Mijn Werkboek9 Proceseisen
9.1 Algemene eisen
9.1.1 Algemeen
De eisen zoals vermeld in 9.1 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen
van toepassing.
9.1.2 Algemene ISMS-auditeisen
9.1.2.1 Criteria van de certificatieaudit
De criteria waartegen de audit van het ISMS van een klant wordt uitgevoerd, moeten
de criteria zijn zoals vermeld in NEN 7510,
bijlage G van dit document en andere documenten die noodzakelijk zijn voor de uitgeoefende
functie. Indien een verklaring nodig is betreffende de toepassing van deze documenten
op een bepaald certificatieprogramma, moet een dergelijke verklaring worden gegeven
door een relevante en onpartijdige commissie of door personen die de nodige technische
competentie bezitten, en door de certificatie-instelling worden gepubliceerd.
9.1.2.2 Beleid en procedures
De documentatie van de certificatie-instelling moet het beleid en de procedures voor
het implementeren van het certificatieproces bevatten, met inbegrip van controles
voor het gebruik en de toepassing van documenten gebruikt voor het certificeren van
ISMS'en en de procedures voor het uitvoeren van een audit en het certificeren van
het ISMS van de organisatie van de klant.
9.1.2.3 Auditteam
Het auditteam moet formeel worden benoemd en de juiste werkdocumenten ontvangen. Het
plan voor en de data van de audit moeten worden overeengekomen met de klant. Het aan
het auditteam gegeven mandaat moet duidelijk worden gedefinieerd en bekend worden
gemaakt aan de klant. Het mandaat vereist dat het auditteam de structuur, het beleid
en de procedures van de organisatie van de klant onderzoekt en bevestigt dat deze
voldoen aan alle voor de reikwijdte van de certificatie relevante eisen, en dat de
procedures zijn geïmplementeerd en zodanig zijn dat men vertrouwen kan hebben in het
ISMS van de klant.
9.1.3 IS Reikwijdte van de certificatie
Het auditteam moet de audit van het ISMS van de klant uitvoeren binnen het gedefinieerde
toepassingsgebied en alle toepasselijke certificatie-eisen in aanmerking nemen. De
certificatie-instelling moet ervoor zorgen dat de reikwijdte en grenzen van het ISMS
van de organisatie van de klant duidelijk gedefinieerd zijn in de zin van de kenmerken
van het bedrijf, de organisatie, de locatie, de bedrijfsmiddelen en de technologie.
De certificatie-instelling moet bevestigen dat de organisatie van de klant binnen
de reikwijdte van het ISMS aandacht schenkt aan de eisen van 4.3 van NEN 7510.
De certificatie-instelling moet ervoor zorgen dat de informatiebeveiligingsrisicobeoordeling
en -risicobehandeling van de organisatie van de klant op de juiste manier haar activiteiten
weerspiegelen en zich uitstrekken tot de grenzen van haar activiteiten zoals gedefinieerd
in NEN 7510. De certificatie-instelling moet bevestigen dat dit wordt weergegeven in de reikwijdte
van het ISMS van de klant en de Verklaring van Toepasselijkheid.
De certificatie-instelling moet ervoor zorgen dat raakvlakken met diensten of activiteiten,
die niet volledig worden gedekt door de reikwijdte van het ISMS, worden beheerst binnen
het ISMS waarop de certificatie betrekking heeft en begrepen zijn in de informatiebeveiligingsrisicobeoordeling
van de organisatie van de klant. Een voorbeeld van een dergelijke situatie is het
delen van voorzieningen (bijv. IT-systemen, databanken en telecommunicatiesystemen)
met andere organisaties.
9.1.4 IS Duur van de audit
De certificatie-instelling moet auditoren voldoende tijd geven om alle activiteiten
in verband met een initiële audit, controleaudit of hercertificatieaudit te verrichten.
De toegekende tijd moet rekening houden met de volgende factoren:
-
a) de reikwijdte van het ISMS (bijv. aantal in gebruik zijnde informatiesystemen, aantal medewerkers);
-
b) de complexiteit van het ISMS (bijv. hoe kritisch zijn de informatiesystemen, wat is risicosituatie van het ISMS); zie ook bijlage A;
-
c) de soort(en) zakelijke activiteiten die binnen de reikwijdte van het ISMS wordt/worden uitgevoerd;
-
d) de omvang en diversiteit van de binnen de implementatie van de verschillende onderdelen van het ISMS toegepaste technologie (zoals de geïmplementeerde controles, documentatie en/of procescontrole, correctieve/preventieve actie, enz.);
-
e) het aantal bedrijfslocaties;
-
f) voorheen aangetoonde prestatie van het ISMS;
-
g) de binnen de reikwijdte van het ISMS toegepaste mate van uitbesteding en afspraken met derden;
-
h) de normen en regelgeving die voor de certificatie gelden.
