TISAX und das Coronavirus - Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie (Stand 06. Januar 2021) - ENX Portal
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TISAX und das Coronavirus Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie (Stand 06. Januar 2021) Mit diesem Dokument wenden wir uns an alle TISAX-Teilnehmer. Wir geben Antworten auf organisatorische Fragen, die spezifisch für die aktuelle Lage während der Coronavirus-Pandemie sind. Die Antworten umfassen die Registrierung, laufende oder bevorstehende Prüfungen und den Austausch von Prüfergebnissen. Bitte beachten Sie: Für einen allgemeineren Überblick über das Managment der Informationssicherheit während der Coronavirus- Pandemie stellen wir Informationen in einem anderen Dokument zur Verfügung. Es enthält auch Hinweise auf einige der besonders wichtigen VDA ISA-Anforderungen: Ihr ISMS und das Coronavirus - Informationssicherheitsmanagement während der Coronavirus-Pandemie https://portal.enx.com/isms-and-coronavirus_de.pdf (Stand 06. Januar 2021) Sie finden hier Informationen zu folgenden Situationen: 1 Ihre Mitarbeiter arbeiten von zuhause aus ..................................................................................................... 2 2 Ihre intiale Prüfung ist geplant oder im Gange ............................................................................................... 2 3 Ihr Prüfergebnis läuft ab und Sie arbeiten an der Erneuerung ....................................................................... 3 4 Sie haben temporäre TISAX-Labels und setzen Maßnahmen um ................................................................... 4 5 Sie setzen bei Partnern TISAX-Prüfergebnisse voraus..................................................................................... 4 Stand: 06. Januar 2021 (aktuelle Version: https://portal.enx.com/tisax-handling-sars-cov-2_de.pdf) Seite 1 von 5
Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie
1 Ihre Mitarbeiter arbeiten von zuhause aus
Um die Verbreitung der Coronavirus-Pandemie zu verhindern, sind Unternehmen vielerorts erneut dazu angehalten,
nur absolut notwendige Arbeiten aus den Geschäftsräumen zu erbringen und alle anderen Mitarbeiter von zuhause
arbeiten zu lassen.
Dies ist auch aus Sicht der Informationssicherheit ein legitimes Vorgehen. Das Verlegen der Arbeiten in das häusliche
Umfeld Ihrer Mitarbeiter unter angemessener Berücksichtigung von Informationssicherheit ist im Einklang mit den
TISAX-Anforderungen entsprechend möglich und gefährdet in diesem Fall auch Ihre TISAX-Labels nicht.
Weitere Informationen finden Sie in dem oben genannten Dokument („Ihr ISMS und das Coronavirus “).
2 Ihre intiale Prüfung ist geplant oder im Gange
2.1 Vorbereitung auf die Prüfung
Natürlich sollte auch bei der Prüfungsvorbereitung die Sicherheit der Mitarbeiter und das Management der Lage an
erster Stelle stehen. Soweit die Situation es zulässt, empfehlen wir die Vorbereitung auf eine TISAX-Prüfung weiterhin
wie geplant stattfinden zu lassen.
2.2 Prüfungen im Assessment-Level 2
Prüfungen im Assessment-Level 2 können aus TISAX-Sicht weiterhin uneingeschränkt stattfinden.
Sollte eine Prüfung wegen eingeschränkter Verfügbarkeit notwendiger Personen für Vorbereitung und Durchführung
(etwa wegen Arbeiten in Krisenstäben, der Krisenbewältigung oder durch Erkrankungen) verschoben werden müssen,
gilt die normale Vorgehensweise bei Verschiebungen.
Seitens TISAX gibt es keine Sonderregelung. Die ENX Association macht keine Vorgaben, wann sich ein Unternehmen
welcher Prüfung unterzieht. Wenn Geschäftspartner eine TISAX-Prüfung als Voraussetzung für
Informationssicherheitsfreigaben fordern, entscheidet der Geschäftspartner, wie er mit Verschiebungen umgeht (ob
z.B. eine Ausnahmefreigabe geschaffen werden kann).
