Manual Do Participante TISAX

Manual do Participante TISAX
Índice
 1. Visão Geral
o 1.1. Propósito
o 1.2. Escopo
o 1.3. Público
o 1.4. Estrutura
o 1.5. Como usar este documento
o 1.6. Contate-nos
o 1.7. O manual do participante TISAX em outros idiomas e formatos
 1.7.1. Sobre o formato on-line
 1.7.2. Sobre o formato off-line
 1.7.3. Sobre o formato PDF
 2. Introdução
o 2.1. Por que TISAX?
o 2.2. Quem define o que significa “seguro”?
o 2.3. O jeito automotivo
o 2.4. Como comprovar a segurança de forma eficiente?
 3. O processo TISAX
o 3.1. Visão geral
o 3.2. Cadastro
o 3.3. Avaliação
o 3.4. Intercâmbio
 4. Registro (Etapa 1)
o 4.1. Visão geral
o 4.2. Você é um participante TISAX
o 4.3. Preparação de registro
 4.3.1. A base jurídica
 4.3.2. O escopo da avaliação TISAX
 4.3.2.1. Descrição do escopo
 4.3.2.2. Escopo padrão
 4.3.2.3. Escopo
 4.3.2.4. Adaptação de escopo
 4.3.2.5. Locais de escopo
 4.3.2.6. Nome do escopo
 4.3.2.7. Contatos
 4.3.2.8. Publicação e compartilhamento
 4.3.3. Objetivos de avaliação
 4.3.3.1. Lista de objetivos de avaliação
 4.3.3.2. Objetivos de avaliação e ISA
 4.3.3.3. Objetivos de avaliação e rótulos TISAX
 4.3.3.4. Seleção do objetivo da avaliação
 4.3.3.5. Necessidades de proteção e níveis de avaliação
 4.3.3.6. Objetivos de avaliação e seus próprios fornecedores
 4.3.4. Taxa
o 4.4. Portal ENX
o 4.5. Processo de registro on-line
 4.5.1. Tempo requerido
 4.5.2. Começa aqui
 4.5.3. Conta do portal
 4.5.4. Cadastro de participante
 4.5.5. Contato do participante
 4.5.6. termos e Condições Gerais
 4.5.7. Cadastro do escopo da avaliação
 4.5.8. E-mail de confirmação
 4.5.8.1. ID do participante
 4.5.8.2. ID do escopo
 4.5.9. Informações de status
 4.5.10. Alterações nas suas informações cadastrais
 5. Avaliação (Etapa 2)
o 5.1. Visão geral
o 5.2. Autoavaliação baseada no ISA
 5.2.1. Baixe o documento ISA
 5.2.2. Entenda o documento ISA
 5.2.2.1. Catálogos de critérios
 5.2.2.2. Capítulos
 5.2.2.3. Perguntas de controle
 5.2.2.4. Campos do formulário de autoavaliação
 5.2.2.5. Objetivo
 5.2.2.6. Requisitos
 5.2.2.7. Níveis de maturidade
 5.2.3. Faça a autoavaliação
 5.2.4. Interprete o resultado da autoavaliação
 5.2.4.1. Análise
 5.2.4.2. O nível de maturidade alvo (no nível da pergunta)
 5.2.4.3. Seu resultado (no nível da pergunta)
 5.2.4.4. O alvo (no nível de pontuação)
 5.2.4.5. Seu resultado (no nível de pontuação)
 5.2.4.6. Você está pronto?
 5.2.5. Aborde o resultado da autoavaliação
o 5.3. Seleção de provedor de auditoria
 5.3.1. Informações de contato
 5.3.2. Cobertura
 5.3.3. Solicitando ofertas
 5.3.4. Avaliando ofertas
o 5.4. Processo de avaliação TISAX
 5.4.1. Visão geral
 5.4.2. Reunião de lançamento
 5.4.3. Tipos de avaliação TISAX
 5.4.4. Elementos de avaliação TISAX
 5.4.5. Sobre conformidade
 5.4.6. Sua preparação para o processo de avaliação TISAX
 5.4.7. Avaliação inicial
 5.4.7.1. A primeira reunião formal de abertura
 5.4.7.2. Procedimento de avaliação
 5.4.7.3. Reunião de encerramento
 5.4.7.4. Relatório de avaliação TISAX
 5.4.8. Preparação do plano de ação corretiva
 5.4.9. Avaliação do plano de ação corretiva
 5.4.9.1. Razões para uma avaliação do plano de ação corretiva
 5.4.9.2. Combinação com avaliação inicial
 5.4.9.3. Requisitos do plano de ação corretiva
 5.4.9.4. Etiquetas TISAX temporárias
 5.4.10. Avaliação de acompanhamento
 5.4.10.1. Tempo
 5.4.10.2. Pré-requisitos
 5.4.10.3. Expiração de rótulos temporários TISAX
 5.4.11. Diagrama do processo de avaliação TISAX
 5.4.12. ID da avaliação
 5.4.13. Relatório de avaliação TISAX
 5.4.14. Etiquetas TISAX
 5.4.14.1. Hierarquia de rótulos TISAX
 5.4.14.2. Período de validade dos rótulos TISAX
 5.4.14.3. Renovação de rótulos TISAX
 6. Troca (Etapa 3)
o 6.1. Premissa
o 6.2. A plataforma de troca
o 6.3. Pré-requisitos gerais
o 6.4. Permanência dos resultados trocados
o 6.5. Sharing levels
o 6.6. Publish your assessment result on the exchange platform
o 6.7. Share your assessment result with a particular participant
 6.7.1. Prerequisites
 6.7.2. How to create a sharing permission
o 6.8. Sharing your assessment result outside TISAX
 6.8.1. The reasons for the strict governing of the exchange mechanism
 6.8.2. A guide to writing about TISAX in public
 6.8.3. Sharing with a partner who is not yet a TISAX participant
 6.8.4. Sharing with employees of your partner who have no direct access to
the ENX portal
 7. Annexes
o 7.1. Annex: Example invoice
o 7.2. Annex: Example confirmation email
o 7.3. Annex: Example TISAX Scope Excerpt
o 7.4. Annex: Participant status
 7.4.1. Overview: Participant status
 7.4.2. Participant status “Incomplete”
 7.4.3. Participant status “Awaiting approval”
 7.4.4. Participant status “Preliminary”
 7.4.5. Participant status “Registered”
 7.4.6. Participant status “Expired”
o 7.5. Annex: Assessment scope status
 7.5.1. Overview: Assessment scope status
 7.5.2. Assessment scope status “Incomplete”
 7.5.3. Assessment scope status “Awaiting your order”
 7.5.4. Assessment scope status “Awaiting ENX approval”
 7.5.5. Assessment scope status “Awaiting your payment”
 7.5.6. Assessment scope status “Registered”
 7.5.7. Assessment scope status “Active”
 7.5.8. Assessment scope status “Expired”
o 7.6. Annex: Assessment status
 7.6.1. Overview: Assessment status
 7.6.2. Assessment status “Initial assessment ordered”
 7.6.3. Assessment status “Initial assessment ongoing”
 7.6.4. Assessment status “Waiting for corrective action plan assessment”
 7.6.5. Assessment status “Waiting for follow-up”
 7.6.6. Assessment status “Finished”
o 7.7. Annex: The reasoning against “pre-assessments” and “gap analyses”
o 7.8. Annex: Custom scopes
 7.8.1. Custom extended scope
 7.8.2. Full custom scope
o 7.9. Annex: Participant data life cycle management
 7.9.1. Lost access to participant data (ENX portal)
 7.9.2. Administration of contacts
 7.9.2.1. How to add a new contact
 7.9.2.2. How to delete an existing contact
 7.9.2.3. Como atualizar detalhes de um contato existente
 7.9.3. Administração de locais
 7.9.3.1. Como solicitar a mudança do nome da sua empresa
 7.9.3.2. Como solicitar a mudança de local
 7.9.3.3. Como solicitar a alteração do nome de uma rua
 7.9.3.4. Como adicionar um local adicional
o 7.10. Anexo: Avaliação da extensão do escopo
o 7.11. Anexo: Gestão do ciclo de vida do ISA
o 7.12. Anexo: Documentos úteis
o 7.13. Anexo: Gestão de reclamações
 7.13.1. Causas de reclamação
 7.13.1.1. Reclamações sobre a Associação ENX
 7.13.1.2. Reclamações sobre prestadores de auditoria
 7.13.1.3. Requisitos para reclamações
 7.13.2. Contato para reclamações
 8. Histórico do documento
Passe pelo processo de avaliação TISAX e compartilhe o resultado da avaliação

com seu parceiro
Publicado por
Associação ENX,
uma Associação de acordo com a Lei Francesa de 1901,
registrada sob o número w923004198 na Sous-préfecture de Boulogne-Billancourt,
França
Endereço
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, França
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Alemanha
Autor
Florian Gleich
Contato
tisax@enx.com
+49 69 9866927-77
Versão
Data: 28/08/2023
Versão: 2.6
Classificação: Público
ID do documento ENX: 602
Aviso de direitos autorais
Todos os direitos reservados à Associação ENX.

ENX, TISAX e seus respectivos logotipos são marcas registradas da ENX Association.
As marcas registradas de terceiros mencionadas são propriedade de seus respectivos
proprietários.
1. Visão Geral
1.1. Propósito
Bem-vindo ao TISAX, o Trusted Information Security Assessment Exchange.
Um dos seus parceiros solicitou que você comprovasse que a sua gestão de segurança da
informação atende a um nível definido de acordo com os requisitos da “Avaliação de
Segurança da Informação” (ISA). E agora você quer saber como atender a esse pedido.
O objetivo deste manual é permitir que você atenda à solicitação do seu parceiro — ou
tenha vantagem ao antecipá-la antes que um parceiro a solicite.
Este manual descreve os passos que você precisa seguir para passar na avaliação TISAX e
para compartilhar o resultado da sua avaliação com seu parceiro.
Estabelecer e manter um sistema de gestão de segurança da informação (SGSI) já é uma

tarefa complexa. Provar ao seu parceiro que o gerenciamento da segurança da informação
está à altura do trabalho acrescenta ainda mais complexidade. Este manual não o ajudará a
gerenciar a segurança da informação. No entanto, o objetivo é tornar o trabalho de provar
seus esforços ao seu parceiro o mais fácil possível.
1.2. Escopo
Este manual se aplica a todos os processos TISAX dos quais você possa fazer parte.
Ele contém tudo que você precisa saber para passar pelo processo TISAX.
O manual oferece alguns conselhos sobre como lidar com os requisitos de segurança da
informação no centro da avaliação. Mas não tem como objetivo educá-lo de maneira geral
sobre o que você precisa fazer para passar na avaliação de segurança da informação.
1.3. Público
O público principal deste manual são empresas que necessitam ou desejam comprovar um
nível definido de gestão de segurança da informação de acordo com os requisitos da
“Avaliação de Segurança da Informação” (ISA).
Assim que estiver ativamente envolvido nos processos TISAX, você se beneficiará das
informações fornecidas neste manual.
As empresas que solicitam aos seus fornecedores que comprovem níveis definidos de
gestão da segurança da informação também serão beneficiadas. Este manual permite-lhes
compreender o que os seus fornecedores são obrigados a fazer para satisfazer o seu
pedido.
1.4. Estrutura
Começamos com uma breve introdução ao TISAX e depois seguimos imediatamente com
instruções sobre COMO fazer as coisas. Você encontrará tudo o que precisa para passar
pelo processo – na ordem em que precisa saber.
O tempo estimado de leitura do documento é de 75 a 90 minutos.
1.5. Como usar este documento
Mais cedo ou mais tarde, você provavelmente desejará entender a maior parte do que está
descrito neste documento. Para estar devidamente preparado, recomendamos a leitura de
todo o manual.
Estruturamos o manual de acordo com as três etapas principais do processo TISAX, para
que você possa ir para a seção necessária e ler o restante mais tarde.
O manual usa ilustrações para ajudá-lo a melhorar sua compreensão. As cores nas
ilustrações geralmente têm um significado adicional. Portanto, recomendamos a leitura do
documento na tela do computador ou em cópia impressa colorida.
Agradecemos seu feedback. Se você acha que algo está faltando neste manual ou não é
fácil de entender, não hesite em nos informar. Nós e todos os futuros leitores deste manual
ficaremos gratos pelo seu feedback.
Se você já utilizou uma versão anterior do manual do participante TISAX, poderá
encontrar algumas notas úteis no final do documento na Seção 8, “Histórico do
documento” .
1.6. Contate-nos
Estamos aqui para orientá-lo no processo TISAX e para responder a quaisquer dúvidas
que você possa ter.
Envie-nos um e-mail para: tisax@enx.com
Ou ligue para: +49 69 9866927-77
Você pode entrar em contato conosco durante o horário comercial normal na Alemanha (
UTC+01:00 ).
Todos falamos inglês e alemão. Um colega é falante nativo de italiano.
Por favor, observe a Seção 7.13, “Anexo: Gestão de reclamações” .
1.7. O manual do participante TISAX em outros idiomas e formatos
O manual do participante TISAX está disponível nos seguintes idiomas e formatos:
Linguagem Versão Formatar Link
On-line https://www.enx.com/handbook/tisax-participant-handbook.html
Inglês 2.6 desligada https://www.enx.com/handbook/tisax-participant-handbook-offlin
PDF https://www.enx.com/handbook/TISAX%20Participant%20Hand
On-line https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html
Alemão 2.6 desligada https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offlin
PDF https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pd
On-line https://www.enx.com/handbook/tph-fr.html
2.3
Francês desligada https://www.enx.com/handbook/tph-fr-offline.html
beta
PDF https://www.enx.com/handbook/tph-fr.pdf
chinês On-line https://www.enx.com/handbook/tph-cn.html

Linguagem Versão Formatar Link
desligada https://www.enx.com/handbook/tph-cn-offline.html
2.3
beta
PDF https://www.enx.com/handbook/tph-cn.pdf
On-line https://www.enx.com/handbook/tph-es.html
2.3
Espanhol desligada https://www.enx.com/handbook/tph-es-offline.html
beta
PDF https://www.enx.com/handbook/tph-es.pdf
Nota importante:
A versão em inglês é a versão principal.

Todos os outros idiomas são traduções da versão em inglês.
Em caso de dúvida, a versão em inglês é válida.
1.7.1. Sobre o formato on-line
Cada seção possui um ID exclusivo (formato: ID1234).

Um ID faz referência a uma seção específica, independentemente do idioma.
Se quiser criar um link para uma seção específica, você pode:
 clique com o botão direito no título da seção e copie o link, ou

 clique no título da seção e copie o link da barra de endereço do seu navegador.
A maioria das figuras está disponível em tamanho maior do que o exibido aqui por
padrão. Clique na figura para abrir a versão maior.
1.7.2. Sobre o formato off-line
O formato offline mantém a maioria dos recursos do formato online. Mais notavelmente,
as figuras estão incorporadas no arquivo HTML. Você precisa apenas de um arquivo para
usar o formato offline.
Comparado ao formato online, o formato offline não inclui:
 as imagens maiores
 as fontes originais do formato online
Os padrões do seu navegador definem as fontes.
1.7.3. Sobre o formato PDF
O formato PDF é baseado no formato online. Basicamente usamos um navegador para

salvar o formato online como PDF.
Se você usar o formato PDF no seu computador, ainda poderá clicar em todas as
referências. Mas se você imprimir a versão em PDF, não terá coisas como números de
página e terá que procurar as referências você mesmo.
2. Introdução
As seções a seguir apresentam o conceito TISAX.
Se estiver com pressa, você pode ignorá-los e começar imediatamente na Seção 4.3,
“Preparação para inscrição” .
2.1. Por que TISAX?
Ou melhor, por que você está aqui?
Para responder a esta pergunta, começaremos com algumas reflexões sobre como fazer
negócios em geral e proteger informações em particular.
Imagine seu parceiro. Ele tem informações confidenciais. Ele quer compartilhar com seu
fornecedor – você. A cooperação entre você e seu parceiro cria valor. A informação que o
seu parceiro partilha consigo é uma parte importante desta criação de valor. Portanto, ele
deseja protegê-lo adequadamente. E ele quer ter certeza de que você está lidando com as
informações dele com o mesmo cuidado.
Mas como ele pode ter certeza de que suas informações estão em boas mãos? Ele não
pode simplesmente “acreditar” em você. Seu parceiro precisa ver alguma prova.
Agora há duas perguntas. Quem define o que significa o tratamento “seguro” da

informação? E a seguir, como você prova isso?
2.2. Quem define o que significa “seguro”?
Você e seu parceiro não são os únicos que enfrentam essas questões pela primeira vez.
Quase todo mundo precisa encontrar respostas para elas e a maioria das respostas terá
semelhanças.
Em vez de criar sempre uma solução independente para um problema comum, uma
maneira padrão de fazer isso elimina o fardo de criar tudo do zero. Embora definir um
padrão seja um esforço enorme, ele é feito apenas uma vez e aqueles que o seguem
sempre se beneficiam.
Certamente existem diferentes pontos de vista sobre o que é a coisa certa a fazer para
proteger as informações. Mas devido aos benefícios acima mencionados, a maioria das
empresas adota padrões. Um padrão é a forma condensada de todas as melhores práticas
comprovadas e testadas ao longo do tempo para um determinado desafio.
No seu caso, normas como a ISO/IEC 27001 (sobre sistemas de gestão de segurança da
informação, ou ISMS) e a sua implementação estabelecem uma forma de última geração
para lidar com informações confidenciais com segurança. Um padrão como esse evita que
você tenha que reinventar a roda todas as vezes. Mais importante ainda, os padrões
fornecem uma base comum quando duas empresas precisam trocar dados confidenciais.
2.3. O jeito automotivo
Por natureza, os padrões independentes da indústria são concebidos como soluções

únicas, em vez de adaptados às necessidades específicas das empresas automotivas.
Há muito tempo, a indústria automotiva formou associações que visavam — entre outros
objetivos — refinar e definir padrões que atendessem às suas necessidades mais
específicas. A “Verband der Automobilindustrie” (VDA) é uma delas. No grupo de
trabalho que trata da segurança da informação, vários membros da indústria automóvel
chegaram à conclusão de que têm necessidades semelhantes para adaptar os padrões de
gestão de segurança da informação existentes.
Seus esforços conjuntos levaram a um questionário que abrange os requisitos de

segurança da informação amplamente aceitos pela indústria automotiva. É chamada de
“Avaliação de Segurança da Informação” (ISA).
Com a ISA, temos agora uma resposta à pergunta “Quem define o que significa
“seguro”?” Através da VDA, a própria indústria automóvel oferece esta resposta aos seus
membros.
2.4. Como comprovar a segurança de forma eficiente?
Enquanto algumas empresas utilizam a ISA apenas para fins internos, outras utilizam-na
para avaliar a maturidade da gestão da segurança da informação dos seus fornecedores.
Em alguns casos, uma autoavaliação é suficiente para o relacionamento comercial. No
entanto, em certos casos, as empresas realizam uma avaliação completa da gestão da
segurança da informação dos seus fornecedores (incluindo auditorias no local).
Juntamente com a crescente consciencialização geral sobre a necessidade de gestão da

segurança da informação e a adopção generalizada da ISA como ferramenta para
avaliações de segurança da informação, mais fornecedores enfrentavam pedidos
semelhantes de diferentes parceiros.
Esses parceiros ainda aplicavam normas diferentes e tinham opiniões diversas sobre como
interpretá-las. Mas os fornecedores tiveram essencialmente de provar as mesmas coisas,
apenas de maneiras diferentes.
E quanto mais os fornecedores eram solicitados pelos seus parceiros a comprovar o seu
nível de gestão da segurança da informação, mais altas cresciam as suas reclamações em
termos de esforços repetidos. Mostrar a auditor após auditor as mesmas medidas de gestão
de segurança da informação simplesmente não é eficiente.
O que pode ser feito para tornar isso mais eficiente? Não ajudaria se o relatório de
qualquer auditor pudesse ser reutilizado para diferentes parceiros?
OEMs e fornecedores do grupo de trabalho ENX responsável pela manutenção do ISA

ouviram as reclamações de seus fornecedores. Agora eles oferecem uma resposta aos seus
fornecedores, bem como a todas as outras empresas da indústria automotiva, à pergunta
“Como provar a segurança?”
A resposta é TISAX, abreviação de “Trusted Information Security Assessment Exchange”

.
3. O processo TISAX
3.1. Visão geral
O processo TISAX geralmente [ 1 ] começa com um de seus parceiros solicitando que você
comprove um nível definido de gestão de segurança da informação de acordo com os
requisitos da “Avaliação de Segurança da Informação” (ISA). Para atender a essa
solicitação, você deve concluir o processo TISAX de 3 etapas. Esta seção fornece uma
visão geral das etapas que você precisa seguir.
O processo TISAX de 3 etapas consiste nas seguintes etapas:
Figura 1. Visão geral do processo TISAX
1. Cadastro
Coletamos informações sobre sua empresa e o que precisa fazer parte da avaliação.
2. Avaliação
Você passa pela(s) avaliação(ões), que são conduzidas por um de nossos provedores
de auditoria TISAX.
3. Troca
Você compartilha o resultado da sua avaliação com seu parceiro.
Cada etapa consiste em subetapas. Eles são descritos nas três seções abaixo e descritos em
detalhes em suas respectivas seções mais abaixo.
Observe:
Embora certamente gostaríamos de lhe dizer quanto tempo levará para

obter o resultado da sua avaliação TISAX, pedimos a sua compreensão de
que não nos é possível prever isso de forma confiável. A duração geral do
processo TISAX depende de muitos fatores. A grande variedade de
tamanhos de empresas e objetivos de avaliação, além da respectiva
prontidão de um sistema de gestão de segurança da informação, tornam
isso impossível.
3.2. Cadastro
Seu primeiro passo é o registro TISAX.

O principal objetivo do registro TISAX é coletar informações sobre sua empresa. Usamos
um processo de registro on-line para ajudá-lo a nos fornecer essas informações.
É o pré-requisito para todas as etapas subsequentes. Está sujeito a uma taxa.
Durante o processo de registro on-line:
 Pedimos-lhe detalhes de contacto e informações de faturação.

 Você deve aceitar nossos termos e condições.
 Você pode definir o escopo da sua avaliação de segurança da informação.
Para começar diretamente com esta etapa, consulte a Seção 4, “Registro (Etapa 1)” .
O processo de registro on-line é descrito detalhadamente na Seção 4.5, “Processo de

registro on-line” . Mas se você quiser começar imediatamente, acesse enx.com/en-
US/TISAX/ .
3.3. Avaliação
Sua segunda etapa é passar pela avaliação de segurança da informação.
Existem quatro subetapas:
a. Preparação da avaliação
Você deve preparar a avaliação. A extensão disso depende do nível de maturidade
atual do seu sistema de gerenciamento de segurança da informação. A sua preparação
deve ser baseada no catálogo da ISA.
b. Seleção de provedor de auditoria
Você deve escolher um de nossos provedores de auditoria TISAX.
c. Avaliações de segurança da informação
Seu provedor de auditoria conduzirá a avaliação com base em um escopo de
avaliação que corresponda aos requisitos do seu parceiro. O processo de avaliação
consistirá, no mínimo, na auditoria inicial.
Se a sua empresa não passar na avaliação imediatamente, o processo de avaliação
poderá exigir etapas adicionais.
d. Resultado da avaliação
Depois que sua empresa for aprovada na avaliação, seu provedor de auditoria
fornecerá a você o relatório oficial da avaliação TISAX. O resultado da sua avaliação
também receberá rótulos TISAX [ 2 ] .
Para obter mais informações sobre esta etapa, consulte a Seção 5, “Avaliação (Etapa 2)” .
3.4. Intercâmbio
A terceira e última etapa é compartilhar o resultado da avaliação com seu parceiro. O

conteúdo do relatório de avaliação TISAX está estruturado em níveis. Você pode decidir
até qual nível seu parceiro terá acesso.
O resultado da sua avaliação é válido por três anos. Supondo que você ainda seja
fornecedor de seu parceiro, você terá que passar novamente pelo processo de três etapas [ 3
]
.
Para obter mais informações sobre esta etapa, consulte a Seção 6, “Troca (Etapa 3)” .
Agora que você tem uma ideia fundamental sobre o que é o processo TISAX, encontrará
instruções sobre como realizar cada etapa nas seções a seguir.
4. Registro (Etapa 1)
O tempo estimado de leitura para a seção de registro é de 30 a 40 minutos.
4.1. Visão geral
O registro TISAX é o primeiro passo. É o pré-requisito para todas as etapas subsequentes.
As seções a seguir irão guiá-lo durante o registro:
1. Começamos explicando um novo termo essencial .