In
bijlage C zijn richtlijnen voor de duur van de audit opgenomen. De certificatie-instelling
moet erop voorbereid zijn om de voor een initiële audit, controleaudit of hercertificatieaudit
benodigde tijd te verantwoorden.
9.1.5 Meerdere vestigingen
9.1.5.1 Ingeval van steekproeven in meerdere vestigingen zijn beslissingen op het gebied van
ISMS-certificatie complexer dan dergelijke beslissingen voor kwaliteitsmanagementsystemen.
Indien een klant een aantal vestigingen heeft die voldoen aan onderstaande criteria
a) tot en met c) kan de certificatie-instelling overwegen een op steekproeven gebaseerde
aanpak toe te passen voor een certificatieaudit voor meerdere vestigingen.
-
a) Alle vestigingen werken met hetzelfde ISMS, dat centraal wordt beheerd, waar centraal een audit en een managementbeoordeling op worden uitgevoerd.
-
b) Alle vestigingen zijn opgenomen in het interne ISMS-auditprogramma van de klant.
-
c) Alle vestigingen zijn opgenomen in het interne ISMS-managementbeoordelingsprogramma van de klant.
9.1.5.2 Indien de certificatie-instelling een op steekproeven gebaseerde aanpak wil toepassen,
moeten er procedures zijn om het volgende te waarborgen.
-
a) De initiële contractbeoordeling identificeert zo gedetailleerd mogelijk het verschil tussen de vestigingen zodat een adequaat niveau van steekproeven kan worden bepaald.
-
b) De certificatie-instelling heeft bij een representatief aantal vestigingen steekproeven genomen, waarbij rekening is gehouden met:
-
1) de resultaten van interne audits van het hoofdkantoor en de vestigingen,
-
2) de resultaten van de managementbeoordeling,
-
3) de verschillen in de omvang van de vestigingen,
-
4) de verschillen in de bedrijfsdoelen van de vestigingen,
-
5) de complexiteit van het ISMS,
-
6) de complexiteit van de informatiesystemen in de verschillende vestigingen,
-
7) de variaties in werkwijzen,
-
8) de variaties in verrichte activiteiten,
-
9) de potentiële interactie met kritische informatiesystemen of informatiesystemen die gevoelige informatie verwerken en
-
10) verschillende van toepassing zijnde wettelijke eisen.
-
-
c) Een representatieve steekproef wordt geselecteerd binnen de reikwijdte van het ISMS van de klant; deze selectie moet plaatsvinden op een beoordeling die is gebaseerd op de onder b) genoemde factoren en op een willekeurig element.
-
d) Op elke vestiging die valt onder het ISMS en die blootstaat aan significante risico's wordt voorafgaand aan certificatie een audit uitgevoerd.
-
e) Het auditprogramma is ontworpen in het licht van bovengenoemde eisen en dekt representatieve steekproeven van de reikwijdte van de ISMS-certificatie binnen de periode van drie jaar.
-
f) Indien, hetzij op het hoofdkantoor of in een van de vestigingen, een afwijking wordt geconstateerd, geldt de procedure van corrigerende maatregelen voor het hoofdkantoor en alle vestigingen waar het certificaat betrekking op heeft.
De in IS
9.1.6 omschreven audit moet betrekking hebben op de activiteiten van het hoofdkantoor van
de klant om te waarborgen dat een enkel ISMS voor alle vestigingen geldt en het centrale
management op operationeel niveau plaatst. De audit moet betrekking hebben op alle
bovengenoemde aspecten.
9.1.6 IS Auditmethode
De certificatie-instelling moet procedures hebben waardoor de klant kan aantonen dat
de interne ISMS-audits zijn ingepland en dat het programma en de procedures aantoonbaar
operationeel zijn.
De certificatie-instelling mag geen bepaalde manier vooronderstellen waarop het ISMS
moet worden geïmplementeerd of een bepaalde opmaak voor documentatie en registraties.
