você não pode revogar a publicação ou o compartilhamento. Para obter detalhes, consulte Seção 6.4, “Permanência dos resultados compartilhados”. |
|
Observação
|
Observe: Pode parecer estranho, mas na verdade você pode compartilhar o “resultado da avaliação” mesmo que ainda não tenha iniciado o processo de avaliação. Nessa fase inicial, você está apenas compartilhando o “status da avaliação”. O participante com quem você compartilha o “resultado da avaliação” verá onde você está no processo de avaliação. Alguns participantes TISAX precisam emitir uma autorização especial se você precisar mostrar os selos TISAX, mas ainda não concluiu o processo de avaliação. Nesse caso, seu parceiro pode precisar ver seu “status da avaliação” em sua conta no portal ENX. Para obter mais informações sobre o status da avaliação, consulte Seção 7.6, “Anexo: Assessment status ( |
Para obter mais informações sobre como publicar e compartilhar o resultado da sua avaliação, consulte Seção 6, “Compartilhamento (Etapa 3)”.
4.3.3. Objetivos da avaliação
Você precisa definir seu(s) objetivo(s) da avaliação durante o processo de cadastro. O objetivo da avaliação ( assessment objective) determina os requisitos aplicáveis que seu sistema de gerenciamento de segurança da informação (SGSI) deve cumprir. O objetivo da avaliação é inteiramente baseado no tipo de dados que você trata em nome do seu parceiro.
Nas seções a seguir, descrevemos os objetivos da avaliação e damos conselhos sobre como selecionar o(s) objetivo(s) correto(s) da avaliação.
O uso dos objetivos da avaliação facilita a comunicação relacionada ao TISAX com seu parceiro e nossos provedores de auditoria TISAX, porque eles se referem a uma entrada definida para o processo de avaliação TISAX.
|
Observação
|
Observe: Alguns parceiros podem solicitar que sua avaliação pelo TISAX seja com um determinado “nível de avaliação” (AL) em vez de especificar um objetivo da avaliação. Para obter mais informações sobre os níveis de avaliação, consulte a Seção 4.3.3.5, “Necessidades de proteção e os níveis de avaliação” (subseção “Additional information” (Informações adicionais)). |
4.3.3.1. Lista dos objetivos da avaliação
Atualmente existem doze objetivos da avaliação TISAX. Você deve selecionar pelo menos um objetivo da avaliação. Você pode selecionar mais de um.
Considere o seu objetivo da avaliação como referência para o seu sistema de gerenciamento de segurança da informação. O objetivo da avaliação é uma entrada essencial para o processo TISAX. Todos os provedores de auditoria TISAX baseiam a sua estratégia de avaliação principalmente no objetivo da avaliação.
Os objetivos atuais da avaliação TISAX são:
| N.º | Nome | Descrição |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
Exemplo: se você estiver realizando test drives em vias públicas, então o objetivo da avaliação “Test vehicles” é um dos seus objetivos da avaliação.
|
Observação
|
Observe: É possível selecionar os objetivos da avaliação “Info high” e “Info very high” somente até 31 de março de 2024. É possível selecionar os objetivos da avaliação “Confidential” e “Strictly confidential” a partir de 1º de abril de 2024. Para obter mais informações sobre essa transição, consulte o seguinte artigo de notícias em nosso site: |
|
Important
|
Observação importante: No TISAX, o “objetivo da avaliação” é geralmente a entrada do processo. No entanto, alguns parceiros podem solicitar que sua avaliação pelo TISAX seja com um determinado “nível de avaliação” (AL). Para obter mais informações sobre a relação entre as necessidades de proteção e os níveis de avaliação, consulte a Seção 4.3.3.5, “Necessidades de proteção e os níveis de avaliação”. |
4.3.3.2. Objetivos da avaliação e a ISA
A ISA contém três listas de critérios (segurança da informação, proteção de protótipos, proteção de dados). Cada lista de critérios é composta pelas denominadas “perguntas de controle” e requisitos associados.
Cada objetivo da avaliação define:
-
a(s) lista(s) de critérios da ISA aplicáveis
-
as perguntas de controle que você deve responder
-
os requisitos que você deve cumprir
Para alguns objetivos da avaliação, apenas um subconjunto de perguntas e requisitos de controle é aplicável.
Para obter mais informações básicas sobre os objetivos da avaliação TISAX e as perguntas e requisitos de controle aplicáveis, consulte a Seção 5.2.2, “Entenda o documento da ISA”.
4.3.3.3. Objetivos da avaliação e selos TISAX
Seu parceiro pode falar sobre “selos TISAX”. Os “objetivos da avaliação” e os “selos TISAX” são quase idênticos. A diferença é que você inicia o processo de avaliação com os “objetivos da avaliação” e se for aprovado na avaliação recebe os “selos TISAX” correspondentes.
Exemplo: seu parceiro exige que você obtenha o selo TISAX “Info high”. Em seguida, você seleciona o “Info high” como o seu objetivo da avaliação.
A figura abaixo mostra a entrada e a saída do processo TISAX:
|
|
Solicita |
|
|
Parceiro |
|
|
Recebe |
|
|
ENTRADA |
|
|
Objetivo |
|
|
Processo TISAX |
|
|
SAÍDA |
|
|
Selo |
Para obter mais informações sobre os selos TISAX, consulte Seção 5.4.14, “Selos TISAX”.
4.3.3.4. Seleção do objetivo da avaliação
Teoricamente, o seu parceiro dirá precisamente quais objetivos da avaliação você deve alcançar.
Você deve selecionar o objetivo da avaliação com base no seu próprio discernimento se:
-
você desejar ser avaliado pelo TISAX antes da solicitação de um parceiro, ou
-
seu parceiro não especificar qual objetivo da avaliação que você deve alcançar.
|
Important
|
Observação importante: Nesse item, recomendamos de forma enfática considerar seus outros parceiros. Já existem parceiros com requisitos iguais ou superiores? Você espera que futuros parceiros tenham requisitos mais elevados? Você pode optar por selecionar objetivos da avaliação que tenham necessidades de proteção mais elevadas. Isso evita problemas quando outros parceiros têm requisitos mais elevados. |
Se precisar selecionar o objetivo da avaliação com base no seu próprio discernimento, pode ser útil considerar os seguintes aspectos:
| N.º | Objetivo da avaliação | Informações |
|---|---|---|
1. |
Info high |
É possível determinar as necessidades de proteção (elevadas, muito elevadas) com base na classificação de documentos do seu parceiro. |
2. |
Info very high |
|
3. |
Confidential |
Para todas as empresas que recebem e processam informações com alta necessidade de proteção no contexto da confidencialidade ou que são tipicamente classificadas como confidenciais de acordo com o esquema de classificação da própria empresa (por exemplo, o artigo técnico da VDA “Harmonization of classification levels” (Harmonização dos níveis de classificação)). |
4. |
Strictly confidential |
Para todas as empresas que recebem e processam informações com necessidade muito alta de proteção no contexto da confidencialidade ou que são tipicamente classificadas como estritamente confidenciais ou secretas de acordo com o esquema de classificação da própria empresa (por exemplo, o artigo técnico da VDA “Harmonization of classification levels” (Harmonização dos níveis de classificação)). |
5. |
High availability |
Para todas as empresas em que a capacidade dos clientes de produzir ou entregar depende da disponibilidade dos produtos ou serviços das empresas, e onde uma falha causaria danos consideráveis aos clientes em um período curto. |
6. |
Very high availability |
Para todas as empresas em que a capacidade dos clientes de produzir e entregar depende da disponibilidade a curto prazo dos produtos e serviços das empresas, e onde uma falha causaria danos consideravelmente altos aos clientes em um prazo muito curto. |
7. |
Proto parts |
Para todas as empresas que fabricam, armazenam ou utilizam componentes ou peças fornecidos pelo cliente e que foram classificados como necessitando de proteção em suas próprias localizações. |
8. |
Proto vehicles |
Para todas as empresas que fabricam, armazenam ou utilizam veículos fornecidos pelo cliente e que foram classificados como necessitando de proteção em suas próprias localizações. |
9. |
Test vehicles |
Para todas as empresas que realizam testes e test drives (tais como test drives em vias públicas ou pistas de teste) com veículos fornecidos pelo cliente que foram classificados como necessitando de proteção. |
10. |
Proto events |
Para todas as empresas que realizam apresentações ou eventos (por exemplo, pesquisas de mercado, eventos, eventos de marketing) e filmagens e sessões de fotos com veículos, componentes ou peças fornecidos pelo cliente que foram classificados como necessitando de proteção. |
11. |
Data |
Se você lida com dados pessoais como processador de acordo com o Artigo 28 do RGPD, provavelmente precisará selecionar “Data”. |
12. |
Special data |
Se você lida com categorias especiais de dados pessoais (como saúde ou religião) como processador de acordo com o Artigo 28 do RGPD, provavelmente precisará selecionar “Special data”. |
Outras explicações:
-
Se você tiver os requisitos precisos do seu parceiro, normalmente não será necessário discutir os objetivos da avaliação com ele. No entanto, se você não tiver os requisitos precisos do seu parceiro, recomendamos de forma enfática que consulte o seu parceiro antes de iniciar o processo de avaliação.
-
A ISA descreve a diferença de implementação entre necessidades de proteção “elevadas” e “muito elevadas” (se houver) para cada requisito.
Para obter mais informações sobre isso, consulte Figura 11, “Captura de tela: principais elementos das perguntas da lista de critérios da ISA “Segurança da informação””.
4.3.3.5. Necessidades de proteção e os níveis de avaliação
Seu parceiro tem vários tipos de informações, algumas das quais podem merecer um nível de proteção mais elevado do que outras. A ISA aborda isso classificando três “necessidades de proteção” ( “protection needs”normal, elevada e muito elevada). Seu parceiro classifica suas informações e normalmente atribui necessidades de proteção.
Quanto maiores as necessidades de proteção, mais o seu parceiro estará interessado em garantir se é seguro permitir que você processe as informações dele. Portanto, o TISAX diferencia três “níveis de avaliação” (AL). O nível de avaliação define qual método de avaliação o provedor de auditoria deve aplicar. Um nível de avaliação mais alto aumenta o esforço investido na avaliação. Isso resulta em maior cuidado e precisão na avaliação.
A tabela abaixo mostra os níveis da avaliação que se aplicam aos objetivos da avaliação TISAX:
| N.º | Objetivo da avaliação TISAX | Nível de avaliação (AL) |
|---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
Nível de avaliação 1 (AL 1):
As avaliações no nível de avaliação 1 são principalmente para finalidades internas, no verdadeiro sentido de uma autoavaliação ( self-assessment).
Para uma avaliação no nível de avaliação 1, um auditor verifica a existência de uma autoavaliação concluída. Ele não avalia o conteúdo da autoavaliação. Ele não exige mais evidências.
Os resultados das avaliações no nível de avaliação 1 têm um baixo nível de confiança e, portanto, não são utilizados no TISAX. Mas é claro que é possível que o seu parceiro solicite essa autoavaliação fora do TISAX.
Nível de avaliação 2 (AL 2):
Para uma avaliação no nível de avaliação 2, o provedor de auditoria faz uma verificação da plausibilidade na sua autoavaliação (para todas as localizações no escopo da avaliação). Ele apoia isso verificando as evidências.[8] e vai fazer uma entrevista com o responsável pela segurança da informação.
O provedor de auditoria geralmente faz a entrevista através de teleconferência. A seu pedido, ele pode fazer a entrevista pessoalmente.
