TISAX评估要求条款

来源：越飞企管咨询发布日期：2022/2/22 18:37:27 |

TISAX评估要求条款

1、适用范围

.这些通用TISAX评估条件（GTACs）适用于客户与杭州德凯认证有限公司（以下简称“”）之间关于杭州德凯认证有限公司提供服务的所有合同关系，特别是基于TISAX®要求的信息安全管理体系评估。这些GTACs不适用于消费品行业产品的评估和测试，也不适用于个人专业资格的评估。

2.术语

2.1（可信信息安全评估交流机制）是用于交流和相互认可的审核信息的总体概念和体系。

2.2自评估报告包含了基于规定成熟度级别的信息安全要求和相关标准。

2.3 .“评估”是下文第4节所述的程序。

3.评估

3.1审核员的委派3.1.1.有权委派内部和外部审核员以提供评估服务。

3.1.2.承诺，仅委派资格充分且合适的人员，这些人员已被任命为TISAX®审核员。

3.1.3 r.只有在公司不接受与审核员合作或审核员因其他迫不得已的原因不适合提供服务的情况下，客户才有权拒绝指派的审核员。客户应立即通知，并证明拒绝该指定审核员的合理理由。在这种情况下，有义务委派另一名合适的审核员代替被拒绝的审核员。

3.1.4.如果审核员在评估之前或评估期间直接退出，应在适当的时间内

任命一名替代者。第3.1.3节应相应地适用于拒绝更换。

3.2评估日期和截止日期

3.2.1 客户可指定进行评估的首选日期，应根据其可行性和自身能力予以考虑。客户指定的首选日期不具约束力，不必遵守。和客户应在规划评估前及时商定约束日期。

3.2.2在确定的期间内，通常应完成全部评估。应告知客户评估执行的时间期限。关于截止日期的客户合作职责如下：

3.2.2.1 客户应及时联系以商定日期，从而允许按时完成评估。3.2.2.2 客户应执行完整的评估。如果由于客户承担责任的原因，客户取消已经开始的评估，或者取消已经开始的评估，则评估应视为未完成。

3.2.3 .如果客户未能配合就审核日期达成一致，导致审核无法执行或按时推进，应有权以特殊理由终止合同。附加损害赔偿和其他索赔不受影响。

3.2.4 .如果在执行评估所处的地点或区域发生严重事件，如不可抗力、暴乱、武装冲突或恐怖冲突，或者如果中华人民共和国外交部已对该区域发出旅行警告，在受干扰期间以及受影响的范围内免除其评估义务，即使其落后于计划。双方有义务将这些障碍通知对方，并真诚地根据变化的情况调整其义务。

.执行要求

4.1关于TISAX®评估的信息

TISAX®评估基于德国汽车工业协会（VDA）发布的信息安全评估问卷的要求，目前有效版本分为4个主题领域

信息安全-原型保护-数据保护-第三方联系.执行评估的先决条件是客户在TISAX®(www.tisax.net)门户上注册了相应的范围。评估的范围和持续时间取决于指定的范围和所需的审核标签。总是要执行全面的审核，如检查相关区域的所有审核点。必须始终执行信息安全评估（基础审核）。每次评估的内容由TISAX®规定。根据保护要求和审核重点，基本上可以达到以下评估级别。Protection保护Information security(basic assessment)信息安全（基础评估）Third partyConnection第三方联系PrototypeProtection原型保护DataProtect数据保护Normal一般VDA-ISA-Self-declarationVDA-ISA自评估---High高File-based assessment 1基于文件的评估File-based and on-site assessment基于文件的和现场评估-File-based and on-siteassessment 1基于文件的和现场评估1Very high超高On-site assessment现场评估On-site assessment现场评估On-site assessment现场评估On-site assessment现场评估1 An on-site assessment is required under certain conditions (countries of the TISAX Activation List)在某些情况下需要进行现场评估（TISAX激活列表中的国家）