Certificatieprocedures moeten erop gericht zijn dat de organisatie van de klant voldoet
aan de eisen van NEN 7510 en aan het beleid en de doelstellingen van de organisatie.
Het auditplan moet voor zover van toepassing de ICT-technieken identificeren die tijdens
de audit worden gebruikt.
OPMERKING Tot ICT-technieken kunnen bijv. behoren teleconferenties, vergaderen via internet, interactieve communicatie via internet en elektronische toegang op afstand tot de ISMS-documentatie en/of ISMS-processen. Het gebruik van dergelijke technieken behoort de doeltreffendheid en de doelmatigheid van de audit te vergroten en de integriteit van het auditproces te ondersteunen.
9.1.7 IS Rapport certificatieaudit
9.1.7.1 De rapportageprocedures van de certificatie-instelling moeten waarborgen dat
-
a) voordat het auditteam bij de klant vertrekt, een bespreking plaatsvindt tussen het auditteam en het management van de organisatie van de klant, waarbij het auditteam;
-
1) een schriftelijke of mondelinge aanwijzing verstrekt met betrekking tot de conformiteit van het ISMS van de organisatie van de klant met de specifieke certificatie-eisen;
-
2) de organisatie van de klant de mogelijkheid biedt om vragen te stellen over de bevindingen en de grondslag daarvan;
-
-
b) het auditteam de certificatie-instelling een auditrapport levert over de bevindingen ten aanzien van de conformiteit van het ISMS van de organisatie van de klant met alle certificatie-eisen.
9.1.7.2 Het auditrapport moet de volgende informatie of een verwijzing daarnaar bevatten:
-
a) een verslag van de audit met inbegrip van een samenvatting van de documentenbeoordeling;
-
b) een verslag van de certificatieaudit van de informatiebeveiligingsrisicoanalyse van de organisatie van de klant;
-
c) de totale aan de audit bestede tijd, en een gedetailleerde specificatie van de aan de documentenbeoordeling, beoordeling van risicoanalyse, audit op locatie en auditrapportage bestede tijd;
-
d) onderzoek dat uit de audit is voortgekomen, de onderbouwing voor de selectie hiervan en de toegepaste methode.
9.1.7.3 Het auditrapport moet voldoende gedetailleerd zijn om de certificatiebeslissing mogelijk
te maken en te ondersteunen. Het moet informatie bevatten over
-
a) de gebieden die de audit heeft bestreken (bijv. de certificatie-eisen en de vestigingen waar audits zijn uitgevoerd), met inbegrip van significante paden die zijn gevolgd en methoden die bij de audit zijn toegepast (zie IS 9.1.6);
-
b) de gedane waarnemingen, zowel positieve (bijv. kenmerken die het waard zijn benoemd te worden) als negatieve (bijv. potentiële non-conformiteiten);
-
c) details van geïdentificeerde non-conformiteiten, onderbouwd door objectieve bewijzen en een verwijzing van deze non-conformiteiten naar de eisen van NEN 7510 of andere voor de certificatie vereiste documenten;
-
d) opmerkingen op de conformiteit van het ISMS van de organisatie van de klant met de certificatie-eisen met een duidelijke verklaring van non-conformiteit, een verwijzing naar de versie van de Verklaring van Toepasselijkheid, en, indien van toepassing, een vergelijking met de resultaten van eerdere certificatieaudits bij de organisatie van de klant.
Ingevulde vragenlijsten, controlelijsten, waarnemingen, verslagen of aantekeningen
van auditoren kunnen een integraal deel uitmaken van het auditrapport. Als deze methoden
worden gebruikt, moeten deze documenten aan de certificatie-instelling worden overhandigd
als bewijs dat de certificatiebeslissing bekrachtigt. Informatie over tijdens de audit
geëvalueerde steekproeven moeten in het auditrapport of in andere certificatiedocumentatie
worden opgenomen.
Het rapport moet de bekwaamheid van de interne organisatie en de door de organisatie
van de klant toegepaste procedures om vertrouwen te geven in het ISMS in aanmerking
nemen.
Het rapport moet voldoen aan de in 9.1.10 van NEN-EN-ISO/IEC 17021 opgenomen eisen voor rapportage, en bovendien informatie bevatten over
-
— de mate van betrouwbaarheid die geldt voor de interne ISMS-audits en managementbeoordelingen;
-
— de belangrijkste waarnemingen, zowel positieve als negatieve, betreffende de implementatie en doeltreffendheid van het ISMS;
-
— de aanbeveling van het auditteam of het ISMS van de organisatie van de klant gecertificeerd behoort te worden of niet, met argumentatie die deze aanbeveling onderbouwt.