Se você tiver evidências que não deseja enviar ao provedor de auditoria, poderá solicitar uma inspeção no local. Dessa forma, o provedor de auditoria ainda pode verificar suas evidências “somente para você”.
|
Observação
|
Observe: Existe um método alternativo para realizar uma avaliação no nível de avaliação 2. Em vez da verificação da plausibilidade, o provedor de auditoria realiza uma avaliação remota completa. Esse método é algumas vezes mencionado como “nível de avaliação 2,5”. Em comparação com uma avaliação no nível de avaliação 2, o auditor verifica se o seu SGSI cumpre os requisitos aplicáveis. No entanto, em contraste com uma avaliação no nível de avaliação 3, o auditor não realiza as atividades no local descritas na seção sobre o nível de avaliação 3 abaixo. Formalmente, essa avaliação será efetuada como uma avaliação no AL 2. A vantagem do AL 2,5 é que a abordagem é metodicamente compatível com o AL 3 Portanto, é possível atualizar para uma avaliação completa no AL 3 com um esforço gerenciável posteriormente. Para a atualização, o auditor só precisa realizar as atividades no local descritas na seção sobre o AL 3 abaixo. Recomendamos avaliações no nível de avaliação 2,5 nesses casos:
Para obter mais informações sobre como atualizar o nível de avaliação, consulte Seção 7.10, “Anexo: Avaliação da ampliação do escopo”. Esta alternativa é opcional e não obrigatória para cumprir os requisitos do AL 2. A diferença entre o AL 2 e o AL 2,5 não será visível para parceiros com quem você compartilha o resultado da sua avaliação. |
Nível de avaliação 3 (AL 3):
Para uma avaliação no nível de avaliação 3, o provedor de auditoria faz uma verificação abrangente da conformidade da sua empresa com os requisitos aplicáveis. O auditor utiliza a sua autoavaliação e a documentação enviada para preparar a avaliação. Mas, ao contrário do nível de avaliação 2, o auditor verificará tudo. Ele vai:
-
examinar documentos e evidências
-
realizar entrevistas planejadas com os responsáveis pelos processos.
-
observar as condições locais
-
observar a execução dos processos
-
realizar entrevistas não planejadas com os participantes do processo
|
Observação
|
Observe: O texto a seguir faz referência a vários conceitos que serão explicados somente posteriormente nesse documento. Com AL 3, o provedor de auditoria deve comparecer à(s) sua(s) localização(ões). Se, por algum motivo, isso não for temporariamente possível ou exigir esforços excessivos, seu provedor de auditoria poderá usar o método de avaliação remota com suporte de vídeo para realizar as atividades de avaliação no local. Seu provedor de auditoria deve registrar isso no relatório de avaliação TISAX como uma não conformidade menor. Assim que seu provedor de auditoria puder chegar à(s) sua(s) localização(ões), ele deverá realizar uma avaliação de acompanhamento que inclua todas as atividades no local anteriormente impossíveis. Além disso, você deve agendar a avaliação de acompanhamento mesmo que ainda não tenha concluído as outras ações corretivas. Em comparação com aguardar pela disponibilidade do seu provedor de auditoria para atividades no local, essa abordagem permite que você já compartilhe os selos TISAX temporários com seu parceiro. |
Níveis de avaliação e métodos de avaliação
A tabela a seguir fornece uma visão geral simplificada dos métodos de auditoria associados a cada nível de avaliação:
| Método de avaliação | Nível 1 de avaliação (AL 1) |
Nível 2 de avaliação (AL 2) |
Nível 3 de avaliação (AL 3) |
|---|---|---|---|
Autoavaliação |
Sim |
Sim |
Sim |
Evidências |
Não |
Verificação da plausibilidade |
Verificação completa |
Entrevistas |
Não |
Via teleconferência[9] |
Pessoalmente, no local |
Inspeção no local |
Não |
A seu pedido |
Sim |
Informações adicionais:
-
Diferença entre o AL 2 e o AL 3
Em termos de metodologia, as duas abordagens diferem significativamente. Nas avaliações no nível de avaliação 2, o auditor não verificará tudo. Ele vai verificar apenas a plausibilidade. Portanto, o provedor de auditoria não pode usar os resultados de uma avaliação no nível de avaliação 2 como base para uma atualização para o nível de avaliação 3. Os esforços para uma atualização para o nível de avaliação 3 são essencialmente os mesmos que para uma nova avaliação inicial. -
Verificação da plausibilidade vs. verificação
De forma simplificada, uma verificação da plausibilidade consiste em verificar se algo existe e parece estar correto. Em contraste, uma verificação significa realmente verificar se algo é o que afirma ser. -
Classificação de informações e necessidades de proteção
O mapeamento da classificação da informação (como confidencial ou secreta) para as necessidades de proteção pode ser diferente para vários parceiros. Portanto, por mais que desejássemos, não podemos fornecer uma tabela simples na qual a classificação das informações do seu parceiro corresponda exatamente a uma necessidade de proteção. -
Apenas conhecer um nível de avaliação não é suficiente
Alguns parceiros podem solicitar que sua avaliação pelo TISAX seja com um determinado nível de avaliação. Entenda que apenas conhecer o nível de avaliação não é suficiente para iniciar o processo TISAX. Um nível de avaliação só faz sentido em combinação com uma lista de critérios da ISA e uma necessidade de proteção correspondente. Normalmente, os parceiros solicitam que você obtenha um selo TISAX (lista de critérios mais necessidade de proteção). No entanto, como as necessidades de proteção são mapeadas individualmente para os níveis de avaliação, é suficiente conhecer a(s) lista(s) de critérios e o nível de avaliação. -
Hierarquia do nível de avaliação
Níveis de avaliação mais elevados incluem sempre níveis de avaliação mais baixos. Por exemplo, se a sua avaliação for baseada no nível de avaliação 3, ela atenderá automaticamente a todas as solicitações de avaliação de nível 2. -
Nossa recomendação em relação aos níveis de avaliação
Se tiver de selecionar um objetivo da avaliação (e, portanto, implicitamente, um nível de avaliação correspondente) com base no seu próprio discernimento, recomendamos selecionar os objetivos da avaliação que impliquem um nível de avaliação 3. Os esforços para as avaliações TISAX no nível de avaliação 3 não são geralmente superiores aos do nível de avaliação 2.
Os fornecedores com vários parceiros selecionam frequentemente os objetivos da avaliação que impliquem um nível de avaliação 3. Dessa forma, ficam preparados para todas as solicitações futuras e não precisam se preocupar com diferentes níveis de avaliação. -
Outras considerações comerciais
Em relação aos níveis de avaliação, o custo total de uma avaliação TISAX consiste na soma dos seus esforços internos e no custo da avaliação. Embora o custo de uma avaliação no nível 2 seja menor, seus esforços internos podem ser maiores. Isso acontece devido ao fato de que uma avaliação no nível de avaliação 2 normalmente necessita de uma autoavaliação mais abrangente e uma documentação interna mais sólida. Nas avaliações no nível de avaliação 3, geralmente é suficiente demonstrar como as atividades são realizadas e apresentar uma documentação básica como evidência para o auditor. Mas sem uma inspeção no local, o auditor solicitará documentação precisa. Portanto, escolher o nível de avaliação 3 em vez do nível de avaliação 2 não é incomum. No entanto, essa é uma opção de empresas menores, não de empresas maiores.
4.3.3.6. Objetivos da avaliação e seus próprios fornecedores
O TISAX não exige necessariamente que você submeta todos os seus fornecedores aos mesmos requisitos. Se o seu objetivo da avaliação for “Segurança da informação com necessidades de proteção muito elevadas”, isso NÃO significa automaticamente que os seus próprios fornecedores precisem alcançar o mesmo objetivo da avaliação. Isso nem significa que eles precisem ter selos TISAX.
Mas você ainda precisa verificar para todos os seus fornecedores se a utilização dos seus serviços aumentar os riscos ou apresentar novos riscos.
Dois exemplos muito simplificados:
-
Você tem uma política de que o e-mail comum não pode ser usado para dados com necessidades de proteção muito elevadas. Portanto, o seu provedor de e-mail não precisa obter o selo TISAX com necessidades de proteção muito elevadas.
Você poderia chegar a uma conclusão semelhante se enviar apenas e-mails criptografados e o provedor de e-mail não conseguir ver nenhum dos dados com necessidades de proteção muito elevadas. -
Você descarta dados impressos com necessidades de proteção muito elevadas na trituradora. Nesse caso, é claro, o provedor de serviços de descarte de resíduos não precisa atender aos mesmos requisitos que você.
No entanto, a avaliação dos riscos pode demonstrar que o seu fornecedor também precisa cumprir os requisitos relativos a necessidades de proteção muito elevadas. Nesse caso, os selos TISAX são uma opção para demonstrar isso a você de forma adequada.
4.3.4. Taxa
Nós aumentamos uma taxa. Nossa lista de preços informa sobre as taxas aplicáveis, possíveis descontos e nossos termos de pagamento.
Você pode baixar a lista de preços em nosso site:
enx.com/en-US/TISAX/downloads/
Download direto do PDF:
enx.com/pricelist.pdf
Existem alguns aspectos relacionados à fatura que você deve considerar durante a preparação do cadastro:
-
Seleção do endereço da fatura
Por padrão, enviaremos a fatura para o endereço que você forneceu como a localização do participante. Mas você tem a opção de fornecer um endereço diferente para recebimento da fatura.ImportantObservação importante:
Certifique-se de que o endereço da fatura está correto. A legislação contábil exige que o endereço em nossa fatura seja igual ao endereço da sua empresa (fatura). Por motivos de conformidade, não podemos alterar o endereço de uma fatura depois de sua emissão.
-
Referência do pedido
Se precisar ver um número de pedido de compra específico ou algo semelhante em nossa fatura, você poderá nos fornecer uma referência do pedido. -
Número de IVA
Todas as nossas taxas estão sujeitas ao imposto sobre o valor agregado (IVA) alemão, se aplicável.
Precisamos desse número para processar pagamentos da UE. É obrigatório fornecer um número de IVA, se o seu endereço de fatura estiver em um dos seguintes países:
Áustria, Bélgica, Bulgária, Croácia, Chipre (parte grega), República Tcheca, Dinamarca, Estônia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos, Polônia, Portugal, Eslováquia, Eslovênia, Espanha, Suécia, Reino Unido -
Gerenciamento de fornecedores
ImportantObservação importante:
Por favor, entenda que devido à mutualidade entre todos os participantes TISAX, não podemos aceitar quaisquer termos adicionais (como termos gerais de compra, códigos de conduta).
Informações adicionais sobre nosso processo de faturamento:
-
Não podemos aceitar termos de compra individuais.
-
Aceitamos:
-
transferências de dinheiro para a conta bancária especificada na fatura
-
pagamentos com cartão de crédito (durante o processo de cadastro através do nosso provedor de serviços de pagamentos “Stripe”)
-
-
Nossa fatura conterá as seguintes referências ao seu cadastro:
-
O nome e endereço de e-mail do seu contato principal do participante
-
Nome do escopo da avaliação
Você pode encontrar um exemplo de fatura no anexo em Seção 7.1, “Anexo: Exemplo de nota fiscal”.
