TISAX® - Perguntas e Respostas importantes

CONTEÚDO

• O que significa TISAX®?
• Quais são os benefícios da TISAX®?
• Quem monitora a TISAX®?
• O que é um nível de avaliação?
• É TISAX® também para empresas não manufatureiras?
• Certificação TISAX® sem exigência do cliente?
• O conteúdo da TISAX® é análogo ao da norma ISO 27001?
• A TISAX® é uma auditoria combinada de TISAX® e ISO 27001 recomendada?
• Como posso definir o escopo de avaliação da TISAX®?
• Quanto tempo demoram as avaliações individuais?
• O que são não-conformidades maiores e menores?
• A TISAX® substituirá a proteção do protótipo VDA?
• O que a DQS pode fazer por mim?

O que significa TISAX®?

TISAX® - Trusted Information Security Assessment Exchange

A TISAX® é um procedimento comum de avaliação e intercâmbio para o setor automotivo. Baseia-se num questionário de segurança da informação (ISA - Information Security Assessment) desenvolvido pelo grupo de trabalho da VDA "Information Security", que foi utilizado pela primeira vez por empresas membros da Associação Alemã da Indústria Automotiva (VDA) para auditorias a fornecedores e prestadores de serviços em cujas empresas são processadas informações sensíveis. A versão 5.1 do questionário da VDA ISA está disponível desde 2022. Esta versão é obrigatória para todas as novas avaliações TISAX® desde janeiro de 2022. Trabalhar com o novo catálogo de auditoria TISAX® 5.1 deve agora ser mais fácil e eficiente - para usuários e auditores.

Além disso, a TISAX® é baseada em requisitos essenciais da norma internacionalmente reconhecida para segurança da informação: ISO 27001. É aplicável em todos os setores e define requisitos, regras e métodos para garantir a segurança das informações dentro de uma empresa. Em seus requisitos, a norma vai além da proteção dos sistemas técnicos de TI e inclui todos os ativos corporativos dignos de proteção, como instalações, controles de segurança e arquivos. Em outras palavras: A ISO 27001 garante a proteção de todas as informações de valor para uma organização.

Quais são os benefícios da TISAX®?

• A TISAX® cria um nível uniforme de segurança da informação na indústria automotiva
• Os resultados das avaliações são reconhecidos nas empresas entre todos os participantes da TISAX®, levando a uma maior confiança nas empresas auditadas
• Auditorias múltiplas e duplicadas desnecessárias são evitadas através do reconhecimento mútuo na rede TISAX®.
• A avaliação para a certificação TISAX® ocorre apenas a cada três anos, o que poupa tempo e dinheiro

Quem monitora a TISAX®?

TISAX® é uma marca registada da Associação ENX, com sede em Frankfurt am Main e Paris. Como entidade neutra, é-lhe confiada a implementação da TISAX®. A ENX é a associação de fabricantes europeus de automóveis, fornecedores e quatro associações automóveis nacionais, incluindo a VDA, que fundou a ENX em 2000. A Associação ENX controla a qualidade da implementação e concede aprovação aos prestadores de serviços de avaliação, de acordo com um procedimento rigoroso. A DQS está listada com a ENX como um fornecedor de serviços de auditoria aprovado e pode realizar avaliações em todo o mundo. Os nossos especialistas estão sempre disponíveis para responder às suas perguntas.

Para conseguir o reconhecimento mútuo das avaliações pelos participantes, a ENX celebra contratos correspondentes com todos os prestadores de serviços de auditoria aprovados, bem como com os participantes da rede TISAX®. Através da padronização e monitorização da qualidade, a ENX consegue o reconhecimento comum dos resultados das avaliações entre todos os participantes. Evitam-se duplicações desnecessárias e avaliações múltiplas.

Perguntas e respostas sobre a TISAX®: O que é um nível de avaliação?

TISAX® distingue três níveis de avaliação (requisitos de proteção), dependendo da proteção necessária: normal (nível 1), elevado (nível 2) e muito elevado (nível 3). O método de auditoria e o esforço de auditoria dependem disso.

Nível 1: Auto-avaliação sem verificação de plausibilidade, geralmente apenas para fins internos. Estes resultados de avaliação têm apenas um significado limitado e não são utilizados na TISAX®.