TISAX®使用评估级别（ALs）显示每个保护要求的不同等级和方法。Protection保护Assessmentlevel (AL)评估级别Description描述Normal一般1Provision of a VDA self-disclosure by the Client. The Contractordoes not assess this. 客户提供VDA自评估报告。审核方未对其进行评估。High高2Plausibility check on the basis of the self-disclosure, and evidence in the form of a telephone interview or a web conference. Theprocedure corresponds to the "file-based assessment".在自评估报告的基础上进行合理性检查，并以电话访谈或网络会议的形式提供证据。该程序对应于“基于文件的评估”。Very high超高3Comprehensive local assessment of all audit points by viewing documents, conducting interviews, etc. The procedure correspondsto an "on-site assessment".通过查看文件、进行访谈等方式对所有审核点进行全面的本地评估。该程序对应于“现场评估”。

4.2执行范围.评估语言为中文和英文。应与客户协商，提供所需的中英文文件。

4.2.1评估TISAX®评估服务包中包含以下各项单独的活动。可在TISAX®评估委员会中找到适用的评估方法（基于文件/现场）。4.2.1.1初步说明和计划.客户在电话或网络会议上收到关于评估范围和进度的所有相关信息。

4.2.1.2.客户向提交一份完整的VDA-ISA自评估报告，其涵盖评估涉及的每个站点。VDA-ISA自评估报告给出了每个审核点的成熟度水平，以及对各自要求实现的实际描述。为准备实际评估，对自评估报告的内容进行审核。如果评估是通过托管服务提供商（如DCSO-德国网络安全组织有限公司）进行的，则在托管服务提供商（MSP）平台上提供自评估报告。

4.2.1.3日程安排

.与客户约定评估时间。提出了一些可能的日期建议。

4.2.1.4基于文件的评估.基于文件的评估是在文件和其他适当证据的基础上，对与TISAX®要求有关的所有相关点进行的审核。还与客户进行电话访谈或网络会议。除了在自评估报告中提供的信息外，客户还以指南、流程说明、屏幕截图或照片的形式为每个审核点提交适当的证据。为输入预期证据提供了一个面具。在准备电话访谈时，审核方应对自评估报告和证据进行合理性检查。如果检查结果为负面的，客户和就进一步程序达成一致。如果合理性检查产生了正面的结果，那么提供的信息将在面谈期间得到验证。在基于文件的评估伴有现场检查的情况下，对所提供的信息的核实是在客户的场所进行的，而不是在电话访谈中进行。

4.2.1.5现场评估现场评估是根据TISAX®要求在客户办公室或场所内对所有相关审核点进行的审核。主要重点是检查信息安全方面必要程序的实施情况。为此，将在现场查看和评价文件和指南并进行面谈。此外，还参观该场所以评估物理安全。

4.2.1.6 薄弱环节和风险的识别.如果在评估过程中发现了薄弱环节，则应向客户指出由此产生的信息安全风险，并在末次会议上进行总结。可能的改进措施可在此节点及时与审核员达成一致。或者，客户起草后续纠正措施计划。

4.2.1.7纠正措施计划的审核.客户向提供对已识别的薄弱环节进行整改的纠正措施计划。审核员检查提出的措施和计划的时间表，并将结果记录在报告中。

4.2.1.8评估报告的准备.评价完成后，审核员撰写一份记录所有评估结果的报告。报告由客户和审核员达成一致，然后发送给客户。4.2.2后续TISAX®评估.后续评估的范围取决于要检查的文档数量。客户为此收到一份单独的报价单。可以实施以下替代方案。4.2.2.1基于文档的后续评估.客户向审核方提供改进措施实施的证据，如文档、屏幕截图、照片等。客户收集并处理实施证据的文件，其中包括已记录的薄弱环节，然后及时发送给审核方。审核方检查证据并将结果记录在后续评估报告中。将此报告提供给客户。4.2.2.2现场后续评估由于要实施的改进措施和要提供的证据的复杂性，可能有必要在现场开展后续评估。

