Ocena TISAX® poziomu 2: Dlaczego najtańsza opcja nie zawsze jest najbardziej opłacalna

Powszechne założenie dotyczące poziomu oceny 2

Kiedy dostawcy motoryzacyjni po raz pierwszy rozważają opcje oceny TISAX®, poziom oceny 2 (AL2) wydaje się logicznym punktem wyjścia. Opłaty za ocenę zewnętrzną są niższe niż w przypadku wyższych poziomów. Ocena odbywa się zdalnie, więc nie ma potrzeby podróżowania, a na papierze droga do uzyskania certyfikatu TISAX® wydaje się krótsza i tańsza.

Jednak organizacje, które planują swoją drogę do uzyskania certyfikatu TISAX® wyłącznie na podstawie opłat za ocenę, często stają w obliczu bardziej złożonej rzeczywistości. Całkowity nakład pracy związany z uzyskaniem i utrzymaniem certyfikatu TISAX® zależy od czynników wykraczających daleko poza to, co widnieje na fakturze audytora.

Dla dostawców z branży motoryzacyjnej kluczowe znaczenie ma zrozumienie pełnego obrazu sytuacji przed podjęciem decyzji o wyborze poziomu oceny.

Czego faktycznie wymaga poziom oceny 2

Poziom oceny TISAX® 2 to ocena wiarygodności. Zadaniem audytora jest ocena, czy samoocena organizacji w wiarygodny sposób opisuje funkcjonujący system zarządzania bezpieczeństwem informacji (ISMS), zgodny z wymaganiami katalogu ISA.

W przeciwieństwie do poziomu oceny 3, poziom AL2 nie obejmuje weryfikacji wdrożonych środków kontroli na miejscu. Ocena przeprowadzana jest przede wszystkim na podstawie pisemnej samooceny organizacji oraz dokumentacji uzupełniającej.

Ma to kluczowe znaczenie: jakość samooceny decyduje o powodzeniu całego procesu.

W przypadku poziomu AL2 oceniający musi być w stanie zrozumieć, w jaki sposób realizowany jest każdy cel kontroli, opierając się wyłącznie na pisemnym opisie zawartym w katalogu ISA. Dokumenty dowodowe służą jako uzupełnienie tych wyjaśnień — nie zastępują ich. Jeśli tekst samooceny jest niejasny, niespójny lub niewystarczająco szczegółowy, żadna ilość dodatkowej dokumentacji nie jest w stanie tego zrekompensować. W takich przypadkach konieczne stają się poprawki i kolejne cykle przeglądu, co wydłuża zarówno harmonogram, jak i zwiększa nakład pracy wewnętrznej.

Dlaczego nakład pracy wewnętrznej jest często niedoceniany

Opłaty za ocenę są widoczne. Wysiłek wewnętrzny nie jest — i właśnie to zaskakuje wiele organizacji.

Przygotowanie wiarygodnej samooceny wymaga szczegółowego, udokumentowanego zrozumienia sposobu działania mechanizmów kontroli bezpieczeństwa informacji w całej organizacji. Zazwyczaj wiąże się to z wkładem ze strony:

• działów bezpieczeństwa informacji i IT
• działów kadr i zarządzania obiektami
• działów ds. zgodności z przepisami i działów prawnych
• kierownictwa wyższego szczebla

Czas potrzebny na wykonanie tego zadania zależy w dużej mierze od wiedzy fachowej i staranności osoby odpowiedzialnej za dokumentowanie środków kontroli w katalogu ISA. Organizacje posiadające dobrze ugruntowany system zarządzania bezpieczeństwem informacji (ISMS) oraz personel zaznajomiony z wymaganiami TISAX® często potrafią sprawnie przeprowadzić ten proces. Natomiast organizacje o mniej dojrzałym systemie ISMS zazwyczaj muszą włożyć znacznie więcej wysiłku w zebranie niezbędnych informacji oraz opisanie podstawowych procesów i środków kontroli w jasny i zrozumiały sposób. Z doświadczenia wynika, że dobrze przygotowane organizacje zazwyczaj poświęcają około 24 godzin na przygotowanie wiarygodnej samooceny. Organizacje mniej przygotowane mogą potrzebować 48 godzin lub więcej — a dodatkowe iteracje przeglądu wymagane podczas kontroli wiarygodności mogą jeszcze bardziej wydłużyć ten czas.

AL2 a AL2.5: bardziej wyważone spojrzenie na całkowity nakład pracy

Założenie, że niższy poziom oceny automatycznie oznacza mniejszy całkowity nakład, nie zawsze się sprawdza.

Porównując poziomy AL2 i AL2.5 pod kątem całkowitego nakładu pracy — obejmującego zarówno wewnętrzne przygotowania organizacji, jak i prace weryfikacyjne audytora — obraz sytuacji wygląda inaczej niż sugerują same opłaty za audyt:

Poziom AL2.5 wiąże się z większą szczegółowością oceny i bardziej aktywną rolą audytora, co skutkuje wyższymi kosztami zewnętrznymi. Jednak mniejsze obciążenie związane z przygotowaniami wewnętrznymi może sprawić, że poziom AL2.5 będzie rzeczywiście bardziej efektywną opcją dla organizacji, którym brakuje dyscypliny w zakresie dokumentacji lub zasobów kadrowych niezbędnych do sprawnego przeprowadzenia wysokiej jakości samooceny na poziomie AL2.

Żadna z opcji nie jest z natury rzeczy lepsza. Właściwy wybór zależy od konkretnych uwarunkowań organizacji, a nie od tego, która opcja wydaje się tańsza w ofercie dotyczącej oceny.