Nível 2: Verificação da plausibilidade da sua auto-avaliação por um prestador de serviços de auditoria, como a DQS. Estas auditorias de segurança da informação são geralmente realizadas como uma conferência telefónica, não como auditorias no local - a menos que um dos objetivos da auditoria de proteção do protótipo se aplique ou que você o solicite explicitamente.

A novidade é um método alternativo para realizar uma avaliação no Nível de Avaliação 2. Em vez da verificação de plausibilidade, seu provedor de serviços de auditoria realiza um teste remoto completo. Este método é por vezes referido como "Avaliação-Nível 2.5". A vantagem é que a abordagem é metodologicamente compatível com o Nível de Avaliação 3. Portanto, é possível atualizar para um exame de nível 3 de avaliação completo posteriormente com esforço gerenciável.

Nível 3: Verificação da plausibilidade de sua auto-avaliação por um provedor de serviços de auditoria através de uma auditoria aprofundada e abrangente no local.

A introdução da TISAX® também é obrigatória para as empresas não-fabricantes?

A resposta a esta pergunta depende do contexto do seu negócio: Se precisa ou não de implementar a TISAX® depende do seu OEM (fabricante do equipamento original), ou se este lhe exige esta prova de segurança da informação. A menos que o fabricante do carro se aproxime especificamente de você, ou que você veja uma mudança nos T&C, é recomendável esperar e ver. No passado, as empresas eram contatadas pelo OEM sobre os requisitos para uma maior cooperação, quando necessário. No entanto, é claro que cabe a você perguntar proativamente aos seus parceiros na indústria automotiva.

Faz sentido lutar pela certificação TISAX® mesmo sem uma exigência do cliente?

Hoje em dia, uma abordagem proativa ao tema da segurança da informação geralmente faz muito sentido, e não apenas para os fornecedores da indústria automotiva. Se o seu OEM ainda não especificar qual etiqueta TISAX® se espera de você, é uma boa ideia demonstrar o Nível 3 (Avaliação Nível 3: segurança de informação muito elevada). Desta forma, você está preparado para todos os requisitos futuros sem ter que duplicar o trabalho.

Alternativamente, a norma mundialmente reconhecida ISO/IEC 27001 oferece uma boa introdução à segurança da informação em vários setores. A versão revisada da norma foi publicada em 25 de outubro de 2022. 

O conteúdo da TISAX® é análogo ao da norma ISO 27001?

O catálogo de avaliação TISAX® é derivado da norma internacional ISO 27001 e baseia-se nos "controles" (medidas) definidos. Eles descrevem como os respectivos requisitos (deve, devem) ser implementados, como os processos devem ser assegurados e que ferramentas podem ser utilizadas. Uma diferença fundamental entre as duas normas é que a TISAX® requer um certo nível de maturidade para ser alcançado.

É recomendada uma auditoria combinada da TISAX® e da ISO 27001?

Uma auditoria combinada é definitivamente possível e pode ser realizada pela DQS a qualquer momento. Todos os auditores TISAX® da DQS também são auditores autorizados para a ISO 27001, o que significa que ambas as avaliações de segurança da informação podem ser realizadas ao mesmo tempo com pouco esforço adicional.

Tenho que ser certificado pela ISO 27001 antes da TISAX®?

A resposta a esta pergunta é: Não. Porque não há nenhuma exigência de que já exista um sistema de gestão de segurança da informação certificado de acordo com a ISO 27001. Para a avaliação TISAX®, basta provar que trabalha de acordo com um sistema de gestão de segurança da informação e que os processos e procedimentos correspondentes são implementados de forma estável na empresa. Esta avaliação é realizada pelo auditor, que também utiliza os documentos para atribuir um nível de maturidade.

Quais são as vantagens de já ter uma certificação ISO 27001?

Se você já pode fornecer provas de um certificado ISO 27001, isso é sempre uma vantagem, é claro. Se apenas para TISAX® você tem que provar que tem uma gestão de segurança da informação implementada e ambos os conjuntos de regras têm uma cobertura semelhante.

Mas atenção: A definição do escopo da auditoria TISAX® pode diferir da definição exigida para a certificação ISO 27001. Os conceitos subjacentes não são idênticos. Para organizações maiores, o registro de múltiplos escopos de auditoria também pode ser considerado.

A "definição do processo" da ISO 9001 é análoga à da TISAX®?