5.I评估文件的签发和使用5.1 .如果向客户提供审核相关文件，例如报告（统称为“使用对象”），客户有权按照以下规定使用该使用对象。

5.2.仍然是使用对象以及任何现有商标权和版权的所有者。在授予或移交使用对象后，授予客户非排他性权利以将其部署到以下范围。

5.3如果合同范围包括简化集团评估，并且如果在该范围内的站点已绑定声明其如同客户本身一样将遵守本GTACs，则总部有权将已被授予的使用权再次许可授予该站点。该站点无权进一步转授使用权。如果符合通用商业条款和条件第5.11节规定的标准，客户应立即从该站点收回使用权。客户应就此事立即通知。如果一个站点满足GTACs第5.11节的标准，可以撤销对总部将使用权转授给该站点的许可，而无需通知。否则，客户无权将使用权转授或再许可。转授许可证的有效性取决于总部许可证的有效性。

5.4.在没有其他协议的情况下，指定使用对象在合法所在国家内使用；在国外使用的唯一责任方是客户；在这方面的任何责任均被排除。

5.5.使用对象只能以其签发和交付的形式使用。不允许更改，尤其是对设计、颜色或文本的更改。客户无权仅使用该使用对象的部分内容，即，使用对象只能作为一个整体使用。

5.6 .如果客户也收到电子形式的使用对象，他有权更改其尺寸；尺寸只允许减小到为Arial 4的最小字体。如果尺寸改变，使用对象的文本必须保持完全清晰，文本和字符的比例不得改变。

5.7客户应确保使用对象指向被审核对象，以普通消费者理解为被审核、评估和/或认证的活动、过程、系统或资格的标志的方式呈现。使用对象只能用于发布该使用对象的活动、过程、体系或资格，并且只能表明这些活动、过程、体系或资格符合对其进行审核和/或评估的要求。客户不得将使用对象用于宣传产品，也不得造成已对产品进行检验的印象。使用对象不得用于自审核以来已变更的已审核项目。

5.8 使用对象的部署不得给人以其适用于审核范围以外的活动或站点的印象。

5.9.使用对象不得以可能损害声誉或被视为误导的形式使用或引用。客户对使用对象的具体使用负责，使用对象仅能在符合适用法律，特别是反不正当竞争法的条件下使用。客户不得允许第三方进行任何误导或非法使用。不承担由使用对象的不当使用引起的责任。

5.10.使用对象只能在TISAX标签有效期内使用，并且是在TISAX标签未被暂停的情况下。

5.11有权在任何时候限制、暂停、废除和/或撤回使用权，如果-没有（不再）满足签发TISAX标签的要求，例如因为在审核过程中提供了虚假或不完整的信息；-客户未能履行其与评估有关的义务，例如与签订的合同引起的变更或服务义务的披露要求，特别是付款义务；-TISAX评估合同终止；-使用对象在违反本使用条款和条件的情况下使用；-由GTACs或本合同规定的其他原因。

5.12.如果TISAX标签被废除，有权以特殊理由终止合同。附加损害赔偿和其他索赔不受影响。

5.13.在撤回TISAX标签或其有效期届满后，客户必须停止对使用对象的所有使用。

5.14不对客户因授权撤销TISAX标签而遭受的任何损害负责。

6.使用标识

6.1如果标志显示在文件上，则应用GTACs的第5节内容。客户未被授权使用的名称、与相关的公司名称或标志。

6.2客户不得造成与或与相关的公司有业务或类似关系，或其可以代表或与相关的公司行事，或以任何方式负有义务的印象。

7.认证机构标识的使用客户无权使用认证机构的标识，除非在单独的合同中约定此项。

8.客户的义务

8.1评估的准备.在评估之前，客户应准备审核通常需要的文件/信息，以及要求的任何额外文件/信息，并应及时且不迟于评估时间提交给。

8.2评估的实施

8.2.1.客户承诺以真实、完整和及时的方式向提供评估所需或相关的所有信息和文件。文件必须以拷贝的形式提供，否则应便于检查。客户有义务根据的要求提供至少有代表性的文件样本。与提供此类文件相关的任何费用应由客户承担。客户必须注意可能对审计委员会的执行有重要意义的所有过程和事实。在整个评估期间，客户或公司指定的适当员工必须能够回答任何问题。

