W przygotowaniu do TISAX najłatwiej popełnić błąd, który na początku wydaje się rozsądny: uznać bezpieczeństwo informacji za odrębny temat, który da się zamknąć w informatyce, dokumentacji i kilku procedurach. Z perspektywy pełnomocnika i inżyniera jakości to uproszczenie bywa kosztowne. Problem nie polega zwykle na braku pojedynczego zapisu, lecz na tym, że organizacja nie umie wskazać, gdzie informacja zmienia właściciela, kto podejmuje decyzję o dostępie, jak nadzorowana jest zmiana i po czym widać, że wyjątek został świadomie zaakceptowany. Właśnie dlatego TISAX ma sens dopiero wtedy, gdy zostaje osadzony w procesach firmy: w zakupach, rozwoju, produkcji, logistyce, utrzymaniu ruchu, jakości, HR i współpracy z dostawcami. Dla zarządu pytanie nie brzmi więc, ile dokumentów trzeba przygotować, ale czy organizacja rzeczywiście steruje ryzykiem informacji w codziennej pracy.
TISAX zaczyna się od sposobu zarządzania, nie od dokumentacji
Najczęstszy błąd przy przygotowaniu organizacji do TISAX polega na wydzieleniu bezpieczeństwa informacji do osobnego strumienia prac, zwykle prowadzonego przez informatykę albo zewnętrznego doradcę, bez realnego wpływu na zakupy, produkcję, utrzymanie infrastruktury, rozwój wyrobu i współpracę z klientem. W takim układzie powstają procedury, rejestry i oświadczenia, ale nie zmienia się sposób podejmowania decyzji operacyjnych. Skutek jest prosty: zgodność pozostaje formalna, a ryzyko nadal powstaje tam, gdzie firma rzeczywiście pracuje na informacji.
Z punktu widzenia zarządu istotne są trzy pytania: gdzie informacja ma wartość biznesową, kto nią faktycznie zarządza i które decyzje w procesach mogą naruszyć wymagany poziom ochrony. Dopiero taka perspektywa pozwala rozstrzygnąć, czy wdrożenie ma być projektem międzyfunkcyjnym, czy tylko zadaniem przypisanym do działu IT. Jeżeli odpowiedź ogranicza się do systemów informatycznych, organizacja zwykle pomija miejsca, w których informacja jest kopiowana, przekazywana, zatwierdzana albo używana do decyzji jakościowych i technologicznych.
Pełnomocnik jakości i inżynier jakości mają tu naturalną przewagę, ponieważ pracują w logice procesów, odpowiedzialności i nadzoru. Rozumieją miejsca przekazania odpowiedzialności, znaczenie zapisów, źródła niezgodności oraz sposób prowadzenia działań korygujących. To właśnie te kompetencje decydują, czy wymagania ochrony informacji zostaną osadzone w codziennej pracy, czy pozostaną dodatkiem do systemu.
W praktyce trzeba najpierw ustalić, w których procesach występują informacje klienta, dane techniczne, prototypy, zapisy jakościowe lub dane personalne, a następnie wskazać funkcje organizacyjne mające wpływ na poufność, integralność i dostępność tych informacji. Bez takiego mapowania nie da się sensownie rozdzielić ról między właścicieli procesów, informatykę, HR, zakłady i kierownictwo. W firmie produkcyjnej naruszenie wymagań może powstać nie tylko w systemie informatycznym, ale również przy zmianie narzędzia, przeniesieniu danych na nośnik zewnętrzny, wysłaniu rysunku do podwykonawcy albo pozostawieniu zbyt szerokich uprawnień po zmianie stanowiska. To są zdarzenia procesowe, nie wyłącznie techniczne.
Dopiero po takim ustawieniu tematu ma sens odniesienie do wymagań TISAX i określenie zakresu oceny: czy obejmuje on całą organizację, czy wybrane lokalizacje i procesy. Jeżeli wcześniej nie zostanie zaprojektowany sposób zarządzania odpowiedzialnością i nadzorem, dokumentacja będzie wtórna i nieskuteczna, nawet jeśli formalnie wygląda poprawnie. Z tego powodu TISAX warto traktować podobnie jak inne wymagania zgodności, które przecinają całą organizację. Ten sam błąd popełniają firmy, które próbują zamknąć temat odporności i bezpieczeństwa w jednym dziale, o czym dobrze przypomina fraza NIS2 dla firm produkcyjnych: kogo obejmuje, jakie obowiązki wprowadza i jak przygotować organizację bez sprowadzania tematu wyłącznie do IT.