A resposta a esta pergunta é "sim". Em princípio, a definição e a estrutura dos processos nos conjuntos de regras correspondentes é sempre a mesma. O catálogo de avaliação TISAX® também indica muito especificamente a partir de quais controles os KPIs devem ser determinados e a partir dos quais eles não devem ser determinados. A criação dos KPIs é apoiada por exemplos para garantir a segurança da informação na indústria automotiva. Um olhar para o questionário VDA ISA ajuda, portanto, com uma visão geral inicial.

É recomendado um responsável pela segurança informática para a implementação da TISAX®?

Não é obrigatório que a pessoa responsável pela introdução da TISAX® venha do departamento de TI. No entanto, como os processos de TI estão envolvidos, algum conhecimento de TI é definitivamente vantajoso.

Como posso definir o âmbito de avaliação da TISAX®?

A ENX oferece um escopo padrão que é adotado por 90% de todos os participantes da TISAX®. O escopo padrão é predefinido e não pode ser alterado. Se você descobrir, durante a preparação para a sua avaliação, que o escopo padrão não se encaixa, você pode ajustar o escopo do seu exame sob determinadas circunstâncias. Em casos individuais, os OEMs podem exigir o escopo expandido. Entretanto, esses casos especiais são raros e serão discutidos em detalhes com você pelo respectivo OEM. Normalmente, o escopo padrão é suficiente. É a base para uma avaliação TISAX® e é aceite por todos os participantes.

Um âmbito de avaliação é suficiente para todos os locais?

Um único escopo que inclui todos os sites oferece vantagens, mas também desvantagens.

Vantagens

• Apenas um resultado de inspeção, um relatório de inspeção, uma data de expiração
• Redução de custos, uma vez que os processos, procedimentos e recursos centrais só precisam de ser avaliados uma vez

Desvantagens

• O resultado da auditoria só está disponível depois de todos os locais terem sido avaliados
• O resultado da auditoria depende de todos os sites que passarem na auditoria, ou seja, se apenas um site falhar a auditoria, você não receberá um resultado positivo da auditoria

Para empresas com muitos sites, o procedimento regular de avaliação TISAX® pode ser bastante extenso. Sob certas condições, oferecemos uma alternativa - a "avaliação de grupo simplificada" (SGA). A avaliação em grupo simplificada é um caso especial do procedimento de avaliação TISAX®. Se os requisitos forem atendidos, pode-se reduzir o esforço em comparação com a avaliação regular do TISAX®. Este procedimento especial de avaliação TISAX® é para empresas com pelo menos três locais e um sistema de gestão de segurança da informação (ISMS) centralizado e altamente desenvolvido. este termo aditivo descreve em que circunstâncias você pode se beneficiar da avaliação em grupo simplificada e como você pode passar pelo processo de avaliação especial.

O escopo da avaliação pode ser isolado, por exemplo, para "funcionários críticos para a segurança"?

A ENX responde a esta pergunta sobre a TISAX® sem ambiguidades: Todos os colaboradores que entram em contato com informações sensíveis da indústria automotiva devem ser incluídos no âmbito de aplicação. Isto também pode ser, por exemplo, um operador de máquina que trabalha com o plano de construção de um cliente. A sua empresa deve definir para si própria quais os colaboradores que estão envolvidos em processos relevantes para a segurança da informação

É verdade que com ENX, o pedido para uma auditoria TISAX® deve ser apresentado primeiro e só então o provedor de auditoria pode ser selecionado?

Sim, isto é correto. Após o seu registo online em www.enx.com/tisax/ e a aprovação do âmbito de avaliação pela ENX, receberá uma lista de todos os prestadores de serviços de avaliação aprovados. No entanto, você também pode visualizar a lista com antecedência na ENX. A DQS está listada como um provedor de serviços na ENX e pode realizar avaliações em todo o mundo. Para perguntas e respostas sobre segurança de informação na indústria automotiva, não hesite em contatar os nossos especialistas.

Faz algum sentido um inquérito se o nível de maturidade for demasiado baixo?

Se você determinar em uma auto-avaliação que sua empresa ainda tem algum trabalho de recuperação em termos de segurança da informação, um pedido de avaliação não faz sentido por enquanto. Recomenda-se que você primeiro feche as lacunas identificadas e depois considere uma auditoria.

Quanto tempo demoram as avaliações individuais?