8.2.2.客户有确保遵守与向审核员披露信息有关的任何相关（法律、合同、职业）隐私、机密和数据保护义务的责任。

8.2.3.客户有义务为审核员提供合适的办公空间，以便进行现场评估。

9 保密性和数据保护

9.1.“保密信息”是指直接或间接地可访问的客户与合同有关的，或以其他方式提供给的，所有技术、财务、法律和税务信息，以及设计、发明、营销或其他信息（包括数据、记录和专有技术）。

9.1.2.信息不属于保密信息，在以下情况下-在获得时已经为公众所知，或在此后成为公众所知，且不违反本协议；-在获得的时候就是已知的；-在本协议签订前从第三方获得，或在本协议签订后从第三方获得，但不违反本协议，前提是第三方合法获得保密信息，且不违反任何有约束力的保密义务的情况下传递了该信息；-在不依赖原保密信息的情况下开发了此信息。

9.1.3.应将保密信息视为严格保密的信息，不得将其转发或以其他方式提供给第三方，应采取适当的预防措施以保护保密信息。只能将保密信息用于合同的编制、评估和执行，不得以任何其他方式将其用于自身或第三方的利益。

9.1.4可根据AktG第15节等向具有或不具有员工身份的同事、联营公司披露机密信息，包括他们的具有或不具有员工身份的同事，以及在法律上有义务保守秘密的顾问，前提是这些人员必须遵守适当的保密义务。

9.1.5

.在下列情况下，保密义务不适用-客户事先已书面同意向第三方披露机密信息，针对具体的个别情况；-有义务按照适用的标准、法律、法院的裁决、其他政府机构的执法令或认证机构的规定披露机密信息。

9.1.6

.有权保留提交给以供检查的书面文件或为执行审核任务而提供的书面文件的拷贝。

9.1.7.如果根据GTACs或与客户签订的其他协议向第三方提供保密信息，应在可能和允许的范围内通知接受审核的客户/公司。

9.1.8.如果发生与客户有关的投诉，、客户和投诉人将就可能公布的机密信息，特别是投诉主题及其解决方案达成一致。

9.1.9 .应被授权保留机密信息，以便有序记录和存档，即使在与客户的合同结束后。

9.2数据保护

9.2.1 .为了履行订单，也出于自身原因，保存、处理和使用客户的个人数据。为此，还采用自动数据处理系统。承诺遵守法定数据保护条例。

9.2.2 .被允许在法律规定或认证机构规定的发布义务范围内发布客户地址数据和与证书相关的事实。还将维持一份记录所有证书持有人的参考清单。此清单也将提供给第三方。

10.费用根据客户提供的公司信息计算出合同中约定的费用。如果客户公司内的情况发生变化，或适用标准发生修订，将要进行的评估的类型、范围或内容可能会发生变化。在这种情况下，已订立的合同不再被视为达到了目的。因此，应提交一份其提供服务的新报价单，包括新的费用和其他条件（如适用）。如果客户接受新的报价单，将适用经修改后的合同。如果客户不接受新的报价单，有权按异常情况终止原合同。

11分包.客户应同意聘用分包商。

12.合同协议的修订

12.1.如果评估要求发生变化，并且仅能够按照经修订的合同协议的标准提供其合同约定的服务，则有权修改合同协议。

12.2.应在至少三个月的合理期间内将合同协议的任何修改通知客户。客户应有机会在规定的期限内反对修改合同协议。如果客户在此期间未提出任何异议，则经修订的合同协议应视为双方之间已达成协议。如果客户提出异议，则双方均有权在收到异议通知之日起一个月内终止合同关系。

13.个别条款的失效如果本认证条件中规定的一项或多项条款失效，则应视为同意法定条款。在没有法定条款的情况下，双方应承诺商定一项新的有效条款，该条款最接近失效条款的含义。其余条款的效力不受影响。

【相关阅读】：