Escolar Documentos
Profissional Documentos
Cultura Documentos
Índice
1. Visão Geral
o 1.1. Propósito
o 1.2. Escopo
o 1.3. Público
o 1.4. Estrutura
o 1.5. Como usar este documento
o 1.6. Contate-nos
o 1.7. O manual do participante TISAX em outros idiomas e formatos
1.7.1. Sobre o formato on-line
1.7.2. Sobre o formato off-line
1.7.3. Sobre o formato PDF
2. Introdução
o 2.1. Por que TISAX?
o 2.2. Quem define o que significa “seguro”?
o 2.3. O jeito automotivo
o 2.4. Como comprovar a segurança de forma eficiente?
3. O processo TISAX
o 3.1. Visão geral
o 3.2. Cadastro
o 3.3. Avaliação
o 3.4. Intercâmbio
4. Registro (Etapa 1)
o 4.1. Visão geral
o 4.2. Você é um participante TISAX
o 4.3. Preparação de registro
4.3.1. A base jurídica
4.3.2. O escopo da avaliação TISAX
4.3.2.1. Descrição do escopo
4.3.2.2. Escopo padrão
4.3.2.3. Escopo
4.3.2.4. Adaptação de escopo
4.3.2.5. Locais de escopo
4.3.2.6. Nome do escopo
4.3.2.7. Contatos
4.3.2.8. Publicação e compartilhamento
4.3.3. Objetivos de avaliação
4.3.3.1. Lista de objetivos de avaliação
4.3.3.2. Objetivos de avaliação e ISA
4.3.3.3. Objetivos de avaliação e rótulos TISAX
4.3.3.4. Seleção do objetivo da avaliação
4.3.3.5. Necessidades de proteção e níveis de avaliação
4.3.3.6. Objetivos de avaliação e seus próprios fornecedores
4.3.4. Taxa
o 4.4. Portal ENX
o 4.5. Processo de registro on-line
4.5.1. Tempo requerido
4.5.2. Começa aqui
4.5.3. Conta do portal
4.5.4. Cadastro de participante
4.5.5. Contato do participante
4.5.6. termos e Condições Gerais
4.5.7. Cadastro do escopo da avaliação
4.5.8. E-mail de confirmação
4.5.8.1. ID do participante
4.5.8.2. ID do escopo
4.5.9. Informações de status
4.5.10. Alterações nas suas informações cadastrais
5. Avaliação (Etapa 2)
o 5.1. Visão geral
o 5.2. Autoavaliação baseada no ISA
5.2.1. Baixe o documento ISA
5.2.2. Entenda o documento ISA
5.2.2.1. Catálogos de critérios
5.2.2.2. Capítulos
5.2.2.3. Perguntas de controle
5.2.2.4. Campos do formulário de autoavaliação
5.2.2.5. Objetivo
5.2.2.6. Requisitos
5.2.2.7. Níveis de maturidade
5.2.3. Faça a autoavaliação
5.2.4. Interprete o resultado da autoavaliação
5.2.4.1. Análise
5.2.4.2. O nível de maturidade alvo (no nível da pergunta)
5.2.4.3. Seu resultado (no nível da pergunta)
5.2.4.4. O alvo (no nível de pontuação)
5.2.4.5. Seu resultado (no nível de pontuação)
5.2.4.6. Você está pronto?
5.2.5. Aborde o resultado da autoavaliação
o 5.3. Seleção de provedor de auditoria
5.3.1. Informações de contato
5.3.2. Cobertura
5.3.3. Solicitando ofertas
5.3.4. Avaliando ofertas
o 5.4. Processo de avaliação TISAX
5.4.1. Visão geral
5.4.2. Reunião de lançamento
5.4.3. Tipos de avaliação TISAX
5.4.4. Elementos de avaliação TISAX
5.4.5. Sobre conformidade
5.4.6. Sua preparação para o processo de avaliação TISAX
5.4.7. Avaliação inicial
5.4.7.1. A primeira reunião formal de abertura
5.4.7.2. Procedimento de avaliação
5.4.7.3. Reunião de encerramento
5.4.7.4. Relatório de avaliação TISAX
5.4.8. Preparação do plano de ação corretiva
5.4.9. Avaliação do plano de ação corretiva
5.4.9.1. Razões para uma avaliação do plano de ação corretiva
5.4.9.2. Combinação com avaliação inicial
5.4.9.3. Requisitos do plano de ação corretiva
5.4.9.4. Etiquetas TISAX temporárias
5.4.10. Avaliação de acompanhamento
5.4.10.1. Tempo
5.4.10.2. Pré-requisitos
5.4.10.3. Expiração de rótulos temporários TISAX
5.4.11. Diagrama do processo de avaliação TISAX
5.4.12. ID da avaliação
5.4.13. Relatório de avaliação TISAX
5.4.14. Etiquetas TISAX
5.4.14.1. Hierarquia de rótulos TISAX
5.4.14.2. Período de validade dos rótulos TISAX
5.4.14.3. Renovação de rótulos TISAX
6. Troca (Etapa 3)
o 6.1. Premissa
o 6.2. A plataforma de troca
o 6.3. Pré-requisitos gerais
o 6.4. Permanência dos resultados trocados
o 6.5. Sharing levels
o 6.6. Publish your assessment result on the exchange platform
o 6.7. Share your assessment result with a particular participant
6.7.1. Prerequisites
6.7.2. How to create a sharing permission
o 6.8. Sharing your assessment result outside TISAX
6.8.1. The reasons for the strict governing of the exchange mechanism
6.8.2. A guide to writing about TISAX in public
6.8.3. Sharing with a partner who is not yet a TISAX participant
6.8.4. Sharing with employees of your partner who have no direct access to
the ENX portal
7. Annexes
o 7.1. Annex: Example invoice
o 7.2. Annex: Example confirmation email
o 7.3. Annex: Example TISAX Scope Excerpt
o 7.4. Annex: Participant status
7.4.1. Overview: Participant status
7.4.2. Participant status “Incomplete”
7.4.3. Participant status “Awaiting approval”
7.4.4. Participant status “Preliminary”
7.4.5. Participant status “Registered”
7.4.6. Participant status “Expired”
o 7.5. Annex: Assessment scope status
7.5.1. Overview: Assessment scope status
7.5.2. Assessment scope status “Incomplete”
7.5.3. Assessment scope status “Awaiting your order”
7.5.4. Assessment scope status “Awaiting ENX approval”
7.5.5. Assessment scope status “Awaiting your payment”
7.5.6. Assessment scope status “Registered”
7.5.7. Assessment scope status “Active”
7.5.8. Assessment scope status “Expired”
o 7.6. Annex: Assessment status
7.6.1. Overview: Assessment status
7.6.2. Assessment status “Initial assessment ordered”
7.6.3. Assessment status “Initial assessment ongoing”
7.6.4. Assessment status “Waiting for corrective action plan assessment”
7.6.5. Assessment status “Waiting for follow-up”
7.6.6. Assessment status “Finished”
o 7.7. Annex: The reasoning against “pre-assessments” and “gap analyses”
o 7.8. Annex: Custom scopes
7.8.1. Custom extended scope
7.8.2. Full custom scope
o 7.9. Annex: Participant data life cycle management
7.9.1. Lost access to participant data (ENX portal)
7.9.2. Administration of contacts
7.9.2.1. How to add a new contact
7.9.2.2. How to delete an existing contact
7.9.2.3. Como atualizar detalhes de um contato existente
7.9.3. Administração de locais
7.9.3.1. Como solicitar a mudança do nome da sua empresa
7.9.3.2. Como solicitar a mudança de local
7.9.3.3. Como solicitar a alteração do nome de uma rua
7.9.3.4. Como adicionar um local adicional
o 7.10. Anexo: Avaliação da extensão do escopo
o 7.11. Anexo: Gestão do ciclo de vida do ISA
o 7.12. Anexo: Documentos úteis
o 7.13. Anexo: Gestão de reclamações
7.13.1. Causas de reclamação
7.13.1.1. Reclamações sobre a Associação ENX
7.13.1.2. Reclamações sobre prestadores de auditoria
7.13.1.3. Requisitos para reclamações
7.13.2. Contato para reclamações
8. Histórico do documento
Publicado por
Associação ENX,
uma Associação de acordo com a Lei Francesa de 1901,
registrada sob o número w923004198 na Sous-préfecture de Boulogne-Billancourt,
França
Endereço
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, França
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Alemanha
Autor
Florian Gleich
Contato
tisax@enx.com
+49 69 9866927-77
Versão
Data: 28/08/2023
Versão: 2.6
Classificação: Público
1. Visão Geral
1.1. Propósito
Um dos seus parceiros solicitou que você comprovasse que a sua gestão de segurança da
informação atende a um nível definido de acordo com os requisitos da “Avaliação de
Segurança da Informação” (ISA). E agora você quer saber como atender a esse pedido.
O objetivo deste manual é permitir que você atenda à solicitação do seu parceiro — ou
tenha vantagem ao antecipá-la antes que um parceiro a solicite.
Este manual descreve os passos que você precisa seguir para passar na avaliação TISAX e
para compartilhar o resultado da sua avaliação com seu parceiro.
Este manual se aplica a todos os processos TISAX dos quais você possa fazer parte.
Ele contém tudo que você precisa saber para passar pelo processo TISAX.
O manual oferece alguns conselhos sobre como lidar com os requisitos de segurança da
informação no centro da avaliação. Mas não tem como objetivo educá-lo de maneira geral
sobre o que você precisa fazer para passar na avaliação de segurança da informação.
1.3. Público
O público principal deste manual são empresas que necessitam ou desejam comprovar um
nível definido de gestão de segurança da informação de acordo com os requisitos da
“Avaliação de Segurança da Informação” (ISA).
Assim que estiver ativamente envolvido nos processos TISAX, você se beneficiará das
informações fornecidas neste manual.
As empresas que solicitam aos seus fornecedores que comprovem níveis definidos de
gestão da segurança da informação também serão beneficiadas. Este manual permite-lhes
compreender o que os seus fornecedores são obrigados a fazer para satisfazer o seu
pedido.
1.4. Estrutura
Começamos com uma breve introdução ao TISAX e depois seguimos imediatamente com
instruções sobre COMO fazer as coisas. Você encontrará tudo o que precisa para passar
pelo processo – na ordem em que precisa saber.
Mais cedo ou mais tarde, você provavelmente desejará entender a maior parte do que está
descrito neste documento. Para estar devidamente preparado, recomendamos a leitura de
todo o manual.
Estruturamos o manual de acordo com as três etapas principais do processo TISAX, para
que você possa ir para a seção necessária e ler o restante mais tarde.
O manual usa ilustrações para ajudá-lo a melhorar sua compreensão. As cores nas
ilustrações geralmente têm um significado adicional. Portanto, recomendamos a leitura do
documento na tela do computador ou em cópia impressa colorida.
Agradecemos seu feedback. Se você acha que algo está faltando neste manual ou não é
fácil de entender, não hesite em nos informar. Nós e todos os futuros leitores deste manual
ficaremos gratos pelo seu feedback.
Se você já utilizou uma versão anterior do manual do participante TISAX, poderá
encontrar algumas notas úteis no final do documento na Seção 8, “Histórico do
documento” .
1.6. Contate-nos
Estamos aqui para orientá-lo no processo TISAX e para responder a quaisquer dúvidas
que você possa ter.
Você pode entrar em contato conosco durante o horário comercial normal na Alemanha (
UTC+01:00 ).
On-line https://www.enx.com/handbook/tisax-participant-handbook.html
PDF https://www.enx.com/handbook/TISAX%20Participant%20Hand
On-line https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html
PDF https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pd
On-line https://www.enx.com/handbook/tph-fr.html
2.3
Francês desligada https://www.enx.com/handbook/tph-fr-offline.html
beta
PDF https://www.enx.com/handbook/tph-fr.pdf
desligada https://www.enx.com/handbook/tph-cn-offline.html
2.3
beta
PDF https://www.enx.com/handbook/tph-cn.pdf
On-line https://www.enx.com/handbook/tph-es.html
2.3
Espanhol desligada https://www.enx.com/handbook/tph-es-offline.html
beta
PDF https://www.enx.com/handbook/tph-es.pdf
Nota importante:
A maioria das figuras está disponível em tamanho maior do que o exibido aqui por
padrão. Clique na figura para abrir a versão maior.
