FAQ
Sự khác biệt giữa ISO 27001:2022 và TISAX®?
1. Danh mục yêu cầu
Cơ sở của TISAX® là danh mục các yêu cầu trong VDA-ISA . Danh mục các yêu cầu này dựa trên các kiểm soát trong ISO và điều chỉnh chúng cho phù hpwpj với các công ty trong ngành công nghiệp ô tô.
Những điểm được bổ xung không bao gồm trong ISO 27001:2022.
- Các yêu cầu đặc biệt về xử lý dữ liệu cá nhân
- Các thỏa thuận bảo mật
- Bảo vệ nguyên mẫu
Các kiểm soát trong danh mục VDA-ISA yêu cầu các bằng chứng cụ thể về việc triển khai trong khi các biện pháp trong ISO 27001:2022 mang tính chung chung hơn.
Trong danh mục yêu cầu của TISAX®, có sự khác biệt giữa "must-phải" và "should-nên" cũng như các yêu cầu cho "các nhu cầu bảo vệ cao" và "nhu cầu bảo vệ rất cao".
2. Quá trình đánh giá
Chứng nhận ISO 27001:2022 yêu cầu đánh giá để chứng minh sự phù hợp với các biện pháp, các yêu cầu và các mục tiêu yêu cầu đã được triển khai một cách có hiệu lực.
TISAX® tập trung vào các mục tiêu đánh giá.
Có 8 mục tiêu đánh giá và tối thiểu một mục tiêu đánh giá cần được xác định nhưng có thể chọn nhiều nhiều hơn một mục tiêu.
Tùy thuộc vào mục tiêu đánh giá, các quá trình và biên pháp khác nhau của ISMS cần phải được triển khai.
Mỗi mục tiêu đánh giá có thể được tìm thấy trong danh mục yêu cầuVDA-ISA và là điểm chuẩn cho ISMS.
Trong chứng nhận TISAX® có 3 mức độ đánh giá với các yêu cầu khách nhau cho từng mức.
Mức 1 : tự đánh giá nhưng hiếm khi được chấp nhận
Mức 2: bao gồm việc xem xét tài liệu thông quá đánh giá từ xa.
Level 3 bao gồm việc xem xét tài liệu thông quá đánh giá tại chỗ.
Không giống như ISO 27001:2022, danh mục yêu cầu của TISAX® có 6 mức độ trưởng thành từ 0 đến 5.
Mỗi biện pháp phải được hoàn thành với tối thiểu mức trưởng thành 3.
Khi hoàn thành thành công, nhãn TISAX® sữ có hiệu lực trong 3 năm.
So với ISO 27001:2022, không có đánh giá giám sát hàng năm để xác nhận việc cải tiến liên tục ISMS bởi đánh giá viên TISAX® được công nhận.
Nếu đánh giá TISAX® có kết quả là không phù hợp nhỏ, công ty sẽ có 9 tháng kể ừ ngày đánh giá để đóng hạng mục không phù hợp đó. Trong thời gian này công ty sẽ nhận được nhãn TISAX tạm thời.
ISO 27001:2022:2022 không có quá trình này.
3. scope
Với ISO 27001:2022, các công ty có thể tự xác định phạm vi.
Điều này có nghĩa là với ISO 27001:2022, phạm vi cũng có thể được giới hạn ở các lĩnh vực phụ của công ty.
Với TISAX®, phạm vi đã được quy định sẵn
Trong hầu hết các trường hợp, phạm vi tiêu chuẩn bao gồm toàn bộ các quá trình, thủ tuc và nguồn lực của công ty.
trong các trường hợp cụ thể thì việc thu hẹp hay mở rộng phạm vụ cũng có thể áp dụng
Ví dụ một công ty có thể thuê ngoài một số hoạt động nhất định, ủy quyền cho các công ty đối tác hoặc nhà cung cấp hoặc thực hiện chúng ở các công ty con riêng biệt.