2. A seguir aconselhamos você sobre o que você deve fazer para estar preparado para o
processo de inscrição online.
3. A seguir, orientamos você no processo de registro on-line .
4.2. Você é um participante TISAX
Vamos primeiro introduzir um novo termo que é necessário entender. Até agora, você tem
sido o “fornecedor”. Você está aqui para atender a uma exigência do seu “cliente”. O
próprio TISAX, entretanto, não diferencia realmente essas duas funções. Para o TISAX,
todos os inscritos são “participantes”. Você — assim como seu parceiro — “participa” da
troca de resultados da avaliação de segurança da informação.
Figura 2. Registre-se para se tornar um participante do TISAX
Para diferenciar as duas funções desde o início, nos referimos a você, fornecedor, como
“participante ativo”. Referimo-nos ao seu parceiro como “participante passivo”. Como
“participante ativo”, você é avaliado pelo TISAX e compartilha o resultado da sua
avaliação com outros participantes. O “participante passivo” é aquele que solicitou que
você fosse avaliado pelo TISAX. O “participante passivo” recebe o resultado da sua
avaliação.
Figura 3. Participante passivo e participante ativo
Qualquer empresa pode atuar em ambas as funções. Você pode compartilhar o resultado
de uma avaliação com seu parceiro e, ao mesmo tempo, solicitar que seus próprios
fornecedores sejam avaliados pelo TISAX.
Figura 4. Os participantes do TISAX podem ser ativos e passivos ao mesmo tempo
Solicitar que seus próprios fornecedores sejam avaliados pelo TISAX pode até ser
especialmente aconselhável se seus próprios fornecedores também estiverem lidando com
as informações de seus parceiros com necessidades de proteção.
4.3. Preparação de registro
Nesta seção, damos recomendações sobre como se preparar para o registro. Descrevemos
o processo de registro em detalhes na Seção 4.5, “Processo de registro on-line” .
Antes de começar a realizar nosso processo de registro on-line, recomendamos

fortemente:
 coletando informações com antecedência

 e tomar algumas decisões.
4.3.1. A base jurídica
Normalmente, você precisa assinar dois contratos. O primeiro contrato que você celebra é
entre você e a Associação ENX: Os “Termos e Condições Gerais de Participação TISAX”
(GTCs do Participante TISAX). O segundo contrato é entre você e um dos nossos
fornecedores de auditoria TISAX. Para o registro, analisaremos apenas o primeiro
contrato.
Os TCG dos Participantes da TISAX regem o nosso relacionamento mútuo e o seu

relacionamento com outros participantes da TISAX. Eles definem os direitos e deveres de
todos nós. Além das cláusulas usuais que você encontrará na maioria dos contratos, elas
definem detalhadamente o tratamento das informações trocadas e obtidas durante o
processo TISAX. Um objetivo principal destas regras é manter a confidencialidade dos
resultados da avaliação TISAX. Como todos os participantes do TISAX estão sujeitos às
mesmas regras, você pode esperar a proteção adequada do resultado da sua avaliação
TISAX por parte do seu parceiro (na sua função de participante passivo).
Bem no início do processo de registro on-line, solicitaremos que você aceite os TISAX
Participant GTCs. Por se tratar de um contrato real, recomendamos a leitura dos TCG do
Participante TISAX antes de iniciar o processo de inscrição online. Um dos motivos é
que, dependendo da sua função na empresa, pode ser necessário obter autorização de um
advogado interno ou externo.
Você pode baixar os “Termos e Condições Gerais de Participação TISAX” [ 4 ] em nosso

website em: enx.com/en-US/TISAX/downloads/
Download direto do PDF: enx.com/tisaxgtcen.pdf enx.com/tisaxgtcde.pdf
Durante o processo de registro on-line, solicitaremos que você marque duas caixas de
seleção obrigatórias:
 ❏ Aceitamos os Termos e Condições Gerais de Participação TISAX

 ❏ Confirmamos o conhecimento da liberação do Requerente dos deveres
profissionais de sigilo dos Provedores de Auditoria, de acordo com. para a Seg. IX.5.
e X.3 dos Termos e Condições Gerais de Participação no TISAX;
Temos a segunda caixa de seleção porque alguns de nossos fornecedores de auditoria

TISAX são contadores públicos certificados. Têm requisitos especiais em matéria de
sigilo profissional. Normalmente, os requisitos especiais relativos ao sigilo profissional
proíbem os contabilistas públicos certificados entre os nossos prestadores de serviços de
auditoria de partilharem informações connosco. Em particular, isto cancelaria as opções
de controlo de que necessitamos para o nosso papel de governação. Portanto, precisamos
desta liberação. Você pode prestar atenção especial a essas cláusulas antes de marcar a
caixa.
Se você normalmente exige um acordo de não divulgação (NDA) entre você e qualquer
pessoa que lide com informações confidenciais, examine as respectivas seções de nossos
TCGs. Eles devem abordar todas as suas preocupações. Além disso, normalmente você
não precisa nos fornecer nenhuma informação confidencial.
Concluindo a seção jurídica, pedimos a compreensão de que o sistema depende da
aceitação das mesmas regras por todos. Portanto, não podemos aceitar quaisquer termos e
condições gerais adicionais [ 5 ] .
4.3.2. O escopo da avaliação TISAX
Na segunda etapa do processo TISAX, um dos nossos fornecedores de auditoria TISAX

conduzirá a avaliação de segurança da informação. Ele precisa saber por onde começar e
onde parar. É por isso que você precisa definir um “escopo de avaliação”.
O “escopo da avaliação” descreve o escopo da avaliação da segurança da informação. Em

termos simples, todas as partes da sua empresa que lidam com as informações
confidenciais do seu parceiro fazem parte do escopo da avaliação. Você pode considerá-lo
um elemento importante da descrição da tarefa do provedor de auditoria. Ele determina o
que o provedor de auditoria precisa avaliar.
O escopo da avaliação é importante por dois motivos:
a. O resultado de uma avaliação só atenderá aos requisitos do seu parceiro se o

respectivo escopo da avaliação abranger todas as partes da sua empresa que lidam
com informações do parceiro.
b. Um escopo de avaliação definido com precisão é um pré-requisito essencial para
cálculos de custos significativos por parte de nossos fornecedores de auditoria
TISAX.
Nota importante:
ISO/IEC 27001 x TISAX
Primeiro, temos que diferenciar dois tipos de escopos:

1) o escopo do seu sistema de gestão de segurança da informação (SGSI) e
2) o escopo da avaliação.
Esses dois não são necessariamente idênticos.
Para a certificação ISO/IEC 27001, você define o escopo do seu SGSI (na
“declaração de escopo”). Você é totalmente livre para definir o escopo do
seu SGSI. No entanto, o escopo da avaliação (também conhecido como
“escopo da auditoria”) deve ser idêntico ao escopo do seu SGSI.
Para TISAX, você também deve definir seu SGSI. Mas o âmbito da
avaliação pode ser diferente.
Para a certificação ISO/IEC 27001, você pode moldar livremente o escopo

da avaliação através da forma como define o escopo do seu SGSI.
Em contrapartida, para o TISAX, o âmbito da avaliação é predefinido . O

escopo da avaliação pode ser menor que o escopo do seu SGSI. Mas deve
estar dentro do escopo do seu SGSI.
4.3.2.1. Descrição do escopo
A descrição do escopo define o escopo da avaliação. Para a descrição do escopo, você

deve escolher um dos dois tipos de escopo:
1. Escopo padrão
2. Escopo personalizado
a. Escopo estendido personalizado
b. Escopo personalizado completo
Discutiremos o escopo padrão na seção seguinte. O escopo padrão é a escolha certa para
mais de 99% de todos os participantes. Portanto, discutiremos apenas os escopos
personalizados na Seção 7.8, “Anexo: Escopos personalizados” .
4.3.2.2. Escopo padrão
A descrição do escopo padrão é a base para uma avaliação TISAX. Outros participantes
do TISAX aceitam apenas resultados de avaliação baseados na descrição do escopo
padrão.
A descrição do escopo padrão é predefinida e não é possível alterá-la.
Um grande benefício de ter um escopo padrão é que você não precisa criar sua própria
definição.
Esta é a descrição do escopo padrão (versão 2.0):
O escopo TISAX define o escopo da avaliação. A avaliação

inclui todos os processos, procedimentos e recursos sob a
responsabilidade da organização avaliada que são relevantes
para a segurança dos objetos de proteção e seus objetivos
de proteção, conforme definido nos objetivos de avaliação
listados nos locais listados.
A avaliação é realizada pelo menos no nível de avaliação
mais elevado listado em qualquer um dos objetivos de
avaliação listados. Todos os critérios de avaliação
listados nos objetivos de avaliação listados estão sujeitos
à avaliação.
Recomendamos fortemente a escolha do escopo padrão. Todos os participantes do TISAX

aceitam os resultados da avaliação de segurança da informação com base no escopo
padrão.
4.3.2.3. Escopo
Sua próxima tarefa após definir o tipo de escopo é decidir quais locais pertencem ao
escopo da avaliação.
Se a sua empresa for pequena (um local), esta é uma tarefa fácil. Basta adicionar sua
localização ao escopo da avaliação.
Se sua empresa for grande, considere registrar mais de um escopo de avaliação.
Ter um único escopo que contenha todos os seus locais traz vantagens:
 Você tem um relatório de avaliação, um resultado de avaliação, uma data de validade.

 Você pode se beneficiar de custos reduzidos para a avaliação porque um provedor de
auditoria TISAX só precisa avaliar seus processos, procedimentos e recursos centrais
uma vez.
Mas um único escopo pode ter desvantagens como:
 Todos os locais devem ter os mesmos objetivos de avaliação.

 O resultado da avaliação só estará disponível depois que o fornecedor de auditoria
TISAX tiver avaliado todos os locais. Este fato pode ser relevante caso você precise
urgentemente de um resultado de avaliação.
 O resultado da avaliação depende de todos os locais que passarem na avaliação. Se
apenas um local falhar, você não terá um resultado de avaliação positivo. Uma
solução alternativa para isso é: a) remover o local do escopo, b) resolver os
problemas, c) adicionar o local posteriormente com uma avaliação de extensão do
escopo .
4.3.2.4. Adaptação de escopo
A questão de ter apenas um ou vários escopos é algo que só você pode responder. Mas
responder às perguntas do diagrama a seguir pode ajudá-lo a decidir.
Figura 5. Árvore de decisão de adaptação do escopo
Observe:
Não deixe que esta decisão o intimide. Você pode alterar qualquer escopo,
desde que o provedor de auditoria não tenha concluído a avaliação.
Por exemplo, durante a preparação da sua avaliação você pode descobrir

que o escopo não se ajusta – e alterá-lo de acordo. Ou o seu fornecedor de
auditoria pode recomendar a alteração do escopo durante as fases iniciais
da avaliação.
Notas Adicionais:
 Tecnicamente, não é possível alterar o escopo da avaliação definido

durante o processo de inscrição online no portal ENX. Mas o provedor
de auditoria pode atualizar o escopo da sua avaliação ao carregar o
resultado da sua avaliação no portal ENX.
 Adicionar itens ao escopo aumenta a taxa e você não receberá
reembolso se remover locais do escopo. Como os prestadores de
auditoria utilizam o escopo original como base para o cálculo de custos,
você também deve esperar mudanças.
4.3.2.5. Locais de escopo
Agora que você decidiu quais locais fazem parte do escopo da sua avaliação, você pode
continuar coletando algumas informações específicas do local.
Para cada local solicitamos informações como nome e endereço da empresa. Solicitamos
também algumas informações adicionais que permitam aos nossos prestadores de
auditoria TISAX ter uma ideia melhor da estrutura da sua empresa. Suas respostas serão a
base de suas estimativas de esforço.
Prepare-se para fornecer os seguintes detalhes para cada uma de suas localidades (o
asterisco vermelho * indica informações obrigatórias no processo on-line):
Tabela 1. Detalhes específicos do local
Campo Opções
Nome do local * n/D
NÚMERO D&B DUNS n/D
Edifício(s) de propriedade e uso exclusivo da

empresa
Tipo de localização *
Edifício(s) alugado(s) pela empresa
Andar/escritório alugado pela empresa em
Campo Opções
prédio compartilhado
Escritório compartilhado com outras empresas
Datacenter próprio
Datacenter compartilhado
Sim
Proteção passiva do site *
Não
Tecnologia da Informação
 ❏ Serviços de TI
 ❏ Serviços de Telecomunicações
 ❏ Desenvolvimento de Software
Gerenciamento
 ❏ Consultoria
meios de comunicação
 ❏Marketing
 ❏ Agência
 ❏ Serviços de impressão
Indústria  ❏ Fotografia
(várias seleções possíveis)
 ❏ Serviços de tradução
Pesquisa e desenvolvimento
 ❏ Teste de veículos
 ❏ Simulação de Veículo
 ❏ Construção de protótipo
 ❏ Modelos de carros em miniatura
 ❏ Serviços de desenvolvimento
 ❏ Serviços de desenvolvimento CAx
Produção
 ❏ Serviços de produção
 ❏ Fabricação por contrato
Campo Opções
 ❏ Loja
 ❏ Logística
Vendas e pós-venda
 ❏ Importação, NSC
 ❏ Concessionária
 ❏ Serviços Financeiros
 ❏ Seguro
 ❏ Liquidação de Reclamações
Outra indústria
(por favor insira)
0
1-10
11-100
Funcionários no Local: Geral *
101-1.000
1.001-5.000
Mais de 5.000
0
1-10
Funcionários no local: TI * 11-25
26-50
Mais de 50
0
Meio período
Funcionários no Local:
1-5
Segurança de TI *
6-25
Mais de 25
0
Meio período
Funcionários no Local:
1-3
Segurança do Local *
4-10
Mais de 10
ISO 27001
Certificações para este local
Outro (insira)
Campo Opções
ISAE 3402
SOC2
Observe:
Em relação à “Indústria”: Selecione de acordo com seu melhor

conhecimento. Não há certo ou errado ao selecionar uma das opções acima.
Caso não encontre uma opção que corresponda ao seu tipo de negócio,
basta inserir a opção adequada em “Outro”.
Para cada local você deve especificar um “nome do local” . A finalidade do nome do local
é facilitar a referência ao local ao atribuí-lo a um escopo de avaliação.
Recomendamos atribuir nomes de locais com base no seguinte padrão:
Padrão: [Referência geográfica]
para a empresa fictícia “ACME”
Exemplo:  Frankfurt
(para uma localização na cidade alemã de Frankfurt)
4.3.2.6. Nome do escopo
Para cada escopo, você deve especificar um “nome de escopo” . O objetivo principal do
nome do escopo é facilitar a identificação de um escopo na lista de visão geral de escopos
no portal ENX. Você deve atribuir um nome que seja útil para o leitor e seus colegas. Para
comunicação externa, você deve usar o Scope ID .
Você pode especificar qualquer nome que desejar. Mas você não deve atribuir o mesmo
nome de escopo para mais de um escopo.
Mais tarde, quando você quiser renovar sua avaliação TISAX, será necessário criar um
novo escopo (possivelmente idêntico ao escopo atual). Recomendamos, portanto,
adicionar o ano da avaliação ao nome do escopo.
Recomendamos atribuir nomes de escopo com base no seguinte padrão:
Padrão: [ Referência geográfica ou funcional ] [Ano da avaliação]

para a empresa fictícia “ACME”
 2023
(sem referência geográfica se sua empresa tiver apenas uma
localidade)
 Frankfurt 2023
(para um âmbito com vários locais na cidade alemã de Frankfurt)
 Baixa Saxônia 2023
(para um escopo com todas as localidades no estado alemão da
Exemplos: Baixa Saxônia)
 Alemanha 2023
(para um escopo com todas as localidades do país Alemanha)
 EMEA 2023
(para um escopo com todos os locais na região EMEA (“Europa,
Oriente Médio, Ásia”))
 Desenvolvimento de protótipo 2023
( referência funcional para um escopo com todos os locais
envolvidos no desenvolvimento de protótipos)
4.3.2.7. Contatos
Para nos comunicarmos com você, coletamos informações sobre os contatos da sua
empresa.
Solicitamos pelo menos um contato para sua empresa como participante do TISAX em
geral e um para cada escopo de avaliação. Você tem a opção de fornecer contatos
adicionais.
Durante os preparativos para o registro, você deve decidir quem será o contato na sua
empresa.
Solicitamos os seguintes dados de contacto:
Tabela 2. Detalhes de contato
Detalhe de contato Obrigatório? Exemplo
1. Saudação Sim Senhora Senhor.
2. Grau acadêmico Dr., Ph.D., outro
3. Primeiro nome Sim John
4. Sobrenome Sim Corça

Tabela 2. Detalhes de contato
Detalhe de contato Obrigatório? Exemplo
5. Cargo Sim Mandante disto
6. Departamento Sim Tecnologia da Informação
Número de Telefone
7. Sim +49 69 986692777
Principal
8. Segundo telefone
9. Endereço de email Sim john.doe@acme.com
10. Língua preferida Sim Inglês (padrão)
11. Outras línguas Alemão, Francês
Identificador de endereço
12. HPC 1234
pessoal
Bockenheimer Landstraße
13. endereço da Rua Sim
97-99
14. Código postal Sim 60325
15. Cidade Sim Francoforte
16. Estado/Província
17. País Sim Alemanha
Nota importante:
Recomendamos atribuir pelo menos um substituto para cada contato. Se

um contato estiver temporariamente indisponível ou sair da empresa, outra
pessoa poderá gerenciar os dados dos participantes da sua empresa.
Se precisar atribuir um novo contato (sem nenhum outro contato válido
restante), você terá que passar por um processo complexo. Nosso processo
garante que somente pessoas que possam provar que têm o direito de
representar legalmente a empresa possam aprovar a atribuição de um novo
contato principal.
4.3.2.8. Publicação e compartilhamento

O principal objetivo do TISAX é publicar o resultado da sua avaliação para outros
participantes do TISAX e compartilhar o resultado da sua avaliação com o(s) seu(s)
parceiro(s).
Você pode decidir sobre a publicação e compartilhamento do resultado da sua avaliação

durante o processo de inscrição ou a qualquer momento posteriormente.
Se você estiver passando pelo processo TISAX como uma etapa preventiva, já poderá
decidir publicar o resultado da sua avaliação para a comunidade de participantes do
TISAX. Caso contrário, não há nada para se preparar nesta fase.
Se o seu parceiro solicitou que você passasse pelo processo TISAX, você precisará
compartilhar o resultado da sua avaliação mais cedo ou mais tarde. Você já pode
compartilhar informações de status com seu parceiro durante o registro. Assim que o
resultado da sua avaliação estiver disponível, seu parceiro terá automaticamente
permissão para acessá-lo [ 6 ] .
Há duas coisas que você precisa para compartilhar informações de status:
1. ID de participante TISAX do seu parceiro
O ID de Participante TISAX identifica o seu parceiro como participante TISAX.
Normalmente, o seu parceiro deve fornecer-lhe o seu ID de participante TISAX.
Para sua conveniência, nosso formulário de registro fornece uma lista suspensa de
IDs de participantes para algumas empresas que recebem frequentemente resultados
de avaliações compartilhadas. [ 7 ]
2. O nível de compartilhamento necessário
O nível de compartilhamento define a profundidade com que seu parceiro pode

acessar o resultado da sua avaliação.
Seu parceiro solicita um nível de compartilhamento específico ou você decide até

qual nível deseja conceder ao seu parceiro acesso ao resultado da sua avaliação.
Para obter mais informações sobre níveis de compartilhamento, consulte a Seção 6.5,
“Níveis de compartilhamento” .
Portanto, você pode querer ter certeza de que possui essas informações.
Observe:
 Você sempre pode decidir publicar o resultado da sua avaliação mais

tarde.
 Você sempre pode criar uma permissão de compartilhamento para seu
parceiro posteriormente.
Nota importante:
Se você não publicar ou compartilhar o resultado da sua avaliação,

ninguém poderá ver o resultado da sua avaliação.
Nota importante:
Você não pode revogar a publicação ou o compartilhamento.
Para obter detalhes, consulte a Seção 6.4, “Permanência dos resultados

trocados” .
Observe:
Pode parecer estranho, mas na verdade você pode compartilhar o “resultado

da avaliação” mesmo que ainda não tenha iniciado o processo de avaliação.
Nesta fase inicial, você está apenas compartilhando o “status da avaliação”.
O participante com quem você compartilha o “resultado da avaliação” verá
onde você está no processo de avaliação.
Alguns participantes do TISAX precisam emitir uma autorização especial

se você precisar mostrar os rótulos do TISAX, mas ainda não concluiu o
processo de avaliação. Nesse caso, seu parceiro pode precisar ver o seu
“status de avaliação” em sua conta no portal ENX.
Para obter mais informações sobre o status da avaliação, consulte a Seção

7.6, “Anexo: Status da avaliação ” .
Para obter mais informações sobre como publicar e compartilhar o resultado da sua
avaliação, consulte a Seção 6, “Troca (Etapa 3)” .
4.3.3. Objetivos de avaliação
Você deve definir seu(s) objetivo(s) de avaliação durante o processo de inscrição. O

objetivo da avaliação determina os requisitos aplicáveis que o seu sistema de gestão de
segurança da informação (SGSI) deve cumprir. O objetivo da avaliação é inteiramente
baseado no tipo de dados que você trata em nome do seu parceiro.
Nas seções a seguir, descrevemos os objetivos da avaliação e fornecemos conselhos sobre

como selecionar o(s) objetivo(s) de avaliação correto(s).
A utilização de objetivos de avaliação facilita a comunicação relacionada com o TISAX

com o seu parceiro e os nossos fornecedores de auditoria TISAX, porque se referem a
uma entrada definida para o processo de avaliação TISAX.
Observe:
Alguns parceiros podem solicitar que você seja avaliado pelo TISAX com
um determinado “nível de avaliação” (AL) em vez de especificar um
objetivo de avaliação.
Para obter mais informações sobre os níveis de avaliação, consulte a Seção

4.3.3.5, “Necessidades de proteção e níveis de avaliação” (subseção
“Informações adicionais”).
4.3.3.1. Lista de objetivos de avaliação
Existem atualmente dez objetivos de avaliação TISAX. Você deve selecionar pelo menos
um objetivo de avaliação. Você pode selecionar mais de um.
Considere o seu objetivo de avaliação como referência para o seu sistema de gestão de
segurança da informação. O objetivo da avaliação é um contributo fundamental para o
processo TISAX. Todos os prestadores de auditoria TISAX baseiam a sua estratégia de
avaliação principalmente no objetivo da avaliação.
Os objetivos atuais da avaliação TISAX são:
Tabela 3. Os objetivos atuais da avaliação TISAX
Não. Nome Descrição
Tratamento de informações com altas necessidades de

1. Informações altas
proteção
Informações Tratamento de informações com necessidades de

2.
muito altas proteção muito elevadas
Tratamento de informação com elevada necessidade de

Alta
3. proteção em contexto de disponibilidade (alta
disponibilidade
disponibilidade de informação)
Tratamento de informação com necessidades de

Disponibilidade
4. proteção muito elevadas no contexto de disponibilidade
muito alta
(disponibilidade muito elevada de informação)
5. Peças proto Proteção de peças e componentes de protótipo
6. Proto-veículos Proteção de veículos protótipos
7. Veículos de teste Manuseio de Veículos de Teste

Tabela 3. Os objetivos atuais da avaliação TISAX
Não. Nome Descrição
Proteção de Protótipos durante Eventos e Sessões de

8. Protoeventos
Filmes ou Fotos
Proteção de dados de acordo com o Artigo 28

9. Dados (“Processador”) do Regulamento Geral Europeu de
Proteção de Dados (GDPR)
Proteção de dados com categorias especiais de dados

pessoais De acordo com o Artigo 28 (“Processador”)
10. Dados especiais com categorias especiais de dados pessoais conforme
especificado no Artigo 9 do Regulamento Geral
Europeu de Proteção de Dados (GDPR)
Exemplo: Se estiver a realizar test drives em vias públicas, então o objetivo de avaliação
n.º 7 “Testar veículos” é um dos seus objetivos de avaliação.
Nota importante:
Dentro do TISAX, o “objetivo da avaliação” é geralmente a entrada do

processo. No entanto, alguns parceiros podem solicitar que você seja
avaliado pelo TISAX com um determinado “nível de avaliação” (AL).
Para obter mais informações sobre a relação entre necessidades de proteção

e níveis de avaliação, consulte a Seção 4.3.3.5, “Necessidades de proteção
e níveis de avaliação” .
4.3.3.2. Objetivos de avaliação e ISA
A ISA contém três catálogos de critérios (segurança da informação, proteção de

protótipos, proteção de dados). Cada catálogo de critérios é composto pelas chamadas
“questões de controle” e requisitos associados.
Cada objetivo de avaliação define:
 o(s) catálogo(s) de critérios ISA aplicáveis

 as perguntas de controle que você deve responder
 os requisitos que você deve cumprir
Para alguns objetivos de avaliação, apenas um subconjunto de questões e requisitos de

controle é aplicável.
Para obter mais informações básicas sobre os objetivos da avaliação TISAX e as questões
e requisitos de controle aplicáveis, consulte a Seção 5.2.2, “Compreender o documento
ISA” .
4.3.3.3. Objetivos de avaliação e rótulos TISAX
Seu parceiro pode falar em “rótulos TISAX”. “Objetivos de avaliação” e “rótulos

TISAX” são quase iguais. A diferença é que você inicia o processo de avaliação com os
“objetivos da avaliação” e se for aprovado na avaliação recebe os “rótulos TISAX”
correspondentes.
Exemplo: Seu parceiro exige que você obtenha o rótulo TISAX “Info high”. Em seguida,
você seleciona “Info high” como objetivo de avaliação.
A figura abaixo mostra a entrada e a saída do processo TISAX:
Figura 6. Objetivos de avaliação e rótulos TISAX
Para obter mais informações sobre etiquetas TISAX, consulte a Seção 5.4.14, “Etiquetas
TISAX” .
4.3.3.4. Seleção do objetivo da avaliação
Idealmente, o seu parceiro lhe dirá precisamente quais objetivos de avaliação você deve
alcançar.
Você deve selecionar o objetivo da avaliação com base em seu próprio julgamento se:
a. você deseja ser avaliado pelo TISAX antes que um parceiro solicite, ou
b. seu parceiro não lhe diz qual objetivo de avaliação alcançar.
Nota importante:
Neste ponto, recomendamos fortemente considerar seus outros parceiros.
Existem parceiros existentes que tenham requisitos iguais ou superiores?
Você espera que os futuros parceiros tenham requisitos mais elevados?
Talvez você queira considerar a seleção de objetivos de avaliação com

maiores necessidades de proteção. Isso evita problemas quando outros
parceiros têm requisitos mais elevados.
Se tiver que selecionar o objetivo da avaliação com base no seu próprio julgamento,
poderá ser útil considerar os seguintes aspectos:
Tabela 4. Conselhos para selecionar um objetivo de avaliação
Objetivo da
Não. Informação
avaliação
Informações
1.
altas Você pode derivar as necessidades de proteção (alta,
muito alta) da classificação do documento do seu
Informações parceiro.
2.
muito altas
Para todas as empresas cuja capacidade de produção ou

entrega dos clientes depende da disponibilidade dos
produtos ou serviços das empresas e onde uma falha
Alta
3. causaria danos consideráveis aos clientes num curto
disponibilidade
período de tempo.
Exemplo: Fornecedores just-in-time de material de
produção
Para todas as empresas cuja capacidade de produção e

entrega dos clientes depende da disponibilidade a curto
prazo dos produtos e serviços das empresas, e onde uma
falha causaria danos significativamente elevados aos
Disponibilidade
4. clientes num período de tempo muito curto.
muito alta
Exemplo: Fornecedores just-in-time onde uma falha
pode resultar numa paralisação abrangente da produção
com um tempo de reinício muito longo num curto
período de tempo.
Para todas as empresas que fabricam, armazenam ou

utilizam componentes fornecidos pelo cliente ou peças
5. Peças proto classificadas como necessitando de proteção em seus
próprios locais.
Objetivo da
Não. Informação
avaliação
Os requisitos de segurança física e de segurança

considerando a área envolvente, os requisitos
organizacionais e os requisitos específicos para o
manuseamento de protótipos fazem parte da avaliação.
Para todas as empresas que fabricam, armazenam ou

utilizam veículos fornecidos pelo cliente classificados
como necessitando de proteção em seus próprios locais.
Fazem parte da avaliação os requisitos de segurança

física e de segurança tendo em conta a área envolvente
6. Proto-veículos (incluindo a existência de garagens e áreas de oficinas
protegidas), os requisitos organizacionais e os requisitos
específicos para o manuseamento de protótipos.
Após uma avaliação bem-sucedida, você recebe

automaticamente o selo TISAX “Proteção de peças e
componentes de protótipos”.
Para todas as empresas que realizam testes e test drives

(ex. test drives em vias públicas ou pistas de testes) com
veículos fornecidos ao cliente classificados como
necessitando de proteção.
Requisitos organizacionais, requisitos específicos para o

manuseio de protótipos, incl. camuflagem e manuseio
de veículos durante test drives em público e em pistas
7. Veículos de teste
de teste fazem parte da avaliação.

considerando a área circundante não fazem
necessariamente parte da avaliação. Se as suas
localidades estiverem equipadas adequadamente,
recomendamos selecionar também o objetivo de
avaliação “Proteção de veículos protótipos”.
Para todas as empresas que realizam apresentações ou

eventos (por exemplo, pesquisas de mercado, eventos,
8. Protoeventos eventos de marketing) e sessões de filmes e fotos com
veículos, componentes ou peças fornecidos pelo cliente
classificados como necessitando de proteção.
Objetivo da
Não. Informação
avaliação
Requisitos organizacionais e requisitos específicos para

o manuseio de protótipos, incl. os requisitos para
apresentações, eventos e sessões de filmes e fotos em
salas protegidas e em público fazem parte da avaliação.

considerando a área circundante não fazem
necessariamente parte da avaliação. Se as suas
localidades estiverem equipadas adequadamente,
recomendamos selecionar também o objetivo de
avaliação “Proteção de veículos protótipos”.
Se você lida com dados pessoais como processador de

9. Dados acordo com o Artigo 28 do GDPR, provavelmente terá
que selecionar “Dados”.
Se você lida com categorias especiais de dados pessoais