O formato offline mantém a maioria dos recursos do formato online. Mais notavelmente,
as figuras estão incorporadas no arquivo HTML. Você precisa apenas de um arquivo para
usar o formato offline.
as imagens maiores
as fontes originais do formato online
Os padrões do seu navegador definem as fontes.
2. Introdução
As seções a seguir apresentam o conceito TISAX.
Se estiver com pressa, você pode ignorá-los e começar imediatamente na Seção 4.3,
“Preparação para inscrição” .
Para responder a esta pergunta, começaremos com algumas reflexões sobre como fazer
negócios em geral e proteger informações em particular.
Imagine seu parceiro. Ele tem informações confidenciais. Ele quer compartilhar com seu
fornecedor – você. A cooperação entre você e seu parceiro cria valor. A informação que o
seu parceiro partilha consigo é uma parte importante desta criação de valor. Portanto, ele
deseja protegê-lo adequadamente. E ele quer ter certeza de que você está lidando com as
informações dele com o mesmo cuidado.
Mas como ele pode ter certeza de que suas informações estão em boas mãos? Ele não
pode simplesmente “acreditar” em você. Seu parceiro precisa ver alguma prova.
Você e seu parceiro não são os únicos que enfrentam essas questões pela primeira vez.
Quase todo mundo precisa encontrar respostas para elas e a maioria das respostas terá
semelhanças.
Em vez de criar sempre uma solução independente para um problema comum, uma
maneira padrão de fazer isso elimina o fardo de criar tudo do zero. Embora definir um
padrão seja um esforço enorme, ele é feito apenas uma vez e aqueles que o seguem
sempre se beneficiam.
Certamente existem diferentes pontos de vista sobre o que é a coisa certa a fazer para
proteger as informações. Mas devido aos benefícios acima mencionados, a maioria das
empresas adota padrões. Um padrão é a forma condensada de todas as melhores práticas
comprovadas e testadas ao longo do tempo para um determinado desafio.
No seu caso, normas como a ISO/IEC 27001 (sobre sistemas de gestão de segurança da
informação, ou ISMS) e a sua implementação estabelecem uma forma de última geração
para lidar com informações confidenciais com segurança. Um padrão como esse evita que
você tenha que reinventar a roda todas as vezes. Mais importante ainda, os padrões
fornecem uma base comum quando duas empresas precisam trocar dados confidenciais.
Há muito tempo, a indústria automotiva formou associações que visavam — entre outros
objetivos — refinar e definir padrões que atendessem às suas necessidades mais
específicas. A “Verband der Automobilindustrie” (VDA) é uma delas. No grupo de
trabalho que trata da segurança da informação, vários membros da indústria automóvel
chegaram à conclusão de que têm necessidades semelhantes para adaptar os padrões de
gestão de segurança da informação existentes.
Com a ISA, temos agora uma resposta à pergunta “Quem define o que significa
“seguro”?” Através da VDA, a própria indústria automóvel oferece esta resposta aos seus
membros.
Enquanto algumas empresas utilizam a ISA apenas para fins internos, outras utilizam-na
para avaliar a maturidade da gestão da segurança da informação dos seus fornecedores.
Em alguns casos, uma autoavaliação é suficiente para o relacionamento comercial. No
entanto, em certos casos, as empresas realizam uma avaliação completa da gestão da
segurança da informação dos seus fornecedores (incluindo auditorias no local).
Esses parceiros ainda aplicavam normas diferentes e tinham opiniões diversas sobre como
interpretá-las. Mas os fornecedores tiveram essencialmente de provar as mesmas coisas,
apenas de maneiras diferentes.
E quanto mais os fornecedores eram solicitados pelos seus parceiros a comprovar o seu
nível de gestão da segurança da informação, mais altas cresciam as suas reclamações em
termos de esforços repetidos. Mostrar a auditor após auditor as mesmas medidas de gestão
de segurança da informação simplesmente não é eficiente.
O que pode ser feito para tornar isso mais eficiente? Não ajudaria se o relatório de
qualquer auditor pudesse ser reutilizado para diferentes parceiros?
3. O processo TISAX
3.1. Visão geral
O processo TISAX geralmente [ 1 ] começa com um de seus parceiros solicitando que você
comprove um nível definido de gestão de segurança da informação de acordo com os
requisitos da “Avaliação de Segurança da Informação” (ISA). Para atender a essa
solicitação, você deve concluir o processo TISAX de 3 etapas. Esta seção fornece uma
visão geral das etapas que você precisa seguir.
1. Cadastro
Coletamos informações sobre sua empresa e o que precisa fazer parte da avaliação.
2. Avaliação
Você passa pela(s) avaliação(ões), que são conduzidas por um de nossos provedores
de auditoria TISAX.
3. Troca
Você compartilha o resultado da sua avaliação com seu parceiro.
Cada etapa consiste em subetapas. Eles são descritos nas três seções abaixo e descritos em
detalhes em suas respectivas seções mais abaixo.
Observe:
3.2. Cadastro
Para começar diretamente com esta etapa, consulte a Seção 4, “Registro (Etapa 1)” .
3.3. Avaliação
a. Preparação da avaliação
Você deve preparar a avaliação. A extensão disso depende do nível de maturidade
atual do seu sistema de gerenciamento de segurança da informação. A sua preparação
deve ser baseada no catálogo da ISA.
b. Seleção de provedor de auditoria
Você deve escolher um de nossos provedores de auditoria TISAX.
c. Avaliações de segurança da informação
Seu provedor de auditoria conduzirá a avaliação com base em um escopo de
avaliação que corresponda aos requisitos do seu parceiro. O processo de avaliação
consistirá, no mínimo, na auditoria inicial.
Se a sua empresa não passar na avaliação imediatamente, o processo de avaliação
poderá exigir etapas adicionais.
d. Resultado da avaliação
Depois que sua empresa for aprovada na avaliação, seu provedor de auditoria
fornecerá a você o relatório oficial da avaliação TISAX. O resultado da sua avaliação
também receberá rótulos TISAX [ 2 ] .
Para obter mais informações sobre esta etapa, consulte a Seção 5, “Avaliação (Etapa 2)” .
3.4. Intercâmbio
Para obter mais informações sobre esta etapa, consulte a Seção 6, “Troca (Etapa 3)” .
Agora que você tem uma ideia fundamental sobre o que é o processo TISAX, encontrará
instruções sobre como realizar cada etapa nas seções a seguir.
4. Registro (Etapa 1)
O tempo estimado de leitura para a seção de registro é de 30 a 40 minutos.
Vamos primeiro introduzir um novo termo que é necessário entender. Até agora, você tem
sido o “fornecedor”. Você está aqui para atender a uma exigência do seu “cliente”. O
próprio TISAX, entretanto, não diferencia realmente essas duas funções. Para o TISAX,
todos os inscritos são “participantes”. Você — assim como seu parceiro — “participa” da
troca de resultados da avaliação de segurança da informação.
Para diferenciar as duas funções desde o início, nos referimos a você, fornecedor, como
“participante ativo”. Referimo-nos ao seu parceiro como “participante passivo”. Como
“participante ativo”, você é avaliado pelo TISAX e compartilha o resultado da sua
avaliação com outros participantes. O “participante passivo” é aquele que solicitou que
você fosse avaliado pelo TISAX. O “participante passivo” recebe o resultado da sua
avaliação.
Figura 3. Participante passivo e participante ativo
Qualquer empresa pode atuar em ambas as funções. Você pode compartilhar o resultado
de uma avaliação com seu parceiro e, ao mesmo tempo, solicitar que seus próprios
fornecedores sejam avaliados pelo TISAX.
Solicitar que seus próprios fornecedores sejam avaliados pelo TISAX pode até ser
especialmente aconselhável se seus próprios fornecedores também estiverem lidando com
as informações de seus parceiros com necessidades de proteção.
Nesta seção, damos recomendações sobre como se preparar para o registro. Descrevemos
o processo de registro em detalhes na Seção 4.5, “Processo de registro on-line” .
Normalmente, você precisa assinar dois contratos. O primeiro contrato que você celebra é
entre você e a Associação ENX: Os “Termos e Condições Gerais de Participação TISAX”
(GTCs do Participante TISAX). O segundo contrato é entre você e um dos nossos
fornecedores de auditoria TISAX. Para o registro, analisaremos apenas o primeiro
contrato.
Bem no início do processo de registro on-line, solicitaremos que você aceite os TISAX
Participant GTCs. Por se tratar de um contrato real, recomendamos a leitura dos TCG do
Participante TISAX antes de iniciar o processo de inscrição online. Um dos motivos é
que, dependendo da sua função na empresa, pode ser necessário obter autorização de um
advogado interno ou externo.
Durante o processo de registro on-line, solicitaremos que você marque duas caixas de
seleção obrigatórias:
Se você normalmente exige um acordo de não divulgação (NDA) entre você e qualquer
pessoa que lide com informações confidenciais, examine as respectivas seções de nossos
TCGs. Eles devem abordar todas as suas preocupações. Além disso, normalmente você
não precisa nos fornecer nenhuma informação confidencial.
Concluindo a seção jurídica, pedimos a compreensão de que o sistema depende da
aceitação das mesmas regras por todos. Portanto, não podemos aceitar quaisquer termos e
condições gerais adicionais [ 5 ] .
Nota importante:
Para a certificação ISO/IEC 27001, você define o escopo do seu SGSI (na
“declaração de escopo”). Você é totalmente livre para definir o escopo do
seu SGSI. No entanto, o escopo da avaliação (também conhecido como
“escopo da auditoria”) deve ser idêntico ao escopo do seu SGSI.
Para TISAX, você também deve definir seu SGSI. Mas o âmbito da
avaliação pode ser diferente.
1. Escopo padrão
2. Escopo personalizado
a. Escopo estendido personalizado
b. Escopo personalizado completo
Discutiremos o escopo padrão na seção seguinte. O escopo padrão é a escolha certa para
mais de 99% de todos os participantes. Portanto, discutiremos apenas os escopos
personalizados na Seção 7.8, “Anexo: Escopos personalizados” .
A descrição do escopo padrão é a base para uma avaliação TISAX. Outros participantes
do TISAX aceitam apenas resultados de avaliação baseados na descrição do escopo
padrão.
Um grande benefício de ter um escopo padrão é que você não precisa criar sua própria
definição.
4.3.2.3. Escopo
Sua próxima tarefa após definir o tipo de escopo é decidir quais locais pertencem ao
escopo da avaliação.
Se a sua empresa for pequena (um local), esta é uma tarefa fácil. Basta adicionar sua
localização ao escopo da avaliação.
Se sua empresa for grande, considere registrar mais de um escopo de avaliação.
Ter um único escopo que contenha todos os seus locais traz vantagens:
A questão de ter apenas um ou vários escopos é algo que só você pode responder. Mas
responder às perguntas do diagrama a seguir pode ajudá-lo a decidir.
Figura 5. Árvore de decisão de adaptação do escopo
Observe:
Não deixe que esta decisão o intimide. Você pode alterar qualquer escopo,
desde que o provedor de auditoria não tenha concluído a avaliação.
Notas Adicionais:
Agora que você decidiu quais locais fazem parte do escopo da sua avaliação, você pode
continuar coletando algumas informações específicas do local.
Para cada local solicitamos informações como nome e endereço da empresa. Solicitamos
também algumas informações adicionais que permitam aos nossos prestadores de
auditoria TISAX ter uma ideia melhor da estrutura da sua empresa. Suas respostas serão a
base de suas estimativas de esforço.
