7   Eisen in verband met de middelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

7.1   Competentie van management en personeel

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

7.1.1   Algemene overwegingen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet over processen beschikken die bewerkstelligen dat het personeel over passende competentie beschikt die relevant is voor de soorten managementsystemen en geografische gebieden waarin zij werkzaam is.
De certificatie-instelling moet de vereiste competentie bepalen voor elk technisch gebied (overeenstemmend met het specifieke certificatieprogramma) en voor elke functie in de certificatieactiviteit.
De certificatie-instelling moet, voordat specifieke taken worden uitgevoerd, de manieren bepalen waarmee de competentie kan worden aangetoond.

7.1.2   Definiëren van competentiecriteria

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet over een gedocumenteerd proces beschikken om de competentiecriteria vast te stellen voor medewerkers die betrokken zijn bij het management en het uitvoeren van ISMS-audits en ISMS-certificatie. Competentiecriteria moeten worden vastgesteld met betrekking tot de eisen voor elke soort managementsysteemnorm of -specificatie, voor elk technisch gebied, en voor elke functie in de certificatieactiviteit. De output van het proces moet bestaan uit gedocumenteerde criteria voor de vereiste kennis en vaardigheden die nodig zijn om op een doeltreffende manier audit- en certificatietaken uit te voeren teneinde de beoogde resultaten te bereiken. Bijlage B bevat een omschrijving van de kennis en vaardigheden die een certificatie-instelling voor specifieke functies moet definiëren.

OPMERKING 1 De term 'technisch gebied' kan, afhankelijk van de managementsysteemnorm waar hij betrekking op heeft, een verschillende betekenis hebben. Voor elk managementsysteem is de term gerelateerd aan producten en processen in de context van het onderwerp en toepassingsgebied van de managementsysteemnorm. De technische gebieden kunnen door een specifiek certificatieprogramma worden gedefinieerd (bijv. NPR-ISO/TS 22003), of door de certificatie-instelling worden vastgesteld.

7.1.3   Evaluatieprocessen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet beschikken over gedocumenteerde processen voor de initiële competentie-evaluatie en het voortdurend monitoren van de competentie en de prestaties van alle medewerkers die betrokken zijn bij het management en de uitvoering van audits en certificatie, en die de vastgestelde competentiecriteria toepassen. De certificatie-instelling moet aantonen dat haar evaluatiemethoden doeltreffend zijn. De output van deze processen is het identificeren van medewerkers die hebben aangetoond te beschikken over het competentieniveau dat nodig is voor de verschillende functies van het audit- en certificatieproces.

OPMERKING Een aantal evaluatiemethoden die kunnen worden gebruikt om kennis en vaardigheden te evalueren, worden beschreven in bijlage B van NEN-ISO 17021.

7.1.4   Overige overwegingen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Bij het bepalen van de competentie-eisen voor haar personeel dat de ISMS-certificatie uitvoert, moet de certificatie-instelling ook aandacht besteden aan de functies die worden uitgeoefend door management en administratief personeel, aanvullend aan dat personeel dat rechtstreeks audit- en certificatieactiviteiten uitvoert.
De certificatie-instelling moet toegang hebben tot de noodzakelijke technische deskundigheid voor advies over aangelegenheden die rechtstreeks betrekking hebben op de certificatie in technische gebieden, soorten managementsystemen en geografische gebieden waarin de certificatie-instelling werkzaam is. Dergelijk advies kan worden gegeven door externe personen of door personeel van de certificatie-instelling.

7.2   Personeel dat betrokken is bij de certificatieactiviteiten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet als onderdeel van de eigen organisatie beschikken over personeel met voldoende competentie om het type en de reikwijdte van de auditprogramma’s en ander certificatiewerk te beheersen.
De certificatie-instelling moet een voldoende aantal auditoren, met inbegrip van auditteamleiders, en technisch deskundigen in dienst hebben of er een beroep op kunnen doen om het geheel van haar activiteiten te omvatten en de hoeveelheid werk van de uit te voeren ISMS-audits aan te kunnen.
De certificatie-instelling moet elke betrokkene zijn plichten, verantwoordelijkheden en bevoegdheden duidelijk maken.
De certificatie-instelling moet over vastgelegde processen beschikken voor het selecteren, opleiden en formeel autoriseren van de auditoren en voor het selecteren van de technisch deskundigen die bij de certificatieactiviteit worden ingezet. Bij de initiële beoordeling van de competentie van een auditor moet onder meer worden aangetoond dat hij in staat is om de vereiste kennis en vaardigheden toe te passen bij audits, waarbij dit moet worden vastgesteld door een competente beoordelaar die de auditor observeert tijdens de uitvoering van een audit.