(como saúde ou religião) como processador de acordo
10. Dados especiais
com o Artigo 28 do GDPR, provavelmente terá que
selecionar “ Dados especiais ”.
Explicações adicionais:
 Se você tiver requisitos precisos do seu parceiro, normalmente não precisará discutir
os objetivos da avaliação com ele. No entanto, se você não tiver requisitos precisos do
seu parceiro, recomendamos fortemente que consulte o seu parceiro antes de iniciar o
processo de avaliação.
 A ISA descreve a diferença de implementação entre necessidades de proteção “altas”
e “muito altas” (se houver) para cada requisito.
Para obter mais informações sobre isso, consulte a Figura 11, “Captura de tela:
Principais elementos das perguntas do catálogo de critérios ISA “Segurança da
Informação”” .
4.3.3.5. Necessidades de proteção e níveis de avaliação
O seu parceiro possui vários tipos de informações, das quais algumas podem merecer um
nível de proteção mais elevado do que outras. A ISA acomoda isto diferenciando três
“necessidades de protecção” : normal, elevada e muito elevada. Seu parceiro classifica
suas informações e geralmente atribui necessidades de proteção.
Quanto maiores as necessidades de proteção, mais o seu parceiro estará interessado em
garantir que é seguro permitir que você administre as informações dele. Portanto, a
TISAX diferencia três “níveis de avaliação” (AL). O nível de avaliação define qual
método de avaliação o prestador de auditoria deve aplicar. Um nível de avaliação mais
alto aumenta o esforço investido na avaliação. Isso resulta em maior cuidado e precisão na
avaliação.
A tabela abaixo mostra os níveis de avaliação que se aplicam aos objetivos de avaliação
TISAX:
Tabela 5. Mapeamento dos objetivos da avaliação TISAX para níveis de avaliação
Não. Objetivo da avaliação TISAX Nível de avaliação (AL)
1. Informações altas AL 2
2. Informações muito altas AL 3
3. Alta disponibilidade AL 2
4. Disponibilidade muito alta AL 3
5. Peças proto AL 3
6. Proto-veículos AL 3
7. Veículos de teste AL 3
8. Protoeventos AL 3
9. Dados AL 2
10. Dados especiais AL 3
Nível de avaliação 1 (AL 1):
As avaliações no nível de avaliação 1 são principalmente para fins internos, no verdadeiro

sentido de uma autoavaliação .
Para uma avaliação no nível de avaliação 1, um auditor verifica a existência de uma

autoavaliação concluída. Ele não avalia o conteúdo da autoavaliação. Ele não exige mais
provas.
Os resultados das avaliações no nível de avaliação 1 têm um baixo nível de confiança e,
portanto, não são utilizados no TISAX. Mas é claro que é possível que o seu parceiro
solicite tal autoavaliação fora da TISAX.
Para uma avaliação no nível de avaliação 2, o prestador de auditoria faz uma verificação
de plausibilidade na sua autoavaliação (para todos os locais dentro do escopo da
avaliação). Ele apoia isso verificando evidências [ 8 ] e conduzindo uma entrevista com o
responsável pela segurança da informação.
O provedor de auditoria geralmente realiza a entrevista por meio de webconferência. A

seu pedido, ele pode conduzir a entrevista pessoalmente.
Se você tiver evidências que não deseja enviar ao provedor de auditoria, poderá solicitar
uma inspeção no local. Dessa forma, o provedor de auditoria ainda pode verificar suas
evidências “somente para você”.
Observe:
Existe um método alternativo para realizar uma avaliação no nível de

avaliação 2. Em vez da verificação de plausibilidade, o prestador de
auditoria realiza uma avaliação remota completa. Este método é por vezes
referido como “ nível de avaliação 2,5 ”.
Em comparação com uma avaliação no nível de avaliação 2, o auditor

verifica se o seu SGSI cumpre os requisitos aplicáveis. No entanto, ao
contrário de uma avaliação no nível de avaliação 3, o auditor não realiza as
atividades no local descritas na secção sobre o nível de avaliação 3 abaixo.
Formalmente, tal avaliação será avaliada como uma avaliação no AL 2.
A vantagem do AL 2.5 é que a abordagem é metodicamente compatível

com o AL 3. É, portanto, possível atualizar para uma avaliação completa no
AL 3 com um esforço administrável num momento posterior. Para a
atualização, o auditor só precisa realizar as atividades no local descritas na
seção sobre AL 3 abaixo.
Recomendamos avaliações no nível de avaliação 2.5 nestes casos:
1. Atualmente, você só precisa de rótulos TISAX que impliquem uma

avaliação no AL 2, mas não pode excluir a possibilidade de outros
parceiros exigirem rótulos TISAX que impliquem uma avaliação no
AL 3. Uma avaliação no AL 2.5 mantém o caminho aberto para uma
atualização posterior para AL 3.
2. Você tem dificuldade em compilar uma autoavaliação suficientemente
plausível. Para a verificação da plausibilidade, a autoavaliação deve ser
conclusiva, bem compreensível e fundamentada. A compilação de tal
autoavaliação pode implicar um esforço interno considerável, mesmo
para empresas que estão fundamentalmente bem posicionadas.
Para obter mais informações sobre a atualização do nível de avaliação,

consulte a Seção 7.10, “Anexo: Avaliação de extensão do escopo” .
Esta alternativa é opcional e não obrigatória para cumprir os requisitos AL

2. A diferença entre AL 2 e AL 2,5 não será visível para os parceiros com
quem você compartilha o resultado da sua avaliação.
Para uma avaliação de nível 3, o prestador de auditoria realiza uma verificação abrangente
da conformidade da sua empresa com os requisitos aplicáveis. O auditor utiliza a sua
autoavaliação e a documentação enviada para preparar a avaliação. Mas, ao contrário do
nível de avaliação 2, o auditor verificará tudo. Ele vai:
 examinar documentos e evidências

 conduzir entrevistas planejadas com proprietários de processos.
 observe as condições locais
 observar a execução dos processos
 conduzir entrevistas não planejadas com participantes do processo
Observe:
O texto a seguir refere-se a vários conceitos que serão explicados somente

posteriormente neste documento.
Com AL 3, o provedor de auditoria deve comparecer ao(s) seu(s) local(is).

Se, por algum motivo, isso não for temporariamente possível ou exigir
esforços excessivos, seu provedor de auditoria poderá usar o método de
avaliação remota com suporte de vídeo para conduzir as atividades de
avaliação no local.
Seu fornecedor de auditoria deve registrar isso no relatório de avaliação

TISAX como uma não conformidade menor . Assim que seu provedor de
auditoria puder chegar ao(s) seu(s) local(is), ele deverá realizar uma
avaliação de acompanhamento que inclua todas as atividades no local
anteriormente impossíveis. Além disso, você deve agendar a avaliação de
acompanhamento mesmo que ainda não tenha concluído as outras ações
corretivas.
Em comparação com esperar pela disponibilidade do seu provedor de

auditoria para atividades no local, esta abordagem permite que você já
compartilhe rótulos TISAX temporários com seu parceiro.
Níveis de avaliação e métodos de avaliação
A tabela a seguir fornece uma visão geral simplificada dos métodos de auditoria
associados a cada nível de avaliação:
Tabela 6. Aplicabilidade dos métodos de avaliação aos diferentes níveis de

avaliação
Nível de Nível de
Método de Nível de avaliação 2
avaliação 1 avaliação 3
avaliação (AL 2)
(AL 1) (AL 3)
Auto-avaliação Sim Sim Sim
Verificação de Verificação
Evidência Não
plausibilidade completa
Pessoalmente, no
Entrevistas Não Via webconferência [ 9 ]
local
Inspeção no
Não A seu pedido Sim
local
Informações adicionais:
 Diferença entre AL 2 e AL 3
Metodologicamente, as duas abordagens diferem significativamente. Para avaliações
no nível de avaliação 2, o auditor não verificará nada. Ele apenas verificará a
plausibilidade. Portanto, o prestador de auditoria não pode usar os resultados de uma
avaliação no nível de avaliação 2 como base para uma atualização para o nível de
avaliação 3. Os esforços para uma atualização para o nível de avaliação 3 são
essencialmente os mesmos que para uma nova avaliação inicial.
 Verificação de plausibilidade versus verificação
Simplificada demais, uma verificação de plausibilidade verifica se algo existe e
parece certo. Em contraste, uma verificação significa realmente verificar se algo é o
que afirma ser.
 Classificação da informação e necessidades de proteção
O mapeamento da classificação da informação (como confidencial ou secreta) para as
necessidades de proteção pode ser diferente para vários parceiros. Portanto, por mais
que gostaríamos, não podemos fornecer uma tabela simples onde a classificação das
informações do seu parceiro corresponda exatamente a uma necessidade de proteção.
 Apenas saber um nível de avaliação não é suficiente.
Alguns parceiros podem solicitar que você seja avaliado pelo TISAX com um
determinado nível de avaliação. Por favor, entenda que apenas conhecer o nível de
avaliação não é suficiente para iniciar o processo TISAX. Um nível de avaliação só
faz sentido em combinação com um catálogo de critérios ISA e uma necessidade de
proteção correspondente. Normalmente, os parceiros solicitam que você obtenha um
selo TISAX (catálogo de critérios mais necessidade de proteção). No entanto, como as
necessidades de proteção são mapeadas 1:1 para os níveis de avaliação, é suficiente
conhecer o(s) catálogo(s) de critérios e o nível de avaliação.
 Hierarquia dos níveis de avaliação
Os níveis de avaliação mais elevados incluem sempre os níveis de avaliação mais
baixos. Por exemplo, se a sua avaliação for baseada no nível de avaliação 3, ela
atenderá automaticamente a todas as solicitações de avaliação de nível 2.
 Nossa recomendação em relação aos níveis de avaliação
Se você tiver que selecionar um objetivo de avaliação (e, portanto, implicitamente, um
nível de avaliação correspondente) com base em seu próprio julgamento,
recomendamos selecionar objetivos de avaliação que impliquem um nível de
avaliação 3. Os esforços para avaliações TISAX no nível de avaliação 3 são
geralmente não são superiores aos do nível de avaliação 2.
Os fornecedores que têm vários parceiros selecionam frequentemente objetivos de
avaliação que implicam um nível de avaliação 3. Desta forma, estão preparados para
todas as solicitações futuras e não têm de se preocupar com diferentes níveis de
avaliação.
 Outras considerações comerciais
Em relação aos níveis de avaliação, o custo total de uma avaliação TISAX consiste na
soma dos seus esforços internos e no custo da avaliação. Embora o custo de uma
avaliação no nível 2 seja menor, seus esforços internos podem ser maiores. Isto deve-
se ao facto de uma avaliação no nível de avaliação 2 exigir normalmente uma
autoavaliação mais abrangente e uma melhor documentação interna. Para avaliações
no nível de avaliação 3, demonstrar como você faz as coisas e apresentar uma
documentação básica é muitas vezes evidência suficiente para o auditor. Mas sem
uma inspeção no local, o auditor solicitará documentação precisa. Portanto, escolher o
nível de avaliação 3 em vez do nível de avaliação 2 não é incomum. Mas é uma
escolha feita por empresas menores e não por empresas maiores.
4.3.3.6. Objetivos de avaliação e seus próprios fornecedores
A TISAX não exige necessariamente que você sujeite todos os seus fornecedores aos
mesmos requisitos. Se o seu objetivo de avaliação for “Segurança da informação com
necessidades de proteção muito elevadas”, isso NÃO significa automaticamente que os
seus próprios fornecedores tenham de atingir o mesmo objetivo de avaliação. Isso nem
significa que eles precisam ter rótulos TISAX.
Mas você ainda precisa verificar para todos os seus fornecedores se o uso de seus serviços
aumenta os riscos ou introduz novos riscos.
Dois exemplos muito simplificados:
1. Você tem uma política de que o e-mail normal não pode ser usado para dados com
necessidades de proteção muito altas. Portanto, o seu provedor de e-mail não precisa
obter o selo TISAX com necessidades de proteção muito elevadas.
Você poderia chegar a uma conclusão semelhante se enviar apenas e-mails
criptografados e o provedor de e-mail não conseguir ver nenhum dos dados com
necessidades de proteção muito altas.
2. Você descarta dados impressos com necessidades de proteção muito altas na
trituradora. Nesse caso, é claro, o prestador de serviços de eliminação de resíduos não
precisa atender aos mesmos requisitos que você.
No entanto, a avaliação dos riscos pode demonstrar que o seu fornecedor também tem de
cumprir os requisitos relativos a necessidades de proteção muito elevadas. Neste caso, os
rótulos TISAX são uma opção para provar isso adequadamente.
4.3.4. Taxa
Aumentamos uma taxa. Nossa tabela de preços informa sobre taxas aplicáveis, possíveis
descontos e nossas condições de pagamento.
Você pode baixar a lista de preços em nosso site em: enx.com/en-US/TISAX/downloads/

Download direto do PDF: enx.com/pricelist.pdf
Existem alguns aspectos relacionados à fatura que você deve considerar durante a
preparação do registro:
 Seleção do endereço da fatura

Por padrão, enviaremos a fatura para o endereço que você forneceu como local de
participante. Mas você tem a opção de fornecer um endereço diferente para
recebimento da fatura.
Nota importante:
Certifique-se de que o endereço da fatura está correto. As leis contábeis

exigem que o endereço em nossa fatura corresponda exatamente ao
endereço (fatura) da sua empresa. Por motivos de conformidade, não
podemos alterar o endereço de uma fatura depois de emitida a fatura.
 Referência do pedido
Se precisar ver um número de pedido de compra específico ou algo semelhante em
nossa fatura, você terá a opção de nos fornecer uma referência do pedido.
 Número de IVA
Todas as nossas cobranças estão sujeitas ao imposto sobre valor agregado (IVA)
alemão, se aplicável.
Precisamos deste número para processar pagamentos da UE. É obrigatório fornecer
um número de IVA, se o seu endereço de fatura estiver num dos seguintes países:
Áustria, Bélgica, Bulgária, Croácia, Chipre (parte grega), República Checa,
Dinamarca, Estónia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália,
Letónia, Lituânia, Luxemburgo, Malta, Países Baixos, Polónia, Portugal, Eslováquia,
Eslovénia, Espanha, Suécia, Reino Unido
 Gestão de fornecedores
Nota importante:
Por favor, entenda que devido à mutualidade entre todos os

participantes do TISAX, não podemos aceitar quaisquer termos
adicionais (como termos gerais de compra, códigos de conduta).
Informações adicionais sobre nosso processo de faturamento:
 Não podemos aceitar termos de compra individuais.

 Nós aceitamos:
 transferências de dinheiro para a conta bancária especificada na fatura
 pagamentos com cartão de crédito (durante o processo de registro através do nosso
provedor de serviços de pagamento “Stripe” )
 Nossa fatura conterá as seguintes referências ao seu registro:
 O nome e endereço de e-mail do seu contato principal do participante
 O nome do escopo da avaliação
Você pode encontrar um exemplo de fatura no apêndice da Seção 7.1, “Anexo:

Exemplo de fatura” .
 Fornecemos a maioria dos fatos que você normalmente precisa para processar nossa
fatura diretamente nele. Estes e ainda mais factos estão disponíveis no nosso
documento “Informação para Membros e Parceiros de Negócios”. Envie-nos um e-
mail e lhe enviaremos uma versão atual.
Observe:
Estamos cientes de que às vezes o processo interno de aprovação de

pagamentos de uma empresa é bastante demorado. Portanto, o seu próximo
passo imediato no processo TISAX não depende do recebimento do
pagamento. Mas esteja ciente de que você não poderá compartilhar o
resultado da sua avaliação se não recebermos o seu pagamento.
Por este motivo, recomendamos que se certifique de que enviamos a nossa
fatura ao destinatário apropriado e que contém uma referência de
encomenda, se aplicável. Você também pode acompanhar internamente se
alguém pagou a fatura.
Nota importante:
Nós — Associação ENX — faturamos a taxa. É apenas uma parte do custo

total de uma avaliação TISAX. Seu provedor de auditoria TISAX fatura os
custos da(s) avaliação(ões).
Para obter mais informações sobre custos relacionados ao provedor de

auditoria, consulte a Seção 5.3.4, “Avaliando ofertas” .
Nota importante:
A taxa é devida independentemente de você:
 continuar ou não o processo TISAX.

 passar com sucesso no processo de avaliação TISAX.
Portanto, a fatura pode chegar antes de você iniciar a avaliação inicial.
4.4. Portal ENX
A próxima seção descreverá o processo de registro on-line, onde você insere todos os
dados coletados conforme recomendado na seção anterior. Antes de iniciar o processo de
registro on-line, deixe-nos explicar brevemente a finalidade e os benefícios do portal
ENX.
O portal ENX permite-nos manter uma base de dados de todos os participantes do TISAX
e desempenha um papel importante em todo o processo do TISAX. Durante o registo
TISAX você insere os seus dados que os prestadores de auditoria TISAX podem utilizar
(se concordar) para calcular as suas ofertas e planear os procedimentos de avaliação.
Depois de passar pelo processo de avaliação TISAX, você usará a plataforma de
intercâmbio no portal ENX para compartilhar o resultado da avaliação com seu parceiro.
O nome do portal é “portal ENX” em vez de “portal TISAX”, porque também utilizamos
o portal para gerir outras atividades empresariais (como a rede ENX ).
4.5. Processo de registro on-line
Se você se preparou de acordo com nossos conselhos acima ( Seção 4.3, “Preparação para
registro” ), você está pronto para iniciar o processo de registro on-line.
4.5.1. Tempo requerido
Quanto tempo levará depende muito do número de escopos e locais registrados. Para sua
primeira inscrição como participante com um escopo em um local, você deverá esperar
um tempo mínimo de 20 minutos.
Recomendamos realizar o cadastro em uma única sessão, pois atualmente não é possível
acompanhar facilmente algumas etapas posteriormente. Caso ainda precise fazer uma
pausa, entraremos em contato para solicitar quaisquer dados faltantes.
4.5.2. Começa aqui
Por favor, inicie seu registro em nosso site em: enx.com/en-

us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
Basicamente, tudo que você precisa fazer é seguir as instruções na tela. No entanto,
descrevemos brevemente o processo abaixo.
4.5.3. Conta do portal
O primeiro passo é criar uma conta no portal ENX. Você precisa da conta do portal para
poder gerenciar os “dados dos participantes” da sua empresa.
Observe:
Caso o portal ENX afirme que seu endereço de e-mail já está em uso, entre
em contato conosco . Esta mensagem pode indicar que por algum motivo
você já está armazenado em nosso sistema.
Observe:
Conforme descrito, as contas do portal não são necessariamente “contactos

de participantes” ou “contactos de âmbito” (ver abaixo) com um papel
activo no processo de avaliação.
Vice-versa, um “contato de participante” ou “contato de escopo” não inclui

automaticamente os mesmos direitos para gerenciar os dados do
participante como acontece com uma conta do portal. Isso significa que
colegas nomeados como “contato participante” ou “contato escopo” não
podem acessar automaticamente os dados do participante no portal ENX.
Se você deseja atribuir o direito de gerenciar os dados do participante a um

contato que você já criou no portal ENX (independentemente de você ter
atribuído uma função a ele), você precisa convidar o contato. Para obter
mais informações, consulte a última nota na Seção 4.5.5, “Contato do
participante” .
4.5.4. Cadastro de participante
O segundo passo é registrar sua empresa como participante do TISAX. O “participante

TISAX” é a empresa que troca os resultados da avaliação com outros participantes.
4.5.5. Contato do participante
Esta é a pessoa geralmente responsável por todos os tópicos de avaliação de segurança da

informação da sua empresa. Pode ser você ou outra pessoa da sua empresa.
O contato do participante principal geralmente é tudo o que precisamos. Se preferir que

todas as comunicações enviadas por nós e pelos nossos fornecedores de auditoria TISAX
no contexto deste registo também sejam enviadas a outras pessoas, adicione contactos
adicionais dos participantes.
Nota importante:
Recomendamos atribuir pelo menos um substituto para cada contato. Se

um contato estiver temporariamente indisponível ou sair da empresa, outra
pessoa poderá gerenciar os dados dos participantes da sua empresa.
Se precisar atribuir um novo contato (sem nenhum outro contato válido
restante), você terá que passar por um processo complexo. Nosso processo
garante que somente pessoas que possam provar que têm o direito de
representar legalmente a empresa possam aprovar a atribuição de um novo
contato principal.
Observe:
Você sempre pode adicionar ou remover contatos posteriormente (mesmo

depois de concluir o processo de registro on-line e mesmo depois de
concluir as avaliações).
Observe:
Você não pode usar endereços de e-mail de grupo para contatos de

participantes (como “ info@acme.com ” ou “ IT@acme.com ”).
Isso está de acordo com os requisitos do ISA relativos a logins de usuários.
Observe:
Você pode escolher se cada contato deverá ter acesso aos dados dos
participantes da sua empresa. Qualquer:
1. Você acabou de adicionar o contato. O contato fica armazenado em

nosso sistema, mas não consegue fazer login e gerenciar nenhum dado.
2. Ou você convida o contato. Em seguida, o portal ENX envia um email
de convite ao contato. O contato deverá seguir o link de convite no e-
mail. Depois que o contato tiver criado sua conta pessoal no portal
ENX, ele poderá gerenciar os dados dos participantes da sua empresa.
Para criar um novo contato: Entrar > MEU TISAX >

ADMINISTRADORES > Criar novo Administrador TISAX
Para convidar um contato: Acesse > MEU TISAX >

ADMINISTRADORES > Vá até o final da linha da tabela do contato e
clique no botão com a seta para baixo > Editar Administrador TISAX > Vá
para a seção “ACESSO DO PORTAL ENX” > Defina “CONVIDAR
ESTE CONTATO" para “Sim” > Clique em “Salvar contato”
4.5.6. termos e Condições Gerais
O terceiro passo é aceitar os “Termos e Condições Gerais de Participação no TISAX”.
Você pode consultar as notas explicativas na Seção 4.3.1, “A base jurídica” .

4.5.7. Cadastro do escopo da avaliação
A quarta etapa é registrar o escopo da avaliação de segurança da informação.
Pedimos que você:
1. atribua um nome de escopo de avaliação.

O objetivo principal do nome do escopo é facilitar a identificação de um escopo na
lista de visão geral de escopos no portal ENX.
Você pode consultar as notas explicativas na Seção 4.3.2.6, “Nome do escopo”
2. escolha um tipo de escopo de avaliação.
(Padrão, Personalizado)
Você pode consultar as notas explicativas na Seção 4.3.2, “O escopo da avaliação
TISAX” .
3. especifique o contato do escopo principal.
Esta é a pessoa geralmente responsável pela avaliação de um escopo específico. Pode
ser você ou outra pessoa da sua empresa.
O contato principal do escopo geralmente é tudo o que precisamos. Caso prefira que
todas as comunicações por nós enviadas no contexto deste âmbito específico também
a outras pessoas, poderá adicionar contactos adicionais de participantes.
4. selecione seu(s) objetivo(s) de avaliação.
Você pode consultar as notas explicativas na Seção 4.3.3, “Objetivos da avaliação” .
5. adicione local(is) do escopo da avaliação.
Solicitamos que você especifique todos os locais que fazem parte do escopo da
avaliação.
Você pode consultar as notas explicativas na Seção 4.3.2, “O escopo da avaliação
TISAX” .
Observe:
Depois de criar um novo local, você não poderá editá-lo. Para

pequenas alterações (mudança de nome da empresa, erros de digitação
no nome da rua, código postal, cidade, etc.), entre em contato conosco
. Faremos a edição para você.
Nota importante:
Esta nota só é relevante se você estiver renovando suas etiquetas

TISAX.
Reutilize os registros de localização existentes que você criou e usou

durante o registro do seu escopo anterior. Não crie um novo registro de
localização com o mesmo endereço.
A razão para isto: alguns participantes do TISAX processam

automaticamente os resultados da avaliação dos seus parceiros. Eles
sincronizam seu próprio sistema com o portal ENX. Mesmo pequenas
diferenças podem bloquear o sucesso da sincronização. Além disso,
você não sobrecarrega os dados dos participantes com duplicatas
desnecessárias.
6. selecione os níveis de publicação e compartilhamento (opcional).

Você já pode decidir publicar o resultado da sua avaliação para outros participantes
do TISAX e compartilhar o resultado da sua avaliação com seu(s) parceiro(s).
Normalmente, você nos permitiria pelo menos mostrar que sua empresa é
participante e que você passou com sucesso no processo TISAX.
Você pode pular esta etapa com segurança durante seu registro inicial. Você sempre
pode definir o acesso ao resultado da sua avaliação posteriormente.
Você pode consultar as notas explicativas na Seção 4.3.2.8, “Publicação e
compartilhamento” .
Nota importante:
Você não pode revogar nenhuma permissão de publicação ou

compartilhamento.
Para obter detalhes, consulte a Seção 6.4, “Permanência dos resultados
trocados” .
7. especifique quem recebe a fatura.

Solicitamos que você especifique quem receberá nossa(s) fatura(s).
Você pode consultar as notas explicativas na Seção 4.3.4, “Taxa” .
Observe:
Você não pode fazer muita coisa errada aqui. Se mais tarde você descobrir
que deveria ter registrado um escopo ligeiramente diferente (você esqueceu
um local, tem outro objetivo de avaliação, etc.), o provedor de auditoria
poderá, no entanto, realizar a avaliação.
Exemplo: O auditor determina que o escopo deve conter um local adicional

que você originalmente não adicionou ao escopo. O auditor prosseguirá e
posteriormente atualizará o escopo da sua avaliação no portal ENX
enquanto carrega o resultado da sua avaliação.
Observe:
Cada escopo de avaliação passa por um ciclo de vida. Nesta fase, o seu
escopo de avaliação está com o status “Incompleto”, “Aguardando seu
pedido” ou “Aguardando aprovação ENX”.
Para obter mais informações sobre o status de um escopo de avaliação,

consulte a Seção 7.5.1, “Visão geral: Status do escopo de avaliação ” .
Observe:
Para grandes corporações com muitas localidades, a TISAX oferece a

avaliação simplificada em grupo. Você pode considerar esta opção se:
 você tem pelo menos três locais em seu escopo [ 10 ] e

 seu sistema de gerenciamento de segurança da informação está em
ótima forma e organizado centralmente [ 11 ] .
Para uma avaliação de grupo simplificada o esforço inicial é maior. No

entanto, isso compensa quanto mais locais você tiver.
Para mais informações sobre a “avaliação simplificada de grupo”, consulte

o documento “Avaliação simplificada de grupo TISAX”.
Você pode baixar o documento “Avaliação de Grupo Simplificada TISAX”

em nosso site em: enx.com/en-US/TISAX/downloads/
Download direto do PDF: enx.com/sga.pdf
Observe:
Depois de registrarmos seu escopo de avaliação, você não poderá alterá-lo

sozinho.
Se você puder nos garantir com credibilidade que ainda NÃO enviou seu
“trecho do escopo TISAX” aos nossos provedores de auditoria, entre em
contato conosco . Podemos mudar isso para você.
Se você já enviou seu “trecho do escopo TISAX” para (um de) nossos
provedores de auditoria, basta criar o(s) novo(s) local(is) no portal ENX (se
aplicável) e discutir quaisquer alterações com seu provedor de auditoria.
Seu provedor de auditoria conduzirá a avaliação com base nas alterações e
atualizará as informações do escopo no portal ENX.
Observe:
Não é possível excluir um escopo de avaliação no portal ENX. Se você

criou um escopo de avaliação por engano, entre em contato conosco .
Iremos excluí-lo para você.
4.5.8. E-mail de confirmação
Depois de concluir todas as etapas obrigatórias acima, verificaremos sua inscrição. Em

seguida, enviaremos um e-mail de confirmação.
Este e-mail tem dois elementos importantes:

 Uma lista de contatos de todos os provedores de auditoria TISAX
Você deve escolher um de nossos provedores de auditoria TISAX para realizar uma
avaliação do seu escopo de avaliação. Você pode usar os contatos para solicitar
ofertas.
Para obter mais informações sobre a seleção do fornecedor de auditoria, consulte a
Seção 5.3, “Seleção do fornecedor de auditoria” .
 O “Trecho do Escopo TISAX” como um arquivo PDF anexado
Contém:
 As informações que armazenamos em nosso banco de dados

 Sua ID de Participante
Consulte a Seção 4.5.8.1, “ ID de Participante ” abaixo.
 Seu(s) ID(s) de escopo
Consulte a Seção 4.5.8.2, “ ID do escopo ” abaixo.
Para obter um exemplo do nosso e-mail de confirmação, consulte a Seção 7.2, “Anexo:
Exemplo de e-mail de confirmação” .
Para obter um exemplo do “Trecho do Escopo TISAX”, consulte a Seção 7.3, “Anexo:
Exemplo de Trecho do Escopo TISAX” .
Você receberá nosso e-mail de confirmação normalmente dentro de três dias úteis.
Se você não receber uma resposta nossa dentro de sete dias úteis, verifique se a) você
forneceu todas as informações e b) o status do escopo da avaliação é “Aguardando
aprovação ENX” . Iniciaremos o processamento do seu cadastro somente quando tudo
estiver concluído. Se você acha que tudo está completo, mas ainda não entramos em
contato com você, entre em contato conosco .
Enviamos nosso e-mail de confirmação para o contato principal do participante.
Observe:
escopo de avaliação está com o status “Aguardando aprovação ENX”.

consulte a Seção 7.5.5, “ Status do escopo de avaliação “Aguardando seu
pagamento” ” .
As próximas duas subseções fornecem informações detalhadas sobre a finalidade do seu

ID de participante e do ID do escopo.
4.5.8.1. ID do participante
O ID do participante:
 identifica um participante TISAX.