Koszt rośnie tam, gdzie informacja przechodzi między procesami
Najwięcej strat nie powstaje tam, gdzie brakuje pojedynczej polityki lub formalnego zapisu, lecz tam, gdzie informacja przechodzi z jednego procesu do drugiego bez jasnych reguł, właściciela i śladu wykonania. W firmie produkcyjnej i dostawczej dotyczy to przede wszystkim przekazań między sprzedażą, ofertowaniem, projektowaniem, jakością, produkcją, logistyką i serwisem. To właśnie na styku funkcji pojawiają się błędne udostępnienia, nieautoryzowane kopie, praca na nieaktualnym rysunku, opóźniona eskalacja incydentu albo zmiana technologiczna wdrożona bez oceny wpływu na ochronę informacji.
Jeżeli organizacja chce ograniczyć koszt wdrożenia i przygotować się do oceny, powinna zacząć nie od rozbudowy dokumentacji, lecz od mapy przekazań informacji między działami, lokalizacjami i stronami zewnętrznymi. Z perspektywy pełnomocnika jakości bezpieczeństwo informacji należy oceniać tak samo jak ryzyko jakościowe: gdzie proces jest podatny na błąd, gdzie odpowiedzialność jest rozmyta i gdzie zapis nie potwierdza, że wymagane działanie rzeczywiście wykonano.
Inżynier jakości wnosi wartość dopiero wtedy, gdy potrafi przełożyć wymaganie na konkret procesu: kto zatwierdza dostęp do dokumentacji klienta, kto weryfikuje aktualność specyfikacji, kto podejmuje decyzję o udostępnieniu danych podwykonawcy, kto reaguje na odchylenie i w jaki sposób zamykane są działania po incydencie. W praktyce nie trzeba budować nadmiernie rozbudowanej analizy. Wystarczy wskazać procesy, w których występują informacje klienta lub dane techniczne, a następnie sprawdzić, czy dla każdego przekazania istnieje właściciel, kryterium decyzji i zapis nadzorczy.
Najczęściej najsłabsze okazują się punkty styku, które operacyjnie wydają się rutynowe: wysłanie rysunku do dostawcy, przekazanie specyfikacji do produkcji, dostęp serwisu lub utrzymania ruchu do infrastruktury, obieg nośników, raportowanie problemów i zarządzanie zmianą. To właśnie tam warto zacząć działania porządkujące.
| Punkt styku | Typowe ryzyko | Właściciel | Minimalny mechanizm nadzorczy |
|---|---|---|---|
| Udostępnienie dokumentacji klienta | Przekazanie poza zakresem potrzeby | Właściciel procesu handlowego lub projektu | Zatwierdzenie odbiorcy i rejestr udostępnień |
| Praca na rysunkach i specyfikacjach | Użycie nieaktualnej wersji | Właściciel dokumentacji technicznej | Nadzór wersji i potwierdzenie aktualności |
| Dostęp wykonawców zewnętrznych | Dostęp szerszy niż wymagany | Właściciel obszaru i IT, jeżeli dotyczy systemów | Czasowe uprawnienia i przegląd dostępu |
| Raportowanie incydentu lub odchylenia | Brak lub opóźnienie eskalacji | Przełożony procesu | Jeden kanał zgłoszenia i termin reakcji |
| Zarządzanie zmianą | Zmiana bez oceny wpływu na informacje | Właściciel zmiany | Obowiązkowa ocena skutków i zapis decyzji |
W tym miejscu wymagania TISAX nie tworzą odrębnej logiki, lecz porządkują to, co i tak powinno działać w systemie zarządzania: nadzór nad dokumentacją i zapisami, odpowiedzialność za decyzję, reakcję na incydent oraz ocenę skutków zmiany. Dlatego decyzja zwykle nie powinna dotyczyć tego, czy tworzyć osobny świat bezpieczeństwa, ale czy rejestr ryzyk informacji zintegrować z obecnym systemem ryzyk i czy incydenty bezpieczeństwa raportować tym samym kanałem co niezgodności operacyjne, z odpowiednim rozróżnieniem klasy zdarzenia. Jeżeli firma nie umie nazwać miejsc, w których informacja przechodzi między procesami, audyt TISAX będzie jedynie finałem wcześniejszego problemu zarządczego. Tę samą logikę warto uwzględnić także przy porządkowaniu ról i uprawnień w nowych obsadach procesów, co dobrze widać w obszarze: Jak przygotować proces onboardingowy dla nowego inżyniera jakości lub pełnomocnika ISO.
