TISAX® procjena nivo 2: Zašto najjeftinija opcija nije uvijek i najisplativija

Uobičajena pretpostavka o procjeni nivoa 2

Kada dobavljači automobilske industrije prvi put istražuju TISAX® opcije procjene, nivo procjene 2 (AL2) se obično čini kao logična polazna tačka. Naknade za eksternu procjenu su niže od onih za više nivoe. Radi se na daljinu, tako da nema potrebe za putovanjem, a na papiru, put do TISAX® oznake izgleda kraće i jeftinije.

Međutim, organizacije koje planiraju svoje TISAX® putovanje samo na osnovu naknada za procjenu često se susreću sa složenijom stvarnošću. Ukupan napor potreban za dobijanje i održavanje TISAX® oznake zavisi od faktora koji daleko prevazilaze ono što se pojavljuje na fakturi auditora.

Ključno je da dobavljači automobilske industrije razumiju potpunu sliku prije nego što se obavežu na određeni nivo procjene.

Šta zapravo zahtijeva nivo 2 procjene

TISAX® procjena nivoa 2 je procjena vjerodostojnosti. Zadatak procjenitelja je procijeniti da li samoprocjena organizacije uvjerljivo opisuje funkcionalni Sistem upravljanja sigurnošću informacija (ISMS) koji je u skladu sa zahtjevima ISA kataloga.

Za razliku od procjene nivoa 3, AL2 ne uključuje provjeru implementiranih kontrola na licu mjesta. Procjena se provodi prvenstveno na osnovu pisane samoprocjene organizacije i prateće dokumentacije.

Ovo ima ključnu implikaciju: kvalitet samoprocjene određuje uspjeh procesa.

Za AL2, procjenitelj mora biti u stanju razumjeti kako se svaki kontrolni cilj ispunjava samo na osnovu pisanog opisa u ISA katalogu. Dokumenti s dokazima služe za podršku tim objašnjenjima - oni ih ne zamjenjuju. Ako je tekst samoprocjene nejasan, nedosljedan ili nedovoljno detaljan, nikakva dodatna dokumentacija ne može to nadoknaditi. U takvim slučajevima, auditi i daljnji ciklusi pregleda postaju neophodni, produžujući i vremenske rokove i interni napor.

Zašto se interni napor često potcjenjuje

Naknade za procjenu su vidljive. Interni napor nije - i tu su mnoge organizacije zatečene nespremne.

Priprema uvjerljive samoprocjene zahtijeva detaljno, dokumentirano razumijevanje načina na koji kontrole sigurnosti informacija funkcionišu u cijeloj organizaciji. To obično uključuje doprinos od:

• Odjeli za sigurnost informacija i IT
• Odjeli za ljudske resurse i upravljanje objektima
• Funkcije usklađenosti i pravnih poslova
• Izvršni menadžment

Potrebno vrijeme uveliko zavisi od stručnosti i marljivosti osobe odgovorne za dokumentovanje kontrola u ISA katalogu. Organizacije sa dobro uspostavljenim ISMS-om i osobljem koje je upoznato sa TISAX® zahtjevima često mogu efikasno završiti proces. Nasuprot tome, organizacije sa manje zrelim ISMS-om obično se suočavaju sa znatno većim naporom u prikupljanju potrebnih informacija i opisivanju osnovnih procesa i kontrola na jasan i razumljiv način. Na osnovu iskustva u procjeni, dobro pripremljene organizacije obično ulažu otprilike 24 sata u pripremu uvjerljive samoprocjene. Manje pripremljenim organizacijama može biti potrebno 48 sati ili više - a dodatne iteracije pregleda zatražene tokom provjere vjerodostojnosti mogu ovo dodatno povećati.

AL2 u odnosu na AL2.5: Uravnoteženiji pogled na ukupni napor

Pretpostavka da niži nivo procjene automatski znači nižu ukupnu investiciju ne vrijedi uvijek.

Prilikom poređenja AL2 i AL2.5 na osnovu ukupnog napora - uključujući i internu pripremu organizacije i rad procjenitelja na pregledu - slika izgleda drugačije od onoga što sugerišu same naknade za procjenu:

AL2.5 podrazumijeva veću dubinu procjene i aktivniju ulogu auditora, što rezultira većim eksternim troškovima. Međutim, smanjeno opterećenje interne pripreme može učiniti AL2.5 zaista efikasnijom opcijom za organizacije kojima nedostaje disciplina u dokumentaciji ili ljudski resursi za efikasno snalaženje u visokokvalitetnoj samoprocjeni AL2.

Nijedna opcija nije sama po sebi poželjnija. Odgovarajući izbor zavisi od specifičnih okolnosti organizacije, a ne od toga koja se opcija čini jeftinijom u prijedlogu procjene.