Prepare-se para fornecer os seguintes detalhes para cada uma de suas localidades (o
asterisco vermelho * indica informações obrigatórias no processo on-line):
Campo Opções
Campo Opções
prédio compartilhado
Escritório compartilhado com outras empresas
Datacenter próprio
Datacenter compartilhado
Sim
Proteção passiva do site *
Não
Tecnologia da Informação
❏ Serviços de TI
❏ Serviços de Telecomunicações
❏ Desenvolvimento de Software
Gerenciamento
❏ Consultoria
meios de comunicação
❏Marketing
❏ Agência
❏ Serviços de impressão
Indústria ❏ Fotografia
(várias seleções possíveis)
❏ Serviços de tradução
Pesquisa e desenvolvimento
❏ Teste de veículos
❏ Simulação de Veículo
❏ Construção de protótipo
❏ Modelos de carros em miniatura
❏ Serviços de desenvolvimento
❏ Serviços de desenvolvimento CAx
Produção
❏ Serviços de produção
❏ Fabricação por contrato
Tabela 1. Detalhes específicos do local
Campo Opções
❏ Loja
❏ Logística
Vendas e pós-venda
❏ Importação, NSC
❏ Concessionária
❏ Serviços Financeiros
❏ Seguro
❏ Liquidação de Reclamações
Outra indústria
(por favor insira)
0
1-10
11-100
Funcionários no Local: Geral *
101-1.000
1.001-5.000
Mais de 5.000
0
1-10
Funcionários no local: TI * 11-25
26-50
Mais de 50
0
Meio período
Funcionários no Local:
1-5
Segurança de TI *
6-25
Mais de 25
0
Meio período
Funcionários no Local:
1-3
Segurança do Local *
4-10
Mais de 10
ISO 27001
Certificações para este local
Outro (insira)
Tabela 1. Detalhes específicos do local
Campo Opções
ISAE 3402
SOC2
Observe:
Para cada local você deve especificar um “nome do local” . A finalidade do nome do local
é facilitar a referência ao local ao atribuí-lo a um escopo de avaliação.
Exemplo: Frankfurt
(para uma localização na cidade alemã de Frankfurt)
Para cada escopo, você deve especificar um “nome de escopo” . O objetivo principal do
nome do escopo é facilitar a identificação de um escopo na lista de visão geral de escopos
no portal ENX. Você deve atribuir um nome que seja útil para o leitor e seus colegas. Para
comunicação externa, você deve usar o Scope ID .
Você pode especificar qualquer nome que desejar. Mas você não deve atribuir o mesmo
nome de escopo para mais de um escopo.
Mais tarde, quando você quiser renovar sua avaliação TISAX, será necessário criar um
novo escopo (possivelmente idêntico ao escopo atual). Recomendamos, portanto,
adicionar o ano da avaliação ao nome do escopo.
2023
(sem referência geográfica se sua empresa tiver apenas uma
localidade)
Frankfurt 2023
(para um âmbito com vários locais na cidade alemã de Frankfurt)
Baixa Saxônia 2023
(para um escopo com todas as localidades no estado alemão da
Exemplos: Baixa Saxônia)
Alemanha 2023
(para um escopo com todas as localidades do país Alemanha)
EMEA 2023
(para um escopo com todos os locais na região EMEA (“Europa,
Oriente Médio, Ásia”))
Desenvolvimento de protótipo 2023
( referência funcional para um escopo com todos os locais
envolvidos no desenvolvimento de protótipos)
4.3.2.7. Contatos
Para nos comunicarmos com você, coletamos informações sobre os contatos da sua
empresa.
Solicitamos pelo menos um contato para sua empresa como participante do TISAX em
geral e um para cada escopo de avaliação. Você tem a opção de fornecer contatos
adicionais.
Durante os preparativos para o registro, você deve decidir quem será o contato na sua
empresa.
Número de Telefone
7. Sim +49 69 986692777
Principal
8. Segundo telefone
Identificador de endereço
12. HPC 1234
pessoal
Bockenheimer Landstraße
13. endereço da Rua Sim
97-99
16. Estado/Província
Nota importante:
Se você estiver passando pelo processo TISAX como uma etapa preventiva, já poderá
decidir publicar o resultado da sua avaliação para a comunidade de participantes do
TISAX. Caso contrário, não há nada para se preparar nesta fase.
Se o seu parceiro solicitou que você passasse pelo processo TISAX, você precisará
compartilhar o resultado da sua avaliação mais cedo ou mais tarde. Você já pode
compartilhar informações de status com seu parceiro durante o registro. Assim que o
resultado da sua avaliação estiver disponível, seu parceiro terá automaticamente
permissão para acessá-lo [ 6 ] .
Para sua conveniência, nosso formulário de registro fornece uma lista suspensa de
IDs de participantes para algumas empresas que recebem frequentemente resultados
de avaliações compartilhadas. [ 7 ]
Para obter mais informações sobre níveis de compartilhamento, consulte a Seção 6.5,
“Níveis de compartilhamento” .
Portanto, você pode querer ter certeza de que possui essas informações.
Observe:
Nota importante:
Observe:
Para obter mais informações sobre como publicar e compartilhar o resultado da sua
avaliação, consulte a Seção 6, “Troca (Etapa 3)” .
Observe:
Alguns parceiros podem solicitar que você seja avaliado pelo TISAX com
um determinado “nível de avaliação” (AL) em vez de especificar um
objetivo de avaliação.
Existem atualmente dez objetivos de avaliação TISAX. Você deve selecionar pelo menos
um objetivo de avaliação. Você pode selecionar mais de um.
Considere o seu objetivo de avaliação como referência para o seu sistema de gestão de
segurança da informação. O objetivo da avaliação é um contributo fundamental para o
processo TISAX. Todos os prestadores de auditoria TISAX baseiam a sua estratégia de
avaliação principalmente no objetivo da avaliação.
Exemplo: Se estiver a realizar test drives em vias públicas, então o objetivo de avaliação
n.º 7 “Testar veículos” é um dos seus objetivos de avaliação.
Nota importante:
Exemplo: Seu parceiro exige que você obtenha o rótulo TISAX “Info high”. Em seguida,
você seleciona “Info high” como objetivo de avaliação.
Para obter mais informações sobre etiquetas TISAX, consulte a Seção 5.4.14, “Etiquetas
TISAX” .
Idealmente, o seu parceiro lhe dirá precisamente quais objetivos de avaliação você deve
alcançar.
Você deve selecionar o objetivo da avaliação com base em seu próprio julgamento se:
a. você deseja ser avaliado pelo TISAX antes que um parceiro solicite, ou
b. seu parceiro não lhe diz qual objetivo de avaliação alcançar.
Nota importante:
Neste ponto, recomendamos fortemente considerar seus outros parceiros.
Existem parceiros existentes que tenham requisitos iguais ou superiores?
Você espera que os futuros parceiros tenham requisitos mais elevados?
Se tiver que selecionar o objetivo da avaliação com base no seu próprio julgamento,
poderá ser útil considerar os seguintes aspectos:
Objetivo da
Não. Informação
avaliação
Informações
1.
altas Você pode derivar as necessidades de proteção (alta,
muito alta) da classificação do documento do seu
Informações parceiro.
2.
muito altas
Objetivo da
Não. Informação
avaliação
Objetivo da
Não. Informação
avaliação
Explicações adicionais:
Se você tiver requisitos precisos do seu parceiro, normalmente não precisará discutir
os objetivos da avaliação com ele. No entanto, se você não tiver requisitos precisos do
seu parceiro, recomendamos fortemente que consulte o seu parceiro antes de iniciar o
processo de avaliação.
A ISA descreve a diferença de implementação entre necessidades de proteção “altas”
e “muito altas” (se houver) para cada requisito.
Para obter mais informações sobre isso, consulte a Figura 11, “Captura de tela:
Principais elementos das perguntas do catálogo de critérios ISA “Segurança da
Informação”” .
O seu parceiro possui vários tipos de informações, das quais algumas podem merecer um
nível de proteção mais elevado do que outras. A ISA acomoda isto diferenciando três
“necessidades de protecção” : normal, elevada e muito elevada. Seu parceiro classifica
suas informações e geralmente atribui necessidades de proteção.
Quanto maiores as necessidades de proteção, mais o seu parceiro estará interessado em
garantir que é seguro permitir que você administre as informações dele. Portanto, a
TISAX diferencia três “níveis de avaliação” (AL). O nível de avaliação define qual
método de avaliação o prestador de auditoria deve aplicar. Um nível de avaliação mais
alto aumenta o esforço investido na avaliação. Isso resulta em maior cuidado e precisão na
avaliação.
A tabela abaixo mostra os níveis de avaliação que se aplicam aos objetivos de avaliação
TISAX:
1. Informações altas AL 2
3. Alta disponibilidade AL 2
5. Peças proto AL 3
6. Proto-veículos AL 3
7. Veículos de teste AL 3
8. Protoeventos AL 3
9. Dados AL 2
Para uma avaliação no nível de avaliação 2, o prestador de auditoria faz uma verificação
de plausibilidade na sua autoavaliação (para todos os locais dentro do escopo da
avaliação). Ele apoia isso verificando evidências [ 8 ] e conduzindo uma entrevista com o
responsável pela segurança da informação.
Se você tiver evidências que não deseja enviar ao provedor de auditoria, poderá solicitar
uma inspeção no local. Dessa forma, o provedor de auditoria ainda pode verificar suas
evidências “somente para você”.
Observe:
Para uma avaliação de nível 3, o prestador de auditoria realiza uma verificação abrangente
da conformidade da sua empresa com os requisitos aplicáveis. O auditor utiliza a sua
autoavaliação e a documentação enviada para preparar a avaliação. Mas, ao contrário do
nível de avaliação 2, o auditor verificará tudo. Ele vai:
Observe:
A tabela a seguir fornece uma visão geral simplificada dos métodos de auditoria
associados a cada nível de avaliação:
Nível de Nível de
Método de Nível de avaliação 2
avaliação 1 avaliação 3
avaliação (AL 2)
(AL 1) (AL 3)
Verificação de Verificação
Evidência Não
plausibilidade completa
Pessoalmente, no
Entrevistas Não Via webconferência [ 9 ]
local
Inspeção no
Não A seu pedido Sim
local
Informações adicionais:
Diferença entre AL 2 e AL 3
Metodologicamente, as duas abordagens diferem significativamente. Para avaliações
no nível de avaliação 2, o auditor não verificará nada. Ele apenas verificará a
plausibilidade. Portanto, o prestador de auditoria não pode usar os resultados de uma
avaliação no nível de avaliação 2 como base para uma atualização para o nível de
avaliação 3. Os esforços para uma atualização para o nível de avaliação 3 são
essencialmente os mesmos que para uma nova avaliação inicial.
Verificação de plausibilidade versus verificação
Simplificada demais, uma verificação de plausibilidade verifica se algo existe e
parece certo. Em contraste, uma verificação significa realmente verificar se algo é o
que afirma ser.
Classificação da informação e necessidades de proteção
O mapeamento da classificação da informação (como confidencial ou secreta) para as
necessidades de proteção pode ser diferente para vários parceiros. Portanto, por mais
que gostaríamos, não podemos fornecer uma tabela simples onde a classificação das
informações do seu parceiro corresponda exatamente a uma necessidade de proteção.
Apenas saber um nível de avaliação não é suficiente.
Alguns parceiros podem solicitar que você seja avaliado pelo TISAX com um
determinado nível de avaliação. Por favor, entenda que apenas conhecer o nível de
avaliação não é suficiente para iniciar o processo TISAX. Um nível de avaliação só
faz sentido em combinação com um catálogo de critérios ISA e uma necessidade de
proteção correspondente. Normalmente, os parceiros solicitam que você obtenha um
selo TISAX (catálogo de critérios mais necessidade de proteção). No entanto, como as
necessidades de proteção são mapeadas 1:1 para os níveis de avaliação, é suficiente
conhecer o(s) catálogo(s) de critérios e o nível de avaliação.
Hierarquia dos níveis de avaliação
Os níveis de avaliação mais elevados incluem sempre os níveis de avaliação mais
baixos. Por exemplo, se a sua avaliação for baseada no nível de avaliação 3, ela
atenderá automaticamente a todas as solicitações de avaliação de nível 2.