OPMERKING Tijdens het hiervoor omschreven selectie- en trainingsproces kunnen gewenste persoonlijke gedragskenmerken in aanmerking worden genomen. Dat zijn kenmerken die van invloed zijn op het vermogen van iemand om speciale functies uit te oefenen. Kennis over gedragskenmerken van mensen stelt een certificatie-instelling in staat hun sterke kanten te benutten en het effect van hun zwakke punten te minimaliseren.

De certificatie-instelling moet over een procedure beschikken waarmee een doeltreffende uitvoering van audits kan worden bereikt en aangetoond, met inbegrip van het inzetten van auditoren en auditteamleiders met zowel algemene auditvaardigheden en -kennis, als vaardigheden en kennis relevant voor het auditen in een bepaald technisch gebied.
De certificatie-instelling moet bewerkstelligen dat de auditoren (en waar noodzakelijk de technisch deskundigen) op de hoogte zijn van haar auditprocessen, certificatie-eisen en andere relevante eisen. De certificatie-instelling moet de auditoren en technisch deskundigen toegang verschaffen tot een bijgewerkt geheel van gedocumenteerde procedures, die auditinstructies en alle relevante informatie over de certificatieactiviteiten bevatten.
De certificatie-instelling mag auditoren en technisch deskundigen alleen inzetten voor certificatieactiviteiten waarvoor zij hun competentie hebben aangetoond.

OPMERKING De toewijzing van auditoren en technisch deskundigen aan teams die specifieke audits uitvoeren wordt behandeld in IS 9.2.2.

De certificatie-instelling moet de behoeften op het vlak van opleiding bepalen en specifieke opleiding aanbieden of toegankelijk maken, om te bewerkstelligen dat auditoren, technisch deskundigen en ander personeel dat betrokken is bij certificatieactiviteiten, competent zijn voor de functies die ze uitoefenen.
De groep of persoon die de beslissing neemt over de toekenning, het onderhoud, de vernieuwing, uitbreiding, beperking, schorsing of intrekking van de certificatie, moet de van toepassing zijnde norm- en certificatie-eisen begrijpen en zijn competentie hebben aangetoond in het beoordelen van de auditprocessen en de ermee samenhangende aanbevelingen.
De certificatie-instelling moet bewerkstelligen dat al het personeel dat betrokken is bij de audit- en certificatieactiviteiten naar behoren presteert. Er moeten gedocumenteerde procedures en criteria bestaan voor het monitoren en meten van de prestatie van alle betrokken personen, op basis van de frequentie waarmee ze worden ingezet en de risicograad die samenhangt met hun activiteiten. In het bijzonder moet de certificatie-instelling de competentie van haar personeel beoordelen in het licht van hun prestaties, om zo behoeften op het vlak van opleiding te bepalen.
De gedocumenteerde procedures voor het monitoren van auditoren moeten een combinatie omvatten van observaties ter plaatse, beoordeling van auditrapporten en feedback van klanten of uit de markt en moeten zijn vastgelegd in gedocumenteerde eisen. Dit monitoren moet zo worden opgezet dat de normale certificatieprocessen zo min mogelijk worden verstoord, vooral vanuit het gezichtspunt van de klant.
De certificatie-instelling moet regelmatig de prestaties van elke auditor ter plaatse observeren. De frequentie van de observatie ter plaatse moet zijn gebaseerd op de behoefte, bepaald uit alle beschikbare informatie uit het monitoren.

7.3   Inzetten van individuele externe auditoren en externe technisch deskundigen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet van externe auditoren en externe technisch deskundigen een schriftelijke overeenkomst eisen, waarmee ze zich ertoe verbinden om het (de) door de certificatie-instelling vastgestelde van toepassing zijnde beleid en procedures na te leven. De overeenkomst moet aandacht schenken aan aspecten die verband houden met vertrouwelijkheid en met onafhankelijkheid van commerciële en andere belangen, en moet van de externe auditoren en externe technisch deskundigen eisen dat ze de certificatie-instelling op de hoogte brengen van elke bestaande of vroegere betrokkenheid bij elke organisatie waarvoor zij de opdracht hebben gekregen die te auditen.

OPMERKING Het op basis van dergelijke overeenkomsten inzetten van individuele auditoren en technisch deskundigen valt niet onder uitbesteding zoals beschreven in 7.5.

De eisen zoals vermeld in 7.5 van NEN-EN-ISO/IEC 17021 zijn van toepassing.

7.4   Registraties in verband met het personeel

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet actuele registraties van personeel bijhouden, met inbegrip van relevante
kwalificaties, training, ervaring, lidmaatschappen van organisaties, beroepsstatus, competentie en alle relevante adviesdiensten die eventueel door hen zijn geleverd. Dit omvat naast de personen die certificatieactiviteiten uitoefenen, ook het management en administratief personeel.

7.5   Uitbesteding

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 7.5 van NEN-EN-ISO/IEC 17021 zijn van toepassing.