Pełnomocnik i inżynier jakości muszą przełożyć wymagania na mechanikę procesu
Na etapie wdrożenia największy błąd polega na opisywaniu ochrony informacji obok procesów, zamiast w ich wnętrzu. Skuteczne podejście nie zaczyna się od tworzenia osobnego zestawu procedur bezpieczeństwa, lecz od wpisania wymagań do istniejącej mechaniki działania: wejść i wyjść procesu, odpowiedzialności za decyzję, kryteriów akceptacji, wymaganych zapisów oraz sposobu postępowania po odchyleniu, zmianie lub incydencie. Wtedy TISAX przestaje być projektem dokumentacyjnym, a staje się częścią codziennego sterowania firmą.
Z punktu widzenia pełnomocnika jakości oznacza to przegląd mapy procesów nie pod kątem deklaracji, lecz pytań operacyjnych. Trzeba ustalić, jakie informacje są przetwarzane w rozwoju, zakupach, produkcji, logistyce, HR, utrzymaniu ruchu, IT i jakości, kto ma do nich dostęp, na jakiej podstawie, gdzie powstaje zapis, kto zatwierdza udostępnienie i co dzieje się po zmianie. Jeżeli firma ma już procedury nadzoru nad dokumentacją, zarządzania zmianą, działań korygujących, zakupów, kwalifikacji dostawców czy obsługi niezgodności, to właśnie tam należy osadzić wymagania ochrony informacji.
Decyzja nie brzmi więc: czy dopisać bezpieczeństwo, lecz w którym miejscu procesu ma zapaść decyzja i jaki zapis potwierdzi jej wykonanie. To jest także właściwy punkt wyjścia do rozmowy o tym, jak aktualizować wskaźniki i Jak zbudować procesowe KPI dla zarządu, żeby system jakości nie kończył się na tabelkach.
Inżynier jakości odpowiada za drugi, trudniejszy poziom: wykonalność na stanowiskach pracy. Procedura może poprawnie opisywać nadzór nad dokumentacją, a mimo to operator korzysta z wydruku pozostawionego przy stanowisku, technolog wysyła plik poza ustalonym kanałem, planista udostępnia dane „na chwilę”, a laborant nie wie, czy wynik badania wolno przekazać dalej. Dlatego wymagania muszą być zapisane językiem sytuacji roboczych, a nie wyłącznie językiem systemowym.
Dla każdej roli trzeba jasno określić:
- jakie informacje są chronione,
- skąd wolno je pobrać,
- komu wolno je przekazać,
- kiedy potrzebne jest zatwierdzenie,
- jak zgłosić odstępstwo.
Dobrze zaprojektowany system nie mnoży formularzy. Upraszcza decyzje i ogranicza uznaniowość tam, gdzie wcześniej działał nawyk, skrót myślowy albo nieformalna praktyka. W praktyce najlepiej zaczynać od procesów, w których informacja zmienia właściciela, formę albo miejsce użycia. Przykładem może być przekazanie specyfikacji z jakości lub technologii do produkcji: samo istnienie dokumentu nie wystarcza, jeśli proces nie określa źródła wersji obowiązującej, sposobu potwierdzenia aktualności, zasad dostępu dla zmian i reakcji po wykryciu użycia nieaktualnych danych.
Podobnie w zakupach i nadzorze nad dostawcami nie wystarczy klauzula poufności, jeżeli nie wiadomo, kto zatwierdza zakres przekazywanej dokumentacji, jak długo odbiorca ma do niej dostęp i gdzie pozostaje ślad tej decyzji. Właśnie w takich miejscach pełnomocnik jakości powinien spiąć wymagania z audytami wewnętrznymi, przeglądami zarządzania, działaniami korygującymi i oceną dostawców, a inżynier jakości sprawdzić, czy praktyka stanowiskowa rzeczywiście odpowiada zapisowi.
Dopiero na tym poziomie widać sens odniesienia do wymagań systemowych: nie jako dodatkowej warstwy formalnej, lecz jako kryterium spójności. Jeżeli wymagania ochrony informacji są osadzone w procesach, można je audytować tymi samymi mechanizmami, którymi organizacja nadzoruje jakość, zmianę, niezgodność i ryzyko. Jeżeli są odrębnym bytem, ocena pokaże głównie rozjazd między dokumentem a praktyką.