 é único para cada participante.
 é atribuído por nós após a conclusão do registro.
 é um pré-requisito para solicitar uma avaliação de segurança da informação por
qualquer um dos nossos fornecedores de auditoria TISAX.
 se parece com isso:
Figura 7. Formato do ID do Participante [ 12 ]
Observe:
Existem duas maneiras de encontrar seu ID de participante:
1. Verifique seu “Trecho do Escopo TISAX”.

Consulte a Seção 4.5.8, “E-mail de confirmação” acima.
2. Faça login no portal ENX , vá até a barra de navegação principal e
selecione “DASHBOARD” . Lá você encontrará seu ID de
participante.
4.5.8.2. ID do escopo
O ID do escopo:
 identifica um escopo de avaliação.

 é exclusivo para cada escopo de avaliação.
 é atribuído por nós após a conclusão do registro.
 é um pré-requisito para poder solicitar uma avaliação de segurança da informação por
qualquer um dos nossos fornecedores de auditoria TISAX.
 se parece com isso:
Figura 8. Formato do ID do Escopo
Observe:
Existem duas maneiras de encontrar seu ID de escopo:
1. Verifique seu “Trecho do Escopo TISAX”.

Consulte a Seção 4.5.8, “E-mail de confirmação” acima.
2. Faça login no portal ENX , vá até a barra de navegação principal,
selecione “MEU TISAX” e depois “ESCOPOS E AVALIAÇÕES”. Lá
você encontrará seu(s) ID(s) de escopo.
Observe:
Cada escopo de avaliação (identificado por seu ID de Escopo) passa por

um ciclo de vida.

consulte a Seção 7.5, “Anexo: Status do escopo de avaliação ” .
4.5.9. Informações de status
Nesta fase, existem dois estados relevantes que utilizamos para descrever a sua posição no
processo TISAX:
1. Status do participante
2. Status do escopo da avaliação
O diagrama a seguir ilustra as condições que devem ser atendidas para atingir um
determinado status:
Figura 9. Condições para o status do participante e status do escopo da avaliação
Você pode encontrar as definições de status e o que precisa fazer para avançar para o
próximo status no anexo.
Para mais informações sobre:
 status de participante, consulte a Seção 7.4, “Anexo: Status de participante ” .

 status do escopo da avaliação, consulte a Seção 7.5, “Anexo: Status do escopo da
avaliação ” .
4.5.10. Alterações nas suas informações cadastrais
Observe:
Para todas as respostas relacionadas ao ciclo de vida dos dados, consulte a

Seção 7.9, “Anexo: Gerenciamento do ciclo de vida dos dados dos
participantes” . Ele contém instruções para os casos em que você deseja
alterar ou atualizar dados como o nome da sua empresa ou suas
informações de contato.
Parabéns, agora você é um participante registrado do TISAX. Você está pronto para
continuar com a próxima etapa do processo TISAX.
5. Avaliação (Etapa 2)
O tempo estimado de leitura para a seção de avaliação é de 30 a 35 minutos.
5.1. Visão geral
A avaliação TISAX é o seu segundo passo. É aqui que você faz a maior parte do trabalho
para obter a avaliação do TISAX.
As seções a seguir irão guiá-lo durante a avaliação:
1. Começamos explicando como você pode usar a autoavaliação ISA para descobrir se
está preparado para uma avaliação TISAX.
2. A seguir, aconselhamos você sobre como escolher um de nossos provedores de
auditoria TISAX .
3. A seguir, descrevemos seu caminho no processo de avaliação .
4. No final, explicamos o “resultado do processo”: o resultado da sua avaliação e os
rótulos TISAX associados .
5.2. Autoavaliação baseada no ISA
Para estar pronto para uma avaliação TISAX, você precisa principalmente ter seu sistema
de gerenciamento de segurança da informação (SGSI) em sua melhor forma. Para saber se
o seu SGSI corresponde ao nível de maturidade esperado, é necessário realizar uma
autoavaliação com base no ISA.
A “Avaliação de Segurança da Informação” (ISA) é um catálogo de critérios publicado

pela “Associação Alemã da Indústria Automotiva” (Verband der Automobilindustrie eV -
VDA). É o padrão da indústria automotiva para avaliações de segurança da informação.
As secções seguintes centram-se em instruções práticas para conduzir uma autoavaliação

baseada na ISA.
As explicações, exemplos e capturas de tela neste manual são baseados na Versão 5 da

ISA.
Observe:
Você encontrará informações sobre alterações em comparação com versões

anteriores do ISA em sua planilha Excel “Histórico de alterações”.
Observe:
Para obter informações sobre qual versão da ISA é aplicável à sua

avaliação quando a VDA publica uma nova versão, consulte a Seção 7.11,
“Anexo: Gerenciamento do ciclo de vida da ISA” .
5.2.1. Baixe o documento ISA
Comece sua autoavaliação baixando o documento ISA.
Você pode baixá-lo em nosso site em: enx.com/en-US/TISAX/downloads/
Download direto do arquivo Excel: portal.enx.com/isa5-en.xlsx
O documento ISA também está disponível em alemão: enx.com/de-

de/TISAX/downloads/
5.2.2. Entenda o documento ISA
Antes de iniciar sua autoavaliação, aqui estão algumas explicações que podem ser úteis.
Fornecemos estas informações além das explicações e definições oficiais no documento
ISA, mas com foco no uso para avaliações TISAX.
5.2.2.1. Catálogos de critérios
A ISA possui atualmente três “catálogos de critérios” [ 13 ] :

1. Segurança da Informação
2. Proteção de protótipo
3. Proteção de dados
Cada catálogo de critérios possui sua própria planilha Excel:
Figura 10. Captura de tela: Catálogos de critérios ISA como planilhas Excel
Qual catálogo de critérios é relevante para você? Isso depende do(s) seu (s) objetivo(s) de
avaliação .
Cada objetivo de avaliação define quais requisitos de qual catálogo de critérios se

aplicam. Para alguns objetivos de avaliação, aplicam-se apenas requisitos de um catálogo
de critérios; para outros, aplicam-se requisitos de mais de um catálogo de critérios.
Os objetivos de avaliação acima mencionados são mapeados para estes catálogos de

critérios:
Tabela 7. Mapeamento entre objetivos de avaliação TISAX e catálogos de critérios

ISA
Não. Objetivo da avaliação Catálogo(s) de critérios ISA
1. Informações altas Segurança da Informação
2. Informações muito altas Segurança da Informação
3. Alta disponibilidade Segurança da Informação
4. Disponibilidade muito alta Segurança da Informação
5. Peças proto Proteção de protótipo
6. Proto-veículos Proteção de protótipo
7. Veículos de teste Proteção de protótipo
8. Protoeventos Proteção de protótipo

Tabela 7. Mapeamento entre objetivos de avaliação TISAX e catálogos de critérios
ISA
Não. Objetivo da avaliação Catálogo(s) de critérios ISA
Segurança da Informação
9. Dados
Proteção de Dados
Segurança da Informação
10. Dados especiais
Proteção de Dados
Exemplo: Se você selecionou o objetivo de avaliação “Proteção de Dados”, então deverá

responder às questões dos catálogos de critérios “Segurança da Informação” E “Proteção
de Dados”.
Você deve ter notado que existe mais de um objetivo de avaliação por catálogo de
critérios. Como saber quais requisitos são aplicáveis a qual objetivo de avaliação?
A tabela a seguir mostra quais requisitos são aplicáveis:
Tabela 8. Aplicabilidade dos requisitos aos objetivos da avaliação
Objetivo da
Não. Requisitos aplicáveis
avaliação
 Catálogo de critérios “Segurança da Informação”

 Coluna “Requisitos (obrigatórios)”
 Coluna “Requisitos (deveriam)”
1. Informações altas
 Coluna “Requisitos adicionais para
necessidades de alta proteção”

Informações muito  Coluna “Requisitos adicionais para
2.
altas necessidades de alta proteção”
 Coluna “ Requisitos adicionais para
necessidades de proteção muito elevadas”
Alta  Catálogo de critérios “Segurança da Informação”

3.
disponibilidade  Coluna “Requisitos (obrigatórios)”
Objetivo da
avaliação

(mas apenas aqueles marcados com um “ A ”
como em Disponibilidade A )

Disponibilidade (mas apenas aqueles marcados com um “ A ”
4.
muito alta como em Disponibilidade A )
necessidades de proteção muito
elevadas” (mas apenas aqueles marcados com
um “ A ” como em Disponibilidade A )
 Catálogo de critérios “Proteção de Protótipo”

Mas apenas estes capítulos:
8.1 Segurança Física e Ambiental
8.2 Requisitos Organizacionais
5. Peças proto
8.3 Manuseio de veículos, componentes e peças

8.1 Segurança Física e Ambiental
6. Proto-veículos
 Coluna “Requisitos adicionais para veículos
classificados como necessitando de proteção”
Objetivo da
avaliação
 Catálogo de critérios “Proteção de protótipo”

8.2 Requisitos organizacionais
7. Veículos de teste
8.4 Requisitos para veículos de teste

8. Protoeventos
8.5 Requisitos para eventos e tiroteios

necessidades de alta proteção” ( mas
9. Dados
apenas aqueles marcados com “ C ” como em
Confidencialidade )
 Catálogo de critérios “Proteção de Dados”

necessidades de alta proteção” ( mas
apenas aqueles marcados com “ C ” como em
10. Dados especiais
Confidencialidade )
necessidades de proteção muito elevadas ”
(mas apenas aqueles marcados com um “ C ”
como em Confidencialidade )
 Catálogo de critérios “Proteção de Dados”
Objetivo da
avaliação
Observe:
Cada requisito nas duas colunas “Requisitos adicionais para necessidades

de proteção elevadas” e “Requisitos adicionais para necessidades de
proteção muito elevadas” é marcado com um “ C ” como em
Confidencialidade ou um “ I ” como em Integridade ou um “ A ” como
em A disponibilidade ou qualquer combinação dessas três letras.
Quando a tabela acima restringe os requisitos nestas duas colunas àqueles

marcados com uma das letras acima mencionadas, isto inclui sempre os
requisitos que também estão marcados com mais do que esta letra.
Exemplo: Todos os requisitos marcados com “(C)”, “(C, I, A)” ou “(C, I)”
são aplicáveis onde “C” é especificado na tabela acima (por exemplo, no
objetivo de avaliação “ Dados especiais ”).
A imagem abaixo mostra os principais elementos das questões de controle do catálogo de

critérios “Segurança da Informação”. (Os outros catálogos de critérios possuem apenas
um subconjunto desses elementos.) Explicamos todos os elementos mais adiante.
Figura 11. Captura de tela: Principais elementos das questões do catálogo de critérios
ISA “Segurança da Informação”
5.2.2.2. Capítulos
Cada catálogo de critérios agrupa as questões em capítulos.
Exemplo: “2 Recursos Humanos”
O agrupamento é baseado nas responsabilidades típicas de uma empresa. Esses

departamentos estão especificados na coluna “Responsável habitual pela implementação
do processo” (“RH” no exemplo acima).
5.2.2.3. Perguntas de controle
Você encontra as perguntas de cada catálogo de critérios nas respectivas planilhas Excel.
Exemplo: “4.1.2 Até que ponto o acesso do usuário aos serviços de rede, sistemas de TI e
aplicações de TI é protegido?”
As questões de controle também são chamadas de “controles”. Isto é “fala do auditor”. Os

padrões ISO nos quais a ISA se baseia usam o termo “controle”.
5.2.2.4. Campos do formulário de autoavaliação
Entre as colunas “Nível de maturidade” e “Pergunta de controle” estão os campos do

formulário que você precisa preencher ao realizar uma autoavaliação:
Tabela 9. Campos do formulário de autoavaliação e sua finalidade
Campo de formulário Propósito Obrigatório?
Descrição da Aqui você deve descrever brevemente o

implementação que implementou para resolver essa Sim
(coluna F) questão de controle em sua empresa.
Documentação de Aqui deverá especificar em que

referência documento(s) comprova a Sim
(coluna G) implementação.
Aqui você pode anotar quaisquer

Descobertas/Resultado descobertas onde você acha que existe
Não
(Coluna H) uma lacuna entre o que deveria ser e o
que é.
Apenas a breve descrição da sua implementação e a referência à sua documentação são

obrigatórias. Esta informação ajudará os nossos fornecedores de auditoria TISAX a
compreender melhor a sua empresa e a preparar a avaliação.
Existem mais colunas opcionais para apoiar sua autoavaliação:

 Medidas/recomendações (Coluna R)
 Data da avaliação (Coluna S)
 Data de conclusão (Coluna T)
 Departamento responsável (Coluna U)
 Contato (Coluna V)
Nota importante:
Se você abrir o arquivo Excel baixado e selecionar uma das planilhas do catálogo de critérios (p
exemplo, Segurança da Informação), provavelmente não verá imediatamente os campos do
formulário de autoavaliação. Para exibi-los, você precisa clicar no botão de agrupamento do nív
[ 14 ]
. O botão está acima e à esquerda da célula C1. Isso expandirá a visualização para mostrar os
campos do formulário de autoavaliação.
Outra dica é usar as teclas de seta para rolar para baixo. Porque devido ao grande tamanho das
células, a rolagem com a barra de rolagem pode exigir excelentes habilidades motoras finas. Se
usar o recurso de rolagem do dispositivo apontador, também poderá pular acidentalmente algum
das células maiores.
5.2.2.5. Objetivo
À direita da coluna “Questão de controle” está a coluna “Objetivo” (coluna J). Seu
conteúdo descreve o que você precisa alcançar em relação a esse aspecto do
gerenciamento da segurança da informação.
Exemplo (para a questão de controle 4.1.2): “Apenas usuários identificados de forma

segura (autenticados) podem obter acesso aos sistemas de TI. Para este efeito, a
identidade de um utilizador é determinada de forma segura por procedimentos
adequados.”
5.2.2.6. Requisitos
Os requisitos são o que se espera que você cumpra para atingir o objetivo.
Os requisitos estão distribuídos em quatro colunas:
1. Requisitos (obrigatórios) (Coluna K)

2. Requisitos (deveriam) (Coluna L)
3. Requisitos adicionais para necessidades de alta proteção (Coluna M)
4. Requisitos adicionais para necessidades de proteção muito elevadas (Coluna N)
Tem de cumprir todos os requisitos até à necessidade de proteção que necessita de

alcançar (que pode derivar do seu objetivo de avaliação).
Para alguns objetivos de avaliação, apenas um subconjunto dos requisitos é aplicável.

Para mais informações sobre a aplicabilidade dos requisitos, consulte a Tabela 8,
“Aplicabilidade dos requisitos aos objetivos da avaliação” na Seção 5.2.2.1, “Catálogos
de critérios” e especialmente a nota no final da seção.
Para obter mais informações sobre as definições da ISA dos níveis de requisitos “must” e
“should”, consulte os “Termos-chave” na planilha Excel “Definições”.
Nota importante:
É muito importante que você entenda que deve interpretar cada requisito no
contexto e no espírito do objetivo. Mesmo o cumprimento de um requisito
ao pé da letra não garante que o provedor de auditoria confirme que você o
cumpre no contexto e no espírito do objetivo (coluna J) .
Os requisitos e a sua redação baseiam-se numa implementação teórica por

uma empresa média fictícia de dimensão desconhecida.
O provedor de auditoria deve sempre pesar o objetivo em relação à

implementação exclusiva em sua empresa. O que é apropriado para a
empresa média pode não ser suficiente na sua situação específica.
Para obter mais informações, consulte a Seção 5.2.5, “Abordar o resultado

da autoavaliação” .
5.2.2.7. Níveis de maturidade

A ISA utiliza o conceito de “níveis de maturidade” para avaliar a qualidade de todos os
aspectos do seu sistema de gestão de segurança da informação. Quanto mais sofisticado
for o seu sistema de gestão de segurança da informação, maior será o seu nível de
maturidade.
A ISA diferencia seis níveis de maturidade. Você pode encontrar a definição detalhada na
planilha Excel “Níveis de maturidade” . Para uma visão consolidada dos níveis de
maturidade, citamos as descrições informais fornecidas na ISA:
Tabela 10. Descrição informal dos níveis de maturidade
Nivel de Em uma
Descrição
maturidade palavra
Um processo não está disponível, não é seguido ou

0 Incompleto
não é adequado para atingir o objetivo.
Um processo não documentado ou documentado

1 Realizado de forma incompleta é seguido e existem
indicadores de que atinge o seu objetivo.
É seguido um processo que atinge seus objetivos.

2 Gerenciou A documentação do processo e as evidências de
implementação do processo estão disponíveis.
Um processo padrão integrado ao sistema geral é

seguido. As dependências de outros processos são
documentadas e interfaces adequadas são criadas.
3 Estabelecido
Existem evidências de que o processo foi utilizado
de forma sustentável e ativa durante um longo
período.
Um processo estabelecido é seguido. A eficácia do

processo é monitorada continuamente através da
coleta de números-chave. São definidos valores-
4 Previsível
limite nos quais o processo é considerado
insuficientemente eficaz e requer ajuste.
(Indicadores Chave de Performance)
É seguido um processo previsível com melhoria

5 Otimizando contínua como objetivo principal. A melhoria é
ativamente promovida por recursos dedicados.
Você deve avaliar o nível de maturidade do seu sistema de gerenciamento de segurança

da informação por pergunta. Insira seu nível de maturidade na coluna “Nível de
maturidade” (coluna E).
Figura 12. Captura de tela: Exemplo de seleção de nível de maturidade no documento
ISA (planilha Excel “Segurança da Informação”)
Para obter mais informações sobre os níveis de maturidade desejados e seu impacto no
resultado da sua avaliação, consulte a Seção 5.2.4, “Interpretar o resultado da
autoavaliação” .
Com esta compreensão melhorada, agora você está pronto para iniciar a autoavaliação.
5.2.3. Faça a autoavaliação
Abra o arquivo Excel e analise todas as questões de controle de cada catálogo de critérios
aplicáveis ao(s) seu(s) objetivo(s) de avaliação e determine o nível de maturidade que
corresponde ao estado atual do seu sistema de gestão de segurança da informação. Faça
isso com base em seu melhor julgamento. Não há certo ou errado nesta fase.
Depois de concluída a autoavaliação, a coluna “Resultado” (H) da planilha Excel

“Resultados (ISA5)” deverá ser totalmente preenchida, seja com números (0-5) ou “na”
(como em “não aplicável” ).
Figura 13. Captura de tela: Exemplo de planilha “Resultados (ISA5)” no documento
ISA
Se você tiver dúvidas sobre o ISA, entre em contato conosco .
5.2.4. Interprete o resultado da autoavaliação
As próximas cinco subseções explicam como analisar e interpretar o resultado da sua

autoavaliação. A análise dirá se você está pronto ou não para uma avaliação TISAX.
5.2.4.1. Análise
A pontuação do seu resultado resume o resultado da autoavaliação.
Você encontra a pontuação do resultado (“Resultado com redução para o nível de

maturidade alvo”) na planilha Excel “Resultados (ISA5)” (célula D6). Explicaremos o
“redução” em breve.
Figura 14. Captura de tela: sua pontuação do resultado e a pontuação máxima do
resultado (planilha Excel “Resultados (ISA5)”, células D6 e G6)
Para compreender e posteriormente interpretar o resultado da sua autoavaliação e a

pontuação do seu resultado, você precisa diferenciar dois níveis de análise:
1. Nível de perguntas
Este nível contém todas as perguntas. Para cada pergunta, existe um nível de
maturidade alvo e o seu nível de maturidade.
2. Nível de pontuação
Neste nível está o resultado geral que resume os resultados de todas as questões. Há
uma pontuação máxima de resultado e sua pontuação de resultado.
A figura abaixo mostra os níveis de análise:
Figura 15. Análise do resultado da autoavaliação em nível de questão e nível de

pontuação
A figura abaixo mostra onde encontrar os resultados no nível de pontuação e os resultados
no nível de pergunta :
Figura 16. Nível de pontuação e nível de questão na planilha Excel “Resultados (ISA5)”
A próxima figura mostra uma visão simplificada dos níveis de análise, das definições de
alvo do ISA e dos seus próprios resultados :
Figura 17. As metas e seus resultados no nível da pergunta e no nível da pontuação
As seções a seguir explicam o resultado e sua análise em detalhes.
5.2.4.2. O nível de maturidade alvo (no nível da pergunta)
A ISA define um “nível de maturidade alvo” de 3 para cada questão.
Para obter mais informações sobre a definição de cada nível de maturidade, consulte a
Seção 5.2.2, “Entender o documento ISA” .
A ISA define os níveis de maturidade alvo na planilha Excel “Resultados (ISA5)”

(começando na coluna G, linha 22; ver figura abaixo).
Figura 18. Definição do nível de maturidade alvo na planilha Excel “Resultados
(ISA5)”
5.2.4.3. Seu resultado (no nível da pergunta)
Para receber rótulos TISAX, geralmente você precisa ter níveis de maturidade para cada
pergunta iguais ou superiores ao nível de maturidade desejado.
Exemplo: Se o nível de maturidade alvo para a pergunta X for “3”, o seu nível de
maturidade para essa pergunta deverá ser “3” ou superior. Se o seu nível de maturidade
para essa questão for inferior a “3”, você poderá não receber os rótulos TISAX.
Isso tem que acontecer para cada pergunta. Se o nível de maturidade alvo para duas
perguntas for “3”, você não poderá compensar um nível de maturidade “2” para uma
pergunta com um nível de maturidade “4” para a outra pergunta.
O documento ISA transfere automaticamente seus níveis de maturidade da planilha Excel

“Segurança da Informação” (coluna E) para a planilha Excel “Resultados (ISA5)”
(começando na coluna H, linha 23):
Figura 19. Seus níveis de maturidade na planilha Excel “Resultados (ISA5)”
Seu nível de maturidade está sujeito a um cálculo antes que o documento ISA o resuma
em sua pontuação de resultado. Basicamente, seu nível de maturidade é “reduzido” ao
nível de maturidade desejado. Isso é feito para que as perguntas em que seu nível de
maturidade esteja acima do nível de maturidade desejado não compensem as perguntas
em que seu nível de maturidade esteja abaixo do nível de maturidade desejado.
Veja como o ISA calcula seu resultado no nível da pergunta:
 Ele pega o seu nível de maturidade e o compara com o nível de maturidade alvo da
pergunta.
 Se o seu nível de maturidade estiver acima do nível de maturidade alvo, ele será
“reduzido” para o nível de maturidade alvo.
 Se o seu nível de maturidade estiver abaixo ou igual ao nível de maturidade desejado,
nada acontecerá para esta pergunta.
Exemplo (ver figura abaixo): O nível de maturidade alvo é “3”. Seu nível de maturidade é
“4”. Seu “ resultado de redução ” para esta questão será “3”.
Figura 20. Cálculo de redução do nível de maturidade do resultado
A figura abaixo mostra que se o seu nível de maturidade for superior ao nível de
maturidade alvo, o ISA o reduz (as cores verde, laranja e vermelho correspondem às cores
usadas na coluna “Resultado”, consulte a Figura 19, “Seus níveis de maturidade na
planilha Excel “Resultados (ISA5)”” ).
Figura 21. Ilustração de cutback com as cores utilizadas na planilha Excel “Resultados
(ISA5)”
Abaixo está outra maneira de visualizar os níveis de maturidade no nível da pergunta. As
cores dos círculos ilustram o nível de maturidade alvo ou a “distância” até ele (exemplo: o
círculo é laranja se o nível de maturidade estiver “-1” abaixo do nível de maturidade
alvo). As marcas de seleção ilustram seu nível de maturidade.
Figura 22. Níveis de maturidade em nível de pergunta
Observe:
É possível passar com sucesso em uma avaliação TISAX mesmo que você
não atinja o nível de maturidade desejado para todas as questões. A
principal questão nesses casos é se você corre um risco relevante. Se o seu
nível de maturidade estiver abaixo do valor-alvo, mas não houver risco,
isso ainda poderá ser suficiente.
5.2.4.4. O alvo (no nível de pontuação)

A ISA define um nível de maturidade global “ideal” — a “pontuação máxima de
resultado” (ou “pontuação máxima”, célula G6).
Figura 23. Pontuação máxima do resultado (planilha Excel “Resultados (ISA5)”)
Em teoria, este nível de maturidade global é a média de todos os níveis de maturidade

alvo (no nível da pergunta). Esta seria uma pontuação máxima de resultado de “3,0”.
No entanto, é “3.0” apenas se todas as questões se aplicarem à sua situação. Assim que
uma questão não for aplicável à sua situação, a média muda e a pontuação máxima do
resultado é inferior a “3,0”.
Com base na visualização mostrada acima ( Figura 22, “Níveis de maturidade no nível da
pergunta” ), você pode ver abaixo o que é colocado na média para a pontuação máxima
do resultado:
Figura 24. A pontuação máxima do resultado (no nível de pontuação)
5.2.4.5. Seu resultado (no nível de pontuação)
Sua pontuação geral do resultado (“Resultado com redução para os níveis de maturidade
desejados”, célula D6):
 resume o nível geral de maturidade do seu sistema de gerenciamento de segurança da

informação.
 é a média de todos os seus níveis de maturidade (no nível da pergunta).
 pode ser inferior ou igual à pontuação máxima do resultado.
 deve estar o mais próximo possível da pontuação máxima do resultado. Quanto mais a
pontuação do seu resultado estiver abaixo da pontuação máxima do resultado, menor
será a probabilidade de você receber rótulos TISAX.
Figura 25. Sua pontuação de resultado (planilha Excel “Resultados (ISA5)”)
Novamente usando uma visualização mostrada acima ( Figura 22, “Níveis de maturidade
no nível da pergunta” ), você pode ver abaixo o que é colocado na média para a pontuação
do resultado:
Figura 26. Sua pontuação de resultado (no nível de pontuação)
A pontuação do resultado informa se você:
 estão prontos para uma avaliação TISAX.

