ความแตกต่างระหว่าง ISO 27001:2022 และ TISAX® คืออะไร?

1. ชุดข้อกำหนด (Requirements Catalog)

พื้นฐานของ TISAX® คือชุดข้อกำหนด VDA-ISA ซึ่งพัฒนามาจากมาตรการ (Controls) ของ ISO และปรับให้เหมาะสมกับซัพพลายเออร์ในอุตสาหกรรมยานยนต์

นอกจากนี้ ยังมีข้อกำหนดเพิ่มเติม เช่น

• ข้อกำหนดเฉพาะเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

• ข้อตกลงการไม่เปิดเผยข้อมูล (NDA)

• การปกป้องต้นแบบ (Prototype Protection)

ซึ่งไม่มีระบุไว้โดยตรงใน ISO 27001:2022

มาตรการใน VDA-ISA กำหนดให้มีหลักฐานการนำไปปฏิบัติที่เฉพาะเจาะจงมากกว่า ในขณะที่มาตรการของ ISO 27001:2022 มีลักษณะกว้างและยืดหยุ่นกว่า

ในชุดข้อกำหนดของ TISAX® ยังมีการแยกความแตกต่างระหว่าง

• “ต้อง” (must) และ “ควร” (should)

• ระดับ “ความต้องการการปกป้องสูง” และ “ความต้องการการปกป้องสูงมาก”

2. กระบวนการตรวจประเมิน (Testing / Audit Process)

การรับรอง ISO 27001:2022 ต้องผ่านการตรวจประเมิน (Audit) เพื่อแสดงให้เห็นว่ามาตรการ ข้อกำหนด และวัตถุประสงค์ด้านความปลอดภัยได้ถูกนำไปปฏิบัติอย่างมีประสิทธิผล

ในขณะที่ TISAX® มุ่งเน้นไปที่ “วัตถุประสงค์ของการตรวจประเมิน” (Audit Objectives)

มีทั้งหมด 8 วัตถุประสงค์ โดยต้องกำหนดอย่างน้อย 1 วัตถุประสงค์ และสามารถเลือกได้มากกว่าหนึ่ง

ขึ้นอยู่กับวัตถุประสงค์ที่เลือก จะต้องนำกระบวนการและมาตรการของ ISMS ที่แตกต่างกันไปใช้

แต่ละวัตถุประสงค์การตรวจประเมินถูกกำหนดไว้ในชุดข้อกำหนด VDA-ISA และใช้เป็นเกณฑ์อ้างอิงของ ISMS

ในการรับรอง TISAX® มีระดับการตรวจประเมิน 3 ระดับ (Assessment Levels) ซึ่งมีข้อกำหนดแตกต่างกัน ได้แก่

• ระดับ 1: การประเมินตนเอง (Self-Assessment) ซึ่งแทบไม่ได้รับการยอมรับ

• ระดับ 2: การทบทวนเอกสารร่วมกับการตรวจประเมินทางไกล (Remote Audit)

• ระดับ 3: การทบทวนเอกสารร่วมกับการตรวจประเมิน ณ สถานที่จริง (On-site Audit)

นอกจากนี้ แตกต่างจาก ISO 27001:2022 ชุดข้อกำหนดของ TISAX® มีแนวคิดเรื่อง “ระดับความสมบูรณ์ (Maturity Level)” ที่กำหนดไว้ 6 ระดับ (ตั้งแต่ 0 ถึง 5)

โดยทุกมาตรการที่กำหนดต้องบรรลุอย่างน้อยระดับความสมบูรณ์เป้าหมายที่ระดับ 3

เมื่อผ่านการประเมินเรียบร้อยแล้ว เครื่องหมายรับรอง TISAX® จะมีอายุ 3 ปี

เมื่อเปรียบเทียบกับ ISO 27001:2022 จะไม่มีการตรวจติดตามประจำปี (Surveillance Audit) เพื่อตรวจสอบการปรับปรุงอย่างต่อเนื่องของระบบ ISMS โดยผู้ตรวจประเมินที่ได้รับการรับรองของ TISAX®

หากการตรวจประเมิน TISAX® พบข้อบกพร่องเล็กน้อย (Minor Non-Conformance) บริษัทจะมีเวลา 9 เดือนนับจากวันที่ตรวจประเมินเพื่อดำเนินการแก้ไข ในช่วงเวลาดังกล่าวบริษัทจะได้รับฉลากรับรองชั่วคราว (Preliminary Label) และเมื่อแก้ไขข้อบกพร่องทั้งหมดเรียบร้อยแล้ว จึงจะได้รับฉลากรับรองฉบับสมบูรณ์ (Final Label)

ISO 27001:2022 ไม่มีขั้นตอนลักษณะนี้

3. ขอบเขต (Scope)

สำหรับ ISO 27001:2022 องค์กรสามารถกำหนดขอบเขต (Scope) ได้ด้วยตนเอง

หมายความว่าสามารถจำกัดขอบเขตเฉพาะบางส่วนขององค์กรได้ เช่น เฉพาะบางแผนกหรือบางกระบวนการ

ในทางกลับกัน สำหรับการรับรอง TISAX® ขอบเขตจะถูกกำหนดไว้ล่วงหน้า

โดยส่วนใหญ่จะใช้ “ขอบเขตมาตรฐานของสถานที่ (Standard Site Scope)” ซึ่งครอบคลุมขั้นตอน กระบวนการ และทรัพยากรของทั้งองค์กร

ในบางกรณี อาจใช้ขอบเขตแบบลดลง (Reduced Scope) หรือแบบขยาย (Extended Scope) ได้เช่นกัน

ตัวอย่างเช่น บริษัทอาจจ้างภายนอก (Outsource) กิจกรรมบางอย่าง มอบหมายให้พันธมิตรหรือซัพพลายเออร์ดำเนินการ หรือดำเนินงานผ่านบริษัทย่อยแยกต่างหาก