9.2 Initiële audit en certificatie
9.2.1 Algemeen
De eisen zoals vermeld in 9.2 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS -specifieke eisen en richtlijnen
van toepassing.
9.2.2 IS
9.2.1 Competentie van het auditteam
9.2.2.1 Algemeen
Naast de in
7.2 opgenomen eisen, gelden voor certificatie de volgende eisen. Voor controleactiviteiten
gelden alleen de eisen die relevant zijn voor de geplande controleactiviteit.
De volgende eisen gelden voor het auditteam als geheel.
-
a) Op elk van de volgende gebieden moet ten minste één lid van het auditteam voldoen aan de criteria van de certificatie-instelling, om binnen het team verantwoordelijkheid op zich te nemen op het gebied van
-
1) het managen van het team;
-
2) managementsystemen en -processen die van toepassing zijn op ISMS;
-
3) kennis van de wet- en regelgevende bepalingen op het voorliggende informatiebeveiligingsterrein;
-
4) het indentificeren van informatiebeveiligingsgerelateerde bedreigingen en trends in gebeurtenissen;
-
5) het identificeren van de kwetsbare punten van de organisatie van de klant en inzicht in de waarschijnlijkheid van het voorkomen, de impact, het mitigeren en het beheersen ervan;
-
6) kennis van ISMS-beheersmaatregelen en de implementatie ervan;
-
7) kennis van het beoordelen van de doeltreffendheid van het ISMS en het meten van de beheersmaatregelen;
-
8) gerelateerde en/of relevante ISMS-standaarden, best practices, veiligheidsbeleid en procedures;
-
9) kennis van methoden om incidenten te behandelen, en bedrijfscontinuïteit;
-
10) kennis van materieel en immaterieel informatiemiddelen en impactanalyse;
-
11) kennis van de actuele technologie waar beveiliging relevant of een probleem zou kunnen zijn;
-
12) kennis van risicomanagementprocessen en -methoden.
-
-
b) Het auditteam moet competent zijn om aanwijzingen over veiligheidsincidenten in het ISMS van de organisatie van de klant op te sporen teruggaand tot de typische elementen van het ISMS.
-
c) Het auditteam moet beschikken over passende werkervaring en ervaring in de praktische toepassing van de bovengenoemde punten (dit betekent niet dat een auditor moet beschikken over de algehele ervaring op alle terreinen van informatiebeveiliging, maar dat het auditteam als geheel moet beschikken over voldoende kennis en ervaring die de reikwijdte van het voorliggende ISMS bestrijkt).
Een auditteam mag uit één persoon bestaan mits die persoon voldoet aan alle criteria
zoals hiervoor onder a) vermeld.
9.2.2.2 Aantonen van competentie door auditor
Auditoren moeten kunnen aantonen dat zij beschikken over de bovengenoemde kennis en
ervaring, bij voorbeeld via
-
a) erkende ISMS-specifieke kwalificaties;
-
b) registratie als auditor;
-
c) erkende ISMS-opleidingen;
-
d) actuele documenten over continue beroepsontwikkeling;
-
e) praktisch bewijs door getuigende auditoren tijdens het ISMS-auditproces aan de hand van bij klanten bestaande systemen.
9.2.3 Algemene voorbereidingen voor de initiële audit
De certificatie-instelling moet verlangen dat een klant alle nodige voorbereidingen
voor het uitvoeren van de certificatieaudit treft, met inbegrip van het verschaffen
van de te onderzoeken documentatie en toegang tot alle onderdelen, registraties (met
inbegrip van interne auditrapporten en rapporten van onafhankelijke beoordelingen
van informatiebeveiliging) en personeel ten behoeve van een certificatieaudit, een
hercertificatieaudit en het oplossen van klachten.
Voorafgaand aan een certificatieaudit op locatie moet de klant ten minste de volgende
informatie leveren:
-
a) algemene informatie betreffende het ISMS en de activiteiten die het bestrijkt;
-
b) een exemplaar van de in 4.3.1 van NEN 7510 vereiste ISMS-documentatie en indien vereist, eraan gerelateerde documentatie.