 podem esperar receber rótulos TISAX.
Se a pontuação do seu resultado (“Resultado com redução para os níveis de maturidade
alvo”) estiver abaixo de “3,0”, então pelo menos para uma pergunta o seu nível de
maturidade não corresponde ao nível de maturidade alvo. Neste caso, você provavelmente
deverá melhorar seu sistema de gerenciamento de segurança da informação antes de estar
pronto para sua avaliação TISAX.
Observe:
Para a pontuação geral, existem limites formais para uma “distância”

aceitável entre a pontuação do seu resultado e a pontuação máxima do
resultado (“Resultado com redução aos níveis de maturidade alvo”).
Se a pontuação do seu resultado for superior a:
 10% abaixo, o resultado geral da avaliação será “não conformidade

menor”.
 30% abaixo, o resultado geral da avaliação será “não conformidade
grave”.
Nota importante:
Ter uma pontuação de resultado (“Resultado com redução para níveis de

maturidade alvo”) de “3” não é uma garantia de que você passará na
avaliação TISAX sem quaisquer conclusões proibitivas. Tenha em mente
que o prestador de serviços de auditoria pode ver certos aspectos de forma
diferente da sua.
5.2.4.6. Você está pronto?
O objetivo da análise acima é saber se você está pronto para uma avaliação TISAX.
Você está definitivamente pronto para uma avaliação TISAX se a pontuação do seu
resultado (“Resultado com redução para os níveis de maturidade alvo”) for (próximo de)
“3,0”. Neste caso, todos os valores da coluna “Resultados” (H) são verdes (sem laranja ou
vermelho).
Se não estiverem verdes, você precisará abordar o resultado da sua autoavaliação

(consulte a Seção 5.2.5, “Abordar o resultado da autoavaliação” ).
A figura abaixo mostra o diagrama da teia de aranha do ISA na planilha Excel

“Resultados (ISA5)”. A linha verde marca o nível de maturidade alvo por capítulo. Se
seus níveis de maturidade estiverem nessa linha ou acima , você está pronto para uma
avaliação TISAX. Se estiverem abaixo dessa linha, isso pode não ser suficiente para
receber rótulos TISAX.
Figura 27. Captura de tela: Cumprimento do nível de maturidade alvo no diagrama de
teia de aranha do ISA (planilha Excel “Resultados (ISA5)”)
Se você “desdobrar” a teia de aranha do ISA até o nível da pergunta, obterá uma visão
verde / vermelha semelhante no nível da pergunta:
Figura 28. “Desdobrando” o diagrama da teia de aranha ISA
5.2.5. Aborde o resultado da autoavaliação
O resultado da sua autoavaliação pode mostrar que você precisa melhorar seu sistema de
gestão de segurança da informação antes de estar pronto para receber os rótulos TISAX.
Para algumas lacunas entre o seu nível de maturidade e o nível de maturidade alvo, você
já deve saber como fechá-las. Para outros, você pode precisar de aconselhamento externo.
Neste caso, você pode solicitar serviços de consultoria aos nossos fornecedores de
auditoria TISAX. A TISAX permite a consulta, mas não exige. Observe que qualquer
provedor de auditoria que preste consultoria para você não poderá mais realizar
avaliações TISAX para você.
Nota importante:
Não abordar adequadamente o resultado da autoavaliação antes de ser

avaliado é um grande obstáculo para muitas empresas. Não subestime o
esforço que pode ser necessário para moldar seu sistema de gerenciamento
de segurança da informação de acordo com os requisitos. Muitas empresas
precisam de criar formalmente um grande projeto para se prepararem para
uma avaliação TISAX.
Observe:
Ao procurar ajuda externa para passar pelo processo TISAX, você

descobrirá que diversas empresas oferecem serviços de consultoria e
treinamento. Nenhuma dessas empresas está associada a nós.
Da forma como as coisas estão atualmente, nós:
 não oferecemos treinamentos oficiais, seja diretamente ou por meio de

terceiros.
 não faça quaisquer declarações sobre a qualidade dos serviços de
terceiros e, portanto, aconselhe cautela.
Observação:
desaconselhamos solicitar ou solicitar itens como uma “pré-avaliação” ou

uma “análise de lacunas”. Embora reconheçamos o desejo de nos
prepararmos para a avaliação desta forma, em quase todos os casos faz
mais sentido iniciar a avaliação imediatamente.
Para obter mais informações sobre por que desaconselhamos pré-

avaliações, consulte a Seção 7.7, “Anexo: O raciocínio contra “pré-
avaliações” e “análises de lacunas”” .
5.3. Seleção de provedor de auditoria
Somente os provedores de auditoria que contratamos podem realizar avaliações TISAX [

15 ] para descobrir o que é necessário para se tornar um provedor de auditoria TISAX. Os
provedores de auditoria TISAX estão autorizados a realizar avaliações TISAX para você
somente se não tiverem realizado nenhum trabalho de consultoria anterior com você.
Todos os nossos fornecedores de auditoria TISAX são obrigados a realizar avaliações

TISAX apenas para as empresas que são participantes registradas na TISAX.
Nota importante:
Depois de registrar um escopo de avaliação TISAX, você deverá começar a

entrar em contato com nossos provedores de auditoria. Eles têm um certo
prazo de entrega quanto à sua disponibilidade. Contatá-los depois de
terminar os preparativos pode causar um atraso desnecessário.
Observe:
escopo de avaliação deverá estar com o status “Aprovado” ou “Registrado”

pagamento” ” .
5.3.1. Informações de contato
Depois de registrar um escopo de avaliação TISAX, você poderá entrar em contato com
todos os provedores de auditoria TISAX e solicitar ofertas. Suas informações de contato
são fornecidas no e-mail de confirmação de registro que você recebeu [ 16 ] (consulte a
Seção 4.5.8, “E-mail de confirmação” ).
Observe:
Solicite ofertas de nossos provedores de auditoria TISAX somente

DEPOIS de estar registrado. Os provedores de auditoria verificarão se há
um registro existente. Eles têm que rejeitar solicitações sem registro.
Esta é também a razão pela qual você recebe as informações de contato do

provedor de auditoria apenas no e-mail de confirmação de registro e não
em nosso site público.
5.3.2. Cobertura
Embora atualmente muitos dos contactos dos prestadores de auditoria estejam baseados
na Alemanha, é importante compreender que todos os nossos prestadores de auditoria são
geralmente capazes de realizar avaliações TISAX em todo o mundo. A maioria deles tem
até funcionários próprios em muitos países.
Em nosso site, oferecemos uma página onde você pode selecionar seu país e ver qual
provedor de auditoria possui equipe de vendas local e/ou auditores locais ( enx.com/en-
US/TISAX/xap/ ).
5.3.3. Solicitando ofertas
Para permitir que os nossos fornecedores de auditoria TISAX calculem com precisão os
esforços de avaliação esperados, você deve sempre incluir o “Excerto do Escopo
TISAX”.
Figura 29. Miniatura de um trecho de escopo (primeira página)
Para obter mais informações, consulte a Seção 4.5.8, “E-mail de confirmação” .
Observe:
A imparcialidade é uma característica fundamental dos nossos fornecedores

de auditoria TISAX. Eles garantirão que não exista nenhum conflito de
interesses. Você pode considerar isso ao contatá-los. Se sua empresa estiver
de alguma forma relacionada a um fornecedor de auditoria, você não pode
esperar ser avaliado por ele.
5.3.4. Avaliando ofertas
Você pode escolher livremente entre todos os nossos fornecedores de auditoria TISAX.
Todos estão vinculados ao mesmo contrato. Todos realizam as avaliações com base nos
mesmos critérios e nos mesmos métodos de auditoria. Em termos do resultado da
avaliação, não haverá diferença, independentemente do fornecedor de auditoria que você
escolher. O resultado da sua avaliação será aceito por todos os participantes do TISAX.
Além de fatores óbvios como preço, reputação e simpatia, existem alguns aspectos de
uma oferta que você pode procurar:
 Disponibilidade:
Quando pode começar o processo de avaliação? Este pode ser um aspecto importante
se a avaliação do TISAX for urgente para você.
 Custos relacionados com viagens para consultas presenciais:
Os prestadores de auditoria com escritórios no seu país podem ter custos mais baixos
relacionados com viagens.
 Idioma:
você e todos os outros entrevistados da sua empresa conseguirão se comunicar com o
auditor em seu idioma nativo?
 Escopo da oferta:
Quais avaliações estão incluídas?
Para obter mais informações sobre avaliações, consulte a Seção 5.4.3, “Tipos de
avaliação TISAX” .
Normalmente, as ofertas incluem a avaliação inicial e a avaliação do plano de ação
corretiva. Como os esforços para avaliações de acompanhamento são difíceis de
prever, normalmente são oferecidos após a conclusão das outras avaliações.
Em última análise, tudo se resumirá à confiança. Você precisará formar uma relação de
confiança com seu provedor de auditoria, pois ele terá uma boa visão da sua empresa.
Observação:
desaconselhamos solicitar ou solicitar itens como uma “pré-avaliação” ou

uma “análise de lacunas”. Embora reconheçamos o desejo de nos
prepararmos para a avaliação desta forma, em quase todos os casos faz
mais sentido iniciar a avaliação imediatamente.
Para obter mais informações sobre por que desaconselhamos pré-

avaliações, consulte a Seção 7.7, “Anexo: O raciocínio contra “pré-
avaliações” e “análises de lacunas”” .
Observe:
Embora certamente gostaríamos de informar quanto nossos prestadores de

serviços de auditoria cobrarão pela avaliação, pedimos a sua compreensão
de que não nos é possível fornecer essas informações. Os custos dependem
de muitos fatores. Além disso, nossos prestadores de auditoria são livres
em relação aos seus cálculos comerciais.
No entanto, podemos mencionar algumas estimativas aproximadas de

quantos dias-homem nossos provedores de auditoria cobrarão de você. Para
uma pequena empresa média com um local, você deve esperar pagar de três
e meio a quatro dias-homem para uma avaliação no nível de avaliação 2 e
de cinco a seis dias-homem para uma avaliação no nível de avaliação 3.
Observe:
Toda avaliação passa por um ciclo de vida.
Para obter mais informações sobre o status de uma avaliação, consulte a

Seção 7.6, “Anexo: Status da avaliação ” .
Depois de escolher um de nossos fornecedores de auditoria TISAX, você poderá

finalmente iniciar o processo de avaliação TISAX.
5.4. Processo de avaliação TISAX
5.4.1. Visão geral
O processo de avaliação TISAX consiste em vários tipos de avaliações. Na maioria dos

casos, haverá mais de uma avaliação.
Você deve ver o processo de avaliação como uma sequência entrelaçada de etapas onde:
 Você prepara seu sistema de gerenciamento de segurança da informação para estar em

sua melhor forma.
 O provedor de auditoria verifica se o seu sistema de gerenciamento de segurança da
informação atende a um conjunto definido de requisitos. Ele pode encontrar lacunas.
 Em seguida, você fecha as lacunas dentro de períodos definidos.
 O provedor de auditoria verifica novamente se você preencheu as lacunas.
Essas etapas alternadas são realizadas até que todas as lacunas sejam fechadas.
É importante compreender que você inicia cada subetapa do processo de avaliação. Todo
o processo de avaliação está sob seu controle. E é claro que cabe a você interromper e sair
do processo de avaliação sempre que quiser. [ 17 ]
O processo de avaliação TISAX tem a seguinte macroestrutura:
 Reunião inicial
Você e o provedor de auditoria estão planejando os detalhes do processo de avaliação
 Fase de avaliação 1
O provedor de auditoria verifica sua autoavaliação
 Fase de avaliação 2
O provedor de auditoria conduz a(s) avaliação(ões)
5.4.2. Reunião de lançamento
O processo de avaliação TISAX começa com a reunião inicial. É o local para planejar os
detalhes do processo de avaliação. Normalmente, a reunião inicial é feita em uma
teleconferência. O provedor de auditoria irá guiá-lo durante a reunião.
Entre outros assuntos, estão em pauta os seguintes temas:
 Quem são os participantes da reunião?

 Quem é a empresa avaliada?
 Como funciona o processo de avaliação TISAX?
 Qual é o escopo da avaliação e é o correto?
 Não há conflitos de interesse?
 Como é uma boa autoavaliação?
 Quem é responsável pelo que?
 Como nos comunicamos?
 Quando ocorre a avaliação (e outro planejamento de tempo)?
 Quem precisa participar da(s) avaliação(ões)?
 Quem você pode contatar quando tiver reclamações?
O período entre o final da reunião inicial e a entrega da sua autoavaliação é normalmente

de um a três meses. Mas mesmo seis meses não é incomum. O período depende do status
da sua preparação. A TISAX não impõe nenhum prazo para este período. Você pode
dedicar todo o tempo necessário para preparar sua autoavaliação e para a avaliação.
5.4.3. Tipos de avaliação TISAX
O processo de avaliação TISAX é composto por estes três tipos de avaliações TISAX:
 Avaliação inicial
 Avaliação do plano de ação corretiva
 Avaliação de acompanhamento [ 18 ]
A avaliação inicial ocorrerá sempre. As outras duas avaliações TISAX poderão ocorrer e
poderão fazê-lo diversas vezes. Eles ocorrerão:
 até você fechar todas as lacunas

 ou você sai do processo de avaliação TISAX
 ou você atinge o período máximo de nove meses após o término da reunião de
encerramento da avaliação inicial (ponto em que é necessária outra avaliação inicial).
Todas as avaliações TISAX serão descritas nas próximas seções.
Observe:
Toda avaliação passa por um ciclo de vida.
Para obter mais informações sobre o status de uma avaliação, consulte a

Seção 7.6, “Anexo: Status da avaliação ” .
5.4.4. Elementos de avaliação TISAX
Cada avaliação TISAX consiste nos seguintes elementos:
 Reunião formal de abertura [ 19 ] [ 20 ]

 Tem como objetivo cobrir todos os tópicos organizacionais.
 Não precisa necessariamente ser uma reunião física.
 Os tópicos podem ser abordados de uma só vez ou distribuídos em diversas
ocasiões.
 É um “recipiente lógico” para todos os tópicos de pré -avaliação organizacional.
 Procedimento de avaliação
 Seu provedor de auditoria verifica todos os requisitos.
 Os métodos de avaliação são selecionados de acordo com o respetivo nível de
avaliação.
 Reunião formal de encerramento [ 21 ]
 Conclui uma avaliação TISAX.
 O fornecedor de auditoria apresenta as suas conclusões.
 O provedor de auditoria anuncia o resultado da avaliação.
 Não precisa necessariamente ser uma reunião física.
 É um “recipiente lógico” para todos os tópicos de pós -avaliação organizacional.
Após a “reunião de encerramento”, o prestador de auditoria prepara e envia-lhe a versão

preliminar do “relatório de avaliação TISAX” atualizado. Você pode expressar objeções
se achar que o provedor de auditoria entendeu mal alguma coisa. [ 22 ] Em seguida, o
prestador de auditoria emite o “relatório de avaliação TISAX” final.
Todos esses elementos serão descritos nas próximas seções.
5.4.5. Sobre conformidade
Antes de continuarmos descrevendo o processo de avaliação TISAX, queremos explicar

um conceito-chave que é essencial para a sua compreensão das próximas seções.
O objetivo de uma avaliação TISAX é determinar se o seu sistema de gestão de segurança

da informação atende a um conjunto definido de requisitos. O provedor de auditoria
verifica se o seu sistema de gerenciamento de segurança da informação “está em
conformidade” com os requisitos.
Passo 1 : As verificações são feitas para cada requisito aplicável individualmente.
Se a sua abordagem estiver “em conformidade” com todos os requisitos, você será
aprovado na avaliação e receberá os rótulos TISAX que correspondem aos seus objetivos
de avaliação.
Tudo o que está abaixo da conformidade total ou ideal com os requisitos é chamado de
constatação . TISAX diferencia quatro tipos de resultados:
Tabela 11. Os quatro tipos de descobertas
Não. Tipo Definição Reação Exemplos
Uma não
conformidade
 Não
grave :
conformidades
Você tem que:
sistemáticas
 cria um
 Déficits de
risco  abordar
implementação
imediato imediatamente
que criam
significativo as principais
riscos críticos
à segurança não
para a
da sua conformidades
Não segurança de
informação com medidas
1. conformidade informações
 ou crie de
grave confidenciais
dúvidas compensação
 Déficits de
sobre a apropriadas
implementação
eficácia  implementar
que não são
geral do seu ações corretivas
abordados por
sistema de sem demora
uma ação
gestão de injustificada
corretiva
segurança
apropriada
da
informação
Uma não Você tem que:  Erros isolados

conformidade ou esporádicos
Não menor :  implementar  Não
2. conformidade ações corretivas conformidade
menor  não cria um sem demora ou déficits na
risco injustificada implementação
imediato de requisitos
Tabela 11. Os quatro tipos de descobertas
Não. Tipo Definição Reação Exemplos
significativo ou de suas
à segurança políticas
da sua
informação
 e não cria
dúvidas
quanto à
eficácia
geral do seu
sistema de
gestão de
segurança
da
informação
Uma
observação é
Você tem que:
uma não
conformidade
 investigar,
com os
monitorar e
requisitos de
avaliar
nossas próprias
3. Observação cuidadosamente n/D
políticas que
possíveis riscos
não cria um
 decidir como
risco imediato à
lidar com a
segurança da
observação
sua informação,
mas pode criar
isso no futuro.
Um desvio que
não pertence
aos tipos acima
mencionados e
Você pode decidir
não representa
Espaço para se ou como abordar
4. um risco para a n/D
melhorias esse tipo de
segurança da
descoberta.
sua informação,
mas oferece
espaço óbvio
para melhorias.
Etapa 2 : Todos os resultados da etapa anterior “por requisito” são mesclados no
resultado geral da avaliação.
O resultado geral da avaliação pode ser:
a. Conforme
O resultado geral da avaliação é “conforme”. Todos os requisitos são cumpridos.
b. Não conformidade menor
O resultado geral da avaliação é “não conformidade menor” se você tiver pelo menos
uma “não conformidade menor” para um requisito.
c. Não conformidade grave
O resultado geral da avaliação é “não conformidade grave” se você tiver pelo menos
uma “não conformidade grave” para um requisito.
(Sem um plano de ação corretiva aprovado, toda não conformidade resulta em um
resultado geral de avaliação de “não conformidade grave”.)
Se o resultado geral da sua avaliação for:
 “não conformidade menor”, você pode receber rótulos TISAX temporários até que
todas as não conformidades sejam resolvidas.
 “não conformidade grave”, você deve resolver o respectivo problema primeiro antes
de receber qualquer rótulo TISAX.
Com medidas compensatórias apropriadas e ações corretivas aprovadas pelo provedor
de auditoria, é possível alterar o resultado geral da sua avaliação de “não
conformidade grave” para “não conformidade menor” e, assim, receber rótulos
TISAX temporários.
É importante compreender que o resultado geral da sua avaliação irá melhorar durante
todo o processo de avaliação TISAX.
Por favor, considere este exemplo simplificado: Você pode ter um resultado geral da
avaliação de “não conformidade grave” após a avaliação inicial. Depois você mitiga o
risco correspondente. Isso altera o resultado geral da sua avaliação de “não conformidade
grave” para “não conformidade menor”. E uma vez eliminado o risco, o resultado final da
sua avaliação geral será “conforme”.
Tudo isso será explicado a seguir com muito mais detalhes. E você pode encontrar mais
sobre rótulos TISAX mais adiante na Seção 5.4.14, “Rótulos TISAX” .
5.4.6. Sua preparação para o processo de avaliação TISAX
O provedor de auditoria preparará a avaliação com base na sua autoavaliação. Portanto,

considere que você deve disponibilizar sua autoavaliação ao seu provedor de auditoria
com antecedência. Os prazos exatos de entrega são acordados na reunião inicial.
Um fornecedor de auditoria bem preparado reduzirá o tempo necessário para a avaliação.

Além da autoavaliação, ele também solicitará documentação relacionada antes da
avaliação. Pode ser a documentação referenciada na autoavaliação e outra documentação
que o provedor de auditoria considere relevante.
Com base nessas informações, seu provedor de auditoria planejará o procedimento de
avaliação.
5.4.7. Avaliação inicial
Esta é a primeira avaliação TISAX e marca o início formal do processo de avaliação

TISAX.
Nota importante:
A avaliação inicial marca o início de dois períodos importantes:
1. O período máximo de validade dos rótulos TISAX é de três anos.

2. Você tem até nove meses para resolver as não conformidades. Se você
não resolver todas as não conformidades neste prazo, não receberá os
rótulos TISAX. Se você perdeu esse prazo, poderá continuar
diretamente com uma nova avaliação inicial.
Ambos os períodos têm início no dia da reunião de encerramento da

avaliação inicial.
Observe:
Além dos dois períodos descritos acima, não existem outras restrições de
tempo. Por exemplo, nem a conclusão do processo de registo online, nem o
contacto com os nossos prestadores de auditoria ou mesmo a realização da
reunião inicial acionam quaisquer prazos. Cabe a você começar com a
5.4.7.1. A primeira reunião formal de abertura
Como todas as avaliações TISAX, a avaliação inicial começa com uma reunião formal de
abertura. A reunião formal de abertura geralmente é feita por meio de uma teleconferência
ou webconferência. Para pequenas empresas, possivelmente com alguma experiência de
outras auditorias, isto não demora muito.
O objetivo desta reunião é:
 verifique os pré-requisitos da avaliação

 apresentar o líder do projeto de avaliação e a equipe de avaliação
 planejar a avaliação
5.4.7.2. Procedimento de avaliação
De acordo com o plano preparado, o prestador de auditoria conduz a avaliação inicial. A

aparência detalhada depende dos objetivos da sua avaliação. A avaliação consiste
principalmente em teleconferências, entrevistas no local e inspeções no local em graus
variados de profundidade [ 23 ] .
O prestador de auditoria apresenta todas as suas conclusões durante a avaliação inicial.
5.4.7.3. Reunião de encerramento
Na reunião de encerramento, o seu fornecedor de auditoria resume novamente todas as

suas conclusões.
5.4.7.4. Relatório de avaliação TISAX
Após a reunião de encerramento, o prestador de auditoria prepara e envia-lhe a versão

preliminar do “relatório de avaliação TISAX”. Você pode expressar objeções se achar que
o provedor de auditoria entendeu mal alguma coisa. [ 24 ] Em seguida, o prestador de
auditoria emite o “relatório de avaliação TISAX”.
Nesta fase, o resultado da avaliação global atual será:
 Conforme, ou
 Não conformidade maior
Ter não conformidades (menores) não tratadas sempre resulta em um resultado geral
da avaliação de “não conformidade maior”. O resultado geral da sua avaliação só
poderá ser “não conformidade menor” depois de você definir ações que
implementarão medidas para resolver as não conformidades.
Para obter mais informações sobre como conseguir isso, consulte a Seção 5.4.9.4,
“Etiquetas TISAX temporárias” .
Se o resultado geral da sua avaliação estiver “conforme” logo na avaliação inicial, você
pode pular o restante da seção de avaliação e prosseguir para a troca do seu resultado.
Se o resultado geral da sua avaliação for “não conformidade grave”, a sua próxima tarefa
é elaborar um plano sobre como abordar as conclusões e como colmatar quaisquer
lacunas encontradas pelo fornecedor de auditoria. O plano é oficialmente chamado de
“plano de ação corretiva” .
Observe:
Se, antes do início da avaliação, você tiver conhecimento de uma situação

que resultará em uma não conformidade e não conseguir corrigi-la antes da
avaliação, você já poderá planejar uma ação corretiva (incluindo uma data
de implementação) e apresentá-lo ao provedor de auditoria durante a
avaliação. Isto, teoricamente, poderia levar a um resultado geral da
avaliação de “não conformidade menor”. No entanto, esta seria uma
situação rara .
5.4.8. Preparação do plano de ação corretiva
O seu “plano de ação corretiva” define como você planeja abordar as conclusões da
avaliação inicial. Seu fornecedor de auditoria avaliará a adequação do seu “plano de ação
corretiva” (veja a próxima seção).
Para criar o seu “plano de ação corretiva”, você deve considerar os seguintes requisitos:
 Encontrando
 Você precisa indicar qual solução a ação corretiva aborda.
 Causa raiz
 Você precisa identificar e declarar a causa raiz da descoberta.
 Ações corretivas
 Para cada não conformidade é necessário definir uma ou mais “ações corretivas”,
que implementarão medidas que resolvam a não conformidade.
 Data de implementação
 Você precisa definir uma data de implementação para cada ação corretiva.
 O período de implementação deve proporcionar tempo suficiente para implementar
completamente as medidas.
 Medidas compensatórias
 Para todas as não conformidades que criam riscos críticos, é necessário definir
medidas de compensação que abordem as não conformidades até que as ações
corretivas sejam implementadas.
 Período de implementação
 Para todas as ações corretivas que levam mais de três meses para serem
implementadas, é necessário justificar o período de implementação.
 Para todas as ações corretivas que levam mais de seis meses, você também precisa
fornecer evidências que demonstrem que uma implementação mais rápida não é
possível.
 O período de implementação de qualquer ação corretiva não pode ser superior a
nove meses.
Assim que o seu plano de ação corretiva estiver concluído, você poderá solicitar a
“avaliação do plano de ação corretiva”.
Nota importante:
Recomendamos começar com a implementação o mais rápido possível.

Não há necessidade de esperar pelo resultado da “avaliação do plano de
ação corretiva”.
A “avaliação do plano de ação corretiva” geralmente ocorre depois que
você envia seu plano de ação corretiva ao seu provedor de auditoria.
Observe:
A TISAX possui requisitos apenas em relação ao conteúdo e não quanto à

forma dos planos de ação corretiva.
A maioria dos nossos fornecedores de auditoria oferece modelos para
planos de ação corretiva.
5.4.9. Avaliação do plano de ação corretiva
O objetivo da “avaliação do plano de ação corretiva” é verificar se o seu “plano de ação

corretiva” (ver acima) atende aos requisitos do TISAX.
Você envia seu “plano de ação corretiva” ao seu provedor de auditoria. Seu provedor de
auditoria avalia o plano de acordo com os requisitos (veja abaixo). Se o seu plano atender
aos requisitos, seu provedor de auditoria emitirá o “relatório de avaliação TISAX”
atualizado.
Essa avaliação geralmente não demora muito. Na maioria dos casos, será uma
teleconferência ou webconferência. Às vezes, isso é feito apenas por e-mail.
5.4.9.1. Razões para uma avaliação do plano de ação corretiva
As razões para uma “avaliação do plano de ação corretiva” são:
 Restantes não conformidades após

 uma avaliação inicial
 uma avaliação de acompanhamento
 uma avaliação de extensão de escopo
 Um “plano de ação corretiva” que já foi avaliado, mas não atendeu aos requisitos
 Os fatores de influência nos quais se baseia o cálculo dos períodos de implementação
de um plano de ação corretiva mudaram
5.4.9.2. Combinação com avaliação inicial
A “avaliação do plano de ação corretiva” não é necessariamente um evento independente.