2.3 Prüfungen im Assessment-Level 3
Auch Prüfungen im Assessment-Level 3 können grundsätzlich weiterhin stattfinden. Allerdings ist aus verschiedenen
Gründen eine Durchführung derzeit oft nicht möglich:
▪ Prüfungsrelevante Unternehmensteile befinden sich wegen Coronavirus-Verdachtsfall in Quarantäne.
▪ Die Auditoren sind teilweise von staatlich angeordneten Reisebeschränkungen betroffen.
▪ Es gibt teilweise individuelle Reisebeschränkungen bei Prüfdienstleistern.
▪ Die Sicherheitsmaßnahmen des zu prüfenden Unternehmens in Reaktion auf die Pandemie verhindern eine
Prüfung.
In diesem Fall verweisen wir auf 2.4 Pandemie-Workaround: “Assessment Level 2,5” als mögliche Alternative.
Stand: 06. Januar 2021 (aktuelle Version: https://portal.enx.com/tisax-handling-sars-cov-2_de.pdf) Seite 2 von 5Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie
2.4 Pandemie-Workaround: “Assessment Level 2,5”
Sie haben die Möglichkeit, dass die Prüfung vorläufig im Assessment-Level 2 durchgeführt wird und später auf den
eigentlich geplanten Assessment-Level 3 erweitert wird. Das heißt, dass in dem angedachten Fall eine Prüfung mit
sehr hohem Schutzbedarf (Label: „Info Very High“) soweit wie möglich aus der Ferne durchgeführt wird (Prüfung aller
ISA Control-Anforderungen ohne Berücksichtigung der physischen Aspekte im sogenannten AL 2,5) und in einer
verkürzten Vor-Ort-Prüfung die Anforderungen an die physische Sicherheit nachgeholt werden. Sie erhalten in diesem
Fall nach erfolgreicher Durchführung der Remote-Prüfung vorab das Info High-Label und nach erfolgreicher Vor-Ort-
Prüfung das Info Very High Label.
Bitte sprechen Sie diesen Workaround mit ihren interessierten bzw. fordernden Geschäftspartnern ab und
informieren, dass:
▪ wegen der Coronavirus-Pandemie die TISAX-Prüfung nur im Assessment-Level 2,5 als Remote-Prüfung
durchgeführt werden kann und daher einige Labels noch nicht verfügbar sind und
▪ in der Prüfung bereits nachgewiesen wurde, dass die notwendigen
Informationssicherheitsmanagementstrukturen vorhanden sind.
Sollten Sie sich bereits einer Prüfung im Assessment-Level 3 mit mehreren Standorten befinden, empfehlen wir die
noch nicht geprüften Standorte in einen Scope auszugliedern und dann nur an diesen Standorten eine Prüfung im
Assessment-Level 2 durchzuführen.
Hierdurch fallen bei der Registrierung keine zusätzlichen Kosten an. Ein ggf. zusätzlich entstehendes Scope-
Registrierungsentgelt für solche temporär registrierten Scopes und ihre Standorte wird Ihnen von uns bis zum
31.03.2021 erlassen. Bitte informieren Sie uns zum Zeitpunkt der Registrierung über tisax@enx.com, um eine
automatisierte Rechnungsstellung zu vermeiden.
3 Ihr Prüfergebnis läuft ab und Sie arbeiten an der
Erneuerung
Sollte Ihre bereits beauftragte Prüfung auf Grund der Pandemie über den Gültigkeitszeitraum des bestehenden
Prüfergebnisses hinaus verschoben werden, informieren Sie bitte frühzeitig Ihren Prüfdienstleister mit dem Anliegen
der Verlängerung des bestehenden Labels. Dieser wird sich dann mit uns in Verbindung setzen.
Wir werden prüfen, inwieweit die Gültigkeit des bestehenden Ergebnisses in angemessenen Schritten verlängert
werden kann.