Nossa recomendação em relação aos níveis de avaliação
Se você tiver que selecionar um objetivo de avaliação (e, portanto, implicitamente, um
nível de avaliação correspondente) com base em seu próprio julgamento,
recomendamos selecionar objetivos de avaliação que impliquem um nível de
avaliação 3. Os esforços para avaliações TISAX no nível de avaliação 3 são
geralmente não são superiores aos do nível de avaliação 2.
Os fornecedores que têm vários parceiros selecionam frequentemente objetivos de
avaliação que implicam um nível de avaliação 3. Desta forma, estão preparados para
todas as solicitações futuras e não têm de se preocupar com diferentes níveis de
avaliação.
Outras considerações comerciais
Em relação aos níveis de avaliação, o custo total de uma avaliação TISAX consiste na
soma dos seus esforços internos e no custo da avaliação. Embora o custo de uma
avaliação no nível 2 seja menor, seus esforços internos podem ser maiores. Isto deve-
se ao facto de uma avaliação no nível de avaliação 2 exigir normalmente uma
autoavaliação mais abrangente e uma melhor documentação interna. Para avaliações
no nível de avaliação 3, demonstrar como você faz as coisas e apresentar uma
documentação básica é muitas vezes evidência suficiente para o auditor. Mas sem
uma inspeção no local, o auditor solicitará documentação precisa. Portanto, escolher o
nível de avaliação 3 em vez do nível de avaliação 2 não é incomum. Mas é uma
escolha feita por empresas menores e não por empresas maiores.
A TISAX não exige necessariamente que você sujeite todos os seus fornecedores aos
mesmos requisitos. Se o seu objetivo de avaliação for “Segurança da informação com
necessidades de proteção muito elevadas”, isso NÃO significa automaticamente que os
seus próprios fornecedores tenham de atingir o mesmo objetivo de avaliação. Isso nem
significa que eles precisam ter rótulos TISAX.
Mas você ainda precisa verificar para todos os seus fornecedores se o uso de seus serviços
aumenta os riscos ou introduz novos riscos.
1. Você tem uma política de que o e-mail normal não pode ser usado para dados com
necessidades de proteção muito altas. Portanto, o seu provedor de e-mail não precisa
obter o selo TISAX com necessidades de proteção muito elevadas.
Você poderia chegar a uma conclusão semelhante se enviar apenas e-mails
criptografados e o provedor de e-mail não conseguir ver nenhum dos dados com
necessidades de proteção muito altas.
2. Você descarta dados impressos com necessidades de proteção muito altas na
trituradora. Nesse caso, é claro, o prestador de serviços de eliminação de resíduos não
precisa atender aos mesmos requisitos que você.
No entanto, a avaliação dos riscos pode demonstrar que o seu fornecedor também tem de
cumprir os requisitos relativos a necessidades de proteção muito elevadas. Neste caso, os
rótulos TISAX são uma opção para provar isso adequadamente.
4.3.4. Taxa
Aumentamos uma taxa. Nossa tabela de preços informa sobre taxas aplicáveis, possíveis
descontos e nossas condições de pagamento.
Existem alguns aspectos relacionados à fatura que você deve considerar durante a
preparação do registro:
Nota importante:
Referência do pedido
Se precisar ver um número de pedido de compra específico ou algo semelhante em
nossa fatura, você terá a opção de nos fornecer uma referência do pedido.
Número de IVA
Todas as nossas cobranças estão sujeitas ao imposto sobre valor agregado (IVA)
alemão, se aplicável.
Precisamos deste número para processar pagamentos da UE. É obrigatório fornecer
um número de IVA, se o seu endereço de fatura estiver num dos seguintes países:
Áustria, Bélgica, Bulgária, Croácia, Chipre (parte grega), República Checa,
Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália,
Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal, Eslováquia,
Eslovénia, Espanha, Suécia, Reino Unido
Gestão de fornecedores
Nota importante:
Fornecemos a maioria dos fatos que você normalmente precisa para processar nossa
fatura diretamente nele. Estes e ainda mais factos estão disponíveis no nosso
documento “Informação para Membros e Parceiros de Negócios”. Envie-nos um e-
mail e lhe enviaremos uma versão atual.
Observe:
Nota importante:
Nota importante:
A taxa é devida independentemente de você:
A próxima seção descreverá o processo de registro on-line, onde você insere todos os
dados coletados conforme recomendado na seção anterior. Antes de iniciar o processo de
registro on-line, deixe-nos explicar brevemente a finalidade e os benefícios do portal
ENX.
O portal ENX permite-nos manter uma base de dados de todos os participantes do TISAX
e desempenha um papel importante em todo o processo do TISAX. Durante o registo
TISAX você insere os seus dados que os prestadores de auditoria TISAX podem utilizar
(se concordar) para calcular as suas ofertas e planear os procedimentos de avaliação.
Depois de passar pelo processo de avaliação TISAX, você usará a plataforma de
intercâmbio no portal ENX para compartilhar o resultado da avaliação com seu parceiro.
O nome do portal é “portal ENX” em vez de “portal TISAX”, porque também utilizamos
o portal para gerir outras atividades empresariais (como a rede ENX ).
Se você se preparou de acordo com nossos conselhos acima ( Seção 4.3, “Preparação para
registro” ), você está pronto para iniciar o processo de registro on-line.
Quanto tempo levará depende muito do número de escopos e locais registrados. Para sua
primeira inscrição como participante com um escopo em um local, você deverá esperar
um tempo mínimo de 20 minutos.
Recomendamos realizar o cadastro em uma única sessão, pois atualmente não é possível
acompanhar facilmente algumas etapas posteriormente. Caso ainda precise fazer uma
pausa, entraremos em contato para solicitar quaisquer dados faltantes.
Basicamente, tudo que você precisa fazer é seguir as instruções na tela. No entanto,
descrevemos brevemente o processo abaixo.
4.5.3. Conta do portal
O primeiro passo é criar uma conta no portal ENX. Você precisa da conta do portal para
poder gerenciar os “dados dos participantes” da sua empresa.
Observe:
Caso o portal ENX afirme que seu endereço de e-mail já está em uso, entre
em contato conosco . Esta mensagem pode indicar que por algum motivo
você já está armazenado em nosso sistema.
Observe:
Nota importante:
Observe:
Observe:
Observe:
Você pode escolher se cada contato deverá ter acesso aos dados dos
participantes da sua empresa. Qualquer:
Observe:
Nota importante:
Nota importante:
Observe:
Você não pode fazer muita coisa errada aqui. Se mais tarde você descobrir
que deveria ter registrado um escopo ligeiramente diferente (você esqueceu
um local, tem outro objetivo de avaliação, etc.), o provedor de auditoria
poderá, no entanto, realizar a avaliação.
Observe:
Cada escopo de avaliação passa por um ciclo de vida. Nesta fase, o seu
escopo de avaliação está com o status “Incompleto”, “Aguardando seu
pedido” ou “Aguardando aprovação ENX”.
Observe:
Se você puder nos garantir com credibilidade que ainda NÃO enviou seu
“trecho do escopo TISAX” aos nossos provedores de auditoria, entre em
contato conosco . Podemos mudar isso para você.
Se você já enviou seu “trecho do escopo TISAX” para (um de) nossos
provedores de auditoria, basta criar o(s) novo(s) local(is) no portal ENX (se
aplicável) e discutir quaisquer alterações com seu provedor de auditoria.
Seu provedor de auditoria conduzirá a avaliação com base nas alterações e
atualizará as informações do escopo no portal ENX.
Observe:
Contém:
Para obter um exemplo do nosso e-mail de confirmação, consulte a Seção 7.2, “Anexo:
Exemplo de e-mail de confirmação” .
Para obter um exemplo do “Trecho do Escopo TISAX”, consulte a Seção 7.3, “Anexo:
Exemplo de Trecho do Escopo TISAX” .
Você receberá nosso e-mail de confirmação normalmente dentro de três dias úteis.
Se você não receber uma resposta nossa dentro de sete dias úteis, verifique se a) você
forneceu todas as informações e b) o status do escopo da avaliação é “Aguardando
aprovação ENX” . Iniciaremos o processamento do seu cadastro somente quando tudo
estiver concluído. Se você acha que tudo está completo, mas ainda não entramos em
contato com você, entre em contato conosco .
Observe:
Cada escopo de avaliação passa por um ciclo de vida. Nesta fase, o seu
escopo de avaliação está com o status “Aguardando aprovação ENX”.
4.5.8.1. ID do participante
O ID do participante:
Observe:
4.5.8.2. ID do escopo
O ID do escopo:
Observe:
Existem duas maneiras de encontrar seu ID de escopo:
Observe:
Nesta fase, existem dois estados relevantes que utilizamos para descrever a sua posição no
processo TISAX:
1. Status do participante
2. Status do escopo da avaliação
O diagrama a seguir ilustra as condições que devem ser atendidas para atingir um
determinado status:
Figura 9. Condições para o status do participante e status do escopo da avaliação
Você pode encontrar as definições de status e o que precisa fazer para avançar para o
próximo status no anexo.
Observe:
Parabéns, agora você é um participante registrado do TISAX. Você está pronto para
continuar com a próxima etapa do processo TISAX.
5. Avaliação (Etapa 2)
O tempo estimado de leitura para a seção de avaliação é de 30 a 35 minutos.
A avaliação TISAX é o seu segundo passo. É aqui que você faz a maior parte do trabalho
para obter a avaliação do TISAX.
1. Começamos explicando como você pode usar a autoavaliação ISA para descobrir se
está preparado para uma avaliação TISAX.
2. A seguir, aconselhamos você sobre como escolher um de nossos provedores de
auditoria TISAX .
3. A seguir, descrevemos seu caminho no processo de avaliação .
4. No final, explicamos o “resultado do processo”: o resultado da sua avaliação e os
rótulos TISAX associados .
Para estar pronto para uma avaliação TISAX, você precisa principalmente ter seu sistema
de gerenciamento de segurança da informação (SGSI) em sua melhor forma. Para saber se
o seu SGSI corresponde ao nível de maturidade esperado, é necessário realizar uma
autoavaliação com base no ISA.
Observe:
Observe:
Antes de iniciar sua autoavaliação, aqui estão algumas explicações que podem ser úteis.
Fornecemos estas informações além das explicações e definições oficiais no documento
ISA, mas com foco no uso para avaliações TISAX.
2. Proteção de protótipo
3. Proteção de dados
Figura 10. Captura de tela: Catálogos de critérios ISA como planilhas Excel
Qual catálogo de critérios é relevante para você? Isso depende do(s) seu (s) objetivo(s) de
avaliação .
Segurança da Informação
9. Dados
Proteção de Dados
Segurança da Informação
10. Dados especiais
Proteção de Dados
Você deve ter notado que existe mais de um objetivo de avaliação por catálogo de
critérios. Como saber quais requisitos são aplicáveis a qual objetivo de avaliação?
Objetivo da
Não. Requisitos aplicáveis
avaliação
Objetivo da
Não. Requisitos aplicáveis
avaliação
Objetivo da
Não. Requisitos aplicáveis
avaliação
Objetivo da
Não. Requisitos aplicáveis
avaliação
Observe:
Exemplo: Todos os requisitos marcados com “(C)”, “(C, I, A)” ou “(C, I)”
são aplicáveis onde “C” é especificado na tabela acima (por exemplo, no
objetivo de avaliação “ Dados especiais ”).
Figura 11. Captura de tela: Principais elementos das questões do catálogo de critérios
ISA “Segurança da Informação”
5.2.2.2. Capítulos
Cada catálogo de critérios agrupa as questões em capítulos.
Você encontra as perguntas de cada catálogo de critérios nas respectivas planilhas Excel.
Exemplo: “4.1.2 Até que ponto o acesso do usuário aos serviços de rede, sistemas de TI e
aplicações de TI é protegido?”
Nota importante:
Se você abrir o arquivo Excel baixado e selecionar uma das planilhas do catálogo de critérios (p
exemplo, Segurança da Informação), provavelmente não verá imediatamente os campos do
formulário de autoavaliação. Para exibi-los, você precisa clicar no botão de agrupamento do nív
[ 14 ]
. O botão está acima e à esquerda da célula C1. Isso expandirá a visualização para mostrar os
campos do formulário de autoavaliação.