-
-
Fornecemos a maioria dos fatos que você normalmente precisa para processar nossa fatura diretamente nele. Essas e outras ocorrências estão disponíveis no nosso documento “Information for Members and Business Partners” (Informações para Integrantes e Parceiros de negócios). Envie-nos um e-mail e enviaremos para você uma versão atual.
|
Observação
|
Observe: Sabemos que às vezes o processo interno de aprovação de pagamentos de uma empresa é bastante demorado. Portanto, a sua próxima etapa imediata no processo TISAX não depende do recebimento do pagamento. Mas saiba que você não poderá compartilhar o resultado da sua avaliação se não tivermos recebido o seu pagamento. |
|
Important
|
Observação importante: Nós — ENX Association — emitimos uma fatura para a taxa. É apenas uma parte do custo total de uma avaliação TISAX. Seu provedor de auditoria TISAX fatura os custos da(s) avaliação(ões). Para obter mais informações sobre os custos relacionados ao provedor de auditoria, consulte a Seção 5.3.4, “Avaliação de propostas”. |
|
Important
|
Observação importante: A taxa é devida independentemente de você:
Portanto, a fatura pode chegar antes do começo da avaliação inicial. |
4.4. Portal ENX
A próxima seção descreverá o processo de cadastro on-line, onde você insere todos os dados coletados conforme recomendado na seção anterior. Antes de iniciar o processo de cadastro on-line, vamos explicar brevemente a finalidade e os benefícios do portal ENX.
O portal ENX nos permite manter um banco de dados de todos os participantes TISAX e desempenha um papel importante em todo o processo TISAX. Durante o cadastro TISAX você insere os dados que os provedores de auditoria TISAX podem utilizar (se concordar) para calcular as suas propostas e planejar os procedimentos da avaliação. Depois de passar pelo processo de avaliação TISAX, você vai usar a plataforma de compartilhamento no portal ENX para compartilhar o resultado da avaliação com o seu parceiro.
O nome do portal é “Portal ENX” em vez de “portal TISAX”, porque também utilizamos o portal para gerenciar outras atividades comerciais (como a Rede ENX).
4.5. Processo de cadastro on-line
Se você se preparou de acordo com nossos conselhos acima (Seção 4.3, “Preparação do cadastro”), você está pronto para iniciar o processo de cadastro on-line.
4.5.1. Tempo necessário
Quanto tempo levará depende muito do número de escopos e localizações cadastrados. Para o seu primeiro cadastro como participante com um escopo em uma localização, você deverá esperar um tempo mínimo de 20 minutos.
Recomendamos realizar o cadastro em uma única sessão, pois atualmente não é possível acompanhar facilmente algumas etapas posteriormente. Caso ainda precise fazer uma pausa, entraremos em contato para solicitar quaisquer dados ausentes.
4.5.2. Comece aqui
Inicie seu cadastro em nosso site:
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
Basicamente, tudo que você precisa fazer é seguir as instruções na tela. No entanto, vamos descrever abaixo brevemente o processo.
4.5.3. Conta do portal
A primeira etapa é criar uma conta no portal ENX. Você precisa da conta do portal para poder gerenciar os “dados dos participantes” da sua empresa.
|
Observação
|
Observe: Caso o portal ENX afirme que seu endereço de e-mail já está sendo usado, entre em contato conosco. Essa mensagem pode indicar que por algum motivo você já está armazenado em nosso sistema. |
|
Observação
|
Observe: Conforme descrito, as contas no portal não são necessariamente “contatos de participantes” ou “contatos do escopo” (veja abaixo) com uma função ativa no processo de avaliação. Vice-versa, um “contato do participante” ou “contato do escopo” não inclui automaticamente os mesmos direitos para gerenciar os dados do participante que uma conta do portal. Isso significa que colegas indicados como “contato do participante” ou “contato do escopo” não podem acessar automaticamente os dados do participante no portal ENX. Se desejar atribuir o direito de gerenciar os dados do participante a um contato que você já criou no portal ENX (independentemente de você ter atribuído uma função a ele), você precisa convidar o contato. Para obter mais informações, consulte a última observação em Seção 4.5.5, “Contato do participante”. |
4.5.4. Cadastro do participante
A segunda etapa é cadastrar sua empresa como participante TISAX. O “participante TISAX” é a empresa que compartilha os resultados da avaliação com outros participantes.
4.5.5. Contato do participante
Essa é a pessoa geralmente responsável por todos os tópicos da avaliação de segurança da informação da sua empresa. Pode ser você ou outra pessoa da sua empresa.
Normalmente, o contato do participante principal é tudo o que precisamos. Caso prefira que todas as comunicações enviadas por nós e pelos nossos provedores de auditoria TISAX no contexto desse cadastro também sejam enviadas a outras pessoas, adicione os contatos adicionais dos participantes.
|
Important
|
Observação importante: |
|
Observação
|
Observe: Você sempre pode adicionar ou remover contatos posteriormente (mesmo depois de concluir o processo de cadastro on-line e mesmo depois de concluir as avaliações). |
|
Observação
|
Observe: Você não pode usar endereços de e-mail de grupo para contatos de participantes (como “info@acme.com” ou “IT@acme.com”). Isso está de acordo com os requisitos da ISA em relação a logins de usuários. |
|
Observação
|
Observe: Você pode escolher se cada contato deve ter acesso aos dados dos participantes da sua empresa. Há duas opções:
Para criar um novo contato: Sign in (Entrar) > MY TISAX (MEU TISAX) > ADMINISTRATORS (ADMINISTRADORES) > Create new TISAX Administrator (Criar novo Administrador TISAX) Para convidar um contato: Sign in (Entrar) > MY TISAX (MEU TISAX) > ADMINISTRATORS (ADMINISTRADORES) > Vá até o final da linha da tabela do contato e clique no botão com a seta para baixo > Edit TISAX Administrator (Editar Administrador TISAX) > Vá para a seção “ENX PORTAL ACCESS” (ACESSO DO PORTAL ENX) > Defina “INVITE THIS CONTACT" (CONVIDAR ESTE CONTATO) para “Yes” (Sim) > Clique em “Save Contact” (Salvar contato) |
4.5.6. Termos e condições gerais
A terceira etapa é aceitar os “Termos e Condições Gerais de Participação TISAX”.
Você pode desejar consultar as notas explicativas na Seção 4.3.1, “A base jurídica”.
4.5.7. Cadastro do escopo da avaliação
A quarta etapa é cadastrar o escopo da avaliação de segurança da informação.
Solicitamos que você:
-
atribua um nome ao escopo da avaliação.
A finalidade principal do nome do escopo é facilitar a identificação de um escopo na lista de visão geral de escopos no portal ENX.
Você pode desejar consultar as notas explicativas na Seção 4.3.2.6, “Nome do escopo” -
escolha um tipo de escopo da avaliação.
(Padrão, personalizado)
Você pode desejar consultar as notas explicativas na Seção 4.3.2, “O escopo da avaliação TISAX”. -
especifique o contato principal do escopo.
Essa é a pessoa que, em geral, tem a responsabilidade pela avaliação de um escopo específico. Pode ser você ou outra pessoa da sua empresa.
Normalmente, o contato principal do escopo é tudo o que precisamos. Caso prefira que todas as comunicações por nós enviadas no contexto desse escopo específico também seja enviada para outras pessoas, você poderá adicionar contatos adicionais de participantes. -
selecione seu(s) objetivo(s) da avaliação.
Você pode desejar consultar as notas explicativas na Seção 4.3.3, “Objetivos da avaliação”. -
adicione localização(ões) ao escopo da avaliação.
Solicitamos que você especifique todas as localizações que estão incluídas no escopo da avaliação.
Você pode desejar consultar as notas explicativas na Seção 4.3.2, “O escopo da avaliação TISAX”.ObservaçãoObserve:
Depois de criar uma nova localização, você não poderá editá-la. Para pequenas alterações (mudança de nome da empresa, erros de digitação no nome da rua, código postal, cidade, etc.), entre em contato conosco. Faremos a edição para você.
ImportantObservação importante:
Essa observação só é relevante se você estiver renovando seus selos TISAX.
Reutilize os registros da localização existentes que foram criados e usados durante o cadastro do seu escopo anterior. Não crie um novo registro da localização com o mesmo endereço.
O motivo: alguns participantes do TISAX processam automaticamente os resultados da avaliação dos seus parceiros. Eles sincronizam seu próprio sistema com o portal ENX. Até mesmo pequenas diferenças podem bloquear o sucesso da sincronização. Além disso, você não sobrecarrega os dados dos participantes com duplicatas desnecessárias. -
selecione os níveis de publicação e compartilhamento (opcional).
Você já pode decidir publicar o resultado da sua avaliação para outros participantes TISAX e compartilhar o resultado da sua avaliação com seu(s) parceiro(s). Normalmente, você estaria concordando em nos permitir pelo menos mostrar que sua empresa é participante e que você passou com sucesso pelo processo TISAX.
Você pode ignorar essa etapa com segurança durante seu cadastro inicial. Você sempre pode definir o acesso ao resultado da sua avaliação posteriormente.
Você pode desejar consultar as notas explicativas na Seção 4.3.2.8, “Publicação e compartilhamento”.ImportantObservação importante:
Você não pode revogar nenhuma permissão de publicação ou compartilhamento.
Para obter detalhes, consulte Seção 6.4, “Permanência dos resultados compartilhados”. -
especifique quem recebe a fatura.
Solicitamos que você especifique quem receberá nossa(s) fatura(s).
Você pode desejar consultar as notas explicativas na Seção 4.3.4, “Taxa”.
|
Observação
|
Observe: Aqui, você não pode errar muito. Se mais tarde descobrir que deveria ter cadastrado um escopo ligeiramente diferente (você esqueceu uma localização, tem outro objetivo da avaliação, etc.), o provedor de auditoria poderá, no entanto, realizar a avaliação. Exemplo: o auditor determina que o escopo deve conter uma localização adicional que você originalmente não adicionou ao escopo. O auditor prosseguirá e, em seguida, atualizará seu escopo da avaliação no portal ENX ao carregar o resultado da avaliação. |
|
Observação
|
Observe: Cada escopo da avaliação passa por um ciclo de vida. Nessa fase, o status do seu escopo da avaliação pode ser “Incomplete” (Incompleto), “Awaiting your order” (Aguardando seu pedido) ou “Awaiting ENX approval” (Aguardando aprovação da ENX). Para obter mais informações sobre o status de um escopo da avaliação, consulte a Seção 7.5.1, “Visão geral: Assessment scope status ( |
|
Observação
|
Observe: Para grandes corporações com muitas localizações, a TISAX oferece a avaliação de grupo simplificada. Você pode considerar essa opção se: Para uma avaliação de grupo simplificada, o esforço inicial é maior. No entanto, isso compensa quanto mais localizações você tiver. Para obter mais informações sobre a “avaliação de grupo simplificada”, consulte o documento “TISAX Simplified Group Assessment” (Avaliação de grupo simplificada TISAX). Você pode baixar o documento “TISAX Simplified Group Assessment” (Avaliação de grupo simplificada TISAX) em nosso site em: Download direto do PDF: |
|
Observação
|
Observe: Depois que você cadastra o escopo da sua avaliação, você não pode alterá-lo por conta própria. Caso possa nos garantir de maneira confiável que ainda NÃO enviou seu “TISAX scope excerpt” (extrato do escopo TISAX) para os nossos provedores de auditoria, entre em contato conosco. Podemos mudar isso para você. Se você já enviou seu “TISAX scope excerpt” (extrato do escopo TISAX) para (um de) nossos provedores de auditoria, basta criar a(s) nova(s) localização(ões) no portal ENX (se aplicável) e discutir quaisquer alterações com seu provedor de auditoria. Seu provedor de auditoria vai realizar a avaliação com base nas alterações e atualizará as informações do escopo no portal ENX. |
|
Observação
|
Observe: Não é possível excluir um escopo da avaliação no portal ENX. Se você criou um escopo da avaliação por engano, entre em contato conosco. Excluiremos isso para você. |
4.5.8. E-mail de confirmação
Depois de concluir todas as etapas obrigatórias acima, vamos verificar sua inscrição. Em seguida, enviaremos a você um e-mail de confirmação.