Você tem a opção de já apresentar seu “plano de ação corretiva” na reunião de
encerramento da avaliação inicial. O prestador de auditoria pode então conduzir
diretamente a “avaliação do plano de ação corretiva”.
Se você combinar a “avaliação do plano de ação corretiva” com a avaliação inicial, e seu
“plano de ação corretiva” atender aos requisitos, você poderá concordar com o provedor
de auditoria que não precisa de um “relatório de avaliação inicial”. Em vez disso, o seu
fornecedor de auditoria apenas prepararia o “relatório de avaliação do plano de ação
corretiva”. Este relatório permite receber diretamente etiquetas temporárias TISAX.
5.4.9.3. Requisitos do plano de ação corretiva
O provedor de auditoria avalia seu “plano de ação corretiva” em relação aos seguintes
requisitos:
 As medidas são apropriadas

 O prestador de auditoria avaliará a adequação de uma ação corretiva com base na
resolução da causa raiz da não conformidade.
 Os riscos críticos são mitigados com medidas de compensação apropriadas [ 25 ]
 Os períodos de implementação são apropriados
 Os períodos de implementação começam no dia em que a avaliação inicial foi
concluída
 Nenhum período de implementação é superior a:
 três meses sem justificação adicional
 seis meses sem justificação e provas adicionais
 nove meses
5.4.9.4. Etiquetas TISAX temporárias
Se o resultado geral da sua avaliação for “não conformidade menor”, você receberá
rótulos TISAX temporários.
A vantagem dos rótulos TISAX temporários é que seu parceiro geralmente os aceita sob a
condição de que você receba posteriormente rótulos TISAX permanentes. Isso pode
ajudá-lo se for urgente provar a eficácia do seu sistema de gerenciamento de segurança da
informação ao seu parceiro.
O pré-requisito para rótulos temporários TISAX é um relatório de avaliação do plano de

ação corretiva com o resultado geral da avaliação “não conformidade menor”.
Os rótulos TISAX temporários são iguais aos rótulos TISAX permanentes . A única
diferença é o período de validade mais curto dos rótulos temporários TISAX.
Os rótulos temporários TISAX podem ser válidos por até nove meses após a reunião de
encerramento da avaliação inicial. O período de validade dos rótulos temporários TISAX
é determinado pelo período mais longo de implementação das ações corretivas.
Exemplos:
 Você tem apenas uma não conformidade. Você tem que fazer uma revisão da política.
O período de implementação associado é de dois meses.
Então, seus rótulos temporários TISAX são válidos por dois meses.
 Você tem a inconformidade da revisão da política citada. Além disso, você tem uma
não conformidade onde é necessário construir uma nova parede externa como ação
corretiva. Devido ao tempo necessário para obter as aprovações necessárias do
município, o período de implementação associado é de oito meses.
Então, seus rótulos temporários TISAX são válidos por oito meses.
Para obter mais informações sobre os requisitos para períodos de implementação, consulte
a Seção 5.4.9.3, “Requisitos do plano de ação corretiva”
Observe:
A “avaliação do plano de ação corretiva” é opcional.
Você pode prosseguir diretamente para a avaliação de acompanhamento se:
 não precisa de rótulos TISAX temporários e

 estão confiantes para implementar quaisquer ações corretivas sem que
seu plano seja aprovado pelo seu provedor de auditoria
Depois de concluir todas as ações corretivas, você deverá solicitar a “avaliação de

acompanhamento”.
5.4.10. Avaliação de acompanhamento

O objetivo da “avaliação de acompanhamento” é avaliar se todas as não conformidades
previamente identificadas foram resolvidas. Normalmente você solicita a avaliação de
acompanhamento quando tiver certeza de que todas as não conformidades foram
resolvidas.
Mas você pode fazer quantas avaliações de acompanhamento precisar. Se durante uma
avaliação de acompanhamento o seu fornecedor de auditoria ainda atestar não
conformidades existentes ou mesmo novas, basta atualizar o seu plano de ação corretiva e
iniciar esta parte do processo de avaliação novamente.
Esta avaliação pode ser uma reunião física, bem como uma teleconferência ou
webconferência.
5.4.10.1. Tempo
Seu provedor de auditoria pode realizar a(s) avaliação(ões) de acompanhamento em até

nove meses após a conclusão da avaliação inicial [ 26 ] .
5.4.10.2. Pré-requisitos
Se você não precisar de etiquetas TISAX temporárias, poderá solicitar diretamente uma
avaliação de acompanhamento. Você não precisa ter uma “avaliação do plano de ação
corretiva” antes de uma avaliação de acompanhamento.
5.4.10.3. Expiração de rótulos temporários TISAX
Caso você precise de rótulos TISAX temporários, você pode querer garantir que não haja
nenhuma lacuna no recebimento dos rótulos TISAX permanentes. Portanto,
recomendamos solicitar sua avaliação de acompanhamento bem antes da última data
possível [ 27 ] . A razão é que você deseja ter tempo suficiente para abordar quaisquer
descobertas menores identificadas durante uma avaliação de acompanhamento.
5.4.11. Diagrama do processo de avaliação TISAX
As seções anteriores estão agora resumidas no seguinte diagrama de processo:

Figura 30. Diagrama do processo de avaliação TISAX (parte 1/2)
Figura 31. Diagrama do processo de avaliação TISAX (parte 2/2)
5.4.12. ID da avaliação
Cada avaliação TISAX de um escopo de avaliação é identificada por um “ID de

Avaliação”. Este ID refere-se ao resultado da sua avaliação e ao relatório de avaliação
TISAX correspondente.
Esta é a aparência do ID da avaliação:

Figura 32. Formato do ID da Avaliação
O ID da avaliação normalmente é usado quando seu provedor de auditoria se comunica

com você.
5.4.13. Relatório de avaliação TISAX
O “relatório de avaliação TISAX” :
 é (atualizado e) emitido após cada avaliação TISAX.

 documenta as descobertas do seu provedor de auditoria.
 contém o resultado geral da avaliação (conforme, não conforme menor, não conforme
maior).
 contém todas as outras informações relacionadas à sua avaliação TISAX (como
objetivo da avaliação, escopo, pessoas envolvidas e locais).
O “relatório de avaliação TISAX” pode ser dos seguintes tipos (dependendo do tipo de
avaliação):
 Relatório de avaliação inicial

 Relatório de avaliação do plano de ação corretiva
 Relatório de avaliação de acompanhamento [ 28 ]
O “relatório de avaliação TISAX” tem sempre a mesma estrutura [ 29 ] . Seu provedor de

auditoria simplesmente o estende após cada tipo de avaliação. Isto significa que você só
precisa lidar com a última versão do relatório de avaliação TISAX, pois ele sempre
contém o conteúdo da(s) versão(ões) mais antiga(s).
As primeiras seções do “relatório de avaliação TISAX” são o que você compartilha com
seu parceiro.
Uma das principais características do TISAX é que cabe totalmente a você decidir quais
partes do relatório de avaliação do TISAX deseja compartilhar com seu parceiro ou
qualquer outro participante. A estrutura do relatório de avaliação TISAX foi concebida
para permitir este tipo de partilha seletiva. Cada seção expande o nível de detalhe.
Esta é a aparência da estrutura do “relatório de avaliação TISAX”:
 A. Informações relacionadas à avaliação

Nome da empresa, escopo da avaliação, ID do escopo, ID da avaliação, nível da
avaliação, objetivo(s) da avaliação, data(s) da avaliação, provedor de auditoria
Esta seção não contém nenhum resultado da avaliação.
 B. Resultados resumidos
Resumo gerencial do resultado da avaliação (conformidade, não conformidade menor,
não conformidade maior), número de descobertas, categorização abstrata dos riscos
resultantes
 C. Resumo do resultado da avaliação
Resumo do resultado da avaliação por capítulo (por exemplo “9 Controle de Acesso”)
e por catálogo de critérios (por exemplo “Segurança da Informação”)
 D. Níveis de maturidade do VDA ISA (aba Resultado)
Nível de maturidade para cada requisito
 E. Resultados detalhados da avaliação
Descrição detalhada de todas as conclusões, resultados correspondentes da avaliação
de risco, medidas necessárias, período de implementação
Na etapa “troca” (detalhada abaixo) você decide até que nível seu parceiro terá acesso ao
conteúdo do seu relatório de avaliação TISAX.
5.4.14. Etiquetas TISAX
Abordamos brevemente esse tópico na seção de preparação do registro . Conforme

explicado, o que antes era um objetivo de avaliação tornou-se agora um rótulo TISAX.
Figura 33. Objetivos de avaliação e rótulos TISAX
Os rótulos TISAX:
 são o resultado do processo de avaliação TISAX.

 resuma o resultado da sua avaliação.
 são a afirmação de que o seu sistema de gerenciamento de segurança da informação
atende a um conjunto definido de requisitos.
O uso de rótulos TISAX facilita a comunicação relacionada ao TISAX com seu parceiro e
seu provedor de auditoria TISAX, porque se referem a um resultado definido do processo
de avaliação TISAX.
5.4.14.1. Hierarquia de rótulos TISAX
O mapeamento entre os objetivos da avaliação e os rótulos TISAX correspondentes é

bastante simples. Mas há outro aspecto importante: alguns rótulos TISAX estão
hierarquicamente ligados. Isso significa que se você receber um determinado rótulo
TISAX, receberá automaticamente os rótulos TISAX “abaixo” desse rótulo específico.
Exemplo: Se o seu objetivo de avaliação for “ Disponibilidade muito alta”, você receberá
o rótulo TISAX correspondente “ Disponibilidade muito alta”. Mas como o objetivo de
avaliação “ Disponibilidade muito alta” é um superconjunto de “Alta disponibilidade”,
você também recebe automaticamente o rótulo TISAX “Alta disponibilidade”.
Esta hierarquia existe atualmente para estes rótulos TISAX:
 “Info high” é um superconjunto de “Alta disponibilidade”

 “Informação muito alta” é um superconjunto de “ Disponibilidade muito alta”
 “ Disponibilidade muito alta” é um superconjunto de “Alta disponibilidade”.
 “ Dados especiais ” é um superconjunto de “Dados”.
Observe:
Você também pode receber rótulos TISAX retroativamente. Quando

introduzimos uma nova etiqueta que é um subconjunto de uma das
etiquetas TISAX que você já recebeu, você recebe automaticamente a nova
etiqueta.
Exemplo: Você recebeu o rótulo TISAX “Info high” numa época em que o
rótulo “Alta disponibilidade” ainda não existia. Quando introduzimos o
rótulo Alta disponibilidade, nosso sistema o atribuiu automaticamente a
você.
Você pode derivar esses relacionamentos hierárquicos comparando os requisitos

aplicáveis conforme especificado na Tabela 8, “Aplicabilidade dos requisitos aos
objetivos da avaliação” .
Isso pode não parecer importante para todos os participantes. Mas imagine que um
parceiro solicite que você mostre o rótulo TISAX “ Muito alta disponibilidade” e outro
solicite o rótulo TISAX “Alta disponibilidade”. Então, ter os dois rótulos TISAX torna
tudo mais fácil para todos, porque ninguém precisa entender que “Alta disponibilidade” é
um subconjunto de “ Disponibilidade muito alta”. Isto pode ser particularmente
verdadeiro para parceiros onde ter determinados rótulos TISAX faz parte de um processo
de compra bastante rigoroso. Você certamente não vai querer explicar que “
Disponibilidade muito alta” é “melhor” que “Alta disponibilidade”. Basta mostrar todos
os seus rótulos TISAX e a pessoa que faz a avaliação pode simplesmente marcar o
requisito “deve ter o rótulo TISAX 'Alta disponibilidade'”.
5.4.14.2. Período de validade dos rótulos TISAX
Os rótulos TISAX são geralmente válidos por três anos. O período de validade começa no
final do processo de avaliação (mesmo antes da emissão do relatório de avaliação
TISAX).
O seu período de validade pode ser mais curto se algo significativo no âmbito da
avaliação TISAX mudar.
Exemplos: relocalização da sua empresa, novas localizações. (Para obter instruções sobre
o que fazer nesses casos, consulte a Seção 7.9.3.2, “Como solicitar a alteração de um
local” e a Seção 7.9.3.4, “Como adicionar um local adicional” .)
Observe:
Você pode visualizar suas etiquetas TISAX apenas no portal ENX. Não são
registados no relatório de avaliação TISAX.
5.4.14.3. Renovação de rótulos TISAX
Para manter seus rótulos TISAX por longo prazo, você precisa renová- los [ 30 ] a cada três
anos.
Para isso, você basicamente precisa executar novamente o processo TISAX (registrar um
escopo de avaliação, ser avaliado novamente pelo TISAX, compartilhar o resultado da sua
avaliação). O registro é um pouco mais fácil porque você não precisa recriar sua empresa
como participante do TISAX. E é claro que você pode reutilizar todos os seus contatos e
localizações que já estão armazenados no banco de dados TISAX.
Nota importante:
Registre um NOVO escopo ANTES de entrar em contato com seu

provedor de auditoria. Seu provedor de auditoria poderá iniciar um novo
processo de avaliação somente se você fornecer um novo ID de escopo.
Na maioria dos casos, registrar um novo escopo é fácil. Você só precisa

atribuir um novo nome de escopo, adicionar contatos, selecionar o(s)
objetivo(s) da avaliação e adicionar locais. Você pode reaproveitar contatos
e localizações que já estão no sistema de qualquer escopo previamente
cadastrado.
Nota importante:
Reutilize os registros de localização existentes que você criou e usou
durante o registro do seu escopo anterior. Não crie um novo registro de
localização com o mesmo endereço.
A razão para isto: alguns participantes do TISAX processam

automaticamente os resultados da avaliação dos seus parceiros. Eles
sincronizam seu próprio sistema com o portal ENX. Mesmo pequenas
diferenças podem bloquear o sucesso da sincronização. Além disso, você
não sobrecarrega os dados dos participantes com duplicatas desnecessárias.
Nota importante:
Se for necessário ter sempre etiquetas TISAX válidas durante a relação

com o seu parceiro, aconselhamos vivamente que coloque um lembrete no
seu calendário para iniciar o processo de renovação necessário.
Recomendamos iniciar a renovação pelo menos um ano antes de seus

rótulos TISAX expirarem.
Agora que recebeu suas etiquetas TISAX, você pode prosseguir para a última etapa e
compartilhá-las com seu parceiro.
6. Troca (Etapa 3)
O tempo estimado de leitura para a seção de troca é de 7 minutos.
Você já passou pelo processo TISAX até agora, mas seu parceiro ainda não viu nenhuma
“prova” de que seu sistema de gestão de segurança da informação é capaz de proteger
seus dados confidenciais. Esta secção descreve agora como partilhar o resultado da sua
avaliação com o seu parceiro e apresentar o comprovativo solicitado.
6.1. Premissa
Uma das principais características do TISAX é que o resultado da sua avaliação esteja
totalmente sob seu controle. Sem a sua permissão explícita, todas as informações
relacionadas à sua avaliação não serão compartilhadas com ninguém.
6.2. A plataforma de troca
O portal ENX fornece a plataforma de troca.
Seu provedor de auditoria carregará as duas primeiras seções (A e B) do seu relatório de

avaliação TISAX . Nesta fase, as informações não estão disponíveis para ninguém, exceto
você.
Você pode utilizar a conta criada durante o cadastro para acessar o portal e utilizar a
plataforma de troca.
Você pode acessar o portal neste endereço: enx.com/en-US/SignIn
6.3. Pré-requisitos gerais
Você poderá compartilhar o resultado da sua avaliação com seu parceiro somente se estes
dois pré-requisitos forem atendidos:
1. Seu provedor de auditoria enviou o resultado da avaliação à plataforma de troca.

O resultado da avaliação estará disponível na plataforma de câmbio normalmente de
5 a 10 dias úteis após a emissão do relatório de avaliação TISAX.
2. Recebemos seu pagamento pela taxa (se aplicável).
O status do seu escopo de avaliação é “Ativo” quando ambos os pré-requisitos são

atendidos.
Observe:
escopo de avaliação deverá estar com o status “Ativo”.

pagamento” ” .
Para verificar se o resultado da sua avaliação está pronto para compartilhamento (status
do escopo da avaliação = Ativo), siga estas etapas:
1. Faça login no portal ENX .

2. Vá para a barra de navegação principal e selecione “MEU TISAX” .
3. No menu suspenso, selecione “ESCOPES E AVALIAÇÕES” .
4. Vá até a tabela e encontre a linha da tabela com o escopo da sua avaliação.
5. Verifique se o seu escopo de avaliação tem o status de escopo de avaliação “Ativo”
(coluna “Status do Escopo” ).
6.4. Permanência dos resultados trocados
Nota importante:
Você não pode revogar nenhuma permissão de publicação ou

compartilhamento.
A razão é que queremos que todos os participantes passivos possam contar

com acesso contínuo a todos os resultados de avaliação que receberam.
Caso contrário, teriam de gerir e arquivar os resultados da avaliação por
conta própria.
A permissão permanece válida durante todo o período de validade da sua
avaliação TISAX.
Se você criou uma publicação ou permissão de compartilhamento por

engano, entre em contato conosco imediatamente.
6.5. Níveis de compartilhamento
Os níveis de partilha mapeiam 1:1 para as principais secções AE do relatório de avaliação

TISAX.
Tabela 12. Principais seções do relatório de avaliação TISAX e os níveis de

compartilhamento na plataforma de intercâmbio
Principais seções do relatório de Compartilhando níveis na

avaliação TISAX plataforma de troca
1 A. Informações Relacionadas à Avaliação
2 B. Resultados resumidos
3 C. Resumo do resultado da avaliação
4 D. Níveis de maturidade do VDA ISA (aba Resultado)
5 E. Resultados detalhados da avaliação
Quanto maior o nível de compartilhamento, mais detalhes sobre sua avaliação TISAX
estarão acessíveis ao(s) respectivo(s) participante(s).
Para mais detalhes sobre o conteúdo de cada seção do relatório de avaliação TISAX,
consulte a Seção 5.4.7.4, “Relatório de avaliação TISAX” .
6.6. Publique o resultado da sua avaliação na plataforma de intercâmbio
Você pode compartilhar o resultado da sua avaliação com todos os outros participantes do
TISAX, publicando-o na plataforma de intercâmbio. Isso permite que todos os outros
participantes do TISAX acessem o resultado da sua avaliação até o nível compartilhado
concedido.
Você só poderá publicar o resultado da sua avaliação se o resultado geral da avaliação for
“conforme”.
Os níveis de compartilhamento para publicação do resultado da sua avaliação na

plataforma de intercâmbio estão limitados a estas opções:
 Não publicar (padrão)
 A. Informações Relacionadas à Avaliação
 A + Etiquetas
 A + Etiquetas + B. Resultados resumidos
Recomendamos o nível de compartilhamento “A + Labels” para este tipo geral de

publicação.
Nota importante:
Você poderá publicar o resultado da sua avaliação somente se os pré-

requisitos descritos na Seção 6.3, “Pré-requisitos gerais” forem atendidos.
Para publicar o resultado da sua avaliação na plataforma de intercâmbio, siga estas etapas:

6. Vá até o final da linha da tabela do seu escopo de avaliação e clique no botão com a
seta para baixo .
7. Selecione “Informações do escopo” .
8. Na nova janela ( “Informações de Escopo” ), selecione a aba “TROCA” .
9. Vá para a seção “PUBLICAÇÃO” , abra o menu suspenso e selecione o nível de

compartilhamento desejado (veja recomendação acima).
Observe:
Os resultados da avaliação são publicados apenas na plataforma de

intercâmbio. Eles podem ser acessados apenas por outros participantes do
TISAX. Não existe uma listagem pública de todos os participantes do
TISAX. Apenas o número bruto de participantes do TISAX pode ser
mencionado no site público do TISAX.
6.7. Compartilhe o resultado da sua avaliação com um participante

específico
Além da opção mencionada de publicar o resultado da sua avaliação TISAX na
plataforma de intercâmbio, você pode compartilhá-lo seletivamente com determinados
participantes do TISAX com um nível de compartilhamento mais alto.
Em contraste com a publicação acima mencionada, você pode compartilhar o resultado da

sua avaliação mesmo que o resultado geral da avaliação seja uma não conformidade
(maior/menor).
A partilha dos resultados da avaliação é parte integrante do TISAX. Seu sistema de

gerenciamento de segurança da informação foi avaliado apenas uma vez, mas agora você
pode compartilhar o resultado da avaliação com quantos parceiros desejar.
As opções para compartilhar o resultado da sua avaliação na plataforma de intercâmbio

são:
1. A: Informações relacionadas à avaliação

2. A + Etiquetas
3. A + Etiquetas + B: Resumo da Avaliação
4. A + Etiquetas + B + C: Resultados Resumidos
5. A + Etiquetas + B + C + D: Resultados Detalhados da Avaliação
6. A + Etiquetas + B + C + D + E: Níveis de maturidade de acordo com ISA
Recomendamos o nível de compartilhamento “A + Labels” para compartilhamento. Isto é

suficiente para a maioria dos parceiros. Você sempre pode selecionar um nível de
compartilhamento mais alto posteriormente.
Observe:
Alguns participantes do TISAX processam automaticamente os resultados

da avaliação dos seus parceiros. Eles sincronizam seu próprio sistema com
o portal ENX. Apenas os resultados da avaliação partilhados
especificamente com este participante são sincronizados. Uma publicação
por si só, conforme descrito na Seção 6.6, “Publique o resultado da sua
avaliação na plataforma de intercâmbio” , não é reconhecida.
Entre os OEMs que utilizam o TISAX, a BMW é um exemplo disso. Se

você é um parceiro da BMW, compartilhe (e não apenas publique) o
resultado da sua avaliação com a BMW.
6.7.1. Pré-requisitos
Estes são os pré-requisitos para partilhar o resultado da sua avaliação com o seu parceiro
(ou qualquer outro participante do TISAX):
 Você pode compartilhar o resultado da sua avaliação TISAX apenas com outros
participantes do TISAX.
 Seu parceiro precisa ser participante do TISAX.
 Você precisa do ID de participante do seu parceiro. [ 31 ]
 Você precisa pagar a taxa (se aplicável).
Nota importante:
Você poderá compartilhar o resultado da sua avaliação somente se os pré-

requisitos gerais descritos na Seção 6.3, “Pré-requisitos gerais” forem
atendidos.
6.7.2. Como criar uma permissão de compartilhamento
Para compartilhar o resultado da sua avaliação com outro participante do TISAX, siga
estas etapas:

4. Vá para a tabela e encontre a linha da tabela com o escopo da sua avaliação.
seta para baixo .
9. Vá para a seção “COMPARTILHAMENTO” e clique no botão “Compartilhar” .

10. Na nova janela ( “COMPARTILHE ESTE ESCOPO” ), insira o ID de participante
do seu parceiro (ou selecione-o na lista de participantes na caixa de pesquisa ao lado).
11. Selecione o nível de compartilhamento desejado.
12. Clique no botão “Próximo” .
13. Leia e entenda as instruções referentes à permanência da permissão de
compartilhamento.
14. Marque as duas caixas de seleção “confirmar” .
15. Clique no botão “Enviar” .
Todo o resto é feito pela plataforma de câmbio. Para compartilhamento dos níveis A e B,
as informações estão disponíveis na plataforma de troca. Seu parceiro agora pode fazer
login no portal ENX e ver o resultado da avaliação compartilhada [ 32 ] .
Para níveis de compartilhamento mais altos (CE), a plataforma de troca notifica seu
provedor de auditoria. Em seguida, seu provedor de auditoria envia as informações
(correspondentes ao nível de compartilhamento selecionado) para o contato participante
principal do seu parceiro.
6.8. Compartilhando o resultado da sua avaliação fora do TISAX

A regra [ 33 ] é que você pode usar a plataforma de intercâmbio TISAX apenas para
informar outros participantes do TISAX sobre o resultado da sua avaliação.
6.8.1. As razões para a regulamentação estrita do mecanismo de câmbio
TISAX fornece um mecanismo padronizado de troca de resultados de avaliação. Isto

proporciona um valor acrescentado em comparação com a troca de resultados de outras
certificações (por exemplo, ISO), onde isto acontece de diversas formas e nem sempre
contém todas as informações necessárias para o quadro completo.
Os OEMs, em particular, apreciam esta padronização. Mas outras empresas também

beneficiam de procedimentos claramente definidos.
6.8.2. Um guia para escrever sobre TISAX em público
Embora não seja possível escrever publicamente sobre o resultado da avaliação, você
pode mencionar seus esforços no TISAX. No portal ENX, oferecemos conselhos sobre
como abordar declarações públicas. Também fornecemos logotipos TISAX que você
pode usar.
Após fazer login no portal ENX, você pode acessar as informações aqui: enx.com/en-
US/myenxportal/marketing/ Download direto do arquivo ZIP (documento e logotipos):
enx.com/myenxportal/marketing/tisax-trademark-and -logos-diretrizes
Caso você esteja se perguntando se existe um certificado que possa pendurar na parede:
Devido ao processo de troca padronizado mencionado acima, não fornecemos esse
certificado.
6.8.3. Compartilhando com um parceiro que ainda não é participante do

TISAX
Se você deseja compartilhar o resultado da sua avaliação TISAX com um parceiro

específico que a) ainda não é participante do TISAX e b) ainda não recebeu rótulos
TISAX (passando pelo processo de avaliação), você pode seguir estas etapas:
1. Instrua seu parceiro a se registrar como participante do TISAX.

Basta se registrar como participante do TISAX. Ele não precisa continuar registrando
um escopo de avaliação.
2. Instrua seu parceiro a entrar em contato conosco .
Normalmente, processamos um novo cadastro apenas se a empresa também cadastrar
um escopo de avaliação. A pedido do seu parceiro, processamos o seu registo. Assim,
ele se tornará participante do TISAX. Ele agora pode receber o resultado da sua
avaliação TISAX através do processo regular de troca.
O objetivo desta abordagem é garantir que o seu parceiro concorde em aderir aos “Termos
e Condições Gerais de Participação TISAX” que regem a troca dos resultados da
avaliação TISAX.
Apenas o registo de um âmbito de avaliação acarreta custos. Como a inscrição como
participante do TISAX é gratuita, seu parceiro pode receber o resultado da sua avaliação
gratuitamente. No entanto, sem um resultado de avaliação próprio, seu parceiro poderá
receber apenas até cinco resultados de avaliação e não poderá ver nenhuma das
publicações .
6.8.4. Compartilhamento com funcionários do seu parceiro que não têm

acesso direto ao portal ENX
Somente os funcionários do seu parceiro que possuem conta em nosso portal ENX podem
ver diretamente o seu resultado. Caso você precise comprovar suas etiquetas TISAX para
um funcionário de seu parceiro sem acesso ao portal, você pode utilizar um documento
PDF especial para isso. Para obter o documento, siga estes passos:
1. Compartilhe o resultado da sua avaliação com seu parceiro conforme descrito na

Seção 6.7, “Compartilhe o resultado da sua avaliação com um participante
específico” .
seta para baixo .
10. Vá para a seção “COMPARTILHAMENTO” e encontre a linha da tabela com

permissão de compartilhamento (conforme criada no passo 1).
11. Vá até o final da linha da tabela de permissão de compartilhamento e clique no botão
com a seta para baixo .
12. Selecione “Editar”
13. Na nova janela ( “COMPARTILHAR ESTE ESCOPO” ), role até o final e selecione
“Solicitar informações compartilhadas como PDF” .
14. Aguarde um momento até que o documento seja gerado.
15. Baixe o documento ( “Cópia da informação compartilhada com ACME.pdf (66,84
KB)” )
7. Anexos
7.1. Anexo: Exemplo de fatura
Este é um exemplo da fatura que enviamos.
Para obter mais informações, consulte a Seção 4.3.4, “Taxa” .