Bitte beachten Sie, dass eine Verlängerung bestehender Labels nur möglich ist, wenn nachfolgende Bedingungen
erfüllt sind:
1. Es wurde bereits ein neuer Scope mit entsprechenden Lokationen und Prüfzielen registriert.
2. Ein TISAX Prüfdienstleister wurde bereits mit der Prüfung beauftragt und ein voraussichtliches
Prüfungsdatum vereinbart.
Stand: 06. Januar 2021 (aktuelle Version: https://portal.enx.com/tisax-handling-sars-cov-2_de.pdf) Seite 3 von 5Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie
4 Sie haben temporäre TISAX-Labels und setzen Maßnahmen
um
4.1 Durchführung von Follow-up-Prüfungen
Da Follow-up-Prüfungen in der Regel keine persönliche Anwesenheit des Auditors erfordern, können Follow-up-
Prüfungen weiterhin durchgeführt werden.
4.2 Verzögerungen bei der Umsetzung von Maßnahmen
Sollte es auf Grund der Pandemie zu Verzögerungen bei der Umsetzung von Maßnahmen ergeben, sollten Sie den
Prüfdienstleister darüber in Form eines aktualisierten Maßnahmenplans informieren.
Sofern die Verzögerung vom Auditor unter Berücksichtigung der aktuellen Lage als angemessen bewertet wird,
berichtet dieser eine erneute Maßnahmenplanprüfung mit aktualisiertem „Latest corrective action due date“ an uns.
Dadurch verlängert sich die Gültigkeit von temporären Labels entsprechend.
4.3 Verzögerungen bei der Umsetzung von Maßnahmen über neun
Monate hinaus
Sollte durch die Pandemie eine Verschiebung über den Maximalzeitraum von neun Monaten hinaus entstehen,
besprechen Sie dies frühzeitig mit Ihrem Prüfdienstleister. Dieser wird dies entsprechend bewerten und eine
Ausnahmegenehmigung für die Durchführung einer Follow-up-Prüfung auch über die neun Monate hinaus
beantragen.
Wir werden in dieser Situation im Einzelfall entscheiden, inwieweit eine Follow-up-Prüfung ausnahmsweise nach der
Ablauf der neun-monatigen Frist ermöglicht werden kann.
5 Sie setzen bei Partnern TISAX-Prüfergebnisse voraus
Wenn Sie TISAX als Werkzeug nutzen, um die Informationssicherheit ihrer Lieferkette zu prüfen, zu bewerten
und/oder zu verbessern, werden Sie damit umgehen müssen, dass die Prüfungen insbesondere im Assessment-Level 3
für viele ihrer Lieferanten und Kooperationspartner auf Grund der aktuellen Lage verschoben werden müssen.
Eine nicht durchgeführte Prüfung lässt in der aktuellen Lage keine allgemeinen Schlüsse auf schlechte Vorbereitung
oder Umsetzung oder fehlenden Willen des Geschäftspartners zu.
Wir empfehlen dies bei der Risikobetrachtung einzubeziehen und ergebnisoffen zu prüfen, ob eine Prüfung im
Assessment-Level 2 vorläufig (z. B. für sechs oder zwölf Monate) akzeptiert werden kann.
Stand: 06. Januar 2021 (aktuelle Version: https://portal.enx.com/tisax-handling-sars-cov-2_de.pdf) Seite 4 von 5Informationen für TISAX-Prüfungen während der Coronavirus-Pandemie Herausgeber ENX Association Eine französische Association nach dem Gesetz von 1901, eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198. Anschriften 20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland Kontakt tisax@enx.com +49 69 9866927-77 Version Datum: 2021-01-06, Version: 1.5 Klassifizierung: TISAX-Teilnehmer, ENX doc ID: n/a Urheberschutzvermerk Alle Rechte vorbehalten. ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber. Stand: 06. Januar 2021 (aktuelle Version: https://portal.enx.com/tisax-handling-sars-cov-2_de.pdf) Seite 5 von 5
Sie können auch lesen