9.2.4 Initiële certificatieaudit
9.2.4.1 IS Fase 1-audit
In deze fase van de audit moet de certificatie-instelling documentatie verkrijgen
over het ontwerp van het ISMS die voldoet aan de in 4.3.1 van NEN 7510 genoemde documentatie.
Het doel van de fase 1-audit is om inzicht te krijgen van het ISMS om de fase 2-audit
te plannen in de context van het ISMS-beleid en de -doelstellingen van de organisatie
van de klant, en in het bijzonder of de organisatie van de klant klaar is voor de
audit.
De fase 1-audit moet het beoordelen van de documenten omvatten, maar behoort hiertoe
niet beperkt te zijn. De certificatie-instelling moet met de organisatie van de klant
overeenkomen waar en wanneer de beoordeling van de documenten wordt uitgevoerd. In
elk geval moet de beoordeling van de documenten zijn afgerond voordat de fase 2-audit
begint.
De resultaten van de fase 1-audit moeten worden vastgelegd in een schriftelijk rapport.
De certificatie-instelling moet het rapport van de fase 1-audit beoordelen alvorens
te besluiten om te vervolgen met de fase 2-audit en om de teamleden van de fase 2-audit
met de nodige competentie te kunnen selecteren.
De certificatie-instelling moet de organisatie van de klant informeren welke soorten
informatie en registraties tijdens de fase 2-audit mogelijk nodig zijn voor gedetailleerd
onderzoek.
9.2.4.2 IS Fase 2-audit
9.2.4.2.1 De fase 2-audit vindt altijd plaats op de locatie(s) van de klant. Op basis van de
in het rapport van de fase 1-audit vastgelegde bevindingen, stelt de certificatie-instelling
een auditplan op voor het uitvoeren van de fase 2-audit. De doelstellingen van de
fase 2-audit zijn:
-
a) bevestigen dat de organisatie van de klant zich houdt aan haar eigen beleid, doelstellingen en procedures;
-
b) bevestigen dat het ISMS in overeenstemming is met alle eisen van NEN 7510 en de beleidsdoelstellingen van de klant haalt.
OPMERKING Paragraaf 4.3g van bijlage G geeft daarin aan hoe om te gaan met de beheersmaatregelen in hoofdstuk 5-15 van NEN 7510.
9.2.4.2.2 Om de punten a en b van
9.2.4.2.1 te bewerkstelligen moet de audit zijn gericht op
-
a) de beoordeling van beveiligingsgerelateerde risico's, en dat deze beoordelingen vergelijkbare en reproduceerbare resultaten opleveren;
-
b) de eisen zoals vermeld in bijlage G - Interpretatie van hoofdstuk 4 uit NEN 7510;
-
c) de selectie van beheersdoelstellingen en -maatregelen gebaseerd op de risicobeoordeling van risicobehandelingsprocessen;
-
d) beoordeling van de doeltreffendheid van het ISMS, metingen van de doeltreffendheid van de beheersmaatregelen, rapportage en beoordeling van de informatiebeveiliging ten opzichte van de ISMS-doelstellingen;
-
e) interne ISMS-audits en directiebeoordelingen;
-
f) verantwoordelijkheid van het management voor het informatiebeveiligingsbeleid;
-
g) overeenstemming tussen de gekozen en geïmplementeerde beheersmaatregelen, de Verklaring van Toepasselijkheid, en de resultaten van de risicobeoordeling, het risicobehandelingsproces en het beleid en de doelstellingen van het ISMS;
-
h) implementatie van beheersmaatregelen (zie bijlage D), rekening houdend met de metingen van de doeltreffendheid van beheersmaatregelen (zie d) om vast te stellen of beheersmaatregelen zijn geïmplementeerd en doeltreffend zijn om de verklaarde doelstellingen te halen;
-
i) programma's, processen, procedures, registraties, interne audits en beoordelingen van de doeltreffendheid van het ISMS om te waarborgen dat deze traceerbaar zijn tot managementbesluiten en ISMS-beleid en -doelstellingen.
9.2.4.3 IS Specifieke elementen van de ISMS-audit
9.2.4.3.1 Algemeen
De taak van de certificatie-instelling is om vast te stellen of klanten consistent
zijn in het vaststellen en handhaven van procedures voor het identificeren, onderzoeken
en evalueren van informatiebeveiligingsgerelateerde bedreigingen voor bedrijfsmiddelen,
kwetsbare punten en impact op de organisatie van de klant. Certificatie-instellingen
moeten
-
a) eisen dat de klant aantoont dat de analyse van beveiligingsgerelateerde bedreigingen relevant is en adequaat voor het functioneren van de organisatie van de klant;
OPMERKING De klant is verantwoordelijk voor het definiëren van de criteria op basis waarvan informatiebeveiligingsgerelateerde risico's van de organisatie van de klant worden geïdentificeerd als significant, en om procedure(s) te ontwikkelen om dit te doen.