Esse e-mail tem dois elementos importantes:
-
Uma lista de contatos de todos os provedores de auditoria TISAX
Você deve escolher um de nossos provedores de auditoria TISAX para realizar uma avaliação do seu escopo da avaliação. Você pode usar os contatos para solicitar propostas.
Para obter mais informações sobre a seleção do provedor de auditoria, consulte Seção 5.3, “Seleção do provedor de auditoria”. -
O “TISAX scope excerpt” (extrato do escopo TISAX) como um arquivo PDF anexo
Ele contém:
-
As informações que armazenamos em nosso banco de dados
-
Seu ID de participante
Consulte Seção 4.5.8.1, “Participant ID ( ID de participante)” abaixo. -
Seu(s) ID(s) do escopo
Consulte Seção 4.5.8.2, “Scope ID ( ID do escopo)” abaixo.
-
Para obter um exemplo do nosso e-mail de confirmação, consulte Seção 7.2, “Anexo: Exemplo de e-mail de confirmação”.
Para obter um exemplo do “TISAX scope excerpt” (extrato do escopo TISAX), consulte Seção 7.3, “Anexo: Exemplo do extrato do escopo TISAX”.
Você receberá nosso e-mail de confirmação normalmente dentro de três dias úteis.
Se você não receber uma resposta nossa dentro de sete dias úteis, verifique se a) você forneceu todas as informações e b) o status do escopo da avaliação é “Awaiting ENX approval” (Aguardando aprovação da ENX). Iniciaremos o processamento do seu cadastro somente quando tudo estiver concluído. Se você achar que tudo está completo, mas ainda não entramos em contato com você, entre em contato conosco.
Enviamos nosso e-mail de confirmação para o contato principal do participante.
|
Observação
|
Observe: Cada escopo da avaliação passa por um ciclo de vida. Nessa fase, o seu escopo da avaliação está com o status “Awaiting ENX approval” (Aguardando aprovação da ENX). Para obter mais informações sobre o status de um escopo da avaliação, consulte a Seção 7.5.5, “Assessment scope status “Awaiting your payment” ( |
As próximas duas subseções fornecem informações detalhadas sobre a finalidade do seu ID de participante e do ID do escopo.
4.5.8.1. Participant ID ( ID de participante)
O ID de participante:
-
identifica um participante TISAX.
-
é exclusivo para cada participante.
-
é atribuído por nós após a conclusão do cadastro.
-
é um pré-requisito para solicitar uma avaliação de segurança da informação por qualquer um de nossos provedores de auditoria TISAX.
-
ele fica assim:
Figura 7. Formato do ID de Participante[12]
|
|
Prefixo do ID de participante “P” |
|
|
String aleatória exclusiva, contendo apenas os caracteres alfanuméricos: |
|
Observação
|
Observe: Existem duas maneiras de encontrar seu ID de participante:
|
4.5.8.2. Scope ID ( ID do escopo)
O ID do escopo:
-
identifica um escopo da avaliação.
-
é exclusivo para cada escopo da avaliação.
-
é atribuído por nós após a conclusão do cadastro.
-
é um pré-requisito para poder solicitar uma avaliação de segurança da informação por qualquer um dos nossos provedores de auditoria TISAX.
-
ele fica assim:
Figura 8. Formato do ID do escopo
|
|
Prefixo do ID do escopo “S” |
|
|
String aleatória exclusiva, contendo apenas os caracteres alfanuméricos: |
|
Observação
|
Observe: Existem duas maneiras de encontrar seu ID do escopo:
|
|
Observação
|
Observe: Cada escopo da avaliação (identificado por seu ID do escopo) passa por um ciclo de vida. Para obter mais informações sobre o status de um escopo da avaliação, consulte a Seção 7.5, “Anexo: Assessment scope status ( |
4.5.9. Informações do status
Nessa fase, existem dois status relevantes que utilizamos para descrever a sua posição no processo TISAX:
-
Status do participante
-
Status do escopo da avaliação
O diagrama a seguir ilustra as condições que devem ser atendidas para atingir um determinado status:
|
|
Suas ações |
|
|
Nossas ações |
|
|
Cadastro |
|
|
Participante: |
|
|
Escopo da avaliação: |
|
|
Não |
|
|
Sim |
|
|
Concluído? |
|
|
Concluído? |
|
Não |
|
Sim |
|
Verificar + Aprovar (e-mail de confirmação) |
|
Nota fiscal |
|
[ ] Pagamento |
|
Paga? |
|
ID de participante |
|
ID do escopo |
|
Status do participante: |
|
Status do escopo da avaliação: |
|
1. Incompleto |
|
2. Aguardando aprovação |
|
3. Provisório |
|
Cadastrado |
|
Vencido |
|
1. Incompleto |
|
2. Aguardando seu pedido |
|
3. Aguardando aprovação da ENX |
|
4. Aguardando seu pagamento |
|
5. Cadastrado |
|
6. Ativo |
|
7. Vencido |
Você pode encontrar as definições de status e o que precisa fazer para avançar para o próximo status no anexo.
Para obter mais informações sobre o:
-
status do participante, consulte a Seção 7.4, “Anexo: Participant status (
Status do participante)”. -
status do escopo da avaliação, consulte a Seção 7.5, “Anexo: Assessment scope status (
Status do escopo da avaliação)”.
4.5.10. Alterações nas suas informações de cadastro
|
Observação
|
Observe: Para todas as respostas sobre o ciclo de vida dos dados, consulte Seção 7.9, “Anexo: Gerenciamento do ciclo de vida dos dados do participante”. Ele contém as instruções para os casos em que você desejar alterar ou atualizar os dados como o nome da sua empresa ou suas informações de contato. |
Parabéns, você concluiu o cadastro como participante TISAX. Você está pronto para continuar com a próxima etapa do processo TISAX.
5. Avaliação (Etapa 2)
O tempo estimado de leitura da seção de avaliação é de 30 a 35 minutos.
5.1. Visão geral
A avaliação TISAX é a segunda etapa. É aqui que você faz a maior parte do trabalho para obter a avaliação TISAX.
As seções a seguir vão orientar você durante a avaliação:
-
Começamos explicando como você pode usar a autoavaliação ISA para descobrir se está preparado para uma avaliação TISAX.
-
Em seguida, aconselhamos você sobre como escolher um de nossos provedores de auditoria TISAX.
-
A seguir, descrevemos seu caminho através do processo de avaliação.
-
No final, explicamos o “resultado do processo”: o resultado da sua avaliação e os selos TISAX.
5.2. Autoavaliação baseada na ISA
Para estar pronto para uma avaliação TISAX, você precisa, em primeiro lugar, ter seu sistema de gerenciamento de segurança da informação (SGSI) em excelente condição. Para descobrir se o seu SGSI corresponde ao nível de maturidade esperado, é necessário realizar uma autoavaliação com base na ISA.
A “Avaliação de Segurança da Informação” (ISA) é uma lista de critérios publicada pela “Associação Alemã do Setor Automotivo” (Verband der Automobilindustrie e.V. - VDA). É o padrão do setor automotivo para avaliações de segurança da informação.
As seções a seguir se concentram nas instruções práticas para realizar uma autoavaliação baseada na ISA.
As explicações, exemplos e capturas de tela nesse manual são baseados na versão 5 da ISA.
|
Observação
|
Observe: Você vai encontrar informações sobre alterações em comparação com versões anteriores da ISA em sua planilha Excel “Change history” (Histórico de alterações). |
|
Observação
|
Observe: Para obter informações sobre qual versão da ISA é aplicável à sua avaliação quando a VDA publicar uma nova versão, consulte Seção 7.11, “Anexo: Gerenciamento do ciclo de vida da ISA”. |
5.2.1. Baixe o documento da ISA
Comece a sua autoavaliação baixando o documento da ISA.
Você pode baixá-lo em nosso site:
enx.com/en-US/TISAX/downloads/
Download direto do arquivo Excel:
portal.enx.com/isa5-en.xlsx
O documento da ISA também está disponível em alemão:
enx.com/de-de/TISAX/downloads/
5.2.2. Entenda o documento da ISA
Antes de iniciar sua autoavaliação, aqui estão algumas explicações que podem ser úteis. Fornecemos isso além das explicações e definições oficiais no documento da ISA, mas com foco no uso para avaliações TISAX.
5.2.2.1. Lista de critérios
A ISA tem atualmente três “listas de critérios”[13]:
|
|
|
|---|---|---|
1. |
Segurança da informação |
Information Security |
2. |
Proteção do protótipo |
Prototype Protection |
3. |
Proteção de dados |
Data Protection |
Cada lista de critérios tem sua própria planilha Excel:
Qual lista de critérios é relevante para você? Isso depende do(s) seu(s) objetivo(s) da avaliação.
Cada objetivo da avaliação define quais requisitos de qual lista de critérios são relevantes. Para alguns objetivos da avaliação, são relevantes apenas os requisitos de uma lista de critérios; para outros, são relevantes os requisitos de mais de uma lista de critérios.
Os objetivos da avaliação acima mencionados são mapeados para essas listas de critérios:
| N.º | Objetivo da avaliação ( Assessment objective) |
Lista(s) de critérios ISA |
|---|---|---|
1. |
Info high |
Information Security ( |
2. |
Info very high |
Information Security ( |
3. |
Confidential |
Information Security ( |
4. |
Strictly confidential |
Information Security ( |
5. |
High availability |
Information Security ( |
6. |
Very high availability |
Information Security ( |
7. |
Proto parts |
Prototype Protection ( |
8. |
Proto vehicles |
Prototype Protection ( |
9. |
Test vehicles |
Prototype Protection ( |
10. |
Proto events |
Prototype Protection ( |
11. |
Data |
Information Security ( |
12. |
Special data |
Information Security ( |
Exemplo: se você selecionou o objetivo da avaliação “Proteção de dados”, então deverá responder às perguntas das listas de critérios “Segurança da informação” E “Proteção de dados”.
Você deve ter observado que existe mais de um objetivo da avaliação de acordo com a lista de critérios. Como saber quais requisitos são aplicáveis a qual objetivo da avaliação?
A tabela a seguir mostra quais requisitos são aplicáveis:
| N.º | Objetivo da avaliação ( Assessment objective) |
Requisitos aplicáveis |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
|
Observação
|
Observe: Cada requisito nas duas colunas “Additional requirements for high protection needs” (Requisitos adicionais para necessidades de proteção elevadas) e “Additional requirements for very high protection needs” (Requisitos adicionais para necessidades de proteção muito elevadas) é marcado com um “C” como em Confidentiality ( Quando a tabela acima restringe os requisitos nessas duas colunas para aqueles marcados com uma das letras acima mencionadas, isso sempre inclui os requisitos que também estão marcados com mais do que essa letra. Exemplo: todos os requisitos marcados com “(C)”, “(C, I, A)” ou “(C, I)” são aplicáveis quando “C” estiver especificado na tabela acima (por exemplo, no objetivo da avaliação “Special data”). |
A captura de tela abaixo mostra os principais elementos das perguntas de controle da lista de critérios de “Segurança da informação”. (As outras listas de critérios têm apenas um subconjunto desses elementos.) Explicamos todos os elementos mais abaixo.
|
|
Nível de maturidade |
|
|
Capítulo |
|
|
Pergunta de controle |
|
|
Requisitos |
|
|
Objetivo |
|
|
Todas as necessidades de proteção |
|
|
Necessidades de proteção elevadas |
|
|
Necessidades de proteção muito elevadas |
5.2.2.2. Capítulos
Cada lista de critérios agrupa as perguntas em capítulos.
Exemplo: “2 Recursos Humanos”
O agrupamento é baseado nas responsabilidades normais de uma empresa. Esses departamentos estão especificados na coluna “Usual person responsible for process implementation” (Responsável habitual pela implementação do processo) (“RH” no exemplo acima).