Outra dica é usar as teclas de seta para rolar para baixo. Porque devido ao grande tamanho das
células, a rolagem com a barra de rolagem pode exigir excelentes habilidades motoras finas. Se
usar o recurso de rolagem do dispositivo apontador, também poderá pular acidentalmente algum
das células maiores.
5.2.2.5. Objetivo
À direita da coluna “Questão de controle” está a coluna “Objetivo” (coluna J). Seu
conteúdo descreve o que você precisa alcançar em relação a esse aspecto do
gerenciamento da segurança da informação.
5.2.2.6. Requisitos
Os requisitos são o que se espera que você cumpra para atingir o objetivo.
Para obter mais informações sobre as definições da ISA dos níveis de requisitos “must” e
“should”, consulte os “Termos-chave” na planilha Excel “Definições”.
Nota importante:
É muito importante que você entenda que deve interpretar cada requisito no
contexto e no espírito do objetivo. Mesmo o cumprimento de um requisito
ao pé da letra não garante que o provedor de auditoria confirme que você o
cumpre no contexto e no espírito do objetivo (coluna J) .
A ISA diferencia seis níveis de maturidade. Você pode encontrar a definição detalhada na
planilha Excel “Níveis de maturidade” . Para uma visão consolidada dos níveis de
maturidade, citamos as descrições informais fornecidas na ISA:
Nivel de Em uma
Descrição
maturidade palavra
Para obter mais informações sobre os níveis de maturidade desejados e seu impacto no
resultado da sua avaliação, consulte a Seção 5.2.4, “Interpretar o resultado da
autoavaliação” .
Com esta compreensão melhorada, agora você está pronto para iniciar a autoavaliação.
Abra o arquivo Excel e analise todas as questões de controle de cada catálogo de critérios
aplicáveis ao(s) seu(s) objetivo(s) de avaliação e determine o nível de maturidade que
corresponde ao estado atual do seu sistema de gestão de segurança da informação. Faça
isso com base em seu melhor julgamento. Não há certo ou errado nesta fase.
5.2.4.1. Análise
1. Nível de perguntas
Este nível contém todas as perguntas. Para cada pergunta, existe um nível de
maturidade alvo e o seu nível de maturidade.
2. Nível de pontuação
Neste nível está o resultado geral que resume os resultados de todas as questões. Há
uma pontuação máxima de resultado e sua pontuação de resultado.
Figura 16. Nível de pontuação e nível de questão na planilha Excel “Resultados (ISA5)”
A próxima figura mostra uma visão simplificada dos níveis de análise, das definições de
alvo do ISA e dos seus próprios resultados :
Figura 17. As metas e seus resultados no nível da pergunta e no nível da pontuação
Para obter mais informações sobre a definição de cada nível de maturidade, consulte a
Seção 5.2.2, “Entender o documento ISA” .
Para receber rótulos TISAX, geralmente você precisa ter níveis de maturidade para cada
pergunta iguais ou superiores ao nível de maturidade desejado.
Exemplo: Se o nível de maturidade alvo para a pergunta X for “3”, o seu nível de
maturidade para essa pergunta deverá ser “3” ou superior. Se o seu nível de maturidade
para essa questão for inferior a “3”, você poderá não receber os rótulos TISAX.
Isso tem que acontecer para cada pergunta. Se o nível de maturidade alvo para duas
perguntas for “3”, você não poderá compensar um nível de maturidade “2” para uma
pergunta com um nível de maturidade “4” para a outra pergunta.
Seu nível de maturidade está sujeito a um cálculo antes que o documento ISA o resuma
em sua pontuação de resultado. Basicamente, seu nível de maturidade é “reduzido” ao
nível de maturidade desejado. Isso é feito para que as perguntas em que seu nível de
maturidade esteja acima do nível de maturidade desejado não compensem as perguntas
em que seu nível de maturidade esteja abaixo do nível de maturidade desejado.
Ele pega o seu nível de maturidade e o compara com o nível de maturidade alvo da
pergunta.
Se o seu nível de maturidade estiver acima do nível de maturidade alvo, ele será
“reduzido” para o nível de maturidade alvo.
Se o seu nível de maturidade estiver abaixo ou igual ao nível de maturidade desejado,
nada acontecerá para esta pergunta.
Exemplo (ver figura abaixo): O nível de maturidade alvo é “3”. Seu nível de maturidade é
“4”. Seu “ resultado de redução ” para esta questão será “3”.
A figura abaixo mostra que se o seu nível de maturidade for superior ao nível de
maturidade alvo, o ISA o reduz (as cores verde, laranja e vermelho correspondem às cores
usadas na coluna “Resultado”, consulte a Figura 19, “Seus níveis de maturidade na
planilha Excel “Resultados (ISA5)”” ).
Figura 21. Ilustração de cutback com as cores utilizadas na planilha Excel “Resultados
(ISA5)”
Abaixo está outra maneira de visualizar os níveis de maturidade no nível da pergunta. As
cores dos círculos ilustram o nível de maturidade alvo ou a “distância” até ele (exemplo: o
círculo é laranja se o nível de maturidade estiver “-1” abaixo do nível de maturidade
alvo). As marcas de seleção ilustram seu nível de maturidade.
Observe:
É possível passar com sucesso em uma avaliação TISAX mesmo que você
não atinja o nível de maturidade desejado para todas as questões. A
principal questão nesses casos é se você corre um risco relevante. Se o seu
nível de maturidade estiver abaixo do valor-alvo, mas não houver risco,
isso ainda poderá ser suficiente.
No entanto, é “3.0” apenas se todas as questões se aplicarem à sua situação. Assim que
uma questão não for aplicável à sua situação, a média muda e a pontuação máxima do
resultado é inferior a “3,0”.
Com base na visualização mostrada acima ( Figura 22, “Níveis de maturidade no nível da
pergunta” ), você pode ver abaixo o que é colocado na média para a pontuação máxima
do resultado:
Figura 24. A pontuação máxima do resultado (no nível de pontuação)
Sua pontuação geral do resultado (“Resultado com redução para os níveis de maturidade
desejados”, célula D6):
Novamente usando uma visualização mostrada acima ( Figura 22, “Níveis de maturidade
no nível da pergunta” ), você pode ver abaixo o que é colocado na média para a pontuação
do resultado:
Observe:
Nota importante:
O objetivo da análise acima é saber se você está pronto para uma avaliação TISAX.
Você está definitivamente pronto para uma avaliação TISAX se a pontuação do seu
resultado (“Resultado com redução para os níveis de maturidade alvo”) for (próximo de)
“3,0”. Neste caso, todos os valores da coluna “Resultados” (H) são verdes (sem laranja ou
vermelho).
Se você “desdobrar” a teia de aranha do ISA até o nível da pergunta, obterá uma visão
verde / vermelha semelhante no nível da pergunta:
Figura 28. “Desdobrando” o diagrama da teia de aranha ISA
O resultado da sua autoavaliação pode mostrar que você precisa melhorar seu sistema de
gestão de segurança da informação antes de estar pronto para receber os rótulos TISAX.
Para algumas lacunas entre o seu nível de maturidade e o nível de maturidade alvo, você
já deve saber como fechá-las. Para outros, você pode precisar de aconselhamento externo.
Neste caso, você pode solicitar serviços de consultoria aos nossos fornecedores de
auditoria TISAX. A TISAX permite a consulta, mas não exige. Observe que qualquer
provedor de auditoria que preste consultoria para você não poderá mais realizar
avaliações TISAX para você.
Nota importante:
Observe:
Observação:
provedores de auditoria TISAX estão autorizados a realizar avaliações TISAX para você
somente se não tiverem realizado nenhum trabalho de consultoria anterior com você.
Nota importante:
Observe:
Cada escopo de avaliação passa por um ciclo de vida. Nesta fase, o seu
escopo de avaliação deverá estar com o status “Aprovado” ou “Registrado”
Depois de registrar um escopo de avaliação TISAX, você poderá entrar em contato com
todos os provedores de auditoria TISAX e solicitar ofertas. Suas informações de contato
são fornecidas no e-mail de confirmação de registro que você recebeu [ 16 ] (consulte a
Seção 4.5.8, “E-mail de confirmação” ).
Observe:
5.3.2. Cobertura
Embora atualmente muitos dos contactos dos prestadores de auditoria estejam baseados
na Alemanha, é importante compreender que todos os nossos prestadores de auditoria são
geralmente capazes de realizar avaliações TISAX em todo o mundo. A maioria deles tem
até funcionários próprios em muitos países.
Em nosso site, oferecemos uma página onde você pode selecionar seu país e ver qual
provedor de auditoria possui equipe de vendas local e/ou auditores locais ( enx.com/en-
US/TISAX/xap/ ).
Para permitir que os nossos fornecedores de auditoria TISAX calculem com precisão os
esforços de avaliação esperados, você deve sempre incluir o “Excerto do Escopo
TISAX”.
Figura 29. Miniatura de um trecho de escopo (primeira página)
Observe:
Você pode escolher livremente entre todos os nossos fornecedores de auditoria TISAX.
Todos estão vinculados ao mesmo contrato. Todos realizam as avaliações com base nos
mesmos critérios e nos mesmos métodos de auditoria. Em termos do resultado da
avaliação, não haverá diferença, independentemente do fornecedor de auditoria que você
escolher. O resultado da sua avaliação será aceito por todos os participantes do TISAX.
Além de fatores óbvios como preço, reputação e simpatia, existem alguns aspectos de
uma oferta que você pode procurar:
Disponibilidade:
Quando pode começar o processo de avaliação? Este pode ser um aspecto importante
se a avaliação do TISAX for urgente para você.
Custos relacionados com viagens para consultas presenciais:
Os prestadores de auditoria com escritórios no seu país podem ter custos mais baixos
relacionados com viagens.
Idioma:
você e todos os outros entrevistados da sua empresa conseguirão se comunicar com o
auditor em seu idioma nativo?
Escopo da oferta:
Quais avaliações estão incluídas?
Para obter mais informações sobre avaliações, consulte a Seção 5.4.3, “Tipos de
avaliação TISAX” .
Normalmente, as ofertas incluem a avaliação inicial e a avaliação do plano de ação
corretiva. Como os esforços para avaliações de acompanhamento são difíceis de
prever, normalmente são oferecidos após a conclusão das outras avaliações.
Em última análise, tudo se resumirá à confiança. Você precisará formar uma relação de
confiança com seu provedor de auditoria, pois ele terá uma boa visão da sua empresa.
Observação:
Observe:
Observe:
Você deve ver o processo de avaliação como uma sequência entrelaçada de etapas onde:
Essas etapas alternadas são realizadas até que todas as lacunas sejam fechadas.
É importante compreender que você inicia cada subetapa do processo de avaliação. Todo
o processo de avaliação está sob seu controle. E é claro que cabe a você interromper e sair
do processo de avaliação sempre que quiser. [ 17 ]
Reunião inicial
Você e o provedor de auditoria estão planejando os detalhes do processo de avaliação
Fase de avaliação 1
O provedor de auditoria verifica sua autoavaliação
Fase de avaliação 2
O provedor de auditoria conduz a(s) avaliação(ões)
O processo de avaliação TISAX começa com a reunião inicial. É o local para planejar os
detalhes do processo de avaliação. Normalmente, a reunião inicial é feita em uma
teleconferência. O provedor de auditoria irá guiá-lo durante a reunião.
O processo de avaliação TISAX é composto por estes três tipos de avaliações TISAX:
Avaliação inicial
Avaliação do plano de ação corretiva
Avaliação de acompanhamento [ 18 ]
A avaliação inicial ocorrerá sempre. As outras duas avaliações TISAX poderão ocorrer e
poderão fazê-lo diversas vezes. Eles ocorrerão:
Observe:
Se a sua abordagem estiver “em conformidade” com todos os requisitos, você será
aprovado na avaliação e receberá os rótulos TISAX que correspondem aos seus objetivos
de avaliação.
