FAQ

Preguntas frecuentemente realizadas / Diferencias entre 27001:2022 y TISAX®

¿Dónde están las diferencias entre 27001:2022 y TISAX®?

1. Catálogo de requisitos

La base de TISAX® es el catálogo de requisitos VDA-ISA. Este catálogo de requisitos se basa en los controles de ISO y los adapta a los proveedores de la industria de la automoción.

A esto se suman...

requisitos especiales para el procesamiento de datos personales
acuerdos de no divulgación
Protección de prototipos

..., que no están incluidos en la norma ISO 27001:2022.

Los Controles del catálogo VDA-ISA requieren evidencias específicas de implementación, mientras que las medidas de la ISO 27001:2022 son más genéricas.

En el catálogo de requisitos de TISAX® existe una diferencia entre "debe" y "debería", así como los requisitos para "necesidades de protección altas" y "necesidades de protección muy altas".

2. Proceso de prueba

La certificación ISO 27001:2022 requiere una auditoría para demostrar que se ha implementado efectivamente el cumplimiento de las medidas, requisitos y objetivos de requisitos.

TISAX® se centra en los objetivos de la auditoría.

Son 8 y se debe definir al menos un objetivo de auditoría, pero se pueden atraer varios.

Dependiendo del objetivo de la auditoría, se deben implementar diferentes procesos y medidas del SGSI.

Cada objetivo de auditoría se encuentra en el catálogo de requisitos VDA-ISA y es el punto de referencia para el SGSI.

En la certificación TISAX® existen tres niveles de auditoría diferentes, los llamados niveles de evaluación, con requisitos correspondientemente diferentes para cada nivel.

El nivel 1 significa autoevaluación y rara vez se acepta.

El nivel 2 incluye una revisión de documentos con una auditoría remota

El nivel 3 también cuenta con revisión de documentos, pero está asociado a una auditoría in situ.

A diferencia de ISO 27001:2022, el catálogo de requisitos TISAX® tiene un concepto de nivel de madurez definido en 6 niveles (de 0 a 5).

Cada medida requerida debe completarse con al menos un nivel de madurez objetivo 3.

Una vez completada con éxito, la etiqueta TISAX® tiene una validez de 3 años.

A diferencia de la norma ISO 27001:2022, no existen auditorías de seguimiento anuales para verificar la mejora continua del SGSI por parte de un auditor certificado TISAX®.

Si la auditoría TISAX® se completa con una no conformidad menor, las empresas tienen 9 meses a partir de la fecha de la auditoría para cerrar la no conformidad menor. Las empresas reciben la etiqueta preliminar para este período y después de cerrar todas las desviaciones menores la etiqueta final.

ISO 27001:2022:2022 no tiene este proceso.

3. Alcance

Con ISO 27001:2022, las empresas pueden definir el alcance por sí mismas.

Esto significa que con ISO 27001:2022 el alcance también puede limitarse a subáreas de la empresa.

En el caso de la certificación TISAX®, el alcance ya está especificado.

En la mayoría de los casos, se atrae el alcance estándar del sitio, que cubre los procedimientos, procesos y recursos de toda la empresa.

En casos individuales también se podrá aplicar aquí el ámbito de aplicación reducido o ampliado.

Por ejemplo, una empresa puede subcontratar determinadas actividades, delegarlas en empresas asociadas o proveedores, o llevarlas a cabo en filiales independientes.