5.2.2.3. Perguntas de controle
Você encontra as perguntas de cada lista de critérios nas respectivas planilhas Excel.
Exemplo: “4.1.2 Até que ponto o acesso do usuário aos serviços de rede, sistemas de TI e aplicativos de TI está protegido?”
As perguntas de controle também são chamadas de “controles”. Esse é jargão dos auditores. Os padrões ISO nos quais a ISA se baseia usam o termo “controle”.
5.2.2.4. Campos do formulário de autoavaliação
Entre as colunas “Maturity level” ( “Maturity level” (Nível de maturidade)) e “Control question” ( “Control question” (Pergunta de controle)) estão os campos do formulário que você precisa preencher quando estiver realizando uma autoavaliação:
| Campo do formulário | Finalidade | Obrigatório? |
|---|---|---|
Implementation description ( |
Aqui você deve descrever brevemente o que implementou para solucionar essa pergunta de controle em sua empresa. |
Sim |
Reference Documentation ( |
Aqui você deve especificar em quais documento(s) comprova a implementação. |
Sim |
Findings/Result ( |
Aqui você pode anotar quaisquer achados onde você acha que existe uma lacuna entre o que deveria ser e o que é. |
Não |
Apenas a breve descrição da sua implementação e a referência à sua documentação são obrigatórias. Essas informações vão ajudar nossos provedores de auditoria TISAX a entender melhor sua empresa e a preparar a avaliação.
Existem mais colunas opcionais para apoiar sua autoavaliação:
-
Measures/recommendations (
Measures/recommendations (Medidas/recomendações)) (Coluna R) -
Date of assessment (
Date of assessment (Data da avaliação)) (Coluna S) -
Date of completion (
Date of completion (Data da conclusão)) (Coluna T) -
Responsible department (
Responsible department (Departamento responsável)) (Coluna U) -
Contact (
Contact (Contato)) (Coluna V)
|
Important
|
Observação importante: Se você abrir o arquivo Excel baixado e selecionar uma das planilhas da lista de critérios (por exemplo, Segurança da informação), provavelmente não verá imediatamente os campos do formulário de autoavaliação. Para mostrá-los, você precisa clicar no botão de agrupamento para o nível “2”[14]. O botão está acima e à esquerda da célula C1. Isso vai expandir a visualização para mostrar os campos do formulário de autoavaliação. 
Outra dica é usar as teclas de seta para rolar para baixo. Porque devido ao grande tamanho das células, a rolagem com a barra de rolagem pode exigir excelentes habilidades motoras finas. Se você usar o recurso de rolagem do seu dispositivo indicador, você também poderá ignorar acidentalmente algumas das células maiores. |
5.2.2.5. Objetivo
À direita da coluna “Control question” (Pergunta de controle) está a coluna “Objective” (Objetivo) (coluna J). Seu conteúdo descreve o que você precisa alcançar em relação a esse aspecto de gerenciamento de segurança da informação.
Exemplo (para a pergunta de controle 4.1.2): “Apenas usuários identificados de forma segura (autenticados) podem obter acesso aos sistemas de TI. Para essa finalidade, a identidade de um usuário é determinada de forma segura por procedimentos adequados.”
5.2.2.6. Requisitos
Os requisitos são o que é esperado que você cumpra para alcançar o objetivo.
Os requisitos estão distribuídos em quatro colunas:
-
Requirements (must) (
Requirements (must) (Requisitos (obrigatórios) (Coluna K)) -
Requirements (should) (
Requirements (should) (Requisitos (obrigatórios) (Coluna L)) -
Additional requirements for high protection needs (
Additional requirements for high protection needs (Requisitos adicionais para necessidades de proteção elevada)) (Coluna M) -
Additional requirements for very high protection needs (
Additional requirements for very high protection needs (Requisitos adicionais para necessidades de proteção muito elevada)) (Coluna N)
Você deve cumprir todos os requisitos até a necessidade de proteção que precisar alcançar (que pode ser derivada do seu objetivo da avaliação).
Para alguns objetivos da avaliação, apenas um subconjunto de requisitos é aplicável. Para obter mais informações sobre a relevância dos requisitos, consulte a Tabela 8, “Relevância dos requisitos aos objetivos da avaliação” em Seção 5.2.2.1, “Lista de critérios” e especialmente em note no final da seção.
Para obter mais informações sobre as definições da ISA dos níveis de requisitos “must” (obrigatórios) e “should” (obrigatórios), consulte os “Termos-chave” na planilha Excel “Definições”.
|
Important
|
Observação importante: É muito importante que você entenda que deve interpretar cada requisito no contexto e na essência do objetivo. Mesmo o cumprimento minucioso de um requisito não garante que o provedor de auditoria confirme que você o cumpre no contexto e na essência do objetivo (coluna J). Os requisitos e sua redação são baseados em uma implementação teórica por uma empresa média fictícia de tamanho desconhecido. O provedor de auditoria deve sempre pesar o objetivo em relação à implementação exclusiva em sua empresa. O que é apropriado para uma empresa média pode não ser suficiente em sua situação específica. Para obter mais informações, consulte a Seção 5.2.5, “Abordar o resultado da autoavaliação”. |
5.2.2.7. Níveis de maturidade
A ISA usa o conceito de “maturity levels” ( “níveis de maturidade”) para atribuir uma classificação à qualidade de todos os aspectos do seu sistema de gerenciamento de segurança da informação. Quanto mais sofisticado for o seu sistema de gerenciamento de segurança da informação, mais elevado será o seu nível de maturidade.
A ISA diferencia seis níveis de maturidade. Você pode encontrar a definição detalhada na planilha Excel “Maturity levels” ( “Níveis de maturidade”). Para uma visão consolidada dos níveis de maturidade, citamos as descrições informais fornecidas na ISA:
| Maturity level ( Nível de maturidade) |
Em uma palavra | Descrição |
|---|---|---|
0 |
Incomplete ( |
Um processo não está disponível, não é seguido ou não é adequado para alcançar o objetivo. |
1 |
Performed ( |
Um processo não documentado ou documentado de forma incompleta é seguido e existem indicadores de que ele alcança seu objetivo. |
2 |
Managed ( |
É seguido um processo que alcança seus objetivos. A documentação do processo e as evidências de implementação do processo estão disponíveis. |
3 |
Established ( |
É seguido um processo padrão integrado ao sistema geral. As dependências de outros processos são documentadas e são criadas interfaces adequadas. Existem evidências de que o processo foi usado de forma sustentável e ativa por um longo período. |
4 |
Predictable ( |
É seguido um processo estabelecido. A eficácia do processo é monitorada continuamente através da coleta de números-chave. São definidos valores-limite nos quais o processo é considerado insuficientemente eficaz e exige ajuste. (Principais indicadores de desempenho) |
5 |
Optimizing ( |
É seguido um processo previsível com melhoria contínua como objetivo principal. A melhoria é ativamente promovida por recursos dedicados. |
Você precisa avaliar o nível de maturidade do seu sistema de gerenciamento de segurança da informação de acordo com a pergunta. Insira seu nível de maturidade na coluna “Maturity level” ( “Maturity level” (Nível de maturidade)) (coluna E).
|
|
Seu nível de maturidade |
Para obter mais informações sobre os níveis de maturidade desejados e seu impacto no resultado da sua avaliação, consulte a Seção 5.2.4, “Interprete o resultado da autoavaliação”.
Com esse entendimento aprimorado, agora você está pronto para iniciar a autoavaliação.
5.2.3. Faça a autoavaliação
Abra o arquivo do Excel e percorra todas as perguntas de controle de cada lista de critérios que se apliquem ao(s) seu(s) objetivo(s) da avaliação e defina o nível de maturidade que corresponda ao estado atual do seu sistema de gerenciamento de segurança da informação. Faça isso com base em seu melhor discernimento. Não existe certo ou errado nessa fase.
Depois de concluída a autoavaliação, a coluna “Result” (Resultado) (H) da planilha Excel “Resultados (ISA5)” deverá ser totalmente preenchida, seja com números (0–5) ou “n.a.” (como em “não aplicável”).
|
|
Verde |
Se você tiver dúvidas sobre a ISA, entre em contato conosco.
5.2.4. Interprete o resultado da autoavaliação
As próximas cinco subseções explicam como analisar e interpretar o resultado da sua autoavaliação. A análise dirá se você está pronto ou não para uma avaliação TISAX.
5.2.4.1. Análise
A pontuação do seu resultado resume o resultado da autoavaliação.
Você encontra a pontuação do resultado (“Resultado com redução para o nível de maturidade desejado”) na planilha Excel “Resultados (ISA5)” (célula D6). Explicaremos a “redução” em breve.
|
|
Sua pontuação do resultado |
|
|
Pontuação máxima do resultado |
Para entender e posteriormente interpretar o resultado da sua autoavaliação e a pontuação do seu resultado, você precisa diferenciar dois níveis de análise:
-
Na pergunta
Esse nível tem todas as perguntas. Para cada pergunta, existe um nível de maturidade desejado e o seu nível de maturidade. -
Nível da pontuação
Nesse nível, fica o resultado geral que resume os resultados de todas as perguntas. Existe uma pontuação máxima do resultado e sua pontuação do resultado.
A figura abaixo mostra os níveis da análise:
|
|
Análise |
|
|
Na pergunta |
|
|
Nível de maturidade desejado |
|
|
Seu nível de maturidade |
|
|
Nível da pontuação |
|
|
Pontuação máxima do resultado |
|
|
Sua pontuação do resultado |
A figura abaixo mostra onde encontrar os resultados no nível da pontuação e os resultados na pergunta:
|
|
Nível da pontuação |
|
|
Na pergunta |
A próxima figura mostra uma visão simplificada dos níveis da análise, as definições desejadas da ISA e seus próprios resultados:
|
|
Nível de maturidade desejado |
|
|
Seu nível de maturidade |
|
|
Na pergunta |
|
|
P (Pergunta) |
|
|
TML (Nível de maturidade desejado) |
|
|
YML (Seu nível de maturidade) |
|
|
Pontuação máxima do resultado |
|
|
Sua pontuação do resultado |
|
|
Nível da pontuação |
As seções a seguir explicam o resultado e sua análise em detalhes.
5.2.4.2. O nível de maturidade desejado (na pergunta)
A ISA define um “nível de maturidade desejado” de 3 para cada pergunta.
Para obter mais informações sobre a definição de cada nível de maturidade, consulte Seção 5.2.2, “Entenda o documento da ISA”.
A ISA define os níveis de maturidade desejado na planilha Excel “Resultados (ISA5)” (começando na coluna G, linha 22; consulte a figura abaixo).
|
|
Nível de maturidade desejado |
5.2.4.3. Seu resultado (na pergunta)
Para receber selos TISAX, normalmente você precisa ter níveis de maturidade para cada pergunta iguais ou superiores ao nível de maturidade desejado.
Exemplo: se o nível de maturidade desejado para a pergunta X for “3”, o seu nível de maturidade para essa pergunta deverá ser “3” ou superior. Se o seu nível de maturidade para essa pergunta for inferior a “3”, você poderá não receber os selos TISAX.
Isso ocorre em cada pergunta. Se o nível de maturidade desejado para duas perguntas for “3”, você não poderá compensar um nível de maturidade de “2” para uma pergunta com um nível de maturidade de “4” para a outra pergunta.
O documento da ISA transfere automaticamente seus níveis de maturidade da planilha Excel “Segurança da Informação” (coluna E) para a planilha Excel “Resultados (ISA5)” (começando na coluna H, linha 23):
|
|
Seu nível de maturidade desejado |
Seu nível de maturidade está sujeito a um cálculo antes que o documento da ISA o resuma em sua pontuação do resultado. Basicamente, seu nível de maturidade é “reduzido” ao nível de maturidade desejado. Isso é feito para que as perguntas em que seu nível de maturidade esteja acima do nível de maturidade desejado não compensem as perguntas em que seu nível de maturidade esteja abaixo do nível de maturidade desejado.