Tudo o que está abaixo da conformidade total ou ideal com os requisitos é chamado de
constatação . TISAX diferencia quatro tipos de resultados:
Uma não
conformidade
Não
grave :
conformidades
Você tem que:
sistemáticas
cria um
Déficits de
risco abordar
implementação
imediato imediatamente
que criam
significativo as principais
riscos críticos
à segurança não
para a
da sua conformidades
Não segurança de
informação com medidas
1. conformidade informações
ou crie de
grave confidenciais
dúvidas compensação
Déficits de
sobre a apropriadas
implementação
eficácia implementar
que não são
geral do seu ações corretivas
abordados por
sistema de sem demora
uma ação
gestão de injustificada
corretiva
segurança
apropriada
da
informação
significativo ou de suas
à segurança políticas
da sua
informação
e não cria
dúvidas
quanto à
eficácia
geral do seu
sistema de
gestão de
segurança
da
informação
Uma
observação é
Você tem que:
uma não
conformidade
investigar,
com os
monitorar e
requisitos de
avaliar
nossas próprias
3. Observação cuidadosamente n/D
políticas que
possíveis riscos
não cria um
decidir como
risco imediato à
lidar com a
segurança da
observação
sua informação,
mas pode criar
isso no futuro.
Um desvio que
não pertence
aos tipos acima
mencionados e
Você pode decidir
não representa
Espaço para se ou como abordar
4. um risco para a n/D
melhorias esse tipo de
segurança da
descoberta.
sua informação,
mas oferece
espaço óbvio
para melhorias.
Etapa 2 : Todos os resultados da etapa anterior “por requisito” são mesclados no
resultado geral da avaliação.
a. Conforme
O resultado geral da avaliação é “conforme”. Todos os requisitos são cumpridos.
b. Não conformidade menor
O resultado geral da avaliação é “não conformidade menor” se você tiver pelo menos
uma “não conformidade menor” para um requisito.
c. Não conformidade grave
O resultado geral da avaliação é “não conformidade grave” se você tiver pelo menos
uma “não conformidade grave” para um requisito.
(Sem um plano de ação corretiva aprovado, toda não conformidade resulta em um
resultado geral de avaliação de “não conformidade grave”.)
“não conformidade menor”, você pode receber rótulos TISAX temporários até que
todas as não conformidades sejam resolvidas.
“não conformidade grave”, você deve resolver o respectivo problema primeiro antes
de receber qualquer rótulo TISAX.
Com medidas compensatórias apropriadas e ações corretivas aprovadas pelo provedor
de auditoria, é possível alterar o resultado geral da sua avaliação de “não
conformidade grave” para “não conformidade menor” e, assim, receber rótulos
TISAX temporários.
É importante compreender que o resultado geral da sua avaliação irá melhorar durante
todo o processo de avaliação TISAX.
Por favor, considere este exemplo simplificado: Você pode ter um resultado geral da
avaliação de “não conformidade grave” após a avaliação inicial. Depois você mitiga o
risco correspondente. Isso altera o resultado geral da sua avaliação de “não conformidade
grave” para “não conformidade menor”. E uma vez eliminado o risco, o resultado final da
sua avaliação geral será “conforme”.
Tudo isso será explicado a seguir com muito mais detalhes. E você pode encontrar mais
sobre rótulos TISAX mais adiante na Seção 5.4.14, “Rótulos TISAX” .
Nota importante:
Observe:
Além dos dois períodos descritos acima, não existem outras restrições de
tempo. Por exemplo, nem a conclusão do processo de registo online, nem o
contacto com os nossos prestadores de auditoria ou mesmo a realização da
reunião inicial acionam quaisquer prazos. Cabe a você começar com a
avaliação inicial.
Como todas as avaliações TISAX, a avaliação inicial começa com uma reunião formal de
abertura. A reunião formal de abertura geralmente é feita por meio de uma teleconferência
ou webconferência. Para pequenas empresas, possivelmente com alguma experiência de
outras auditorias, isto não demora muito.
Conforme, ou
Não conformidade maior
Ter não conformidades (menores) não tratadas sempre resulta em um resultado geral
da avaliação de “não conformidade maior”. O resultado geral da sua avaliação só
poderá ser “não conformidade menor” depois de você definir ações que
implementarão medidas para resolver as não conformidades.
Para obter mais informações sobre como conseguir isso, consulte a Seção 5.4.9.4,
“Etiquetas TISAX temporárias” .
Se o resultado geral da sua avaliação estiver “conforme” logo na avaliação inicial, você
pode pular o restante da seção de avaliação e prosseguir para a troca do seu resultado.
Se o resultado geral da sua avaliação for “não conformidade grave”, a sua próxima tarefa
é elaborar um plano sobre como abordar as conclusões e como colmatar quaisquer
lacunas encontradas pelo fornecedor de auditoria. O plano é oficialmente chamado de
“plano de ação corretiva” .
Observe:
O seu “plano de ação corretiva” define como você planeja abordar as conclusões da
avaliação inicial. Seu fornecedor de auditoria avaliará a adequação do seu “plano de ação
corretiva” (veja a próxima seção).
Para criar o seu “plano de ação corretiva”, você deve considerar os seguintes requisitos:
Encontrando
Você precisa indicar qual solução a ação corretiva aborda.
Causa raiz
Você precisa identificar e declarar a causa raiz da descoberta.
Ações corretivas
Para cada não conformidade é necessário definir uma ou mais “ações corretivas”,
que implementarão medidas que resolvam a não conformidade.
Data de implementação
Você precisa definir uma data de implementação para cada ação corretiva.
O período de implementação deve proporcionar tempo suficiente para implementar
completamente as medidas.
Medidas compensatórias
Para todas as não conformidades que criam riscos críticos, é necessário definir
medidas de compensação que abordem as não conformidades até que as ações
corretivas sejam implementadas.
Período de implementação
Para todas as ações corretivas que levam mais de três meses para serem
implementadas, é necessário justificar o período de implementação.
Para todas as ações corretivas que levam mais de seis meses, você também precisa
fornecer evidências que demonstrem que uma implementação mais rápida não é
possível.
O período de implementação de qualquer ação corretiva não pode ser superior a
nove meses.
Assim que o seu plano de ação corretiva estiver concluído, você poderá solicitar a
“avaliação do plano de ação corretiva”.
Nota importante:
Observe:
Essa avaliação geralmente não demora muito. Na maioria dos casos, será uma
teleconferência ou webconferência. Às vezes, isso é feito apenas por e-mail.
Se você combinar a “avaliação do plano de ação corretiva” com a avaliação inicial, e seu
“plano de ação corretiva” atender aos requisitos, você poderá concordar com o provedor
de auditoria que não precisa de um “relatório de avaliação inicial”. Em vez disso, o seu
fornecedor de auditoria apenas prepararia o “relatório de avaliação do plano de ação
corretiva”. Este relatório permite receber diretamente etiquetas temporárias TISAX.
O provedor de auditoria avalia seu “plano de ação corretiva” em relação aos seguintes
requisitos:
Se o resultado geral da sua avaliação for “não conformidade menor”, você receberá
rótulos TISAX temporários.
A vantagem dos rótulos TISAX temporários é que seu parceiro geralmente os aceita sob a
condição de que você receba posteriormente rótulos TISAX permanentes. Isso pode
ajudá-lo se for urgente provar a eficácia do seu sistema de gerenciamento de segurança da
informação ao seu parceiro.
Os rótulos TISAX temporários são iguais aos rótulos TISAX permanentes . A única
diferença é o período de validade mais curto dos rótulos temporários TISAX.
Os rótulos temporários TISAX podem ser válidos por até nove meses após a reunião de
encerramento da avaliação inicial. O período de validade dos rótulos temporários TISAX
é determinado pelo período mais longo de implementação das ações corretivas.
Exemplos:
Você tem apenas uma não conformidade. Você tem que fazer uma revisão da política.
O período de implementação associado é de dois meses.
Então, seus rótulos temporários TISAX são válidos por dois meses.
Você tem a inconformidade da revisão da política citada. Além disso, você tem uma
não conformidade onde é necessário construir uma nova parede externa como ação
corretiva. Devido ao tempo necessário para obter as aprovações necessárias do
município, o período de implementação associado é de oito meses.
Então, seus rótulos temporários TISAX são válidos por oito meses.
Para obter mais informações sobre os requisitos para períodos de implementação, consulte
a Seção 5.4.9.3, “Requisitos do plano de ação corretiva”
Observe:
Mas você pode fazer quantas avaliações de acompanhamento precisar. Se durante uma
avaliação de acompanhamento o seu fornecedor de auditoria ainda atestar não
conformidades existentes ou mesmo novas, basta atualizar o seu plano de ação corretiva e
iniciar esta parte do processo de avaliação novamente.
Esta avaliação pode ser uma reunião física, bem como uma teleconferência ou
webconferência.
5.4.10.1. Tempo
5.4.10.2. Pré-requisitos
Se você não precisar de etiquetas TISAX temporárias, poderá solicitar diretamente uma
avaliação de acompanhamento. Você não precisa ter uma “avaliação do plano de ação
corretiva” antes de uma avaliação de acompanhamento.
Caso você precise de rótulos TISAX temporários, você pode querer garantir que não haja
nenhuma lacuna no recebimento dos rótulos TISAX permanentes. Portanto,
recomendamos solicitar sua avaliação de acompanhamento bem antes da última data
possível [ 27 ] . A razão é que você deseja ter tempo suficiente para abordar quaisquer
descobertas menores identificadas durante uma avaliação de acompanhamento.
5.4.12. ID da avaliação
O “relatório de avaliação TISAX” pode ser dos seguintes tipos (dependendo do tipo de
avaliação):
As primeiras seções do “relatório de avaliação TISAX” são o que você compartilha com
seu parceiro.
Uma das principais características do TISAX é que cabe totalmente a você decidir quais
partes do relatório de avaliação do TISAX deseja compartilhar com seu parceiro ou
qualquer outro participante. A estrutura do relatório de avaliação TISAX foi concebida
para permitir este tipo de partilha seletiva. Cada seção expande o nível de detalhe.
Na etapa “troca” (detalhada abaixo) você decide até que nível seu parceiro terá acesso ao
conteúdo do seu relatório de avaliação TISAX.
Os rótulos TISAX:
O uso de rótulos TISAX facilita a comunicação relacionada ao TISAX com seu parceiro e
seu provedor de auditoria TISAX, porque se referem a um resultado definido do processo
de avaliação TISAX.
Exemplo: Se o seu objetivo de avaliação for “ Disponibilidade muito alta”, você receberá
o rótulo TISAX correspondente “ Disponibilidade muito alta”. Mas como o objetivo de
avaliação “ Disponibilidade muito alta” é um superconjunto de “Alta disponibilidade”,
você também recebe automaticamente o rótulo TISAX “Alta disponibilidade”.
Observe:
Exemplo: Você recebeu o rótulo TISAX “Info high” numa época em que o
rótulo “Alta disponibilidade” ainda não existia. Quando introduzimos o
rótulo Alta disponibilidade, nosso sistema o atribuiu automaticamente a
você.
Isso pode não parecer importante para todos os participantes. Mas imagine que um
parceiro solicite que você mostre o rótulo TISAX “ Muito alta disponibilidade” e outro
solicite o rótulo TISAX “Alta disponibilidade”. Então, ter os dois rótulos TISAX torna
tudo mais fácil para todos, porque ninguém precisa entender que “Alta disponibilidade” é
um subconjunto de “ Disponibilidade muito alta”. Isto pode ser particularmente
verdadeiro para parceiros onde ter determinados rótulos TISAX faz parte de um processo
de compra bastante rigoroso. Você certamente não vai querer explicar que “
Disponibilidade muito alta” é “melhor” que “Alta disponibilidade”. Basta mostrar todos
os seus rótulos TISAX e a pessoa que faz a avaliação pode simplesmente marcar o
requisito “deve ter o rótulo TISAX 'Alta disponibilidade'”.
Os rótulos TISAX são geralmente válidos por três anos. O período de validade começa no
final do processo de avaliação (mesmo antes da emissão do relatório de avaliação
TISAX).
O seu período de validade pode ser mais curto se algo significativo no âmbito da
avaliação TISAX mudar.