7.2. Anexo: Exemplo de e-mail de confirmação
Enviamos o e-mail de confirmação assim que você concluir todas as etapas obrigatórias
durante o processo de registro on-line.
Para obter mais informações quando enviarmos este e-mail de confirmação, consulte a
Seção 4.5.8, “E-mail de confirmação” .
Assunto: [TISAX] Escopo S3ZY5V aprovado
Querido John Doe
Obrigado pelo registro do escopo da avaliação TISAX.

Realizei o registro do seu escopo e aprovei seu escopo. Em
anexo você pode encontrar o trecho do escopo TISAX
incluindo todas as informações do escopo e a lista atual de
provedores de auditoria TISAX.
Qual é o próximo?
Com o trecho do escopo TISAX em anexo, agora você pode

solicitar cotações de todos os provedores de auditoria
TISAX para o seu escopo.
Assistência necessária?
Para mais perguntas sobre o TISAX, leia as Perguntas

frequentes do TISAX ou o Manual do Participante do TISAX.
Se precisar de mais assistência em relação ao TISAX, não
hesite em entrar em contato com a linha direta da TISAX por
e-mail (tisax@enx.com) ou por telefone (+49 69 986692-777).
Atenciosamente,
Sua equipe TISAX
7.3. Anexo: Exemplo de trecho do escopo TISAX
Você receberá o “Excerto do Escopo TISAX” anexado ao e-mail de confirmação.
Para obter mais informações, consulte a Seção 4.5.8, “E-mail de confirmação” .

7.4. Anexo: Estatuto do participante
7.4.1. Visão geral: status do participante
O “ status de participante ” define onde você (como empresa) está no processo TISAX.
Seu “ status de participante ” pode ser:
1. Incompleto
2. Aguardando aprovação
3. Preliminares
4. Registrado
5. Expirado
As tabelas na seção de cada status abaixo descrevem:
 sua situação
(o que é verdade agora quando você está neste status)
 sua próxima ação
(o que você precisa fazer para avançar para o próximo status; se aplicável)
 nossa próxima ação
(o que precisamos fazer para elevar seu status; se aplicável)
 o próximo status
(se aplicável)
A ilustração a seguir mostra as ações que levam ao progresso de um status para o

próximo:
Figura 34. Visão geral do status do participante
7.4.2. Status do participante “Incompleto”
Sua próxima Nossa próxima Próximo

Status Situação
ação ação status
Você não
completou o
registro TISAX.
Ou você não
Enviaremos um
aceitou os
lembrete por e-
termos e Continue em
mail Aguardando
Incompleto condições enx.com/en-
(geralmente aprovação
gerais. US/SignIn
dentro de
Ou você não
alguns dias).
especificou o
local do
participante
principal.
Status Situação
Ou você não
atribuiu um
contato de
participante
principal.
Ou outras
informações
que
necessitamos
estão faltando.
7.4.3. Status do participante “Aguardando aprovação”
Sua
Próximo
Status Situação próxima Nossa próxima ação
status
ação
Iremos verificar e
normalmente aprovar
sua inscrição.
No entanto,
normalmente você
aciona nossa
verificação
Seu registro
registrando também
TISAX está
um escopo de
completo.
Aguarde avaliação.
Você pode
Aguardando nossa Atribuíremos um ID
ou não ter Preliminares
aprovação próxima do participante e o(s)
registrado
ação. ID(s) do escopo.
um escopo
Enviaremos um e-
de avaliação
mail de confirmação.
ainda.
O “Excerto do
Escopo TISAX”
(PDF) em anexo
resume as
informações que
temos em nosso
banco de dados.
7.4.4. Status de participante “Preliminar”

Nossa
Sua próxima Próximo
Status Situação próxima
ação status
ação
Pague a taxa (se

aplicável).
Passe pelo
Você concluiu
processo de
com sucesso o
Preliminares avaliação TISAX. Nenhum Registrado
processo de
Publique e
registro TISAX.
compartilhe o
resultado da sua
avaliação.
7.4.5. Status do participante “Registrado”
Sua Nossa
Próximo
Status Situação próxima próxima
status
ação ação
Você concluiu com êxito o

processo de avaliação TISAX
e recebeu os rótulos TISAX.
Você publicou e compartilhou
o resultado da sua avaliação.
(
Você receberá rótulos TISAX
Registrado Nenhum Nenhum Expirado
somente quando for aprovado
)
no processo de avaliação
TISAX. No portal ENX, isso
se reflete em ter um escopo de
avaliação com status de
escopo de avaliação “Ativo”.
Observe:
Se você deseja acessar os resultados da avaliação do(s) seu(s) parceiro(s):
O pré-requisito conceitual para poder receber os resultados da avaliação de

outros participantes é:
 Você compartilha o resultado da sua própria avaliação (isso “prova”

que você é um participante sério do TISAX e um membro da
comunidade automotiva).
 Reconhecemos você com base em sua reputação na indústria
automotiva (como OEMs, fornecedores de nível 1).
 Você prova que tem um interesse legítimo em receber os resultados da
avaliação de outros participantes. Temos que verificar isso em um
processo elaborado que pode incorrer em uma taxa substancial. Para
mais detalhes, entre em contato conosco .
7.4.6. Status do participante “Expirado”
Sua Nossa
Próximo
status
ação ação
Você não pagou a taxa.

Ou você ou nós
Expirado Nenhum Nenhum n/D
cancelamos nosso
contrato mútuo (os TCG).
7.5. Anexo: Situação do escopo da avaliação
7.5.1. Visão geral: status do escopo da avaliação
O “ status do escopo da avaliação ” define onde está o seu escopo de avaliação em relação
ao seu ciclo de vida.
Esteja ciente de que o “ status do escopo da avaliação ” é diferente do “ status da

avaliação ”. Para obter mais informações sobre o “ status da avaliação ”, consulte a Seção
7.6, “Anexo: Status da avaliação ” .
Seu “ status do escopo da avaliação ” pode ser:
1. Incompleto
2. Aguardando seu pedido
3. Aguardando aprovação ENX
4. Aguardando seu pagamento
5. Registrado
6. Ativo
7. Expirado
 sua situação
(se aplicável)

próximo:
Figura 35. Visão geral do status do escopo da avaliação
A referência fora da página “A” na figura acima vincula o status do escopo da avaliação
“Ativo” ao “ status da avaliação ”. Para obter mais informações sobre o “ status da
avaliação ”, consulte a Seção 7.6, “Anexo: Status da avaliação ” .
7.5.2. Status do escopo da avaliação “Incompleto”

Status Situação
Ou você não
concluiu o
Enviaremos um
registro do
lembrete por e-
escopo da Continue em
mail Aguardando
Incompleto avaliação. enx.com/en-
(geralmente seu pedido
Ou você não US/SignIn
dentro de alguns
forneceu todas
dias).
as informações
necessárias.
Para obter mais informações sobre onde esse status desempenha um papel, consulte a
Seção 4.5.7, “Registro do escopo da avaliação” .
7.5.3. Status do escopo da avaliação “Aguardando seu pedido”

Status Situação
Enviaremos um
Você não
Continue em lembrete por e- Aguardando
Aguardando concluiu o
enx.com/en- mail (geralmente aprovação
seu pedido registro do
US/SignIn dentro de alguns ENX
escopo.
dias).
7.5.4. Status do escopo da avaliação “Aguardando aprovação ENX”
Sua
Próximo
status
ação
Iremos verificar e
O registro
Aguarde normalmente aprovar
Aguardando do escopo Aguardando
nossa sua inscrição.
aprovação da sua seu
próxima Atribuiremos os
ENX avaliação foi pagamento
ação. ID(s) do escopo .
concluído.
Nós lhe enviaremos
Sua
Próximo
status
ação
um e-mail de
confirmação . O
“Excerto do Escopo
TISAX” (PDF) em
anexo resume as
informações que
temos em nosso
banco de dados.
7.5.5. Status do escopo da avaliação “Aguardando seu pagamento”
Nossa
Próximo
Status Situação Sua próxima ação próxima
status
ação
Pague a taxa (se

aplicável).
Solicite ofertas de
nossos provedores de
auditoria TISAX.
A partir do status
O registro do
“Aguardando seu
escopo da
pagamento”, você:
sua avaliação
está completo
 pode começar a
e aprovado.
Aguardando compartilhar Aguardando
Você recebeu
seu algumas seu Registrado
nosso e-mail
pagamento informações pagamento.
de
relacionadas à
confirmação
avaliação com
e o “Excerto
seu parceiro. [ 34 ]
do Escopo
 pode pré-
TISAX” .
configurar a
publicação do
resultado da sua
avaliação (isso só
entrará em vigor
quando o status
Nossa
Próximo
status
ação
do escopo da sua
avaliação mudar
para “Ativo” .
34 . Enquanto
estiver no status do
escopo da avaliação
“Aguardando seu
pagamento” ou
“Registrado”,
“Informações
relacionadas à
avaliação” inclui
locais do escopo da
avaliação, status do
escopo da avaliação
e objetivo(s) da
avaliação. Não
inclui resultados de
avaliação ou rótulos
TISAX.
Para obter mais informações sobre a influência desse status, consulte a Seção 4.5.8, “E-
mail de confirmação” .
7.5.6. Status do escopo da avaliação “Registrado”
Sua Nossa
Próximo
status
ação ação
Seu escopo de avaliação

está registrado.
Passe pelo
Recebemos seu
processo de
Registrado pagamento completo ou Nenhum Ativo
avaliação
seu status comercial é
TISAX .
“verde” devido a outras
circunstâncias.
7.5.7. Status do escopo da avaliação “Ativo”

Nossa
Próximo
status
ação
Publique e compartilhe o
Você concluiu
resultado da sua avaliação.
com sucesso o
Quaisquer publicações e
processo de
permissões de
Ativo avaliação Nenhum Expirado
compartilhamento pré-
TISAX e
configuradas com um
recebeu os
status inferior agora
rótulos TISAX .
entrarão em vigor.
Para obter mais informações sobre publicação e compartilhamento, consulte a Seção 6,

“Troca (Etapa 3)” .
7.5.8. Status do escopo da avaliação “Expirado”
Sua Nossa
Próximo
status
ação ação
Qualquer:
 você não concluiu o

registro do escopo da
avaliação em 90 dias,
 ou houve um atraso
indevido no
pagamento da taxa, Incompleto
 ou você saiu do ou
Inicie um
processo TISAX, Aguardando
novo
 ou a validade do seu pedido
Expirado registro de Nenhum
resultado da sua ou
escopo de
avaliação expirou Aguardando
avaliação .
(três anos), aprovação
 ou você teve grandes ENX
alterações no escopo
da avaliação
(exemplo: nenhum
dos locais no escopo
da avaliação pertence
mais à sua empresa).
7.6. Anexo: Situação da avaliação
7.6.1. Visão geral: status da avaliação
O “ status de avaliação ” define onde você está no processo de avaliação. O status muda
com a sua progressão de um tipo de avaliação para outro (como “avaliação inicial” para
“avaliação do plano de ação corretiva”).
Esteja ciente de que o “ status da avaliação ” é diferente do “ status do escopo da

avaliação ”. Para obter mais informações sobre o “ status do escopo da avaliação ”,
consulte a Seção 7.5, “Anexo: Status do escopo da avaliação ” .
Seu “ status de avaliação ” pode ser:
1. Avaliação inicial solicitada

2. Avaliação inicial em andamento
3. Aguardando avaliação do plano de ação corretiva
4. Aguardando acompanhamento
5. Finalizado
 sua situação
(se aplicável)

próximo:
Figura 36. Visão geral do status da avaliação
A referência fora da página “A” na figura acima vincula o status do escopo da avaliação
“Ativo” com o status da avaliação “Aguardando avaliação do plano de ação corretiva”.
Para obter mais informações sobre o “ status do escopo da avaliação ”, consulte a Seção
7.5, “Anexo: Status do escopo da avaliação ” .
7.6.2. Status da avaliação “Avaliação inicial solicitada”

Sua Nossa
Próximo
status
ação ação
Você selecionou um
de nossos Continuar o
Avaliação Avaliação
fornecedores de processo de
inicial Nenhum inicial em
auditoria TISAX e avaliação
solicitada andamento
solicitou uma TISAX.
7.6.3. Status da avaliação “Avaliação inicial em andamento”
Sua Nossa
Status Situação próxima próxima Próximo status
ação ação
Sua avaliação inicial

tem:
 iniciado
Aguardando
 ou está
Avaliação avaliação do
concluído, mas
inicial em Nenhum Nenhum plano de ação
seu provedor de
andamento corretiva (se
auditoria ainda
aplicável)
não enviou o
relatório de
avaliação TISAX
7.6.4. Status da avaliação “Aguardando avaliação do plano de ação

corretiva”
Sua Nossa
ação ação
Seu provedor de Crie um

Aguardando
auditoria plano de Aguardando
avaliação do
conduziu uma ação Nenhum acompanhamento
plano de ação
avaliação inicial. corretiva. (se aplicável)
corretiva
Seu provedor de Inicie as
Sua Nossa
ação ação
auditoria nos ações

enviou o corretivas.
relatório de Solicite
avaliação uma
TISAX. avaliação
O resultado da do plano de
avaliação é uma ação
não corretiva.
conformidade
(maior/menor).
O status da avaliação “Aguardando avaliação do plano de ação corretiva” é limitado a

nove meses. Para obter mais informações, consulte a Seção 5.4.9.3, “Requisitos do plano
de ação corretiva” .
7.6.5. Status da avaliação “Aguardando acompanhamento”
Nossa
ação status
ação
Seu provedor
de auditoria
aprovou seu
plano de ação Solicite uma
Aguardando
corretiva. avaliação de Nenhum Finalizado
acompanhamento
Você acompanhamento.
implementou
as ações
corretivas.
O estado de avaliação “Aguardando seguimento” está limitado a nove meses. Para obter
mais informações, consulte a Seção 5.4.9.3, “Requisitos do plano de ação corretiva” .
7.6.6. Status da avaliação “Concluído”

Nossa
ação status
ação
Seu provedor de
auditoria conduziu uma
avaliação de
acompanhamento.
Publique e
O resultado da
compartilhe o
Finalizado avaliação não apresenta Nenhum n/D
resultado da sua
não conformidades.
avaliação.
Seu provedor de
auditoria nos enviou o
relatório de avaliação
TISAX.
7.7. Anexo: O raciocínio contra “pré-avaliações” e “análises de lacunas”
Geralmente desaconselhamos solicitar a um fornecedor de auditoria que conduza uma

“pré-avaliação” ou uma “análise de lacunas”. Em quase todos os casos, faz mais sentido
iniciar imediatamente o processo de avaliação TISAX.
Nesta seção abordamos as preocupações mais comuns.
Você considera uma pré-avaliação porque:
1. Você está preocupado com a possibilidade de seu cliente ver um resultado de

avaliação potencialmente desfavorável?
Você tem controle total sobre quem vê os resultados da sua avaliação. É sua decisão
se o provedor de auditoria carrega algo no portal ENX. Se ninguém deveria ver,
ninguém vê (exceto o auditor, é claro).
Além disso, o fornecedor de auditoria carrega sempre apenas as duas primeiras

secções do relatório de avaliação TISAX e nunca carrega os resultados detalhados da
avaliação.
2. Você acha que uma pré-avaliação pode economizar dinheiro?

 Com uma pré-avaliação, você:
 pagar pela pré-avaliação
 pode ter os custos internos de correção de quaisquer não conformidades
 pagar pela avaliação TISAX completa ( “avaliação inicial” )
Mesmo que não haja conclusões, você sempre paga por duas avaliações
completas.
 Começando com uma avaliação TISAX, você:

 pagar pela “avaliação inicial”
 pode ter os custos internos de corrigir quaisquer conclusões
 pode pagar muito menos (em comparação com a avaliação inicial) pela
chamada “avaliação de acompanhamento” , onde o auditor se concentra apenas
em saber se você corrigiu as não conformidades da avaliação inicial
Mesmo com as descobertas, você paga apenas por uma avaliação completa mais
uma breve avaliação de acompanhamento.
3. Você acha que pode ser reprovado na avaliação com consequências permanentes?
Você não pode falhar permanentemente, porque pode fazer quantas avaliações quiser.
Se o resultado da avaliação não atender às suas expectativas ou se você não conseguir
corrigir as não conformidades com ações corretivas dentro do período exigido de
nove meses , basta considerar a tentativa fracassada como sua pré-avaliação e
começar de novo. E ninguém precisa ver os resultados da sua primeira tentativa.
Você acabou de compartilhar o resultado da avaliação bem-sucedida.
Considerações adicionais:
 Se o resultado da avaliação for melhor que o esperado, você poderá receber rótulos
TISAX temporários . Você pode compartilhá-los diretamente com seu parceiro. Isso
não é possível com uma pré-avaliação.
 Se o prestador de auditoria que realiza a pré-avaliação também realizar a avaliação
TISAX, ele não poderá consultá -lo. Caso contrário, você deverá escolher outro
provedor de auditoria para a avaliação TISAX.
Embora a maioria dos auditados não beneficie de uma pré-avaliação, queremos

mencionar as seguintes vantagens.
O auditor:
 pode se concentrar em aspectos críticos onde você não tem confiança em seu SGSI
 pode gastar mais tempo do que o normal e aumentar os insights
 pode documentar descobertas de maneira diferente
Depois de ler as seções sobre o processo de avaliação TISAX , será ainda mais fácil
entender nosso raciocínio.
7.8. Anexo: Escopos personalizados
Quase todos os participantes do TISAX escolhem o escopo padrão . No entanto, em

determinadas e raras circunstâncias, poderá ser necessário escolher um escopo
personalizado.
Existem dois tipos de escopos personalizados:
7.8.1. Escopo estendido personalizado

Você pode estender o escopo. Um escopo estendido personalizado contém MAIS do que
o escopo padrão. O provedor de auditoria realizará mais verificações.
Finalidade: Um escopo estendido personalizado pode ser relevante se você quiser usar
sua avaliação TISAX para fins internos ou fora da indústria automotiva.
Rótulos TISAX e compartilhamento de resultados: Um escopo estendido personalizado

sempre inclui o escopo padrão. Portanto, um escopo estendido personalizado receberá
rótulos TISAX [ 35 ] . Outros participantes do TISAX ainda aceitarão o resultado da
avaliação.
Descrição: embora o escopo padrão tenha uma descrição predefinida, você precisará
escrever sua própria descrição de escopo se precisar de um escopo estendido
personalizado.
7.8.2. Escopo personalizado completo
Você pode definir totalmente seu próprio escopo.
Finalidade: Se você tiver locais que pertencem a escopos de avaliação diferentes e que
usam serviços em um local específico (como um data center), você poderá usar um
escopo personalizado completo para esses serviços. Assim, um provedor de auditoria
TISAX pode reutilizar facilmente o resultado da avaliação de todo o escopo personalizado
do serviço.
Exemplo: você tem vários locais (possivelmente parte de escopos diferentes) e um

departamento central de TI em um desses locais. Definir um escopo personalizado
completo apenas para o departamento de TI pode facilitar a reutilização do respectivo
resultado da avaliação nos demais escopos.
Rótulos TISAX e compartilhamento de resultados: Osciloscópios totalmente

personalizados não recebem rótulos TISAX. O resultado da sua avaliação é registrado no
portal ENX com a data, prazo de validade e se o resultado geral da avaliação está
conforme ou não conforme. Você poderia compartilhar o resultado dessa avaliação. Mas
partilhar um resultado de avaliação sem rótulos TISAX parecerá uma avaliação
“reprovada” para a maioria dos destinatários. Outros participantes do TISAX geralmente
não aceitam resultados de avaliação de escopos personalizados completos.
Descrição: Quanto ao escopo estendido personalizado, você precisará escrever sua

própria descrição de escopo se precisar de um escopo personalizado completo.
Nota importante:
Para enfatizar o quão raro é o uso de escopos personalizados completos: há

98% de chance de que seu provedor de auditoria reverta seu escopo
personalizado completo para um escopo padrão. Nenhum participante
jamais escolheu com sucesso um escopo personalizado completo sem
aconselhamento de seu provedor de auditoria.
Uma avaliação com escopo totalmente personalizado não receberá
rótulos TISAX. Portanto, geralmente desaconselhamos a escolha de um
escopo personalizado completo — principalmente porque outros
participantes geralmente não aceitam resultados de avaliação com escopos
personalizados completos.
Não escolha um escopo personalizado completo se não tiver a confirmação
explícita de que seu parceiro aceitará o resultado e concordará com sua
descrição de escopo específica.
7.9. Anexo: Gestão do ciclo de vida dos dados dos participantes
As seções a seguir descrevem o que você precisa fazer se algo relacionado aos dados do
participante for alterado.
7.9.1. Perda de acesso aos dados dos participantes (portal ENX)
Caso ninguém em sua empresa tenha acesso ao portal ENX e assim restem seus dados de
participante, entre em contato conosco . Tentaremos ajudá-lo a recuperar o acesso aos
dados dos participantes da sua empresa.
7.9.2. Administração de contatos
Os principais contactos participantes da sua empresa e todos os restantes “contactos

administrativos” com contas do portal podem sempre dirigir-se ao portal ENX e:
 adicionar novos contatos

 excluir contatos existentes
 alterar detalhes de contato de contatos existentes
7.9.2.1. Como adicionar um novo contato
Para adicionar um novo contato, siga estas etapas:

3. No menu suspenso, selecione “ADMINISTRADORES” .
4. Clique no botão “Criar novo administrador TISAX” .
5. Insira os dados do contato.
6. Clique no botão “Salvar contato” .
7. Vá até a tabela e encontre a linha da tabela com o contato.
8. Vá até o final da linha da tabela do contato e clique no botão com a seta para baixo
.
9. Selecione “Editar Administrador TISAX” .
10. Na nova janela ( “Editar contato TISAX” ), role para baixo até a seção “ENX
PORTAL ACCESS” .
11. Selecione “Sim” .
12. Na seção que aparece “WEB ROLES” , clique no botão “Add Role” .
13. Selecione a função que deseja atribuir (por exemplo, “Administrador TISAX” ).
14. Clique no botão “Adicionar função”.
15. Clique no botão “Salvar contato”.
7.9.2.2. Como excluir um contato existente
Para excluir um contato existente, siga estas etapas:

.
6. Selecione “Excluir administrador TISAX” .
7. Na solicitação de confirmação que aparece, clique no botão “Excluir” .
7.9.2.3. Como atualizar detalhes de um contato existente
Para atualizar os detalhes de um contato existente, siga estas etapas:

.
6. Selecione “Editar Administrador TISAX” .
7. Atualize os detalhes.
8. Clique no botão “Salvar contato” .
7.9.3. Administração de locais
Os principais contactos participantes da sua empresa e todos os restantes “contactos

administrativos” com contas do portal podem sempre dirigir-se ao portal ENX e solicitar:
 mudança do nome da empresa

 mudança de local (mudança/relocação)
 mudança de nome de rua
 adição de um novo local
Descrevemos as etapas necessárias nas seções a seguir.
Observe:
 No TISAX, a combinação do nome de uma empresa e um endereço

define uma “localização”.
 Cada local possui um “ID de local” (IDs de local sempre começam com
“L” e têm seis caracteres; Exemplo: L1L3XY).
 Se a sua empresa mudar do endereço atual para um novo endereço, o
local antigo não será mais um local válido.
Nota importante:
Depois de clicar no botão “Salvar localização” no portal ENX, você não

poderá mais alterá-lo sozinho. Para as situações descritas abaixo, você
poderá solicitar alterações.
7.9.3.1. Como solicitar a mudança do nome da sua empresa
Sua situação: Sua empresa mudou de nome.
O antigo nome da empresa é “ACME Tires Corporation”.

Exemplo:
O novo nome da empresa é “ACME Corporation”.
Caso queira solicitar a alteração do nome da sua empresa, siga estes passos:

3. No menu suspenso, selecione “LOCAIS” .
4. Vá até a tabela e encontre a linha da tabela com sua localização.
5. Vá até o final da linha da tabela da sua localização e clique no botão com a seta para
baixo .
6. Selecione “Solicitar alteração” .
7. Na nova janela ( “Solicitar alteração” ), acesse o campo do formulário “Assunto da
alteração” , abra o menu suspenso e selecione “Nome da empresa” .
8. Continue preenchendo o formulário
9. Envie o formulário
Verificaremos sua solicitação, possivelmente aceitaremos a solicitação de alteração do

nome da empresa e informaremos você assim que isso for feito.
7.9.3.2. Como solicitar a mudança de local
Sua
Sua empresa mudou para um novo local.
situação:
A antiga localização é “ACME Corporation, Bockenheimer

Landstraße 97-99, 60325 Frankfurt , Alemanha”.
Exemplo:
A nova localização é “ACME Corporation, Behrenstraße 35, 10117
Berlim , Alemanha”.
Nota importante:
Se uma autoridade oficial renomeou a rua da sua localização, consulte a

Seção 7.9.3.3, “Como solicitar a alteração do nome de uma rua” para obter
mais informações.
Se um dos seus locais for transferido para um novo endereço, siga estas etapas:
1. Crie um novo local:

a. Faça login no portal ENX .
b. Vá para a barra de navegação principal e selecione “MEU TISAX” .
c. No menu suspenso, selecione “Locais” .
d. Clique no botão “Criar localização TISAX” .
e. Na nova janela ( “CRIAR LOCALIZAÇÃO TISAX” ), preencha o formulário
com os dados da nova localização.
f. Clique no botão “Salvar localização” .
2. Lembre-se do “ID do local” do local recém-criado. Você pode encontrar o “ID do
local” na primeira coluna da tabela “MEUS LOCAIS” . Seu provedor de auditoria
precisa do “ID do local” para atualizar o escopo da sua avaliação no portal ENX.
3. Informe seu provedor de auditoria sobre a mudança (forneça o “ID do local” do local
antigo, bem como do novo local).
Você já concluiu a avaliação?
a. Se a resposta for NÃO, então não há mais nada a fazer em relação à mudança de
local.
b. Se a resposta for SIM, você precisará solicitar uma “avaliação de extensão de
escopo” ao seu provedor de auditoria. Para obter mais informações, consulte a
Seção 7.10, “Anexo: Avaliação da extensão do escopo” .
O provedor de auditoria verificará sua solicitação e atualizará o escopo da avaliação no

portal ENX.
Observe:
Um provedor de auditoria só poderá atualizar seu escopo de avaliação se

você já tiver solicitado a avaliação desse provedor de auditoria.
7.9.3.3. Como solicitar a alteração do nome de uma rua
Sua O nome da rua do seu local mudou. Sua empresa ainda está no
situação: mesmo local físico.
A localização antiga é “ACME Corporation, Bockenheimer

Landstraße 97-99, 60325 Frankfurt, Alemanha”.
Exemplo:
A nova localização é “ACME Corporation, Behrenstraße 97-99,
60325 Frankfurt, Alemanha”.
Se uma autoridade oficial renomeou a rua da sua localização, siga estas etapas:

3. No menu suspenso, selecione “Locais” .
4. Vá até a tabela e encontre a linha da tabela com sua localização.
5. Vá até o final da linha da tabela da sua localização e clique no botão com a seta para
baixo .
6. Selecione “Solicitar alteração” .
7. Na nova janela ( “Solicitar alteração” ), acesse o campo do formulário “Assunto da
alteração” , abra o menu suspenso e selecione “Endereço” .
8. Continue preenchendo o formulário
9. Envie o formulário
Iremos verificar o seu pedido, possivelmente aceitaremos o pedido de alteração do nome

da rua e informá-lo-emos assim que estiver concluído.
Nota importante:
Estas etapas só se aplicam quando sua empresa ainda está no mesmo local
físico, mas uma autoridade oficial alterou o nome da rua.
Se você mudou para um novo local, consulte a Seção 7.9.3.2, “Como
solicitar a mudança de local” para obter mais informações.
7.9.3.4. Como adicionar um local adicional
Se você abrir um local adicional durante o período de validade de seus rótulos TISAX
existentes, poderá solicitar uma “avaliação de extensão de escopo” ao seu provedor de
auditoria.
Para obter mais informações, consulte a Seção 7.10, “Anexo: Avaliação da extensão do
escopo” .
7.10. Anexo: Avaliação da extensão do escopo
Além dos tipos de avaliação padrão descritos na Seção 5.4.3, “Tipos de avaliação
TISAX” , existe outro tipo de avaliação especial: a “avaliação de extensão de escopo” .
Você pode estender um escopo de avaliação TISAX existente se quiser adicionar um ou

mais:
 objetivos de avaliação, ou
 Localizações.
Você não pode selecionar outro provedor de auditoria para realizar uma “avaliação de
extensão de escopo”. A avaliação é semelhante aos tipos de avaliação padrão. No entanto,
o seu fornecedor de auditoria provavelmente considerará a reutilização de resultados
aplicáveis de avaliações anteriores.
Assim que a avaliação da extensão do escopo for concluída sem não conformidades, seu
provedor de auditoria irá:
 atualize seu escopo de avaliação no portal ENX.

 emitir o relatório de avaliação da extensão do escopo.
Uma avaliação de extensão de escopo não estende o período de validade original de seus
rótulos TISAX existentes.
Observe:
Se o motivo da avaliação da extensão do escopo for uma realocação ou um

local adicional, será necessário criar o novo local no portal ENX. Forneça o
“Trecho do local” ou pelo menos o “ID do local” ao seu provedor de
auditoria.
Cada local possui um “ID de local” (IDs de local sempre começam com
“L” e têm seis caracteres; Exemplo: L1L3XY). Seu provedor de auditoria
precisa do ID do local para atualizar o resultado da sua avaliação no portal
ENX.
7.11. Anexo: Gestão do ciclo de vida do ISA
Um grupo de trabalho ENX está mantendo o ISA.
Estes fatos podem ser do seu interesse:
 A VDA publica oficialmente novas versões.