Veja como a ISA calcula seu resultado na pergunta:
-
Ele pega o seu nível de maturidade e o compara com o nível de maturidade desejado da pergunta.
-
Se o seu nível de maturidade estiver acima do nível de maturidade desejado, ele será “reduzido” para o nível de maturidade desejado.
-
Se o seu nível de maturidade estiver abaixo ou igual ao nível de maturidade desejado, nada acontecerá para essa pergunta.
Exemplo (consulte a figura abaixo): o nível de maturidade desejado é “3”. Seu nível de maturidade é “4”. Seu “resultado de redução” para essa pergunta será “3”.
|
|
Entrada |
|
|
Cálculo |
|
|
Saída |
|
|
(Na pergunta) |
|
|
Nível de maturidade desejado (TML) |
|
|
Seu nível de maturidade (YML) |
|
|
YML > TML? |
|
|
Sim: redução para TML |
|
|
Não: sem redução |
|
|
Nível de maturidade do resultado (RML) |
A figura abaixo mostra que se o seu nível de maturidade for superior ao nível de maturidade desejado, a ISA o reduzirá (as cores verde, laranja e vermelho correspondem às cores usadas na coluna “Resultado”, consulte a Figura 19, “Seus níveis de maturidade na planilha Excel “Resultados (ISA5)””).
|
|
Exemplo: |
|
|
YML |
|
|
TML |
|
|
Redução |
Abaixo está outra maneira de visualizar os níveis de maturidade na pergunta. As cores dos círculos ilustram o nível de maturidade desejado ou a “distância” até ele (exemplo: o círculo é laranja se o nível de maturidade estiver “-1” abaixo do nível de maturidade desejado). As marcas de seleção ilustram seu nível de maturidade.
|
|
Nível de maturidade |
|
|
Pergunta |
|
|
Redução |
|
|
Nível de maturidade desejado (TML) |
|
|
Um ou mais acima do TML |
|
|
Um abaixo do TML |
|
|
Dois ou mais abaixo do TML |
|
|
Seu nível de maturidade (YML) |
|
|
Redução para TML |
|
Observação
|
Observe: É possível passar com sucesso em uma avaliação TISAX mesmo que você não atinja o nível de maturidade desejado em todas as perguntas. A pergunta principal nesses casos é se você corre um risco relevante. Se o seu nível de maturidade estiver abaixo do valor desejado, mas não houver risco, isso pode ser satisfatório. |
5.2.4.4. A meta (no nível da pontuação)
A ISA define um nível de maturidade geral “ideal” — a “pontuação máxima do resultado” (ou “pontuação máxima”, célula G6).
|
|
Pontuação máxima do resultado |
Teoricamente, este nível de maturidade global é a média de todos os níveis de maturidade desejados (na pergunta). Esta seria uma pontuação máxima do resultado de “3,0”.
No entanto, é “3,0” apenas se todas as perguntas forem aplicadas à sua situação. Assim que uma pergunta não for aplicável à sua situação, a média muda e a pontuação máxima do resultado é inferior a “3,0”.
Com base na visualização mostrada acima (Figura 22, “Níveis de maturidade na pergunta”), você pode ver abaixo o que é colocado na média para a pontuação máxima do resultado:
|
|
Nível de maturidade |
|
|
Pergunta |
|
|
Redução |
|
|
Pontuação máxima do resultado |
5.2.4.5. Seu resultado (no nível da pontuação)
Sua pontuação geral do resultado (“Resultado com redução para os níveis de maturidade desejados”, célula D6):
-
resume o nível geral de maturidade do seu sistema de gerenciamento de segurança da informação.
-
é a média de todos os seus níveis de maturidade desejados (na pergunta).
-
pode ser inferior ou igual à pontuação máxima do resultado.
-
deve estar o mais próximo possível da pontuação máxima do resultado. Quanto mais a pontuação do seu resultado estiver abaixo da pontuação máxima do resultado, menor será a probabilidade de você receber os selos TISAX.
|
|
Sua pontuação do resultado |
Novamente, usando uma visualização mostrada acima (Figura 22, “Níveis de maturidade na pergunta”), você pode ver abaixo o que é colocado na média da pontuação do resultado:
|
|
Nível de maturidade |
|
|
Pergunta |
|
|
Redução |
|
|
Sua pontuação do resultado |
A pontuação do resultado informa se você:
-
está pronto para uma avaliação TISAX.
-
pode esperar receber os selos TISAX.
Se a pontuação do seu resultado (“Resultado com redução para os níveis de maturidade desejados”) estiver abaixo de “3,0”, então pelo menos em uma pergunta o seu nível de maturidade não corresponde ao nível de maturidade desejado. Nesse caso, você provavelmente deve melhorar seu sistema de gerenciamento de segurança da informação antes de estar pronto para a sua avaliação TISAX.
|
Observação
|
Observe: Para a pontuação geral, existem limites formais para uma “distância” aceitável entre a pontuação do seu resultado e a pontuação máxima do resultado (“Resultado com redução para os níveis de maturidade desejados”). Se a pontuação do resultado for superior a:
|
|
Important
|
Observação importante: Ter uma pontuação de resultado (“Resultado com redução para os níveis de maturidade desejados”) de “3” não é uma garantia de que você passará na avaliação TISAX sem quaisquer achados proibitivos. Tenha em mente que o provedor de auditoria pode ver alguns aspectos de maneira diferente da sua. |
5.2.4.6. Você está pronto?
O objetivo da análise acima é saber se você está pronto para uma avaliação TISAX.
Você está definitivamente pronto para uma avaliação TISAX se a pontuação do seu resultado (“Resultado com redução para os níveis de maturidade desejados”) for (próximo de) “3,0”. Nesse caso, todos os valores da coluna “Results” (Resultados) (H) são verdes (sem laranja ou vermelho).
Se não estiverem verdes, você precisará abordar o resultado da sua autoavaliação (consulte Seção 5.2.5, “Abordar o resultado da autoavaliação”).
A figura abaixo mostra o gráfico de teia de aranha da ISA na planilha Excel “Resultados (ISA5)”. A linha verde marca o nível de maturidade desejado de acordo com o capítulo. Se seus níveis de maturidade estiverem dentro ou acima dessa linha, você está pronto para uma avaliação TISAX. Se estiverem abaixo dessa linha, isso pode não ser suficiente para receber os selos TISAX.
|
|
Você está pronto para uma avaliação TISAX |
|
|
Níveis de maturidade desejados |
|
|
Os níveis de maturidade podem não ser suficientes para os selos TISAX! |
Se você “desdobrar” a teia de aranha da ISA para a pergunta, você obterá uma visualização semelhante verde/vermelho na pergunta:
|
|
Nível de maturidade |
|
|
Pergunta |
|
|
Sua pontuação do resultado pode não ser suficiente para os selos TISAX |
|
|
Você está pronto para uma avaliação TISAX |
5.2.5. Abordar o resultado da autoavaliação
O resultado da sua autoavaliação pode mostrar que você precisa melhorar seu sistema de gerenciamento de segurança da informação antes de estar pronto para receber os selos TISAX.
Você já deve saber como resolver algumas lacunas entre o seu nível de maturidade e o nível de maturidade desejado. Para outros, você pode precisar de aconselhamento externo. Nesse caso, você pode solicitar serviços de consultoria aos nossos provedores de auditoria TISAX. O TISAX permite a consulta, mas não exige. Observe que qualquer provedor de auditoria que preste consultoria para você não poderá mais realizar as avaliações TISAX para você.
|
Important
|
Observação importante: Não abordar adequadamente o resultado da autoavaliação antes de ser avaliada é um grande obstáculo para muitas empresas. Não subestime o esforço que pode ser necessário para configurar seu sistema de gerenciamento de segurança da informação de acordo com os requisitos. Muitas empresas precisam estabelecer formalmente um grande projeto para se prepararem para uma avaliação TISAX. |
|
Observação
|
Observe: Ao procurar ajuda externa para passar pelo processo TISAX, você descobrirá que várias empresas oferecem serviços de consultoria e treinamento. Nenhuma dessas empresas está associada conosco. Na situação atual, nós:
|
|
Observação
|
Observe: |
5.3. Seleção do provedor de auditoria
Apenas os provedores de auditoria que contratamos podem realizar as avaliações TISAX[15]. Os provedores de auditoria TISAX estão autorizados a realizar avaliações TISAX para você apenas se não tiverem tido nenhuma atribuição anterior de consultoria com você.
Todos os nossos provedores de auditoria TISAX são obrigados a realizar avaliações TISAX apenas para as empresas que são participantes cadastradas no TISAX.
|
Important
|
Observação importante: Depois de cadastrar o escopo da avaliação TISAX, você deve começar a entrar em contato com nossos provedores de auditoria. Eles têm um determinado prazo de entrega quanto à sua disponibilidade. Entrar em contato com eles após terminar suas preparações pode causar um atraso desnecessário. |
|
Observação
|
Observe: Cada escopo da avaliação passa por um ciclo de vida. Nessa fase, o escopo da sua avaliação deve ter o status “Aprovado” ou “Cadastrado” Para obter mais informações sobre o status de um escopo da avaliação, consulte a Seção 7.5.5, “Assessment scope status “Awaiting your payment” ( |
5.3.1. Informações de contato
Depois de registrar um escopo de avaliação TISAX, você pode entrar em contato com todos os provedores de auditoria TISAX e solicitar propostas. Suas informações de contato são fornecidas no e-mail de confirmação de cadastro que você recebeu[16] (Consulte Seção 4.5.8, “E-mail de confirmação”).
|
Observação
|
Observe: Solicite propostas dos nossos provedores de auditoria TISAX somente após a conclusão do seu cadastro. Os provedores de auditoria verificarão se já existe um cadastro. Eles precisam rejeitar solicitações sem cadastro. Esse também é o motivo pelo qual você recebe as informações de contato do provedor de auditoria apenas no e-mail de confirmação de cadastro e não em nosso site público. |
5.3.2. Abrangência
Embora atualmente muitos dos contatos dos provedores de auditoria estejam sediados na Alemanha, é importante entender que todos os nossos provedores de auditoria são geralmente capazes de realizar as avaliações TISAX em todo o mundo. A maioria deles tem até funcionários próprios em muitos países.
Em nosso site, oferecemos uma página onde você pode selecionar seu país e ver qual provedor de auditoria tem equipe de vendas local e/ou auditores locais ( enx.com/en-US/TISAX/xap/).
5.3.3. Solicitação de propostas
Para permitir que os nossos provedores de auditoria TISAX calculem com precisão os esforços da avaliação esperados, você deve sempre incluir o “TISAX scope excerpt” (extrato do escopo TISAX).
Para obter mais informações, consulte a Seção 4.5.8, “E-mail de confirmação”.
|
Observação
|
Observe: A imparcialidade é uma característica fundamental dos nossos provedores de auditoria TISAX. Eles vão garantir que não exista nenhum conflito de interesses. Você pode considerar isso ao entrar em contato com eles. Se sua empresa estiver de alguma forma relacionada a um provedor de auditoria, não é possível esperar ser avaliado por ele. |
5.3.4. Avaliação de propostas
Você pode escolher livremente entre todos os nossos provedores de auditoria TISAX. Todos estão vinculados ao mesmo contrato. Todos realizam as avaliações com base nos mesmos critérios e nos mesmos métodos de auditoria. Em termos do resultado da avaliação, não haverá diferença, independentemente do provedor de auditoria que você escolher. O resultado da sua avaliação será aceito por todos os participantes TISAX.