Rizik promjene zahtjeva

Mnoge organizacije započinju svoje TISAX® putovanje s jasnim, specifičnim zahtjevom jednog kupca: dobiti oznaku na nivou procjene 2. U tom trenutku, AL2 se čini kao jedini razuman izbor.

Međutim, automobilski ekosistem je dinamičan. Novi odnosi s kupcima, prošireni obim projekta ili promijenjene klasifikacije informacija mogu stvoriti potrebu za višim nivoima procjene - ponekad unutar istog perioda važenja. Scenariji koji se često javljaju uključuju:

• Rukovanje strogo povjerljivim informacijama
• Zahtjevi koji uključuju vrlo visoku dostupnost
• Proširenje opsega koje pokriva zaštitu prototipa
• Dodatni zahtjevi specifični za OEM

Nijedna organizacija ne može sa sigurnošću predvidjeti sve buduće zahtjeve. Ali razmatranje potencijalnih poslovnih dešavanja u fazi planiranja - umjesto kasnijeg reagovanja na njih - može pomoći u izbjegavanju nepotrebnog dupliranja napora.

Razumijevanje stvarnih troškova nadogradnje sa AL2 verzije

Za organizacije koje počinju s AL2, a kasnije im je potreban AL3, put nadogradnje nije tako jednostavan kao što se može činiti.

Budući da se AL2 fokusira na vjerodostojnost, a ne na provjeru kontrole na licu mjesta, metodološko preklapanje između AL2 i AL3 je ograničeno. Nadogradnja s AL2 na AL3 je općenito usporediva po trudu s provođenjem početne procjene AL3 od nule. Za jednu lokaciju, to može značiti otprilike 24 sata napora procjene - u suštini potpuni ponovni početak.

Nasuprot tome, organizacije koje počinju s AL2.5 mogu ispunjavati uslove za diferencijalnu procjenu prilikom prelaska na AL3. Ovisno o opsegu i oznakama, ovo može značajno smanjiti napor procjene za nadogradnju.

To ne znači da je AL2 pogrešna početna tačka. Ali za organizacije s bilo kakvom realnom vjerovatnošću da će im AL3 biti potreban u budućnosti, ekonomija početka na višem nivou zaslužuje pažljivo razmatranje.

Kada je AL2 pravi izbor

Uprkos gore navedenim faktorima, nivo procjene 2 je odgovarajući i efikasan izbor za mnoge organizacije. Može biti posebno pogodan kada:

• Organizacija već održava dobro dokumentiran ISMS.
• Relevantno osoblje ima solidno iskustvo sa zahtjevima i terminologijom TISAX®-a.
• Visokokvalitetna samoprocjena može se pripremiti uz minimalnu iteraciju.
• Ne postoji predvidljiva potreba za nadogradnjom na AL3 tokom trenutnog ciklusa procjene.

Pod ovim uslovima, AL2 može obezbijediti pouzdan put do TISAX® oznake, uz istovremeno ograničavanje troškova eksterne procjene.

Ključna pitanja koja će vam pomoći u odluci o nivou procjene

Umjesto da počnu od naknada za procjenu, organizacije imaju koristi od razmatranja sljedećih faktora:

1. Koliko je zrela naša postojeća dokumentacija ISMS-a? Mogu li se jasni i razumljivi opisi kontrola lako izvesti iz dokumentiranih procesa?
2. Imamo li interne resurse za vođenje temeljitog procesa samoprocjene bez stvaranja uskih grla?
3. Koje oznake su potrebne našim trenutnim kupcima? Da li se neke od njih nalaze u AL3 danas ili potencijalno u bliskoj budućnosti?
4. Da li se širimo na nove odnose s klijentima koji možda imaju drugačija ili viša TISAX® očekivanja?
5. Koji je naš realan put nadogradnje? Ako AL3 postane neophodan, koliko bi nas ta tranzicija koštala sa svake početne tačke?

Odgovaranje na ova pitanja u vezi sa nivoima procjene TISAX®-a, uz doprinos timova za sigurnost informacija, IT i poslovnih timova, pruža daleko pouzdaniju osnovu za donošenje odluka nego jednostavno poređenje naknada za procjenu.

Pogled dalje od naknada za procjenu

Često se pretpostavlja da je nivo procjene 2 najekonomičniji put do TISAX® oznake. Za organizacije sa snažnim praksama dokumentacije i bez predvidljive potrebe za višim nivoima procjene, ova pretpostavka može biti tačna.

Međutim, za druge, stvarni troškovi AL2 - mjereni u internom pripremnom trudu, iteracijama pregleda i potencijalnim troškovima nadogradnje - mogu premašiti očigledne uštede na naknadama za procjenu.

Najisplativiji nivo procjene nije nužno onaj sa najnižom početnom cijenom. To je onaj koji pruža pravu ravnotežu truda, sigurnosti i fleksibilnosti za specifičnu situaciju vaše organizacije.