A resposta à pergunta sobre a duração das avaliações individuais depende do tamanho da sua empresa e das viagens envolvidas na auditoria dos seus sites. Para uma empresa de tamanho médio, 2-3 dias no local são suficientes para o processo de avaliação.

Quanto tempo demora para que uma empresa seja considerada certificada?

Todo o processo de auditoria TISAX® pode levar um máximo de nove meses. Começa com a auditoria inicial e termina com a última auditoria de seguimento. Se o processo de avaliação não puder ser concluído dentro do período especificado, não receberá uma etiqueta TISAX®.

Se a sua empresa cumpre todos os critérios ou apresenta apenas pequenas não conformidades, o relatório de avaliação é submetido à ENX. Assim que este for aceite, receberá o seu rótulo (temporário) TISAX®. Se existirem grandes não conformidades que devam ser corrigidas primeiro, o rótulo é válido a partir do dia em que a não-conformidade for considerada corrigida.

Perguntas e respostas sobre a TISAX®: O que são os rótulos TISAX®?

Os rótulos são o resultado do processo de avaliação e resumem o seu resultado. Eles estão hierarquicamente ligados entre si. Ou seja, se você recebe uma determinada etiqueta, você recebe automaticamente as "etiquetas abaixo" dela. Os rótulos só podem ser visualizados no portal ENX. O seu período de validade é normalmente de três anos.

O que são não conformidades maiores e menores?

Uma não-conformidade maior é quando a não-conformidade levanta dúvidas sobre a eficácia geral do seu sistema de gestão da segurança da informação ou quando causa riscos significativos de segurança da informação. Este é o caso, por exemplo, se a identificação de dois fatores for necessária e isso ainda não tiver sido implementado.

Uma não conformidade menor existe, por exemplo, se a não conformidade não coloca em questão a eficácia global do seu sistema de gestão da segurança da informação nem representa um risco significativo para a segurança da informação na indústria automotiva. Por exemplo, erros isolados ou esporádicos e deficiências de implementação.

Também preciso de apresentar provas da eficácia das medidas individuais?

A resposta é "sim". Depois de ter criado o seu catálogo de medidas e de as ter implementado, a sua eficácia será verificada. Por este motivo, o processo de certificação também prevê um período de nove meses.

Como posso determinar o número de funcionários "com antecedência"?

Especificamente: Como posso determinar com antecedência o número exato de funcionários se só podem ser contratados funcionários adicionais após a assinatura do contrato com o nosso cliente?

A gama em que os funcionários são classificados para a TISAX® é significativamente maior do que para a norma internacional ISO 27001. A TISAX® classifica o número de funcionários, por exemplo, em 0-50, 51-150, etc. Portanto, se você souber aproximadamente quantos novos funcionários serão contratados, você pode se colocar em uma faixa adequada.

Quantos documentos devem estar disponíveis para que a TISAX® esteja em conformidade?

Não é possível fazer uma declaração geral aqui. Depende sempre do tamanho e da atividade da sua empresa. Teoricamente, você pode cobrir tudo em um único documento, desde que você tenha uma visão geral clara. No entanto, é aconselhável criar vários documentos que abranjam tópicos relacionados.

A TISAX® irá substituir a proteção do protótipo VDA?

Uma vez que a TISAX® inclui um módulo separado para a proteção de protótipos, que entra em muito mais detalhes sobre os critérios individuais do que anteriormente, pode-se assumir que a longo prazo a TISAX® irá substituir os anteriores conjuntos de regras para a segurança da informação na indústria automotiva. Atualmente, no entanto, a versão 3.0 do protótipo de proteção VDA de 2018 ainda é válida.

Perguntas e respostas sobre a TISAX® - O que a DQS pode fazer por mim?

A DQS está listada com a ENX como um provedor de serviços de auditoria aprovado e pode realizar avaliações em todo o mundo. Todos os nossos auditores TISAX® também são auditores aprovados pela norma internacional ISO 27001, o que significa que ambas as normas podem ser avaliadas pela DQS ao mesmo tempo e com pouco esforço adicional. Os nossos especialistas terão todo o prazer em responder às suas perguntas sobre a segurança da informação na indústria automotiva. Estamos ansiosos para falar com você.

Competência e confiança

Os nossos artigos técnicos são escritos exclusivamente pelos nossos especialistas internos em normas e auditores de longo prazo. Se você tiver alguma dúvida sobre o conteúdo ou sobre nossos autores, não hesite em entrar em contato conosco.