Ryzyko związane ze zmianą wymagań

Wiele organizacji rozpoczyna swoją przygodę z TISAX® od jasnego, konkretnego wymogu ze strony jednego klienta: uzyskania certyfikatu na poziomie oceny 2 (AL2). W tym momencie AL2 wydaje się jedynym rozsądnym wyborem.

Ekosystem motoryzacyjny jest jednak dynamiczny. Nowe relacje z klientami, rozszerzony zakres projektu lub zmiana klasyfikacji informacji mogą spowodować konieczność przejścia na wyższe poziomy oceny — czasami w ramach tego samego okresu ważności. Do często występujących scenariuszy należą:

• Postępowanie z informacjami ściśle poufnymi
• Wymagania dotyczące bardzo wysokiej dostępności
• Rozszerzenie zakresu obejmujące ochronę prototypów
• Dodatkowe wymagania specyficzne dla producentów OEM

Żadna organizacja nie jest w stanie z całą pewnością przewidzieć wszystkich przyszłych wymagań. Jednak uwzględnienie potencjalnych zmian biznesowych już na etapie planowania — zamiast reagowania na nie w późniejszym terminie — może pomóc uniknąć niepotrzebnego powielania wysiłków.

Zrozumienie rzeczywistych kosztów aktualizacji z poziomu AL2

Dla organizacji, które zaczynają od poziomu AL2, a później potrzebują poziomu AL3, ścieżka przejścia nie jest tak prosta, jak mogłoby się wydawać.

Ponieważ AL2 koncentruje się na wiarygodności, a nie na weryfikacji kontroli na miejscu, nakładanie się metodologii AL2 i AL3 jest ograniczone. Przejście z AL2 na AL3 wymaga zazwyczaj nakładu pracy porównywalnego z przeprowadzeniem wstępnej oceny AL3 od podstaw. W przypadku pojedynczej lokalizacji może to oznaczać około 24 godzin pracy związanej z oceną — w zasadzie całkowite rozpoczęcie od nowa.

Natomiast organizacje, które rozpoczynają na poziomie AL2.5, mogą kwalifikować się do oceny różnicowej przy przejściu na poziom AL3. W zależności od zakresu i oznaczeń może to znacznie zmniejszyć nakład pracy związany z oceną w ramach przejścia na wyższy poziom.

Nie oznacza to, że poziom AL2 jest niewłaściwym punktem wyjścia. Jednak w przypadku organizacji, u których istnieje realne prawdopodobieństwo, że w przyszłości będą potrzebowały poziomu AL3, opłacalność rozpoczęcia od wyższego poziomu zasługuje na dokładne rozważenie.

Kiedy poziom AL2 jest właściwym wyborem

Pomimo czynników wymienionych powyżej poziom oceny 2 jest odpowiednim i skutecznym wyborem dla wielu organizacji. Może być szczególnie odpowiedni, gdy:

• Organizacja posiada już dobrze udokumentowany system zarządzania bezpieczeństwem informacji (ISMS)
• Odpowiedni pracownicy mają solidne doświadczenie w zakresie wymagań i terminologii TISAX®
• Można przygotować wysokiej jakości samoocenę przy minimalnej liczbie iteracji
• Nie przewiduje się konieczności przejścia na poziom AL3 w trakcie bieżącego cyklu oceny

W tych warunkach poziom 2 (AL2) może stanowić rozsądną drogę do uzyskania certyfikatu TISAX®, przy jednoczesnym ograniczeniu kosztów oceny zewnętrznej.

Kluczowe pytania pomagające w podjęciu decyzji dotyczącej poziomu oceny

Zamiast kierować się wyłącznie opłatami za ocenę, organizacje powinny rozważyć następujące kwestie:

1. Jak dojrzała jest nasza obecna dokumentacja ISMS? Czy z udokumentowanych procesów można łatwo wywnioskować jasne i zrozumiałe opisy środków kontroli?
2. Czy dysponujemy zasobami wewnętrznymi, które pozwolą przeprowadzić dokładny proces samooceny bez powodowania wąskich gardeł?
3. Jakich certyfikatów wymagają nasi obecni klienci? Czy któryś z nich znajduje się obecnie na poziomie AL3 lub potencjalnie znajdzie się na nim w najbliższej przyszłości?
4. Czy nawiązujemy współpracę z nowymi klientami, którzy mogą mieć inne lub wyższe oczekiwania w zakresie TISAX®?
5. Jaka jest nasza realistyczna ścieżka rozwoju? Jeśli poziom AL3 stanie się konieczny, ile będzie nas kosztowało przejście na ten poziom z każdego punktu wyjścia?

Odpowiedzi na te pytania dotyczące poziomów oceny TISAX®, uzyskana przy udziale zespołów ds. bezpieczeństwa informacji, IT oraz biznesu, stanowią znacznie bardziej wiarygodną podstawę do podejmowania decyzji niż zwykłe porównanie opłat za ocenę.

Wyjść poza opłaty za ocenę

Poziom oceny 2 jest często uważany za najbardziej ekonomiczną drogę do uzyskania certyfikatu TISAX®. W przypadku organizacji o dobrze ugruntowanych praktykach dokumentacyjnych, które nie przewidują potrzeby uzyskania wyższych poziomów oceny, założenie to może być słuszne.

Dla innych jednak rzeczywiste koszty poziomu AL2 — mierzone nakładem pracy związanym z przygotowaniami wewnętrznymi, kolejnymi iteracjami przeglądu oraz potencjalnymi wydatkami na podwyższenie poziomu — mogą przewyższyć pozorne oszczędności na opłatach za ocenę.

Najbardziej opłacalny poziom oceny niekoniecznie jest tym o najniższej cenie wejścia. Jest to ten, który zapewnia odpowiednią równowagę między nakładem pracy, pewnością i elastycznością w konkretnej sytuacji danej organizacji.