TISAX認証支援コンサルティング｜TISAX認証取得支援
・他ISO取得・
　スリープロサポート株式会社

ISOコンサルタント：トップ ＞ その他規格導入支援コンサルティング ＞ TISAX認証支援コンサルティング > TISAX審査

　TISAX 審査

　TISAXを認証するにはISOの認証と同じく「審査機関」より審査を受けて合格しなければなりません。ただし、ISOの審査機関ほどTISAXの審査機関は多くなく、且つ、審査費用も高額になります。TISAX審査においては、パートナー企業の機密情報を取り扱うすべての要素が対象となることが基本ですが、パートナー企業の情報について、機密情報か一般情報かの仕分けた場合、一般情報のみを取り扱う拠点についてはTISAXの適用対象としなくても差し支えない場合があります。また、審査費用（監査費用）は、それぞれの審査機関においてまちまちですが、基本は対象となる拠点数に応じて決定されます。なお、TISAX審査時のコンサルの立ち合いは、審査機関の了承を得ればオブザーバーとして立ち会う事が可能です。TISAXの認証支援コンサルは是非TPSへお任せください。

　TISAXで定義する保護すべき情報セキュリティのレベルは、3段階（Al1-Al3）で存在します。OEMや取引先、情報の種類ごとに管理レベルが要求（指定・要求される場合はほとんどレベル3）され、そのレベルにより組織の管理策（対応度合い）が異なってきます。当然、審査機関のTISAX審査においても管理レベルで厳しさはそれぞれ違ってくるというわけです。レベル1は自己評価で審査は行われず、レベル2は電話会議などで審査の厳しさは低いのですが、レベル3は現地審査で厳しくチェックされます。この様に、ISOマネジメントシステム審査と異なり、「自己評価」と「審査員による審査」の2段階に分かれてます。また、現時点では国内におけるTISAX認証事業者は少なく、同時に日本人審査員も少ないので、審査員はドイツ人という審査機関もあり、審査機関を選ぶ際には注意が必要です。また、一度TISAX審査に合格し、TISAXラベルが発行（TISAXの認証）されると、ISOマネジメントシステムのようにサーベイランス（定期監査）が無く、TISAXラベル（登録証と同義）は3年ごとの更新となります。

　TISAXは以下の図のようなプロセスを経て認証、維持、更新します。

　 【ENX登録】
　　□　ENX協会に参加者として登録（有料：約300ユーロ/1サイト）
　　　　：英語にて登録
　　□　スコープの決定（TISAXの適用範囲）
　　　　：何を扱っており、何処を守る必要があるのか
　　　　：マルチサイトオプションの確認（5か所以上、SGA)
　　□　TISAX審査モジュールの決定（Information、Prototype、Data）
　　　　：何を扱っており、何処を守る必要があるのか
　　□　TISAXアセスメントレベルの決定（Al1~AL3） 　

　　　　：上位顧客要望、承認

　【審査機関選定】
　　□　TISAX審査機関（AP）の選定、契約

　【国内でTISAX審査可能な審査機関一覧】（2024年4月）

　- TISAX日本の営業および監査 -
　・BSI
　・ビューローベリタスサービス
　・デロイト サーティフィケーション サービシズ
　・DQS
　・KPMG
　・PWC
　・SGS
　・テュフ ラインランド

　- TISAX日本の営業または監査 -
　・DNV
　・ERNST & YOUNG

　- TISAX日本でも査定が可能 -
　・CIS
　・オペレーション サービス
　・テュフ ノルド
　・テュフズード

　【自己評価】
　　□　ISA基準カタログに基づく自己評価（ギャッ分析）
　　　　：現在の組織のISMSがTISAX要件を満たすのか、成熟度レベル6段階（0~5）で評価する

　成熟度レベル 0 (未完了）
　　プロセスが利用できない、プロセスに従っていない、またはプロセスが目的達成に適していない
　成熟度レベル 1 (実施済み）
　　文書化されていないか文書化が不完全なプロセスに従っており、その目的を達成する指標は存在する
　成熟度レベル 2 (管理済み）
　　目的を達成するプロセスに従っている。プロセスが文書化され、実施されたことを示す証跡がある。
　成熟度レベル 3 (確立済み）
　　システム全体に統合された標準的なプロセスが適用されている。他のプロセスとの依存関係が文書化され、適切なインターフェース
　　が作成されている。そのプロセスが、長期間にわたって持続的かつ積極的に使用されている証跡が存在する。
　成熟度レベル 4 (予測可能）
　　確立されたプロセスに従っている。プロセスの有効性は、主要データの収集を通じて継続的に監視されている。
　　プロセスの有効性が不十分であると判断され、調整が必要とされる限界値が定義されている。（KPI）
　成熟度レベル 5 (最適化）
　　継続的な改善を主目的とする予測可能なプロセスに従っている。改善は、専用のリソースによって積極的に進められている。

