Certifikácia systémov manažérstva bezpečnosti informácií (ISMS) podľa ISO 27001

 

Certifikácia, čiže posudzovanie zhody, je definované ako akcia vykonávaná nezávislou treťou stranou, ktorá dokazuje, že existuje dostatok dôvery, že príslušne označený výrobok, postup alebo služba je v zhode s určitou normou. Konkrétne to znamená, že systémy manažérstva bezpečnosti informácií /ďalej ISMS/ môžu byť certifikované podľa normy ISO 27001, pričom certifikačný orgán musí overením – certifikačným auditom zistiť, že systém zodpovedá požiadavkám danej normy.
V prípade certifikácie musí byť v ročných intervaloch preverené, či stav zistený pri prvom preverení naďalej pretrváva.
K vlastnému postupu:

 

1. Prípravná časť

Po nadviazaní kontaktu s naším certifikačným orgánom a úvodnej informácii podáte nezáväznú Žiadosť o zostavenie ponuky na certifikáciu systému manažérstva. Certifikačný orgán žiadosť prešetrí a následne obdržíte Cenovú ponuku na certifikáciu systému manažérstva. Pokiaľ s ponukou súhlasíte, podáte záväznú Žiadosť o certifikáciu systému manažérstva, na základe ktorej Vám bude pridelené registračné číslo - Oznámenie o zaregistrovaní žiadosti a uzatvorená Zmluva o certifikácii ISMS.

Pre vykonanie certifikácie vo Vašej organizácii je potrebné, aby ste poskytli nasledovné doklady:
- základné smernice ISMS,
- ďalšie právne normy a predpisy vzťahujúce sa k predmetu certifikovanej činnosti,
- politiku ISMS/prehlásenie o aplikovateľnosti,
- register relevantných rizík,

- program/y ISMS.
Doručením týchto dokumentov organizácia splní požiadavky pre ďalší postup certifikácie. V prípade, že podklady pre certifikáciu nie sú úplné, certifikačný orgán Vám to oznámi a prehodnotí s Vami ďalší možný postup.


2. Samotný proces certifikácie systému manažérstva bezpečnosti informácií

Pozostáva z nasledujúcich etáp:


I. etapa auditu
Po odovzdaní a prehodnotení všetkých potrebných podkladov sa vypracuje a Vami odsúhlasí Plán I. etapy auditu a Termín I. etapy auditu.
Jej účelom je posúdiť pripravenosť Vašej spoločnosti na certifikačný audit a odhaliť nezhody, ktoré by mohli zabrániť alebo inak obmedziť ďalší výkon certifikácie. V prípade, že počas tohto auditu budú zistené nezhody, musíte tieto odstrániť v stanovenej lehote. Zistenia z auditu budú spracované a Vám zaslané v Protokole z I. etapy auditu.


II. etapa auditu (certifikačný audit)
V rámci II. etapy auditu sa vypracuje a Vami odsúhlasí Plán II. etapy auditu a Termín II. etapy auditu.
Účelom tohto auditu je potvrdenie, že:
- organizácia dodržiava stanovené postupy, napĺňa svoju politiku ISMS
- dosahuje stanovené ciele, hodnotí riziká,
- systém zodpovedá všetkým požiadavkám ISO 27001.
Z tohto auditu bude následne vypracovaný Protokol z II. etapy auditu ISMS.
Vydanie certifikátu

Ak bude certifikačným auditom potvrdený súlad Vášho ISMS so štandardom, bude Vám vydaný certifikát s platnosťou 3 roky. V prípade, ak boli počas auditu zistené nezhody, ktoré sa dajú odstrániť do 3 mesiacov, certifikát Vám bude vydaný po ich odstránení. V prípade, že nie je možné vydať certifikát do 3 mesiacov po vykonaní certifikačného auditu, musí byť vykonaný nový certifikačný audit po odstránení nezhôd.
Certifikát bude vystavený v slovenskom a v anglickom jazyku, prípadne aj v inom jazyku.
Použitie certifikačnej značky
V prípade, že budete mať záujem prezentovať svoj certifikovaný systém manažérstva bezpečnosti informácií na rôznych propagačných materiáloch, dokumentoch alebo iným spôsobom, poskytneme Vám po podpísaní Licenčnej zmluvy certifikačnú značku, ktorú môžete na tieto účely využívať v súlade s podmienkami zmluvy.


3. Výkon dozoru nad certifikovaným systémom manažérstva

Certifikát má platnosť 3 roky za predpokladu vykonania dozoru certifikačným orgánom minimálne 1 krát ročne /v prípade potreby môžu byť tieto dozory vykonávané aj častejšie/. Certifikačný orgán je tiež povinný dohliadať, aby certifikáty a certifikačné značky boli správne použité.
Úlohy dozoru sú stanovené v zmluve, ktorú uzatvárate s certifikačným orgánom pred vydaním certifikátu.


4. Recertifikácia (opakované posudzovanie)

Na predĺženie platnosti certifikátu je potrebné vykonať recertifikáciu /opakované posudzovanie/. Rozsah a náklady pre opakované posudzovanie sa pohybujú medzi nákladmi na dozor a prvú certifikáciu. Postup vykonania recertifikácie je zhodný s etapou certifikácie a etapou dozoru a podmienky sú zmluvne dohodnuté.
Ďalšie informácie o certifikácii systémov manažérstva bezpečnosti informácií Vám poskytne vedúci oddelenia pre EMS/SM BOZP.


tlačivá:

Žiadosť o certifikáciu

Žiadosť o zostavenie ponuky na certifikáciu systému manažérstva