Exemplos: relocalização da sua empresa, novas localizações. (Para obter instruções sobre
o que fazer nesses casos, consulte a Seção 7.9.3.2, “Como solicitar a alteração de um
local” e a Seção 7.9.3.4, “Como adicionar um local adicional” .)
Observe:
Você pode visualizar suas etiquetas TISAX apenas no portal ENX. Não são
registados no relatório de avaliação TISAX.
Para manter seus rótulos TISAX por longo prazo, você precisa renová- los [ 30 ] a cada três
anos.
Para isso, você basicamente precisa executar novamente o processo TISAX (registrar um
escopo de avaliação, ser avaliado novamente pelo TISAX, compartilhar o resultado da sua
avaliação). O registro é um pouco mais fácil porque você não precisa recriar sua empresa
como participante do TISAX. E é claro que você pode reutilizar todos os seus contatos e
localizações que já estão armazenados no banco de dados TISAX.
Nota importante:
Nota importante:
Reutilize os registros de localização existentes que você criou e usou
durante o registro do seu escopo anterior. Não crie um novo registro de
localização com o mesmo endereço.
Nota importante:
Agora que recebeu suas etiquetas TISAX, você pode prosseguir para a última etapa e
compartilhá-las com seu parceiro.
6. Troca (Etapa 3)
O tempo estimado de leitura para a seção de troca é de 7 minutos.
Você já passou pelo processo TISAX até agora, mas seu parceiro ainda não viu nenhuma
“prova” de que seu sistema de gestão de segurança da informação é capaz de proteger
seus dados confidenciais. Esta secção descreve agora como partilhar o resultado da sua
avaliação com o seu parceiro e apresentar o comprovativo solicitado.
6.1. Premissa
Uma das principais características do TISAX é que o resultado da sua avaliação esteja
totalmente sob seu controle. Sem a sua permissão explícita, todas as informações
relacionadas à sua avaliação não serão compartilhadas com ninguém.
Você pode utilizar a conta criada durante o cadastro para acessar o portal e utilizar a
plataforma de troca.
Você pode acessar o portal neste endereço: enx.com/en-US/SignIn
Você poderá compartilhar o resultado da sua avaliação com seu parceiro somente se estes
dois pré-requisitos forem atendidos:
Observe:
Cada escopo de avaliação passa por um ciclo de vida. Nesta fase, o seu
escopo de avaliação deverá estar com o status “Ativo”.
Para verificar se o resultado da sua avaliação está pronto para compartilhamento (status
do escopo da avaliação = Ativo), siga estas etapas:
Nota importante:
2 B. Resultados resumidos
Quanto maior o nível de compartilhamento, mais detalhes sobre sua avaliação TISAX
estarão acessíveis ao(s) respectivo(s) participante(s).
Para mais detalhes sobre o conteúdo de cada seção do relatório de avaliação TISAX,
consulte a Seção 5.4.7.4, “Relatório de avaliação TISAX” .
Você pode compartilhar o resultado da sua avaliação com todos os outros participantes do
TISAX, publicando-o na plataforma de intercâmbio. Isso permite que todos os outros
participantes do TISAX acessem o resultado da sua avaliação até o nível compartilhado
concedido.
Você só poderá publicar o resultado da sua avaliação se o resultado geral da avaliação for
“conforme”.
Nota importante:
Para publicar o resultado da sua avaliação na plataforma de intercâmbio, siga estas etapas:
Observe:
Observe:
6.7.1. Pré-requisitos
Estes são os pré-requisitos para partilhar o resultado da sua avaliação com o seu parceiro
(ou qualquer outro participante do TISAX):
Você pode compartilhar o resultado da sua avaliação TISAX apenas com outros
participantes do TISAX.
Seu parceiro precisa ser participante do TISAX.
Você precisa do ID de participante do seu parceiro. [ 31 ]
Você precisa pagar a taxa (se aplicável).
Nota importante:
Para compartilhar o resultado da sua avaliação com outro participante do TISAX, siga
estas etapas:
Todo o resto é feito pela plataforma de câmbio. Para compartilhamento dos níveis A e B,
as informações estão disponíveis na plataforma de troca. Seu parceiro agora pode fazer
login no portal ENX e ver o resultado da avaliação compartilhada [ 32 ] .
Para níveis de compartilhamento mais altos (CE), a plataforma de troca notifica seu
provedor de auditoria. Em seguida, seu provedor de auditoria envia as informações
(correspondentes ao nível de compartilhamento selecionado) para o contato participante
principal do seu parceiro.
Embora não seja possível escrever publicamente sobre o resultado da avaliação, você
pode mencionar seus esforços no TISAX. No portal ENX, oferecemos conselhos sobre
como abordar declarações públicas. Também fornecemos logotipos TISAX que você
pode usar.
Após fazer login no portal ENX, você pode acessar as informações aqui: enx.com/en-
US/myenxportal/marketing/ Download direto do arquivo ZIP (documento e logotipos):
enx.com/myenxportal/marketing/tisax-trademark-and -logos-diretrizes
Caso você esteja se perguntando se existe um certificado que possa pendurar na parede:
Devido ao processo de troca padronizado mencionado acima, não fornecemos esse
certificado.
O objetivo desta abordagem é garantir que o seu parceiro concorde em aderir aos “Termos
e Condições Gerais de Participação TISAX” que regem a troca dos resultados da
avaliação TISAX.
Apenas o registo de um âmbito de avaliação acarreta custos. Como a inscrição como
participante do TISAX é gratuita, seu parceiro pode receber o resultado da sua avaliação
gratuitamente. No entanto, sem um resultado de avaliação próprio, seu parceiro poderá
receber apenas até cinco resultados de avaliação e não poderá ver nenhuma das
publicações .
Somente os funcionários do seu parceiro que possuem conta em nosso portal ENX podem
ver diretamente o seu resultado. Caso você precise comprovar suas etiquetas TISAX para
um funcionário de seu parceiro sem acesso ao portal, você pode utilizar um documento
PDF especial para isso. Para obter o documento, siga estes passos:
7. Anexos
7.1. Anexo: Exemplo de fatura
Este é um exemplo da fatura que enviamos.
Enviamos o e-mail de confirmação assim que você concluir todas as etapas obrigatórias
durante o processo de registro on-line.
Para obter mais informações quando enviarmos este e-mail de confirmação, consulte a
Seção 4.5.8, “E-mail de confirmação” .
Qual é o próximo?
Assistência necessária?
Atenciosamente,
O “ status de participante ” define onde você (como empresa) está no processo TISAX.
1. Incompleto
2. Aguardando aprovação
3. Preliminares
4. Registrado
5. Expirado
sua situação
(o que é verdade agora quando você está neste status)
sua próxima ação
(o que você precisa fazer para avançar para o próximo status; se aplicável)
nossa próxima ação
(o que precisamos fazer para elevar seu status; se aplicável)
o próximo status
(se aplicável)
Você não
completou o
registro TISAX.
Ou você não
Enviaremos um
aceitou os
lembrete por e-
termos e Continue em
mail Aguardando
Incompleto condições enx.com/en-
(geralmente aprovação
gerais. US/SignIn
dentro de
Ou você não
alguns dias).
especificou o
local do
participante
principal.
Sua próxima Nossa próxima Próximo
Status Situação
ação ação status
Ou você não
atribuiu um
contato de
participante
principal.
Ou outras
informações
que
necessitamos
estão faltando.
Sua
Próximo
Status Situação próxima Nossa próxima ação
status
ação
Iremos verificar e
normalmente aprovar
sua inscrição.
No entanto,
normalmente você
aciona nossa
verificação
Seu registro
registrando também
TISAX está
um escopo de
completo.
Aguarde avaliação.
Você pode
Aguardando nossa Atribuíremos um ID
ou não ter Preliminares
aprovação próxima do participante e o(s)
registrado
ação. ID(s) do escopo.
um escopo
Enviaremos um e-
de avaliação
mail de confirmação.
ainda.
O “Excerto do
Escopo TISAX”
(PDF) em anexo
resume as
informações que
temos em nosso
banco de dados.
Sua Nossa
Próximo
Status Situação próxima próxima
status
ação ação
Observe:
Sua Nossa
Próximo
Status Situação próxima próxima
status
ação ação
O “ status do escopo da avaliação ” define onde está o seu escopo de avaliação em relação
ao seu ciclo de vida.
1. Incompleto
2. Aguardando seu pedido
3. Aguardando aprovação ENX
4. Aguardando seu pagamento
5. Registrado
6. Ativo
7. Expirado
sua situação
(o que é verdade agora quando você está neste status)
sua próxima ação
(o que você precisa fazer para avançar para o próximo status; se aplicável)
nossa próxima ação
(o que precisamos fazer para elevar seu status; se aplicável)
o próximo status
(se aplicável)
A referência fora da página “A” na figura acima vincula o status do escopo da avaliação
“Ativo” ao “ status da avaliação ”. Para obter mais informações sobre o “ status da
avaliação ”, consulte a Seção 7.6, “Anexo: Status da avaliação ” .
Ou você não
concluiu o
Enviaremos um
registro do
lembrete por e-
escopo da Continue em
mail Aguardando
Incompleto avaliação. enx.com/en-
(geralmente seu pedido
Ou você não US/SignIn
dentro de alguns
forneceu todas
dias).
as informações
necessárias.
Para obter mais informações sobre onde esse status desempenha um papel, consulte a
Seção 4.5.7, “Registro do escopo da avaliação” .
Enviaremos um
Você não
Continue em lembrete por e- Aguardando
Aguardando concluiu o
enx.com/en- mail (geralmente aprovação
seu pedido registro do
US/SignIn dentro de alguns ENX
escopo.
dias).
Para obter mais informações sobre onde esse status desempenha um papel, consulte a
Seção 4.5.7, “Registro do escopo da avaliação” .
Sua
Próximo
Status Situação próxima Nossa próxima ação
status
ação
Iremos verificar e
O registro
Aguarde normalmente aprovar
Aguardando do escopo Aguardando
nossa sua inscrição.
aprovação da sua seu
próxima Atribuiremos os
ENX avaliação foi pagamento
ação. ID(s) do escopo .
concluído.
Nós lhe enviaremos
Sua
Próximo
Status Situação próxima Nossa próxima ação
status
ação
um e-mail de
confirmação . O
“Excerto do Escopo
TISAX” (PDF) em
anexo resume as
informações que
temos em nosso
banco de dados.
Para obter mais informações sobre onde esse status desempenha um papel, consulte a
Seção 4.5.7, “Registro do escopo da avaliação” .
Nossa
Próximo
Status Situação Sua próxima ação próxima
status
ação
do escopo da sua
avaliação mudar
para “Ativo” .
34 . Enquanto
estiver no status do
escopo da avaliação
“Aguardando seu
pagamento” ou
“Registrado”,
“Informações
relacionadas à
avaliação” inclui
locais do escopo da
avaliação, status do
escopo da avaliação
e objetivo(s) da
avaliação. Não
inclui resultados de
avaliação ou rótulos
TISAX.
Para obter mais informações sobre a influência desse status, consulte a Seção 4.5.8, “E-
mail de confirmação” .
Sua Nossa
Próximo
Status Situação próxima próxima
status
ação ação
Publique e compartilhe o
Você concluiu
resultado da sua avaliação.
com sucesso o
Quaisquer publicações e
processo de
permissões de
Ativo avaliação Nenhum Expirado
compartilhamento pré-
TISAX e
configuradas com um
recebeu os
status inferior agora
rótulos TISAX .
entrarão em vigor.
Sua Nossa
Próximo
Status Situação próxima próxima
status
ação ação
Qualquer:
O “ status de avaliação ” define onde você está no processo de avaliação. O status muda
com a sua progressão de um tipo de avaliação para outro (como “avaliação inicial” para
“avaliação do plano de ação corretiva”).
sua situação
(o que é verdade agora quando você está neste status)
sua próxima ação
(o que você precisa fazer para avançar para o próximo status; se aplicável)
nossa próxima ação
(o que precisamos fazer para elevar seu status; se aplicável)
o próximo status
(se aplicável)
A referência fora da página “A” na figura acima vincula o status do escopo da avaliação
“Ativo” com o status da avaliação “Aguardando avaliação do plano de ação corretiva”.