Bez wskaźników i raportowania zarząd nie odróżni zgodności od pozoru kontroli
Jeżeli bezpieczeństwo informacji ma być realnie zarządzane, musi wejść do raportowania w takiej formie, w jakiej zarząd podejmuje decyzje: przez kilka wskaźników pokazujących stabilność nadzoru, a nie przez rozbudowane opisy techniczne. Dla kierownictwa istotne jest nie to, jak szczegółowo opisana jest procedura, lecz czy organizacja utrzymuje kontrolę nad dostępem, zmianą, incydentami, szkoleniami i działaniami po odchyleniach.
W praktyce oznacza to potrzebę prostego obrazu sytuacji: czy przeglądy uprawnień są wykonywane terminowo, jak szybko reaguje się na incydent lub odchylenie, czy działania korygujące są zamykane w uzgodnionym czasie oraz czy role krytyczne rzeczywiście mają aktualne przygotowanie do pracy z informacją chronioną. Bez takiego obrazu zarząd widzi głównie deklaracje.
Najczęstszy błąd polega na tym, że raportowanie kończy się na komunikacie: szkolenia wykonano, procedury opublikowano, polityka została zatwierdzona. To są dowody istnienia systemu, ale jeszcze nie dowody jego skuteczności. Jeżeli firma nie mierzy, czy problemy są zgłaszane na czas, czy przyczyny są identyfikowane, czy działania po incydentach są domykane i czy wnioski wracają do standardu pracy, to nie nadzoruje procesu, tylko jego formalną otoczkę.
Z tego powodu zwykle nie ma sensu budować osobnego zestawu wskaźników dla TISAX, jeżeli organizacja ma już dojrzałe raporty zarządcze. Znacznie lepiej włączyć bezpieczeństwo informacji do obecnych przeglądów jako element ryzyka operacyjnego, ciągłości działania i zgodności wobec klienta. Tu rola pełnomocnika jakości i inżyniera jakości wyraźnie się rozdziela, ale nie rozchodzi.
Pełnomocnik jakości powinien osadzić temat w przeglądzie zarządzania, tak aby bezpieczeństwo informacji było oceniane razem z niezgodnościami, zmianami, reklamacjami, ryzykami i skutecznością działań korygujących. Inżynier jakości odpowiada natomiast za jakość sygnału z procesu. Jeżeli brygadzista nie zgłasza użycia nieaktualnej specyfikacji, technolog klasyfikuje problem wyłącznie jako błąd jakościowy, a nie jako zdarzenie dotyczące informacji, albo działania po incydencie kończą się na doraźnym obejściu, to raport dla zarządu będzie uspokajający, ale fałszywy.
Właśnie dlatego tak ważne jest, by sposób raportowania odchyleń nie premiował ciszy. W praktyce dobrze działa klasyfikacja według skutku biznesowego, bo pozwala ocenić wpływ na klienta, produkcję i ciągłość pracy, a nie tylko źródło problemu. W tym miejscu wraca także pytanie, Jak zbudować standard raportowania problemów jakościowych dla produkcji wielozmianowej, bo bez wspólnego standardu sygnał z procesu będzie przypadkowy.
Dopiero taki nadzór pozwala odróżnić organizację, która ma system, od organizacji, która przygotowała się do jednego audytu. W ujęciu systemowym nie jest to dodatkowy obowiązek, lecz rozszerzenie istniejących mechanizmów przeglądu zarządzania, audytów wewnętrznych i działań po niezgodnościach.
Przygotowanie do oceny zaczyna się dużo wcześniej niż audyt
Ocena TISAX nie polega na sprawdzeniu, czy organizacja opisała wymagania w procedurach, lecz czy potrafi wykazać ich działanie w codziennej pracy. W praktyce oceniany jest nie tylko dokument, ale ślad operacyjny: kto podjął decyzję, na jakiej podstawie nadano lub odebrano uprawnienie, jak zatwierdzono zmianę, gdzie widać reakcję na zdarzenie, czy wyjątek został uzasadniony i czy po odchyleniu wrócono do standardu. Z tego powodu przygotowanie do oceny trzeba traktować nie jako końcową korektę dokumentacji, ale jako okres budowania wiarygodnych dowodów.