Além de fatores óbvios como preço, reputação e amabilidade, existem alguns aspectos de uma proposta que você pode procurar:
-
Disponibilidade:
Quando é possível começar o processo de avaliação? Esse pode ser um aspecto importante se a avaliação TISAX for urgente para você. -
Custos relacionados a viagens para consultas presenciais:
Os provedores de auditoria com escritórios no seu país podem ter custos mais baixos relacionados a viagens. -
Idioma:
Você e todos os outros entrevistados em sua empresa poderão se comunicar com o auditor em seu idioma nativo? -
Escopo da proposta:
Quais avaliações estão incluídas?
Para obter mais informações sobre as avaliações, consulte Seção 5.4.3, “Tipos de avaliação TISAX”.
Normalmente, as propostas incluem a avaliação inicial e a avaliação do plano de ação corretiva. Como é difícil prever os esforços das avaliações de acompanhamento, elas costumam ser oferecidas após a conclusão das outras avaliações.
Em última análise, tudo se resumirá à confiança. Você vai precisar formar uma relação de confiança com seu provedor de auditoria, pois ele terá um profundo conhecimento de sua empresa.
|
Observação
|
Observe: |
|
Observação
|
Observe: Embora certamente gostaríamos de dizer quanto nossos provedores de auditoria vão cobrar pela avaliação, pedimos a sua compreensão de que não podemos fornecer essas informações. Os custos dependem de muitos fatores. Além disso, nossos provedores de auditoria são livres em relação aos seus cálculos comerciais. No entanto, podemos mencionar algumas estimativas aproximadas de quantos dias-homem nossos provedores de auditoria vão cobrar de você. Para uma empresa pequena comum com uma única localização, é razoável esperar gastar de três dias e meio a quatro dias-homem em uma avaliação no nível de avaliação 2 e de cinco a seis dias-homem em uma avaliação no nível de avaliação 3. |
|
Observação
|
Observe: Cada avaliação passa por um ciclo de vida. Para obter mais informações sobre o status de uma avaliação, consulte a Seção 7.6, “Anexo: Assessment status ( |
Depois de escolher um dos nossos provedores de auditoria TISAX, você poderá finalmente iniciar o processo de avaliação TISAX.
5.4. Processo de avaliação TISAX
5.4.1. Visão geral
O processo de avaliação TISAX consiste em vários tipos de avaliações. Na maioria dos casos, haverá mais de uma avaliação.
Você deve ver o processo de avaliação como uma sequência entrelaçada de etapas onde:
-
Você prepara seu sistema de gerenciamento de segurança da informação para estar em excelente condição.
-
O provedor de auditoria verifica se o seu sistema de gerenciamento de segurança da informação atende a um conjunto definido de requisitos. Ele pode encontrar lacunas.
-
Em seguida, você preenche as lacunas dentro de períodos definidos.
-
O provedor de auditoria verifica novamente se você preencheu as lacunas.
Essas etapas alternadas são realizadas até que todas as lacunas sejam preenchidas.
É importante entender que você inicia cada subetapa do processo de avaliação. Todo o processo de avaliação está sob seu controle. E é claro que cabe a você interromper e sair do processo de avaliação sempre que desejar.[17]
O processo de avaliação TISAX tem a seguinte macroestrutura:
-
Reunião inicial
Você e o provedor de auditoria planejam os detalhes do processo de avaliação -
Fase 1 de avaliação
O provedor de auditoria verifica sua autoavaliação -
Fase 2 de avaliação
O provedor de auditoria realiza a(s) avaliação(ões)
5.4.2. Reunião inicial
O processo de avaliação TISAX começa com a reunião inicial. É o local para planejar os detalhes do processo de avaliação. Normalmente, a reunião inicial é feita em uma teleconferência. O provedor de auditoria vai orientar você durante a reunião.
Entre outros, os seguintes tópicos estarão na agenda:
-
Quem são os participantes da reunião?
-
Quem é a empresa avaliada?
-
Como funciona o processo de avaliação TISAX?
-
Qual é o escopo da avaliação e ele é o correto?
-
Não há conflitos de interesses?
-
Como é uma boa autoavaliação?
-
Quem é responsável por fazer o quê?
-
Como nos comunicamos?
-
Quando ocorre a avaliação (e outro planejamento de tempo)?
-
Quem precisa participar da(s) avaliação(ões)?
-
Com quem você pode entrar em contato quando tiver reclamações?
O período entre o final da reunião inicial e a entrega da sua autoavaliação é normalmente de um a três meses. Mas mesmo seis meses não é incomum. O período depende do status da sua preparação. O TISAX não impõe nenhum prazo para este período. Você pode levar todo o tempo necessário para preparar sua autoavaliação e ficar pronto para a avaliação.
5.4.3. Tipos de avaliação TISAX
O processo de avaliação TISAX é composto por estes três tipos de avaliações TISAX:
-
Avaliação inicial (
Initial assessment) -
Avaliação do plano de ação corretiva (
Corrective action plan assessment) -
Avaliação de acompanhamento (
Follow-up assessment) [18]
A avaliação inicial sempre será realizada. As outras duas avaliações TISAX podem acontecer e podem se repetir várias vezes. Elas acontecerão:
-
até você preencher todas as lacunas
-
ou você sair do processo de avaliação TISAX
-
ou você atingir o período máximo de nove meses após o término da reunião de encerramento da avaliação inicial (momento em que outra avaliação inicial será necessária).
Todas as avaliações TISAX serão descritas nas próximas seções.
|
Observação
|
Observe: Cada avaliação passa por um ciclo de vida. Para obter mais informações sobre o status de uma avaliação, consulte a Seção 7.6, “Anexo: Assessment status ( |
5.4.4. Elementos da avaliação TISAX
Cada avaliação TISAX é composta pelos seguintes elementos:
-
Reunião formal de abertura[19][20]
-
Seu objetivo é cobrir todos os tópicos da organização.
-
Não precisa ser necessariamente uma reunião física.
-
Os tópicos podem ser abordados de uma só vez ou distribuídos em diversas ocasiões.
-
É um “recipiente lógico” para todos os tópicos da avaliação prévia da organização.
-
-
Procedimento de avaliação
-
Seu provedor de auditoria verifica todos os requisitos.
-
Os métodos de avaliação são selecionados de acordo com o respectivo nível de avaliação.
-
-
Reunião formal de encerramento[21]
-
Ela conclui uma avaliação TISAX.
-
O provedor de auditoria apresenta seus achados.
-
O provedor de auditoria anuncia o resultado da avaliação.
-
Não precisa ser necessariamente uma reunião física.
-
É um “recipiente lógico” para todos os tópicos de pós-avaliação da organização.
-
Após a “reunião de encerramento”, o provedor de auditoria prepara e envia para você a versão preliminar do “relatório de avaliação TISAX” atualizado. Você pode apresentar objeções se acreditar que o provedor de auditoria interpretou algo de forma equivocada.[22] Em seguida, o provedor de auditoria emite o “relatório de avaliação TISAX” final.
Todos esses elementos serão descritos nas próximas seções.
5.4.5. Sobre a conformidade
Antes de continuarmos descrevendo o processo de avaliação TISAX, queremos explicar um conceito importante que é essencial para a sua compreensão das próximas seções.
A finalidade de uma avaliação TISAX é determinar se o seu sistema de gerenciamento de segurança da informação atende a um conjunto definido de requisitos. O provedor de auditoria verifica se o seu sistema de gerenciamento de segurança da informação “está em conformidade” ( “conforms”) com os requisitos.
Etapa 1: as verificações são feitas para cada requisito aplicável de forma individual.
Se a sua abordagem estiver “em conformidade” com todos os requisitos, você passa na avaliação e recebe os selos TISAX que correspondem aos seus objetivos da avaliação.
Tudo o que estiver abaixo da conformidade total ou ideal com os requisitos é chamado de achado ( finding). O TISAX diferencia quatro tipos de achados:
| N.º | Tipo | Definição | Reação | Exemplos |
|---|---|---|---|---|
1. |
Não conformidade importante ( |
Uma não conformidade importante:
|
Você precisa:
|
|
2. |
Não conformidade menor ( |
Uma não conformidade menor:
|
Você precisa:
|
|
3. |
Observação ( |
Uma observação representa uma não conformidade com os requisitos ou suas próprias políticas que não cria um risco imediato para a segurança da informação, mas que pode criar em algum momento no futuro. |
Você precisa:
|
N/A |
4. |
Espaço para melhorias ( |
Uma irregularidade que não pertence aos tipos mencionados anteriormente e que não coloca em risco a segurança de suas informações, mas claramente oferece oportunidade para melhorias evidentes. |
Você pode decidir se ou como abordar esse tipo de achado. |
N/A |
Etapa 2: todos os resultados da etapa anterior “de acordo com o requisito” são misturados no resultado geral da avaliação.
O resultado geral da avaliação pode ser:
-
Em conformidade (
Conform)
O resultado geral da avaliação está “conforme”. Todos os requisitos foram atendidos. -
Não conformidade menor (
Minor non-conform)
O resultado geral da avaliação é “não conformidade menor” se você tiver pelo menos uma “não conformidade menor” para um requisito. -
Não conformidade importante (
Major non-conform)
O resultado geral da avaliação é “não conformidade importante” se você tiver pelo menos uma “não conformidade importante” para um requisito.
(Sem um plano de ação corretiva aprovado, toda não conformidade resulta em um resultado geral de avaliação de “não conformidade importante”.)
Se o resultado geral da sua avaliação for:
-
“não conformidade menor”, você pode receber os selos TISAX temporários até que todas as não conformidades sejam resolvidas.
-
“não conformidade importante”, você deve primeiro resolver o respectivo problema antes de receber qualquer selo TISAX.
Com medidas compensatórias apropriadas e ações corretivas aprovadas pelo provedor de auditoria, é possível alterar o resultado geral da sua avaliação de “não conformidade importante” para “não conformidade menor” e, assim, receber os selos TISAX temporários.
É importante entender que o resultado geral da sua avaliação melhorará durante todo o processo de avaliação TISAX.
Considere esse exemplo simplificado: você pode ter um resultado geral da avaliação de “não conformidade grave” após a avaliação inicial. Depois você ameniza o risco correspondente. Isso altera o resultado geral da sua avaliação de “não conformidade importante” para “não conformidade menor”. E uma vez eliminado o risco, o resultado final da sua avaliação geral será “conforme”.
Tudo isso será explicado a seguir com muito mais detalhes. E você pode descobrir mais sobre os selos TISAX mais abaixo em Seção 5.4.14, “Selos TISAX”.
5.4.6. Sua preparação para o processo de avaliação TISAX
O provedor de auditoria vai preparar a avaliação com base na sua autoavaliação. Portanto, saiba que você deve disponibilizar sua autoavaliação ao seu provedor de auditoria com antecedência. Os prazos exatos de entrega são determinados na reunião inicial.
Um provedor de auditoria bem preparado vai reduzir o tempo necessário para a avaliação. Além da autoavaliação, ele também vai solicitar a documentação relacionada antes da avaliação. Pode ser a documentação referenciada na autoavaliação e outra documentação que o provedor de auditoria considere relevante.
Com base nessas informações, seu provedor de auditoria vai planejar o procedimento de avaliação.