-
b) vaststellen of de procedures van de organisatie van de klant voor het identificeren, onderzoeken en evalueren van informatiebeveiligingsgerelateerde bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact, en de resultaten van het toepassen hiervan, consistent zijn met het beleid, de doelstellingen en taakstellingen van de organisatie van de klant.
De certificatie-instelling moet ook vaststellen of de voor het analyseren van de significantie
gebruikte procedures correct zijn geïmplementeerd. Indien een informatiebeveiligingsgerelateerde
bedreiging voor bedrijfsmiddelen, een kwetsbaar punt of een impact op de organisatie
van de klant is geïdentificeerd als significant, moet deze binnen het ISMS worden
afgehandeld.
9.2.4.3.2 Naleving van wet- en regelgeving
Het onderhouden en evalueren van de naleving van wet- en regelgeving is de verantwoordelijkheid
van de klant. De certificatie-instelling moet zich beperken tot controles en steekproeven
om het vertrouwen te scheppen dat het ISMS in dit opzicht functioneert. De certificatie-instelling
moet verifiëren dat de klant een managementsysteem heeft dat bewerkstelligt dat wet-
en regelgeving worden nageleefd in overeenstemming met de informatiebeveiligingsrisico's
en -impact.
9.2.4.3.3 Integratie van ISMS-documentatie met documentatie voor andere managementsystemen
De klant kan de documentatie voor ISMS en andere managementsystemen (zoals voor kwaliteit,
gezondheid en veiligheid, en milieu) combineren zolang het ISMS duidelijk kan worden
geïdentificeerd samen met de passende raakvlakken naar de andere systemen.
9.2.4.3.4 Managementsysteemaudits combineren
Een certificatie-instelling mag andere managementsysteemcertificatie aanbieden, gekoppeld
aan de ISMS-certificatie, of alleen ISMS-certificatie.
De ISMS-audit kan worden gecombineerd met audits van andere managementsystemen. Deze
combinatie is mogelijk mits kan worden aangetoond dat de audit voldoet aan alle eisen
voor certificatie van het ISMS. Alle voor een ISMS belangrijke elementen moeten duidelijk
en snel identificeerbaar in de auditrapporten worden opgenomen. De kwaliteit van de
audit mag niet negatief worden beïnvloed door het combineren van de audits.
OPMERKING De gecombineerde audit wordt uitgevoerd conform de IAF MD11:2013 Mandatory Document for the application of ISO/IEC 17021 for audits of integrated management systems. Vanwege het afbreukrisico, de focus en de vereiste diepgang is bij de toepassing
van een gecombineerde audit te allen tijde het ISMS het uitgangspunt. Reductie van
de audittijd vindt conform IAF MD 11:2013 plaats nadat de audittijd voor ISMS (audittijd = A)
en KMS (audittijd = B) elk afzonderlijk zijn berekend en bij elkaar zijn opgeteld
(
). De reductie mag maximaal 20 % van de totaal berekende tijd voor beide audits (C)
bedragen mits aan de voorwaarden uit IAF MD 11:2013 is voldaan.
9.2.5 Informatie betreffende het verlenen van initiële certificatie
Om een basis te scheppen voor de certificatiebeslissing moet de certificatie-instelling
duidelijke rapporten verlangen die voldoende informatie geven om deze beslissing te
nemen.
Het auditteam moet in verschillende fasen van het certificatieauditproces rapport
uitbrengen aan de certificatie-instelling. In combinatie met de informatie uit de
dossiers moeten deze rapporten ten minste de onder IS 9.1.6 opgenomen informatie bevatten.
9.2.6 Certificatiebeslissing
De eenheid, dit kan een persoon zijn, die binnen de certificatie-instelling beslist
over het verlenen/intrekken van een certificatie, moet op alle gebieden beschikken
over een kennis- en ervaringsniveau dat voldoende is om de auditprocessen en de door
het auditteam in deze samenhang gedane aanbevelingen te evalueren.
