Nội dung Câu hỏi & Câu trả lời được trích dẫn trong buổi hội thảo được BVC tổ chức ở văn phòng Hà Nội ngày 24/11/2023
Câu hỏi 1: Vui lòng chia sẻ lại phần đánh giá theo 3 Level của tiêu chuẩn TISAX?
Trả lời: 3 Level của tiêu chuẩn TISAX là:
- Assesment level 1 (AL1) là đánh giá nội bộ, nội bộ doanh nghiệp điền vào form checklist của VDA ISA dưới sự hỗ trợ của tổ chức chứng nhận BVC.
- Assesment level 2 (AL2) là đánh giá tài liệu, thông thường là đánh giá Remote online sơ bộ về hồ sơ tài liệu doanh nghiệp giao nộp
- Assesment level 3 (AL3) là cuộc đánh giá onsite chính thức, chuyên gia có đủ thời gian đến nhà máy kiểm tra các bằng chứng doanh nghiệp thực hiện hệ thống đảm bảo an ninh thông tin
- Thông thường, Tổ chức chứng nhận sẽ hỗ trợ doanh nghiệp khi doanh nghiệp đi đến mức AL3
Câu hỏi 2: Checklist đánh giá của AL2, AL3 khác nhau như thế nào?
Trả lời: TISAX yêu cầu doanh nghiệp hoàn thiện file Self- Assessment và trong file có chi tiết các nội dung mà doanh nghiệp phải đáp ứng (must) và list nội dung doanh nghiệp nên đáp ứng (should) chi tiết theo từng sheet: information Security, Prototye Protection, Data Protection
Sau khi doanh nghiệp hoàn thiện trả lời các sheet này thì kết quả về mức độ đáp ứng VDA ISA sẽ được thể hiện.
Câu hỏi 3: Chọn Assessment Level (AL) đánh giá có ảnh hưởng đến chi phí hay không?
Trả lời: Sẽ không ảnh hưởng nhiều đến chi phí. Vì manday cho TISAX rất ít từ 0.125 ngày (tức là 1-2h làm việc), ví dụ KICK OFF MEETING khoảng 0.25 MDs (khoảng 2h). Chuyên gia cần chuẩn bị gấp 2, 3 thời gian để chuẩn bị trước đó, thời gian làm việc với khách không nhiều.
Assessment Level: nếu chọn Very High Protection thì bắt buộc phải làm AL3, phải đánh giá tại chỗ,
Nếu có Prototype thì phải chọn AL3
Nếu chọn Data Protection- bảo vệ dữ liệu chung thì có thể chọn AL2, còn lại thì AL3
Lời khuyên: nếu doanh nghiệp đánh giá Tisax từ bây giờ, doanh nghiệp có chuẩn bị hệ thống tài liệu về ISMS, doanh nghiệp có thể chọn đánh giá phiên bản 5.1, hoặc sau ngày 1.4.2024 thì chọn đánh giá theo phiên bản 6.0, vì công sức bỏ ra tương tự, chi phí tốn kém hơn chút, nhưng bao quát toàn bộ các danh mục của TISAX.
AL2 chỉ cần chuẩn bị 2-3 ví dụ là có thể được chấp nhận- vì AL2 check tính hợp lý của ví dụ- tuy nhiên khi chọn mẫu đó mà không đáp ứng đầy đủ các yêu cầu của TISAX thì vẫn bị tính NC, và doanh nghiệp vẫn phải khắc phục trong vòng 9 tháng như vậy sẽ mất công hơn bình thường.
Nếu doanh nghiệp chọn đánh giá theo AL3 sẽ tốt hơn trong trường hợp này.
Câu hỏi 4: Ví dụ chọn các danh mục 2, 3, 8 thì nhãn Tisax sẽ hiển thị thế nào?
Trả lời: Nhãn có thông tin bảo vệ rất cao, có nguyên mẫu, chi tiết, bảo vệ dữ liệu cá nhân và dữ liệu nhạy cảm cá nhân, (8 đã bao gồm 7, 2 đã bao gồm 1 và có thêm 1 nguyên mẫu chi tiết).
Câu hỏi 5: Cần tư vấn hoặc đào tạo xây dựng hệ thống TISAX từ thời điểm nào?
Trả lời: Trường hơp 1: doanh nghiệp đã có ISMS, có thể đánh giá luôn, và doanh nghiệp có thời gian 9 tháng để khắc phục để ra nhãn chính thức.
Trường hợp 2 : doanh nghiệp chưa có ISMS, Doanh nghiệp nên xây dựng trong khoảng từ 3-6 tháng trước thời điểm đánh giá.
Nếu doanh nghiệp có kế hoạch về Tisax, BVC sẽ hỗ trợ xây dựng các tiến độ triển khai phù hợp nhất với thực trạng, kế hoạch nhận Nhãn Tisax cùng doanh nghiệp
Câu hỏi 6: Label thể hiện như thế nào khi đạt được Tisax?
Trả lời: Nhãn Tisax được thể hiện trên trang ENX, khi doanh nghiệp triển khai Tisax, doanh nghiệp cần đăng ký tài khoản người tham gia và sau khi kết quả đánh giá được tổ chức chứng nhận up lên hệ thống ENX được chấp thuận, thông tin của nhãn của doanh nghiệp sẽ được thể hiện trên ENX và doanh nghiệp có thể chia sẻ thông tin của Nhãn với khách hàng, nhà cung cấp…
Vui lòng tham khảo thêm website của ENX tại đây
Câu hỏi 7: Khi đánh giá Tisax, phần nào được tập trung chính và phần nào có thể bỏ qua?
Trả lời: Tisax không thể bỏ qua danh mục yêu cầu nào. Tất cả các doanh mục theo yêu cầu của Tisax theo - Assesment level (AL) mà doanh nghiệp chọn để phải đánh giá.
Tìm hiểu thêm về các dịch vụ của Bureau Veritas trong ngành Công nghiệp Ô tô tại đây.