5.4.7. Avaliação inicial
Essa é a primeira avaliação TISAX e marca o início formal do processo de avaliação TISAX.
|
Important
|
Observação importante: A avaliação inicial marca o início de dois períodos importantes:
Os períodos têm início no dia da reunião de encerramento da avaliação inicial. |
|
Observação
|
Observe: Além dos dois períodos descritos acima, não existem outras restrições de tempo. Por exemplo, nem a conclusão do processo de cadastro on-line, nem o contato com os nossos provedores de auditoria ou mesmo a realização da reunião inicial acionam quaisquer prazos. Cabe a você começar com a avaliação inicial. |
5.4.7.1. A primeira reunião formal de abertura
Como todas as avaliações TISAX, a avaliação inicial começa com uma reunião formal de abertura. A reunião formal de abertura normalmente é feita em uma videoconferência ou teleconferência. Nas pequenas empresas, com experiência em auditorias anteriores, isso não demora muito.
A finalidade dessa reunião é:
-
verificar os pré-requisitos da avaliação
-
apresentar o líder do projeto de avaliação e a equipe de avaliação
-
planejar a avaliação
5.4.7.2. Procedimento de avaliação
De acordo com o plano preparado, o provedor de auditoria realiza a avaliação inicial. Como isso se apresentará em detalhes depende dos seus objetivos da avaliação. A avaliação consiste principalmente em teleconferências, entrevistas no local e inspeções no local em vários graus de profundidade[23].
O provedor de auditoria apresenta todos seus achados durante a avaliação inicial.
5.4.7.3. Reunião de encerramento
Na reunião de encerramento, seu provedor de auditoria resume novamente todos os seus achados.
5.4.7.4. Relatório de avaliação TISAX
Após a reunião de encerramento, o provedor de auditoria prepara e envia para você a versão preliminar do “relatório de avaliação TISAX”. Você pode apresentar objeções se acreditar que o provedor de auditoria interpretou algo de forma equivocada.[24] Em seguida, o provedor de auditoria emite o “relatório de avaliação TISAX”.
Nessa fase, o resultado da avaliação geral atual será:
-
Conforme, ou
-
Não conformidade importante
Ter não conformidades (menores) não abordadas sempre resulta em um resultado geral da avaliação de “não conformidade importante”. O resultado geral da sua avaliação só poderá ser “não conformidade menor” depois que você definir as ações que vão implementar as medidas para solucionar as não conformidades.
Para obter mais informações sobre como conseguir isso, consulte Seção 5.4.9.4, “Selos TISAX temporários”.
Se o resultado geral da sua avaliação estiver “conforme” logo na avaliação inicial, você pode ignorar o restante da seção de avaliação e prosseguir para o compartilhamento do seu resultado.
Se o resultado geral da sua avaliação for “não conformidade grave”, a sua próxima tarefa é elaborar um plano sobre como abordar os achados e como preencher quaisquer lacunas encontradas pelo provedor de auditoria. O plano é oficialmente chamado de “plano de ação corretiva” ( “corrective action plan”).
|
Observação
|
Observe: Se, antes do início da avaliação, você souber de uma situação que vai resultar em uma não conformidade e não conseguir corrigi-la antes da avaliação, você já poderá planejar uma ação corretiva (incluindo uma data de implementação) e apresentá-la ao provedor de auditoria durante a avaliação. Isso, teoricamente, poderia levar a um resultado geral da avaliação de “não conformidade menor”. No entanto, essa seria uma situação rara. |
5.4.8. Preparação do plano de ação corretiva
Seu “plano de ação corretiva” ( “corrective action plan”) define como você planeja abordar os achados da avaliação inicial. Seu provedor de auditoria vai avaliar a adequação do seu “plano de ação corretiva” (veja a próxima seção).
Para criar o seu “plano de ação corretiva”, você deve considerar os seguintes requisitos:
-
Achado
-
Você precisa indicar qual achado a ação corretiva aborda.
-
-
Causa raiz
-
Você precisa identificar e declarar a causa raiz do achado.
-
-
Ações corretivas
-
Para cada não conformidade é necessário definir uma ou mais “ações corretivas”, que vão implementar as medidas que solucionem a não conformidade.
-
-
Data de implementação
-
Você precisa definir uma data de implementação para cada ação corretiva.
-
O período de implementação deve proporcionar tempo suficiente para implementar completamente as medidas.
-
-
Medidas compensatórias
-
Para todas as não conformidades que criem riscos críticos, é necessário definir as medidas compensatória que abordem as não conformidades até que as ações corretivas sejam implementadas.
-
-
Período de implementação
-
Em todas as ações corretivas que levem mais de três meses para serem implementadas, você precisa justificar o período de implementação.
-
Em todas as ações corretivas que levem mais de seis meses, você também precisa fornecer evidências que demonstrem que uma implementação mais rápida não seria possível.
-
O período de implementação de qualquer ação corretiva não pode ser superior a nove meses.
-
Assim que seu plano de ação corretiva for concluído, você poderá solicitar a “avaliação do plano de ação corretiva”.
|
Important
|
Observação importante: Recomendamos começar com a implementação o mais rápido possível. Não há necessidade de esperar pelo resultado da “avaliação do plano de ação corretiva”. |
|
Observação
|
Observe: O TISAX tem requisitos apenas em relação ao conteúdo e não quanto à forma dos planos de ação corretiva. |
5.4.9. Avaliação do plano de ação corretiva
A finalidade da “avaliação do plano de ação corretiva” é verificar se o seu “plano de ação corretiva” (veja acima) atende aos requisitos do TISAX.
Você envia seu “plano de ação corretiva” ao seu provedor de auditoria. Seu provedor de auditoria avalia o plano de acordo com os requisitos (veja abaixo). Se o seu plano atender aos requisitos, seu provedor de auditoria emitirá o “relatório de avaliação TISAX” atualizado.
Essa avaliação normalmente não demora muito. Na maioria dos casos, será uma videoconferência ou teleconferência. Às vezes, isso é feito apenas por e-mail.
5.4.9.1. Motivos para uma avaliação do plano de ação corretiva
Os motivos para uma “avaliação do plano de ação corretiva” são:
-
Não conformidades restantes após
-
uma avaliação inicial
-
uma avaliação de acompanhamento
-
uma avaliação da ampliação do escopo
-
-
Um “plano de ação corretiva” que já foi avaliado, mas não atendeu aos requisitos
-
Os fatores de influência nos quais se baseia o cálculo dos períodos de implementação de um plano de ação corretiva mudaram
5.4.9.2. Combinação com avaliação inicial
A “avaliação do plano de ação corretiva” não é necessariamente um evento independente. Você tem a opção de já apresentar seu “plano de ação corretiva” na reunião de encerramento da avaliação inicial. O provedor de auditoria poderá então realizar diretamente a “avaliação do plano de ação corretiva”.
Se você combinar a “avaliação do plano de ação corretiva” com a avaliação inicial, e seu “plano de ação corretiva” atender aos requisitos, você poderá chegar a um acordo com o provedor de auditoria de que não precisa de um “relatório de avaliação inicial”. Em vez disso, o seu provedor de auditoria apenas prepararia o “relatório de avaliação do plano de ação corretiva”. Esse relatório permite que você receba os selos TISAX temporários diretamente.
5.4.9.3. Requisitos do plano de ação corretiva
O provedor de auditoria avalia seu “plano de ação corretiva” em relação aos seguintes requisitos:
-
As medidas são adequadas
-
O provedor de auditoria vai avaliar a adequação de uma ação corretiva com base na solução da causa raiz da não conformidade.
-
-
Os riscos críticos são amenizados com medidas compensatórias adequadas[25]
-
Os períodos de implementação são adequados
-
Os períodos de implementação começam no dia em que a avaliação inicial foi concluída
-
-
Nenhum período de implementação pode ser superior a:
-
três meses sem justificativa adicional
-
seis meses sem justificativa e evidências adicionais
-
nove meses
-
5.4.9.4. Selos TISAX temporários
Se o resultado geral da sua avaliação for “não conformidade menor”, você receberá os selos TISAX temporários.
A vantagem dos selos TISAX temporários é que seu parceiro normalmente os aceita sob a condição de que você receba posteriormente os rótulos TISAX definitivos. Isso pode ajudar se for urgente provar a eficácia do seu sistema de gerenciamento de segurança da informação ao seu parceiro.
O pré-requisito para selos TISAX temporários é um relatório de avaliação do plano de ação corretiva com o resultado geral da avaliação “não conformidade menor”.
Os selos TISAX temporários são iguais aos selos TISAX definitivos. A única diferença é o período de validade mais curto dos selos TISAX temporários.
Os selos TISAX temporários podem ser válidos por até nove meses após a reunião de encerramento da avaliação inicial. O período de validade dos selos TISAX temporários é determinado pelo período mais longo de implementação das ações corretivas.
Exemplos:
-
Você tem apenas uma não conformidade. Você precisa fazer uma revisão da política. O período de implementação associado é de dois meses.
Então, seus selos TISAX temporários serão válidos por dois meses. -
Você tem a não conformidade da revisão da política citada. Além disso, você tem uma não conformidade onde é necessário construir uma nova parede externa como ação corretiva. Devido ao tempo necessário para obter as aprovações necessárias do município, o período de implementação associado é de oito meses.
Então, seus selos TISAX temporários serão válidos por oito meses.
Para obter mais informações sobre os requisitos para os períodos de implementação, consulte Seção 5.4.9.3, “Requisitos do plano de ação corretiva”
|
Observação
|
Observe: A “avaliação do plano de ação corretiva” é opcional. Você poderá prosseguir diretamente para a avaliação de acompanhamento se:
|
Depois de concluir todas as ações corretivas, você deverá solicitar a “avaliação de acompanhamento”.
5.4.10. Avaliação de acompanhamento
A finalidade da “avaliação de acompanhamento” é avaliar se todas as não conformidades previamente identificadas foram solucionadas. Normalmente você solicita a avaliação de acompanhamento quando tiver certeza de que todas as não conformidades foram solucionadas.
Mas você pode fazer quantas avaliações de acompanhamento precisar. Se durante uma avaliação de acompanhamento seu provedor de auditoria ainda atestar não conformidades existentes ou mesmo novas, basta atualizar seu plano de ação corretiva e iniciar esta parte do processo de avaliação novamente.
Essa avaliação pode ser uma reunião física, bem como uma videoconferência ou teleconferência.
5.4.10.1. Cronograma
Seu provedor de auditoria pode realizar a(s) avaliação(ões) de acompanhamento dentro de até nove meses após a conclusão da avaliação inicial[26].
5.4.10.2. Pré-requisitos
Se você não precisar dos selos TISAX temporários, poderá solicitar diretamente uma avaliação de acompanhamento. Você não precisa ter uma “avaliação do plano de ação corretiva” antes de uma avaliação de acompanhamento.
5.4.10.3. Vencimento dos selos TISAX temporários
Caso você precise dos selos TISAX temporários, você pode desejar garantir que não haja nenhuma lacuna no recebimento dos selos TISAX definitivos. Portanto, recomendamos solicitar sua avaliação de acompanhamento bem antes da última data possível[27]. O motivo é que você deseja ter tempo suficiente para abordar quaisquer achados menores identificados durante uma avaliação de acompanhamento.
5.4.11. Diagrama do processo de avaliação TISAX
As seções anteriores estão agora resumidas no seguinte diagrama do processo:
|
|
Suas ações |
|
|
Ações do provedor de auditoria |
|
|
Início |
|
|
Preparação da avaliação |
|
|
Acionada por você |
|
|
Início da duração máxima de nove meses |
|
|
Avaliação inicial |
|
|
Relatório da avaliação inicial |
|
|
Foram encontradas não conformidades? |
|
|
Não |
|
|
e) |
|
|
Sim |
|
|
Escrever um plano de ação corretiva |
|
|
d) |
|
|
Acionada por você |
|
|
Iniciar/continuar com as ações corretivas |
|
|
Avaliação do plano de ação corretiva |
|
|
Relatório da avaliação do plano de ação corretiva |