Największe ryzyko pojawia się wtedy, gdy porządkowanie startuje dopiero przed samą oceną. Wtedy zwykle da się jeszcze poprawić procedury, uporządkować rejestry i dopisać brakujące odpowiedzialności, ale nie da się szybko wytworzyć dojrzałych zapisów potwierdzających stałe stosowanie mechanizmów. Nie da się też w krótkim czasie przygotować właścicieli procesów do rzeczowej prezentacji praktyki, jeżeli wcześniej nie pracowali na tych zasadach.
Dlatego pełnomocnik jakości powinien prowadzić przygotowanie jak projekt gotowości operacyjnej: z analizą luk, przypisaniem właścicieli, terminami zamknięcia, przeglądami postępu i wcześniejszą weryfikacją skuteczności. Decyzja, czy taki przegląd prowadzić według procesów czy według wymagań, powinna wynikać z dojrzałości firmy. W organizacji produkcyjnej częściej lepiej działa układ procesowy, bo łatwiej wtedy sprawdzić spójność między obiegiem informacji, zmianą technologiczną, utrzymaniem ruchu, zakupami i nadzorem nad dostawcą.
W tym miejscu rola inżyniera jakości staje się praktycznie kluczowa. To on najczęściej potrafi ocenić, czy dowód z procesu jest rzeczywisty, czy tylko formalnie istnieje. Jeżeli w krytycznym procesie są zapisy, ale nie da się odtworzyć ścieżki decyzji, jeżeli wyjątki występują regularnie i nie mają uzasadnienia, albo działania po odchyleniach kończą się na deklaracji bez wdrożenia, to organizacja nie jest gotowa, nawet jeśli dokumentacja wygląda poprawnie.
Warto więc przed oceną zbudować prosty wykaz dowodów dla procesów krytycznych oraz listę ról, które muszą umieć pokazać praktykę, a nie tylko znać treść procedury. Taki przegląd często ujawnia, że luka nie leży w samym wymaganiu, lecz w jakości zapisu, dyscyplinie zmian albo w niespójnym nadzorze nad wyjątkami.
Dopiero na tym etapie sensownie widać, czy system jest obronny także w ujęciu normatywnym. Wymagania ochrony informacji nie funkcjonują obok jakości, lecz przecinają te same mechanizmy nadzorcze: zarządzanie zmianą, kompetencje, działania korygujące, nadzór nad dokumentacją i odpowiedzialność właścicieli procesów. Dlatego próbny przegląd gotowości przed właściwą oceną bywa znacznie cenniejszy niż kolejna redakcja procedur, a zewnętrzne wsparcie ma sens głównie wtedy, gdy pomaga obiektywnie ocenić luki i jakość dowodów, nie zaś wtedy, gdy zastępuje organizację w jej własnych odpowiedziach. To podejście jest zresztą wspólne dla innych wymagających środowisk dostawczych, także tam, gdzie punktem wyjścia jest uporządkowany system jakości, jak w obszarze ISO 19443 dla dostawców energetyki jądrowej: od uporządkowanego systemu jakości do wejścia do łańcucha dostaw.
TISAX ma sens tylko wtedy, gdy zostaje w firmie po ocenie
Największa wartość z wdrożenia pojawia się nie w dniu zakończenia oceny, lecz wtedy, gdy wymagania ochrony informacji zostają trwale wpisane w sposób działania firmy. Jeżeli po zakończeniu projektu organizacja wraca do wcześniejszych nawyków, TISAX staje się kosztem zgodności, a nie narzędziem sterowania ryzykiem. Dla zarządu powinien on mieć znaczenie przede wszystkim jako mechanizm ograniczania ryzyka operacyjnego i kontraktowego: zmniejszać podatność na błędy w obiegu informacji, niekontrolowane wyjątki, słaby nadzór nad danymi klienta i luki po stronie dostawców.
Z tego powodu system trzeba projektować nie wokół samej oceny, lecz wokół decyzji, które firma podejmuje codziennie. Dla pełnomocnika jakości jest to okazja do uporządkowania systemu zarządzania wokół realnych punktów sterowania, a nie wokół formalnej zgodności. Dla inżyniera jakości oznacza to wzmocnienie dyscypliny procesu i jakości danych wejściowych do decyzji: kto zatwierdza dostęp, kto akceptuje odstępstwo, jak udokumentowano zmianę, z czego wynika ocena dostawcy, jak zamykany jest problem i po czym wiadomo, że działanie było skuteczne.