De beslissing om het ISMS van de organisatie van een klant al dan niet te certificeren,
moet door de certificatie-instelling worden genomen op basis van de tijdens het certificatieproces
verzamelde informatie en overig relevante informatie. Degenen die de certificatiebeslissing
nemen, mogen niet hebben deelgenomen aan de uitvoering van de audit. Deze beslissing
moet zijn gebaseerd op de bevindingen en de certificatieaanbeveling van het auditteam,
zoals vermeld in hun certificatieauditrapport (zie IS
9.1.6), en overige relevante informatie die beschikbaar is voor de certificatie-instelling.
De eenheid die beslist over het verlenen van de certificatie behoort normaliter niet
in te gaan tegen een negatieve aanbeveling van het auditteam. Indien een dergelijke
situatie zich voordoet, moet de certificatie-instelling de basis voor de beslissing
om de aanbeveling te negeren, documenteren en rechtvaardigen.
Ten aanzien van het beslissen over de certificatie noemt NEN-EN-ISO/IEC 17021 geen specifieke termijn waarbinnen ten minste een volledige interne ISMS-audit en
een managementbeoordeling van het ISMS van de organisatie van de klant moeten hebben
plaatsgevonden. De certificatie-instelling mag die termijn bepalen. Ongeacht of de
certificatie-instelling een minimumfrequentie hiervoor heeft vastgesteld, moet de
certificatie-instelling maatregelen nemen om de doeltreffendheid van de managementbeoordeling
van de organisatie van de klant en de interne ISMS-auditprocessen te waarborgen.
Aan de organisatie van de klant mag geen certificatie worden verleend, totdat er voldoende
bewijs is om aan te tonen dat de afspraken voor managementbeoordelingen en interne
ISMS-audits zijn geïmplementeerd, van kracht zijn en worden gehandhaafd.
9.3 Controleactiviteiten
9.3.1 Algemeen
De eisen zoals vermeld in 9.3 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen
van toepassing.
9.3.2 Controleaudits
9.3.2.1 Procedures voor controleaudits moeten consistent zijn met de procedures voor de certificatieaudit
van het ISMS van de organisatie van de klant zoals omschreven in deze NTA.
Het doel van de controleaudit is om te verifiëren dat het goedgekeurde ISMS geïmplementeerd
blijft, om de implicaties van de als gevolg van wijzigingen in het bedrijf van de
klant aan dat systeem aangebrachte wijzigingen in aanmerking te nemen, en om blijvende
naleving van de certificatie-eisen te bevestigen. Controleauditprogramma's moeten
aandacht besteden aan:
-
a) de elementen van systeemonderhoud, zijnde interne ISMS-audit, managementbeoordeling en corrigerende maatregelen;
-
b) communicatie van externe partijen zoals vereist door NEN 7510 en overige voor certificatie vereiste documentatie;
-
c) wijzigingen in het gedocumenteerde systeem;
-
d) aan verandering onderhevige gebieden;
-
e) de uit NEN 7510 geselecteerde elementen;
-
f) overige geselecteerde gebieden voor zover van toepassing.
9.3.2.2 De controleaudit door de certificatie-instelling moet minimaal betrekking hebben op
het volgende:
-
a) de doeltreffendheid van het ISMS met betrekking tot het halen van de doelstellingen van het informatiebeveiligingsbeleid van de klant;
-
b) het functioneren van procedures voor de periodieke evaluatie en beoordeling van de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging;
-
c) ondernomen actie op non-conformiteiten die tijdens de meest recente audit zijn vastgesteld.
9.3.2.3 Controleaudit door de certificatie-instelling moet aandacht schenken aan de in NEN-EN-ISO/IEC 17021 voor controleaudits vereiste punten. Daarnaast moeten de volgende aangelegenheden
aan de orde komen.
-
a) De certificatie-instelling moet haar controleauditprogramma kunnen aanpassen aan de informatiebeveiligingsthema's die zijn gerelateerd aan de bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact op de organisatie van de klant en dit programma kunnen rechtvaardigen.
-
b) Het controleauditprogramma van de certificatie-instelling moet worden vastgesteld door de certificatie-instelling. De specifieke data waarop de bezoeken plaatsvinden mogen met de gecertificeerde klant worden overeengekomen.
-
c) Controleaudits mogen worden gecombineerd met audits van andere managementsystemen. De rapportage moet duidelijk de aspecten aanduiden die relevant zijn voor elk managementsysteem.
-
d) De certificatie-instelling moet controleren of het certificaat juist wordt gebruikt.