 O provedor de auditoria usará a versão ISA válida quando você solicitar sua avaliação
inicial
 Por acordo mútuo, você pode usar uma versão mais recente do ISA se alguma for
publicada entre seu pedido e o início da avaliação inicial.
 Você pode encontrar a data de publicação de uma determinada versão do ISA na
planilha Excel “Capa”.
 Exemplo:
Versão: 5.0 | Revisão 4 | 16/04/2021
7.12. Anexo: Documentos úteis
Esta seção lista documentos que consideramos úteis.
 Artigo técnico “Harmonização dos níveis de classificação”
“Este White Paper descreve a proposta do grupo de trabalho de segurança da

informação para determinar um esquema com foco no objetivo de proteção da
confidencialidade; isso significa que as informações não são disponibilizadas a
pessoas, organizações ou processos não autorizados. Além disso, os objetivos de
proteção como disponibilidade, integridade e confiabilidade não são o foco deste
White Paper.”
Editora: Verband der Automobilindustrie eV (“Associação Alemã da Indústria
Automotiva”)
Idiomas disponíveis: inglês, alemão
www.vda.de/en/news/publications/publication/harmonization-of-classification-
levels www.vda.de/de/aktuelles/publikationen/publication/whitepaper—
harmonisierung-der-klassifizierungsstufen-
 Artigo técnico “Gerenciamento de riscos de segurança da informação”
“O objetivo deste White Paper é informar as empresas da indústria automotiva no que

diz respeito ao gerenciamento de segurança da informação orientado ao risco e
permitir que elas estabeleçam um gerenciamento eficaz de riscos de segurança da
informação. Destina-se a apoiar as organizações na preparação ou realização de uma
avaliação TISAX para atender aos requisitos da questão de controle 1.4.1 da VDA
ISA. Seu conteúdo deve ser considerado como recomendações de implementação e
não como requisitos obrigatórios.”
Editora: Verband der Automobilindustrie eV (“Associação Alemã da Indústria

Automotiva”)
Idiomas disponíveis: inglês, alemão
https://www.vda.de/en/news/publications/publication/white-paper--information-
security-risk-management-
https://www.vda.de/de/aktuelles/publikationen/publication/whitepaper --
risikomanagement-in-der-informationssicherheit-
7.13. Anexo: Gestão de reclamações
7.13.1. Causas de reclamação
A nossa gestão de reclamações diferencia estas duas áreas:
1. Associação ENX — a organização que governa a TISAX

2. Provedores de auditoria – as organizações que conduzem as avaliações TISAX
7.13.1.1. Reclamações sobre a Associação ENX
Se você tiver uma reclamação sobre a Associação ENX, entre em contato com nosso
“gerente de plantão TISAX” (veja os dados de contato abaixo).
7.13.1.2. Reclamações sobre prestadores de auditoria
Primeiro, você deve tentar resolver o problema diretamente com o auditor.
O próximo passo deve ser o responsável pelo TISAX no provedor de auditoria.

Posteriormente, o seu próximo contato será a pessoa responsável pela gestão da qualidade
do fornecedor de auditoria.
Se o problema ainda não for resolvido, você deverá entrar em contato com nosso “gerente
de plantão TISAX” (veja detalhes de contato abaixo).
Existem até opções acima do “gerente de plantão TISAX”. Nesses casos, você
conversaria com o diretor administrativo da Associação ENX.
A VDA não tem qualquer papel na gestão de reclamações.
Observe:
O fornecedor de auditoria deve informá-lo sobre o seu direito de reclamar

durante a reunião inicial . Caso contrário, isso já seria motivo de
reclamação.
7.13.1.3. Requisitos para reclamações
Se você quiser nos envolver, precisamos das seguintes informações:
 Quem está reclamando?

 Nome da empresa
 ID do participante TISAX
 Contato (nome, endereço de e-mail, número de telefone)
 Qual avaliação é essa?
 ID da avaliação
 Caso a avaliação ainda não esteja registrada no portal ENX: Scope ID
 Quem é o provedor de auditoria?
 Nome da empresa fornecedora de auditoria
 Nome do(s) auditor(es)
 Do que você está reclamando?
1. Reclamação geral sobre o desempenho do fornecedor de auditoria
2. Reclamação sobre a abordagem do auditor
3. Reclamação sobre a avaliação em relação ao conteúdo
 Para reclamações sobre a avaliação no que diz respeito ao conteúdo: Qual conclusão
você contesta?
o Controle (por exemplo, 1.6.1 "Até que ponto os eventos de segurança da
informação são processados?")
o Encontrando (texto completo)
o Objeção contra:
 Interpretação do controle
 Verificação em relação ao conteúdo (as evidências disponíveis não são
avaliadas corretamente)
 Avaliação de risco (adequação não considerada)
o Raciocinando por que você avalia as coisas de maneira diferente
7.13.2. Contato para reclamações

Entre em contato com o “gerente de plantão da TISAX”:
Envie-lhe um e-mail para: tisax-complaints@enx.com
Ou ligue para ele em: +49 69 9866927-79
Você pode contatá-lo durante o horário comercial normal na Alemanha ( UTC+01:00 ).
Ele fala inglês e alemão.
8. Histórico do documento
Versão Notas
 Nota geral sobre os objetivos e rótulos de avaliação que adicionamos

nesta versão: Nas versões anteriores, os objetivos e rótulos de
avaliação tinham um “nome oficial” longo e um “nome abreviado”
(Exemplo: “Tratamento de informações com altas necessidades de
proteção” e “ Informação alta”). Como a maioria das pessoas quase
usava apenas o nome abreviado, a forma abreviada agora é o “nome
oficial”. O antigo nome longo agora é denominado “Descrição” . Além
disso, utilizamos apenas o nome oficial em inglês no portal ENX e em
todas as traduções do manual do participante TISAX.
 Seção “Lista de objetivos de avaliação” atualizada com os dois
objetivos de avaliação “Alta disponibilidade” e “Disponibilidade muito
alta” e “Figura 6. Objetivos de avaliação TISAX (representação em
tabela, formatos longos e curtos)” removidos
 Seção “Objetivos de avaliação e ISA” atualizada para refletir o fato de
que apenas um subconjunto do catálogo de critérios de Segurança da
Informação se aplica aos dois objetivos de avaliação “Alta
2.6
disponibilidade” e “Disponibilidade muito alta”
 Seção “Objetivos da avaliação e suas dependências” removida
 Seção “Seleção do objetivo de avaliação” atualizada com os dois
objetivos de avaliação “Alta disponibilidade” e “Disponibilidade muito
alta”
 Seção “Necessidades de proteção e níveis de avaliação” atualizada
com os dois objetivos de avaliação “Alta disponibilidade” e
“Disponibilidade muito alta” e “Tabela 5. Mapeamento de catálogos
de critérios ISA e necessidades de proteção para objetivos de avaliação
TISAX” removidos
 Secção “Catálogos de Critérios” atualizada com os dois objetivos de
avaliação “Alta disponibilidade” e “Disponibilidade muito elevada”
 Seção “Requisitos” atualizada para refletir o fato de que apenas um
subconjunto do catálogo de critérios de Segurança da Informação se
aplica aos dois objetivos de avaliação “Alta disponibilidade” e
“Disponibilidade muito alta”
Versão Notas
 Seção “Hierarquia de rótulos TISAX” atualizada para refletir o fato de

que uma hierarquia agora só existe em alguns casos e “Figura 36.
Objetivos de avaliação TISAX e rótulos TISAX (dependências e
hierarquia)” removida
 Seção “Anexo: Documentos úteis” atualizada para refletir as alterações
nos links
 Vários pequenos esclarecimentos e pequenas correções
 Erros de digitação corrigidos
 Links quebrados corrigidos

2.5.1
 Seção “Administração de locais” adicionada

2,5
nos links
 Declaração imprecisa sobre a duração máxima do processo de

avaliação TISAX removida da Seção 3.1, “Visão Geral”
 “Relatório TISAX” renomeado para “Relatório de avaliação TISAX”
 Nota sobre as diferenças entre ISO 27001 e TISAX atualizada
 Seção “Descrição do escopo” atualizada; seção de escopo
personalizado movida para anexo
 “Descrição do escopo padrão” atualizada para a versão 2.0
 Seção “Publicação e compartilhamento” atualizada com nota sobre o
compartilhamento do status da avaliação
 Seção “Necessidades de proteção e níveis de avaliação” atualizada
com conteúdo sobre o “nível de avaliação 2.5”, o “método de
avaliação remota com suporte de vídeo”, as diferenças entre AL 2 e
AL 3, verificação de plausibilidade vs.
2.4
 Link para início do processo de inscrição atualizado
 Seção “Conta do portal” atualizada para refletir a alteração no processo
de convite
 Links de download para o documento ISA alterados (agora também
disponível em enx.com)
 Secção “Avaliação de ofertas” atualizada com base para estimativas de
custos
 Seção “Reunião inicial” adicionada (com conteúdo movido da seção
“A primeira reunião formal de abertura” )
 Seção “Sobre conformidade” atualizada com uma nova tabela sobre os
quatro tipos de constatações
 Seção “Avaliação inicial” atualizada com nota sobre restrições de
tempo
Versão Notas
 Seção “Relatório de avaliação TISAX” atualizada com nota sobre um

plano de ação corretiva proativo
 Seção “Preparação de plano de ação corretiva” atualizada com os
requisitos “descoberta” e “causa raiz” e uma nota sobre modelos de
plano de ação corretiva
 Seção “Avaliação do plano de ação corretiva” atualizada com uma
observação sobre o e-mail como único meio de comunicação
 Seção “Pré-requisitos para uma avaliação do plano de ação corretiva”
renomeada para “Razões para uma avaliação do plano de ação
corretiva” e duas razões adicionadas
 Seção “Etiquetas temporárias TISAX” atualizada com exemplos e
esclarecimentos sobre o prazo de validade
 Seção “Relatório TISAX” renomeada para “Relatório de avaliação
TISAX”
 Seção “Renovação de rótulos TISAX” atualizada com nota referente à
reutilização de registros de localização no portal ENX
 Seção “Anexo: O raciocínio contra “pré-avaliações” e “análises de
lacunas”” adicionada
 Seção “Anexo: Escopos personalizados” adicionada (“Escopo
estendido” e “Escopo restrito” substituída por “Escopo estendido do
cliente” e “Escopo personalizado completo”
 Seção “Anexo: Avaliação de extensão de escopo” atualizada com
motivos e uma nota sobre a adição de registros de localização à conta
do portal ENX do participante
 Seção “Anexo: Gestão do ciclo de vida do ISA” atualizada para refletir
a situação atual
nos links
 Secção “Anexo: Gestão de reclamações” adicionada
 Os números de telefone agora são clicáveis
 Vários pequenos esclarecimentos e pequenas correções
 Nota para provedores de auditoria TISAX: Esta atualização é baseada
no documento ENX ID 612 versão 2.1
 Legenda reformulada
 Mudar de Word/PDF para HTML como formato principal do manual
 Outras traduções disponíveis (chinês e francês, veja o próximo item)
 Seção “O manual do participante TISAX em outros idiomas e
2.3 formatos” adicionada
 Todos os links para a página inicial da ENX foram alterados de
"https://portal.enx.com" para "https://enx.com" (os links antigos ainda
funcionam)
 “VDA ISA” passa a ser “ISA”
Versão Notas
 Seção Seção 5.2, “Autoavaliação baseada na ISA” atualizada para

refletir as alterações introduzidas na ISA versão 5
 Linhas de todas as tabelas que listam os objectivos de avaliação
reordenados para corresponder à ordem alterada dos catálogos de
critérios na ISA 5
 Figuras que listam os objetivos da avaliação atualizadas para
corresponder à ordem alterada dos catálogos de critérios ISA 5
 Seção “Adaptação do escopo” atualizada (figura 6, erro de digitação
corrigido, objetivos de avaliação atualizados)
 Seção “Taxa” atualizada com informações sobre pagamentos com
cartão de crédito
 Seção “Diagrama do processo de avaliação TISAX” atualizada (figura
34, referência ao provedor de serviços gerenciados removida)
 Seção “Anexo: Documentos úteis” atualizada (Livro Branco
“Gerenciamento de Riscos de Segurança da Informação” adicionado)

2.2.1
 Problema de impressão da capa corrigido

 Todos os links para nossa página inicial e os downloads foram
alterados
 Agora também falamos italiano
 Seção “Escopo personalizado” ampliada
 Seção “Locais do escopo” atualizada
 Objectivos de avaliação “Ligação a terceiros” removidos; figuras 7, 9 e
38 atualizadas; tabelas 4, 5, 6 e 8 atualizadas
 A redação “ com nível de avaliação” foi alterada para “ em nível de
avaliação”
 Referência à “lista de ativação TISAX” na seção “Necessidades de
proteção e níveis de avaliação” removida
(não mais aplicável)
2.2
 Seção “Objetivos de avaliação e seus próprios fornecedores”
adicionada
 Seção “Contato do participante” atualizada com informações sobre
endereços de e-mail de grupo e contatos convidativos para permitir
que eles gerenciem os dados dos participantes no portal ENX
 Seção “Registro do escopo da avaliação” atualizada com informações
sobre alterações no escopo da avaliação
 Seção “Informações de status” atualizada (figura 12)
 Seção “Abordar o resultado da autoavaliação” atualizada com
informações sobre ajuda externa de terceiros
 Seção “Cobertura” atualizada com link para a matriz de cobertura do
provedor de auditoria
 Seção “Solicitando ofertas” atualizada
Versão Notas
 Secção “Avaliação de ofertas” atualizada com informação relativa a

“pré-avaliações”
 Seção “Renovação de rótulos TISAX” atualizada com informações
sobre a necessidade de registro de novo escopo
 Várias subseções da seção “Troca (Etapa 3)” atualizadas para refletir
as mudanças na interface do portal ENX
 Seção “Compartilhe o resultado da sua avaliação com um parceiro
específico” atualizada com recomendações sobre o nível de
compartilhamento e nota sobre o processamento automatizado de
resultados de avaliações compartilhadas
 Seção “Compartilhando o resultado da sua avaliação fora do TISAX”
adicionada
 Seção “Gerenciamento do ciclo de vida ISA” adicionada
 Seção “Anexo: Situação do escopo da avaliação” atualizada (novo
status “Aguardando seu pedido” , status “Aguardando aprovação”
renomeado para “Aguardando aprovação ENX” , status “Aprovado”
renomeado para “Aguardando seu pagamento” , figura 40)
 Seção “Anexo: Exemplo de e-mail de confirmação” atualizada
 Seção “Anexo: Exemplo de trecho do escopo TISAX” atualizada
 Seção “Anexo: Status da avaliação” atualizada (novo status
“Avaliação inicial em andamento” , status “Aguardando avaliação de
acompanhamento” renomeado para “Aguardando acompanhamento” ,
figura 41)
 Seção “Anexo: Avaliações do legado da Volkswagen” (e referências a
ela) removida (não é mais relevante)
 Limite formal para “distância” entre “sua pontuação de resultado” e

2.1.2 “pontuação máxima de resultado” corrigido de 25% para 30%

2.1.1
 Seção “Provedores de serviços gerenciados” removida

 Novos objetivos/rótulos de avaliação TISAX (rótulos de proteção de
dados baseados no GDPR; quatro em vez de dois protótipos de rótulos;
Renomeação: necessidades de proteção em vez de níveis de proteção;
aconselhamento de seleção atualizado)
2.1  Atualizações devido a alterações no ISA (versão 4.0 a 4.1)
 Referência ao novo documento “Avaliação de Grupo Simplificada
TISAX” (adendo a este manual)
 Sugestões para atribuir nomes de locais e nomes de escopo
adicionadas
 “Taxa de inscrição” renomeada para “taxa”
Versão Notas
 Recomendação para representantes de contato adicionada

 Seleção do modelo de carregamento removida
Voltar ao topo .
1 . Você pode considerar passar pelo processo TISAX como uma etapa preventiva. Algumas
empresas fazem isso para estarem mais bem preparadas. Já ser avaliado pelo TISAX pode
significar um período de integração muito mais curto e, portanto, pode lhe dar uma vantagem
sobre os concorrentes ainda não avaliados pelo TISAX.
2 . “Etiquetas TISAX” são um conceito para resumir o resultado da sua avaliação e são o
resultado do processo TISAX. Consulte a Seção 5.4.14, “Etiquetas TISAX” para obter mais
detalhes.
3 . Você só precisa realizar a maioria das etapas de registro uma vez ao começar como
participante do TISAX. Ao renovar o resultado da sua avaliação, você só precisa atualizar e
confirmar seus dados cadastrais.
4 . Publicaremos alterações em nossos TCG no portal ENX e notificaremos os contatos
cadastrados.
5 . Isto também se aplica a todos os outros acordos adicionais (por exemplo, códigos de conduta).
6 . Observe que atualmente seu parceiro não é informado automaticamente sobre novas
permissões. Você pode notificar seu parceiro assim que o resultado da avaliação estiver
disponível para ele.
7 . Se você quiser estar nessa lista, entre em contato conosco .

8 . Evidência é qualquer coisa que apoie sua afirmação de que você atende a um determinado
requisito. As evidências são principalmente documentos. Você certamente usará documentação
interna como prova.
9 . As entrevistas para avaliações com nível de avaliação 2 são geralmente realizadas via
webconferência. A seu pedido, entrevistas podem ser realizadas no local
10 . O mínimo teórico para avaliações simplificadas em grupo é de três locais.

11 . Se você já sabe que terá que melhorar seu sistema de gestão de segurança da informação, o
mínimo recomendado é de pelo menos doze locais.
12 . Para evitar possíveis confusões entre números e letras (como 8 e B), determinadas letras não
são permitidas nas IDs de Participante. No entanto, alguns IDs de Participante mais antigos
podem conter a letra “G”.
13 . A ISA também se refere aos catálogos de critérios como “módulos”.
14 . Você pode encontrar o recurso subjacente do Excel na faixa “Dados”, seção “Esquema”.
15 . Você possui fornecedores de auditoria para avaliações semelhantes (como ISO 27001) em
sua empresa que também estejam interessados em realizar avaliações TISAX? Então compartilhe
este manual com eles e peça-lhes para entrar em contato conosco
16 . Os provedores de auditoria que não estão incluídos em nossa listagem não estão autorizados
a realizar avaliações TISAX.
17 . Se você encerrar o processo de avaliação, não receberá os rótulos TISAX.
18 . Na verdade, existe um quarto tipo: a “avaliação de extensão do escopo”. Por se tratar de um

caso especial, está descrito detalhadamente no anexo da Seção 7.10, “Anexo: Avaliação da
extensão do escopo” .
19 . A reunião formal de abertura será descrita em detalhes apenas para a avaliação inicial. Para
as outras avaliações TISAX, seu provedor de auditoria agendará e organizará essas reuniões.
20 . Alguns prestadores de serviços de auditoria podem usar o termo “reunião inicial” como
sinônimo de “reunião formal de abertura”.
21 . A reunião formal de encerramento será descrita em detalhes apenas para a avaliação inicial.
Para as outras avaliações TISAX, seu provedor de auditoria agendará e organizará essas reuniões.
22 . Se uma disputa não puder ser resolvida, você poderá escalar o problema. Para obter mais
informações, consulte a Seção 7.13, “Anexo: Gestão de reclamações” para obter mais detalhes.
23 . Para obter mais informações sobre métodos e intensidades de auditoria, consulte a Seção
4.3.3.5, “Necessidades de proteção e níveis de avaliação” .
24 . Se uma disputa não puder ser resolvida, você poderá escalar o problema. Entre em contato
conosco para mais detalhes.
25 . Observe que o resultado geral da sua avaliação ainda pode ser “não conformidade grave”,
mesmo que você tenha definido ações corretivas apropriadas. Este é o caso se as suas medidas
não entrarem/não puderem entrar em vigor imediatamente.
26 . É claro que isto só se aplica a uma avaliação inicial que identificou não conformidades. Você
não precisa de uma avaliação de acompanhamento para uma avaliação inicial com um resultado
de avaliação “conforme”.
27 . Em teoria, isto pode ocorrer nove meses após a conclusão da avaliação inicial.
28 . Na verdade, existe um quarto tipo: O “relatório de avaliação de extensão de escopo”. Por se

tratar de um caso especial, é descrito detalhadamente na Seção 7.10, “Anexo: Avaliação da
extensão do escopo” .
29 . O “relatório de avaliação TISAX” baseia-se num modelo que todos os prestadores de

auditoria TISAX são obrigados a utilizar.
30 . A palavra “renovação” pode ser enganosa. Para manter um rótulo TISAX por mais de três
anos, você precisa executar novamente o processo TISAX. Isso começa com o registro de um
novo escopo de avaliação.
31 . Não mantemos uma lista “pública TISAX” de IDs de participantes. A razão para isso é que
queremos evitar o compartilhamento acidental com base em nomes de empresas com sons
semelhantes ou outros “erros humanos”. Portanto, você sempre deverá obter o ID de Participante
do seu parceiro entrando em contato diretamente com ele.
32 . Seu parceiro deve fazer login no portal e procurar ativamente o resultado da avaliação
compartilhada. Seu parceiro não recebe uma notificação automática sobre novos resultados de
avaliações compartilhadas.
33 . A regra está definida nos “Termos e Condições Gerais de Participação TISAX” (
https://enx.com/tisaxgtcen.pdf ).
35 . “Etiquetas TISAX” são um conceito para resumir o resultado da sua avaliação e são o
resultado do processo TISAX. Consulte a Seção 5.4.14, “Etiquetas TISAX” para obter mais
detalhes.
Sobre nós Contato Aviso legal Política de privacidade

Manual Do Participante TISAX

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Do Participante TISAX

Enviado por

Direitos autorais:

Formatos disponíveis

Manual do Participante TISAX

Passe pelo processo de avaliação TISAX e compartilhe o resultado da avaliação

ID do documento ENX: 602

Aviso de direitos autorais

Todos os direitos reservados à Associação ENX.

Bem-vindo ao TISAX, o Trusted Information Security Assessment Exchange.

Estabelecer e manter um sistema de gestão de segurança da informação (SGSI) já é uma

O tempo estimado de leitura do documento é de 75 a 90 minutos.

1.5. Como usar este documento

Envie-nos um e-mail para: tisax@enx.com

Ou ligue para: +49 69 9866927-77

Todos falamos inglês e alemão. Um colega é falante nativo de italiano.

Por favor, observe a Seção 7.13, “Anexo: Gestão de reclamações” .

1.7. O manual do participante TISAX em outros idiomas e formatos

O manual do participante TISAX está disponível nos seguintes idiomas e formatos:

Linguagem Versão Formatar Link

Inglês 2.6 desligada https://www.enx.com/handbook/tisax-participant-handbook-offlin

Alemão 2.6 desligada https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offlin

chinês On-line https://www.enx.com/handbook/tph-cn.html

A versão em inglês é a versão principal.

1.7.1. Sobre o formato on-line

Cada seção possui um ID exclusivo (formato: ID1234).

 clique com o botão direito no título da seção e copie o link, ou

1.7.2. Sobre o formato off-line

Comparado ao formato online, o formato offline não inclui:

1.7.3. Sobre o formato PDF

O formato PDF é baseado no formato online. Basicamente usamos um navegador para

2.1. Por que TISAX?

Ou melhor, por que você está aqui?

Agora há duas perguntas. Quem define o que significa o tratamento “seguro” da

2.2. Quem define o que significa “seguro”?

2.3. O jeito automotivo

Por natureza, os padrões independentes da indústria são concebidos como soluções

Seus esforços conjuntos levaram a um questionário que abrange os requisitos de

2.4. Como comprovar a segurança de forma eficiente?

Juntamente com a crescente consciencialização geral sobre a necessidade de gestão da

OEMs e fornecedores do grupo de trabalho ENX responsável pela manutenção do ISA

A resposta é TISAX, abreviação de “Trusted Information Security Assessment Exchange”

O processo TISAX de 3 etapas consiste nas seguintes etapas:

Figura 1. Visão geral do processo TISAX

Embora certamente gostaríamos de lhe dizer quanto tempo levará para

Seu primeiro passo é o registro TISAX.

É o pré-requisito para todas as etapas subsequentes. Está sujeito a uma taxa.

Durante o processo de registro on-line:

 Pedimos-lhe detalhes de contacto e informações de faturação.

O processo de registro on-line é descrito detalhadamente na Seção 4.5, “Processo de

Sua segunda etapa é passar pela avaliação de segurança da informação.

Existem quatro subetapas:

A terceira e última etapa é compartilhar o resultado da avaliação com seu parceiro. O

4.1. Visão geral

O registro TISAX é o primeiro passo. É o pré-requisito para todas as etapas subsequentes.

As seções a seguir irão guiá-lo durante o registro:

1. Começamos explicando um novo termo essencial .

4.2. Você é um participante TISAX

Figura 2. Registre-se para se tornar um participante do TISAX

Figura 4. Os participantes do TISAX podem ser ativos e passivos ao mesmo tempo

4.3. Preparação de registro

Antes de começar a realizar nosso processo de registro on-line, recomendamos

 coletando informações com antecedência

4.3.1. A base jurídica

Os TCG dos Participantes da TISAX regem o nosso relacionamento mútuo e o seu

Você pode baixar os “Termos e Condições Gerais de Participação TISAX” [ 4 ] em nosso

Download direto do PDF: enx.com/tisaxgtcen.pdf enx.com/tisaxgtcde.pdf

 ❏ Aceitamos os Termos e Condições Gerais de Participação TISAX