　

　(参考：TISAXハンドブック)

　【ISMS改定運用】
　　□　改善計画の策定
　　□　ギャップ分析を基にISMSを構築し、スコアを改善する（ギャップの解消）
　　　　：全てのTISAX要求事項におけるMast、shouldのクリア、文書化、運用（エビデンス）
　　□　結果スコアが全て「3」以上（基本）で初回審査の準備ができる
　　　　：カットバック、及び例外の理解

　 【審査】
　　□　TISAX自己評価の提出（期限内）、及び確認
　　□　TISAX審査レベルの確認（AL1.2.3）
　　　　：評価レベル 1（AL1）自己評価のみで審査員による審査は実施しない。 信頼レベルが低い為TISAXラベル発行無し。
　　　　：評価レベル 2（AL2）審査員によるオンラインインタビュー（電話など）を実施する。 （AL2.5=リモート審査）
　　　　：評価レベル 3（AL3）審査員による現地審査。 TISAXラベルを必要とする全ての事業者は現地審査を受ける必要がある。
　　□　TISAX審査工数の確認
　　　　：TISAXは一般的にはISO27001の審査工数より短い（ただし1日単価が自由に設定できるために費用は高い）。
　　　　　1サイトで平均的な中小企業の場合、審査レベル 2の審査は3.5〜4人日、審査レベル 3の審査は5〜6人日。
　　□　TISAX審査コンサルタントの立ち会いの確認

　　　　：審査機関によりOK、NGがある
　　□　TISAX審査結果（指摘事項は4つにランク分け）
　　　

　　□　是正計画の策定、審査
　　　　：「是正計画」を審査機関に提出。審査機関は計画を審査。
　　□　フォローアップ審査
　　　　：是正処置期間は最大で9か月（それ以降は基本的には最審査となるが、遅延届けでOKとなる場合もある）

　 【ラベル付与】
　　□　TISAX初回審査の「クロージングミーティング」から3年間有効
　　　　：TISAX仮ラベル発行時からカウント。定期的な監査（ISOにおけるサーベイランスなど）は無い
　　□　ENXポータルで情報をパートナー（主に取引先）と共有

　　　　：共有権限の作成。TISAX認証組織はイエローページより確認。ただし、掲載は任意で未掲載組織も多数存在する。

　【更新】
　　□　TISAX審査スコープを再度登録し、再審査
　　　　： マルチサイト簡易グループ評価による全サイト・アセスメントの実施

　　　　： スコープの確認（拡張など）

　TISAXの現地審査は適用範囲の全ての拠点で行われます。同日に複数の審査員で行われることもあれば、単独の審査員が日をまたいで別々に審査を行う事もあります。TISAXの審査は一般的には以下のような順序で各拠点で行われます。

【1日目】（本社）
・イントロダクション
　自己紹介、概要説明
　各部署における審査

・「VDA ISA 6.0」
　1. 情報セキュリティポリシーと組織
　2. 人的資源
　3. 物理セキュリティ
　4. アイデンティティ（本人確認）とアクセス権の管理
　5. ITセキュリティ/サイバーセキュリティ
　6. サプライヤーとの関係
　7. 法令遵守
　まとめ

【2日目】( A工場)

・「VDA ISA 6.0」
　1. 情報セキュリティポリシーと組織
　2. 人的資源
　3. 物理セキュリティ
　4. アイデンティティ（本人確認）とアクセス権の管理
　5. ITセキュリティ/サイバーセキュリティ
　6. サプライヤーとの関係
　7. 法令遵守

　監査員準備時間
　クロージングミーティング
　
　TISAX認証支援コンサルティングは、TISAXコンサル実績があるスリープロサポートへご相談ください。貴社のニーズにお応えする様々なコンサルティングを提供させて頂きます。