Tijdens controleaudits moeten certificatie-instellingen de beroeps- en klachtenregistraties
controleren die bij de certificatie-instelling zijn gedeponeerd. Indien een non-conformiteit
of niet-nakoming van de eisen van certificatie is vastgesteld, moet worden gecontroleerd
of de klant het eigen ISMS en en de eigen procedures heeft onderzocht en passende
corrigerende maatregelen heeft genomen.
Een controleauditrapport moet in het bijzonder informatie bevatten over het verhelpen
van non-conformiteiten die eerder zijn geconstateerd. Minimaal moeten de rapporten
van controleaudits als totaal de eisen van punt a) als geheel omvatten.
9.4 Hercertificatie
9.4.1 Algemeen
De eisen zoals vermeld in 9.4 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen
van toepassing.
9.4.2 Hercertificatieaudits
9.4.2.1 Procedures voor hercertificatieaudits moeten consistent zijn met de procedures voor
de certificatieaudit van het ISMS van de organisatie van de klant zoals omschreven
in deze NTA.
Certificatie-instellingen moeten duidelijke procedures hebben waarin de omstandigheden
en voorwaarden waaronder certificaties worden gehandhaafd, zijn vastgelegd. Indien
tijdens controle- of hercertificatieaudits non-conformiteiten blijken te bestaan,
moeten dergelijke non-conformiteiten binnen een met de certificatie-instelling overeengekomen
tijd doeltreffend worden gecorrigeerd. Indien de correctie niet binnen de overeengekomen
tijd plaatsvindt, moet de reikwijdte van de certificatie worden verminderd, of het
certificaat worden opgeschort of ingetrokken. De voor het implementeren van de corrigerende
actie toegestane tijd moet consistent zijn met de ernst van de non-conformiteit en
het risico voor de zekerheid dat de producten of diensten van de klant voldoen aan
de genoemde eisen.
9.5 Speciale audits
9.5.1 Algemeen
De eisen zoals vermeld in 9.5 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen
van toepassing.
9.5.2 IS 9.5 Speciale gevallen
De activiteiten die nodig zijn om speciale audits uit te voeren, vereisen speciale
voorbereiding wanneer een klant met een gecertificeerd ISMS belangrijke wijzigingen
aanbrengt in zijn systeem, of wanneer andere wijzigingen worden doorgevoerd die de
basis van zijn certificatie kunnen treffen.
9.6 Schorsing, intrekking of beperking van het toepassingsgebied van de certificatie
De eisen zoals vermeld in 9.6 van NEN-EN-ISO/IEC 17021 zijn van toepassing.
9.7 Beroep
De eisen zoals vermeld in 9.7 van NEN-EN-ISO/IEC 17021 zijn van toepassing.
9.8 Klachten
9.8.1 Algemeen
De eisen zoals vermeld in 9.8 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen
van toepassing.
9.8.2 Klachten
Klachten zijn een bron van informatie over mogelijke non-conformiteiten. De certificatie-instelling
moet van de gecertificeerde klant eisen dat de gecertificeerde klant na ontvangst
van een klacht de oorzaak van de klacht vaststelt en indien van toepassing hierover
rapporteert, met inbegrip van vooraf bepaalde (of aanleidinggevende) factoren binnen
het ISMS van de klant.
De certificatie-instelling moet ervoor zorgen dat de klant dergelijk onderzoek benut
om herstel-/corrigerende maatregelen te nemen, met inbegrip van maatregelen
-
a) ter kennisgeving aan de aangewezen autoriteiten indien vereist door de regelgeving;
-
b) om de conformiteit te herstellen;
-
c) om herhaling te voorkomen;
-
d) om negatieve veiligheidsincidenten en de impact ervan te evalueren en te verminderen;
-
e) die voldoende interactie waarborgen met andere onderdelen van het ISMS;
-
f) om de doeltreffendheid van de genomen herstel/corrigerende maatregelen te beoordelen;
-
g) de certificatie-instelling moet eisen van elke klant wiens ISMS is gecertificeerd om, desgevraagd, de registraties van alle klachten en de in overeenstemming met de eisen van NEN 7510 genomen corrigerende maatregelen aan de certificatie-instelling beschikbaar te stellen.
9.9 Registraties van aanvragers en klanten
De eisen zoals vermeld in 9.9 van NEN-EN-ISO/IEC 17021 zijn van toepassing.