Para obter mais informações sobre o “ status do escopo da avaliação ”, consulte a Seção
7.5, “Anexo: Status do escopo da avaliação ” .
Você selecionou um
de nossos Continuar o
Avaliação Avaliação
fornecedores de processo de
inicial Nenhum inicial em
auditoria TISAX e avaliação
solicitada andamento
solicitou uma TISAX.
avaliação inicial.
Sua Nossa
Status Situação próxima próxima Próximo status
ação ação
iniciado
Aguardando
ou está
Avaliação avaliação do
concluído, mas
inicial em Nenhum Nenhum plano de ação
seu provedor de
andamento corretiva (se
auditoria ainda
aplicável)
não enviou o
relatório de
avaliação TISAX
Sua Nossa
Status Situação próxima próxima Próximo status
ação ação
Nossa
Sua próxima Próximo
Status Situação próxima
ação status
ação
Seu provedor
de auditoria
aprovou seu
plano de ação Solicite uma
Aguardando
corretiva. avaliação de Nenhum Finalizado
acompanhamento
Você acompanhamento.
implementou
as ações
corretivas.
O estado de avaliação “Aguardando seguimento” está limitado a nove meses. Para obter
mais informações, consulte a Seção 5.4.9.3, “Requisitos do plano de ação corretiva” .
Seu provedor de
auditoria conduziu uma
avaliação de
acompanhamento.
Publique e
O resultado da
compartilhe o
Finalizado avaliação não apresenta Nenhum n/D
resultado da sua
não conformidades.
avaliação.
Seu provedor de
auditoria nos enviou o
relatório de avaliação
TISAX.
Você tem controle total sobre quem vê os resultados da sua avaliação. É sua decisão
se o provedor de auditoria carrega algo no portal ENX. Se ninguém deveria ver,
ninguém vê (exceto o auditor, é claro).
Mesmo que não haja conclusões, você sempre paga por duas avaliações
completas.
Mesmo com as descobertas, você paga apenas por uma avaliação completa mais
uma breve avaliação de acompanhamento.
3. Você acha que pode ser reprovado na avaliação com consequências permanentes?
Você não pode falhar permanentemente, porque pode fazer quantas avaliações quiser.
Se o resultado da avaliação não atender às suas expectativas ou se você não conseguir
corrigir as não conformidades com ações corretivas dentro do período exigido de
nove meses , basta considerar a tentativa fracassada como sua pré-avaliação e
começar de novo. E ninguém precisa ver os resultados da sua primeira tentativa.
Você acabou de compartilhar o resultado da avaliação bem-sucedida.
Considerações adicionais:
Se o resultado da avaliação for melhor que o esperado, você poderá receber rótulos
TISAX temporários . Você pode compartilhá-los diretamente com seu parceiro. Isso
não é possível com uma pré-avaliação.
Se o prestador de auditoria que realiza a pré-avaliação também realizar a avaliação
TISAX, ele não poderá consultá -lo. Caso contrário, você deverá escolher outro
provedor de auditoria para a avaliação TISAX.
O auditor:
pode se concentrar em aspectos críticos onde você não tem confiança em seu SGSI
pode gastar mais tempo do que o normal e aumentar os insights
pode documentar descobertas de maneira diferente
Depois de ler as seções sobre o processo de avaliação TISAX , será ainda mais fácil
entender nosso raciocínio.
Finalidade: Um escopo estendido personalizado pode ser relevante se você quiser usar
sua avaliação TISAX para fins internos ou fora da indústria automotiva.
Descrição: embora o escopo padrão tenha uma descrição predefinida, você precisará
escrever sua própria descrição de escopo se precisar de um escopo estendido
personalizado.
Finalidade: Se você tiver locais que pertencem a escopos de avaliação diferentes e que
usam serviços em um local específico (como um data center), você poderá usar um
escopo personalizado completo para esses serviços. Assim, um provedor de auditoria
TISAX pode reutilizar facilmente o resultado da avaliação de todo o escopo personalizado
do serviço.
Nota importante:
As seções a seguir descrevem o que você precisa fazer se algo relacionado aos dados do
participante for alterado.
Caso ninguém em sua empresa tenha acesso ao portal ENX e assim restem seus dados de
participante, entre em contato conosco . Tentaremos ajudá-lo a recuperar o acesso aos
dados dos participantes da sua empresa.
Observe:
Nota importante:
Caso queira solicitar a alteração do nome da sua empresa, siga estes passos:
Sua
Sua empresa mudou para um novo local.
situação:
Se um dos seus locais for transferido para um novo endereço, siga estas etapas:
Observe:
Sua O nome da rua do seu local mudou. Sua empresa ainda está no
situação: mesmo local físico.
Nota importante:
Estas etapas só se aplicam quando sua empresa ainda está no mesmo local
físico, mas uma autoridade oficial alterou o nome da rua.
Se você mudou para um novo local, consulte a Seção 7.9.3.2, “Como
solicitar a mudança de local” para obter mais informações.
Se você abrir um local adicional durante o período de validade de seus rótulos TISAX
existentes, poderá solicitar uma “avaliação de extensão de escopo” ao seu provedor de
auditoria.
Para obter mais informações, consulte a Seção 7.10, “Anexo: Avaliação da extensão do
escopo” .
Além dos tipos de avaliação padrão descritos na Seção 5.4.3, “Tipos de avaliação
TISAX” , existe outro tipo de avaliação especial: a “avaliação de extensão de escopo” .
objetivos de avaliação, ou
Localizações.
Você não pode selecionar outro provedor de auditoria para realizar uma “avaliação de
extensão de escopo”. A avaliação é semelhante aos tipos de avaliação padrão. No entanto,
o seu fornecedor de auditoria provavelmente considerará a reutilização de resultados
aplicáveis de avaliações anteriores.
Assim que a avaliação da extensão do escopo for concluída sem não conformidades, seu
provedor de auditoria irá:
Uma avaliação de extensão de escopo não estende o período de validade original de seus
rótulos TISAX existentes.
Observe:
www.vda.de/en/news/publications/publication/harmonization-of-classification-
levels www.vda.de/de/aktuelles/publikationen/publication/whitepaper—
harmonisierung-der-klassifizierungsstufen-
https://www.vda.de/en/news/publications/publication/white-paper--information-
security-risk-management-
https://www.vda.de/de/aktuelles/publikationen/publication/whitepaper --
risikomanagement-in-der-informationssicherheit-
Se você tiver uma reclamação sobre a Associação ENX, entre em contato com nosso
“gerente de plantão TISAX” (veja os dados de contato abaixo).
Se o problema ainda não for resolvido, você deverá entrar em contato com nosso “gerente
de plantão TISAX” (veja detalhes de contato abaixo).
Existem até opções acima do “gerente de plantão TISAX”. Nesses casos, você
conversaria com o diretor administrativo da Associação ENX.
Observe:
8. Histórico do documento
Versão Notas
Legenda reformulada
Mudar de Word/PDF para HTML como formato principal do manual
Outras traduções disponíveis (chinês e francês, veja o próximo item)
Seção “O manual do participante TISAX em outros idiomas e
2.3 formatos” adicionada
Todos os links para a página inicial da ENX foram alterados de
"https://portal.enx.com" para "https://enx.com" (os links antigos ainda
funcionam)
“VDA ISA” passa a ser “ISA”
Versão Notas
Voltar ao topo .
1 . Você pode considerar passar pelo processo TISAX como uma etapa preventiva. Algumas
empresas fazem isso para estarem mais bem preparadas. Já ser avaliado pelo TISAX pode
significar um período de integração muito mais curto e, portanto, pode lhe dar uma vantagem
sobre os concorrentes ainda não avaliados pelo TISAX.
2 . “Etiquetas TISAX” são um conceito para resumir o resultado da sua avaliação e são o
resultado do processo TISAX. Consulte a Seção 5.4.14, “Etiquetas TISAX” para obter mais
detalhes.
3 . Você só precisa realizar a maioria das etapas de registro uma vez ao começar como
participante do TISAX. Ao renovar o resultado da sua avaliação, você só precisa atualizar e
confirmar seus dados cadastrais.
4 . Publicaremos alterações em nossos TCG no portal ENX e notificaremos os contatos
cadastrados.
5 . Isto também se aplica a todos os outros acordos adicionais (por exemplo, códigos de conduta).
6 . Observe que atualmente seu parceiro não é informado automaticamente sobre novas
permissões. Você pode notificar seu parceiro assim que o resultado da avaliação estiver
disponível para ele.
12 . Para evitar possíveis confusões entre números e letras (como 8 e B), determinadas letras não
são permitidas nas IDs de Participante. No entanto, alguns IDs de Participante mais antigos
podem conter a letra “G”.
13 . A ISA também se refere aos catálogos de critérios como “módulos”.
14 . Você pode encontrar o recurso subjacente do Excel na faixa “Dados”, seção “Esquema”.
15 . Você possui fornecedores de auditoria para avaliações semelhantes (como ISO 27001) em
sua empresa que também estejam interessados em realizar avaliações TISAX? Então compartilhe
este manual com eles e peça-lhes para entrar em contato conosco
16 . Os provedores de auditoria que não estão incluídos em nossa listagem não estão autorizados
a realizar avaliações TISAX.
17 . Se você encerrar o processo de avaliação, não receberá os rótulos TISAX.
19 . A reunião formal de abertura será descrita em detalhes apenas para a avaliação inicial. Para
as outras avaliações TISAX, seu provedor de auditoria agendará e organizará essas reuniões.
20 . Alguns prestadores de serviços de auditoria podem usar o termo “reunião inicial” como
sinônimo de “reunião formal de abertura”.
21 . A reunião formal de encerramento será descrita em detalhes apenas para a avaliação inicial.
Para as outras avaliações TISAX, seu provedor de auditoria agendará e organizará essas reuniões.
22 . Se uma disputa não puder ser resolvida, você poderá escalar o problema. Para obter mais
informações, consulte a Seção 7.13, “Anexo: Gestão de reclamações” para obter mais detalhes.
23 . Para obter mais informações sobre métodos e intensidades de auditoria, consulte a Seção
4.3.3.5, “Necessidades de proteção e níveis de avaliação” .
24 . Se uma disputa não puder ser resolvida, você poderá escalar o problema. Entre em contato
conosco para mais detalhes.
25 . Observe que o resultado geral da sua avaliação ainda pode ser “não conformidade grave”,
mesmo que você tenha definido ações corretivas apropriadas. Este é o caso se as suas medidas
não entrarem/não puderem entrar em vigor imediatamente.
26 . É claro que isto só se aplica a uma avaliação inicial que identificou não conformidades. Você
não precisa de uma avaliação de acompanhamento para uma avaliação inicial com um resultado
de avaliação “conforme”.
27 . Em teoria, isto pode ocorrer nove meses após a conclusão da avaliação inicial.
30 . A palavra “renovação” pode ser enganosa. Para manter um rótulo TISAX por mais de três
anos, você precisa executar novamente o processo TISAX. Isso começa com o registro de um
novo escopo de avaliação.
31 . Não mantemos uma lista “pública TISAX” de IDs de participantes. A razão para isso é que
queremos evitar o compartilhamento acidental com base em nomes de empresas com sons
semelhantes ou outros “erros humanos”. Portanto, você sempre deverá obter o ID de Participante
do seu parceiro entrando em contato diretamente com ele.
32 . Seu parceiro deve fazer login no portal e procurar ativamente o resultado da avaliação
compartilhada. Seu parceiro não recebe uma notificação automática sobre novos resultados de
avaliações compartilhadas.
33 . A regra está definida nos “Termos e Condições Gerais de Participação TISAX” (
https://enx.com/tisaxgtcen.pdf ).
35 . “Etiquetas TISAX” são um conceito para resumir o resultado da sua avaliação e são o
resultado do processo TISAX. Consulte a Seção 5.4.14, “Etiquetas TISAX” para obter mais
detalhes.