Jeżeli te pytania mają jednoznaczne odpowiedzi w procesie, temat nie wraca wyłącznie do pełnomocnika albo działu informatyki. W praktyce warto trwale połączyć wymagania ochrony informacji z onboardingiem ról jakościowych, standardem raportowania problemów, nadzorem nad dostawcami oraz procesowymi wskaźnikami dla zarządu. Nowy pracownik w roli krytycznej powinien od początku wiedzieć nie tylko, jakie ma obowiązki jakościowe, ale też jakie informacje chroni, jakie wyjątki wymagają eskalacji i jakie zapisy stanowią dowód prawidłowego działania.
Podobnie raport o problemie nie powinien kończyć się na opisie niezgodności wyrobu, jeśli źródłem odchylenia była luka w dostępie, obiegu dokumentacji albo w zmianie technologicznej. W przeglądzie zarządzania warto więc utrzymywać stałe wskaźniki dotyczące terminowości zamykania działań, jakości zapisów, powtarzalności wyjątków, wyników audytów procesowych i ryzyk po stronie łańcucha dostaw.
Dopiero na końcu tej logiki pojawia się odniesienie normatywne. TISAX – System Zarządzania Bezpieczeństwem Informacji w branży motoryzacyjnej ma znaczenie wtedy, gdy organizacja najpierw wie, jak chce działać, gdzie rzeczywiście chroni informację i jak udowodni skuteczność tego działania. Wtedy włączenie wymagań do rocznego planu audytów, przeglądów zarządzania i aktualizacji onboardingu nie jest dodatkowym obciążeniem, lecz naturalnym elementem systemu. Jeżeli te materiały żyją po ocenie, TISAX zostaje w firmie jako praktyka zarządzania, a nie jako zamknięty projekt zgodności.
Najczęstsze pytania
Czy TISAX można wdrożyć jako projekt prowadzony wyłącznie przez IT?
Nie. TISAX dotyczy sposobu zarządzania informacją w całej organizacji, więc samo IT nie obejmie ryzyk powstających w zakupach, rozwoju, produkcji, logistyce, HR czy współpracy z dostawcami. Kluczowe jest wskazanie, gdzie informacja zmienia właściciela, kto decyduje o dostępie, jak nadzorowana jest zmiana i jaki zapis potwierdza wykonanie wymaganej decyzji.
Od czego zacząć przygotowanie firmy do TISAX z perspektywy pełnomocnika lub inżyniera jakości?
Najpierw od mapy procesów i przekazań informacji, a nie od rozbudowy procedur. Trzeba ustalić, w których procesach występują informacje klienta, dane techniczne, prototypy, zapisy jakościowe lub dane personalne, a następnie dla każdego przekazania sprawdzić właściciela, kryterium decyzji i ślad nadzorczy. Dopiero na tej podstawie sensownie ustala się zakres oceny, role i potrzebne mechanizmy kontroli.
Jakie miejsca w procesach najczęściej powodują problemy podczas przygotowania do TISAX?
Najczęściej są to punkty styku między działami i stronami zewnętrznymi: wysyłanie rysunków do dostawców, przekazywanie specyfikacji do produkcji, dostęp wykonawców zewnętrznych, obieg nośników, raportowanie incydentów oraz zarządzanie zmianą. Typowe problemy to użycie nieaktualnej wersji dokumentu, zbyt szerokie uprawnienia, brak terminowej eskalacji i zmiany wdrażane bez oceny wpływu na ochronę informacji.
Czy dla TISAX trzeba tworzyć osobne wskaźniki i osobny system raportowania?
Zwykle nie. Lepiej włączyć bezpieczeństwo informacji do istniejącego raportowania zarządczego jako element ryzyka operacyjnego, zgodności i ciągłości działania. Przydatne są proste wskaźniki, np. terminowość przeglądów uprawnień, czas reakcji na incydent, termin zamykania działań korygujących oraz aktualność szkoleń i przygotowania ról krytycznych.
Po czym poznać, że organizacja jest realnie gotowa do oceny TISAX?
Po jakości dowodów z codziennej pracy, a nie po samej kompletności dokumentacji. Organizacja powinna umieć pokazać, kto podjął decyzję, na jakiej podstawie nadano lub odebrano dostęp, jak zatwierdzono zmianę, jak obsłużono incydent i jak udokumentowano wyjątek. Jeżeli zapisy istnieją, ale nie da się odtworzyć ścieżki decyzji albo wyjątki są rutynowe i słabo nadzorowane, gotowość jest tylko formalna.
Masz pytania? Porozmawiajmy.
Bezpłatna konsultacja – bez zobowiązań.
