Is het implementatietraject goed op weg en een planning voor de afronding ervan beschikbaar? Als de wens is om te certificeren voor de norm dan is het nu wellicht een goed moment om te gaan kijken naar de volgende stap in het proces en de stappen t.b.v. certificering voor ISO 27001.
Om voor het eerst te gaan certificeren voor de ISO 27001 spreek je van een initiële audit en deze audit zal altijd moeten worden uitgevoerd door een Certificerende Instelling (CI). De eerste stap is het uitzoeken van een Certificerende Instelling.
Er zijn door de Raad van de Accreditatie (RvA) geaccrediteerde CI’s en niet-geaccrediteerde CI’s. Formeel geaccrediteerde CI’s zijn door de RvA d.m.v. internationale normen getoetst vooral op deskundigheid, onpartijdigheid, onafhankelijkheid en procesbewaking. Deze instanties mogen vervolgens ook gebruik maken van het accreditatiemerk o.a. op hun certificaten en rapporten en deze worden in vrijwel alle landen wereldwijd geaccepteerd. De RvA verleent accreditatie voor een specifiek werkgebied op basis van een specifieke, vastgelegde methode (de scope). Dat is de afbakening van wat wel en wat niet onder accreditatie valt. Het feit dat een organisatie geaccrediteerd is, zegt pas écht wat in combinatie met de scope waarvoor de accreditatie is afgegeven. Niet-geaccrediteerde partijen hebben een dergelijke deskundigheidstoetsing door de RvA niet ondergaan.
Na het uitkiezen van één of meerdere Certificerende Instellingen worden offertes opgevraagd bij deze partijen. De CI zal voor het goed kunnen beoordelen van de aanvraag informatie opvragen bij de te certificeren organisatie gerelateerd aan het certificeringstraject. Onderwerpen hierin zijn o.a. de scope, complexiteit van de organisatie, gewenste periode van uitvoering van de audit. Aan de hand daarvan zal de CI besluiten óf ze de aanvraag kunnen verwerken en vervolgens een voorstel opstellen voor de initiële audit uit te voeren in jaar 1, de controle audits benodigd in jaar 2 en 3 en een her-certificeringsaudit.
De initiële certificatie audit valt uiteen in twee delen, een fase 1 en een fase 2. Voorafgaand aan de audit ontvangen jullie van de auditor CI een programma met daarin een planning en onderwerpen voor fase 1 en een concept programma voor fase 2. Na beëindiging van de fase 1 stelt deze een definitief programma op voor fase 2.
Deze zal vaak bestaan uit:
Mede op grond van de bevindingen wordt na de afronding van de Fase 1 van de audit een gedetailleerd programma opgesteld voor de fase 2 van de audit. Dit deel van de audit zal vaak bestaan uit een praktijktoetsing waarin op objectieve wijze moet worden vastgesteld of het gedocumenteerde systeem voldoende geïmplementeerd is in jullie bedrijfsvoering en overeenkomstig en effectief werkt. Op basis van steekproeven van onderhanden zijnde werkzaamheden en/of (afgeronde) projecten en via vraaggesprekken met de medewerkers wordt de doeltreffendheid van het beleid en de relevante processen en systemen onderzocht. Via voorbeelden en interviews wil de auditor kunnen vaststellen dat jullie de werkzaamheden goed beheersen en waar nodig aan verbetering wordt gewerkt.
Voor deze tweede fase beoordeling geldt dat het kwaliteitssysteem circa drie maanden geïmplementeerd dient te zijn!
N.a.v. beide fasen kan controle-informatie dient te worden getoetst aan de toetsingscriteria om controlebevindingen bepalen. Auditbevindingen kan conformiteit of niet-conformiteit met audit criteria aan te geven. Wanneer opgegeven door de audit plan, individuele audit bevindingen moet ook overeenstemming en goede praktijken samen met hun bewijsstukken, de mogelijkheden voor verbetering, en eventuele aanbevelingen aan de gecontroleerde.
Afwijkingen en controle-informatie moet worden geregistreerd. Afwijkingen kunnen worden ingedeeld. Ze moeten worden beoordeeld met de gecontroleerde om bevestiging te verkrijgen dat de controle-informatie accuraat zijn en dat de onvolkomenheden worden begrepen. Elke poging moet worden gedaan om eventuele uiteenlopende lossen adviezen met betrekking tot de controle-informatie of bevindingen, en onopgeloste punten moeten worden geregistreerd.
Het auditteam moet voldoen als nodig is om herziening van de controlebevindingen in geschikte fasen tijdens de audit.
Het auditteam moet voorafgaand aan de afsluitende bijeenkomst eenduidige zijn over de auditconclusies om:
Conclusies van de audit kunnen de volgende kwesties bevatten:
Indien van toepassing kunnen audit conclusies leiden tot aanbevelingen voor verbetering, of leiden tot toekomstige controlewerkzaamheden.
Een slotvergadering, gefaciliteerd door de lead auditor, wordt gehouden om de audit bevindingen en conclusies terug te koppelen. Deelnemers aan de slotbijeenkomst moeten betrokken zijn geweest op dat wat in de audit is beoordeeld. Indien van toepassing, dient de lead auditor de gecontroleerde situaties adviseren zich gedurende de controle dat het vertrouwen dat in de conclusies van de audit kan worden geplaatst kan afnemen. indien gedefinieerd in het systeem of in overleg met de controlecliënt, moeten de deelnemers het eens over de tijdschema voor een actieplan om controlebevindingen pakken.
Op basis van het eindrapport kan besloten worden om over te gaan tot certificering. Indien correctieve acties genomen dienen te worden dienen deze eerst door de auditor te worden beoordeeld. Op basis hiervan kan de auditor bij de certificeringsmanager het eindrapport aanleveren. De certificeringsmanager besluit tot het certificeren. Indien wordt besloten tot certificering wordt het certificaat opgesteld en een aanbiedingsbrief verstuurd. Hierbij wordt een overeenkomst bijgevoegd hoe om te gaan met het logo in uitingen van de klant.
Informatie-uitwisseling tussen opdrachtgever en certificatie instelling; bepalen of verandering in het auditprogramma nodig zijn. In principe wordt de agenda aangehouden zoals die na de initiële audit is overhandigd in het auditplan.
Drie jaar na de initiële audit dient weer een een volledige her-certificering uitgevoerd te worden door de CI. Hierbij worden alle normen getoetst conform het auditprogramma zoals is overeengekomen in het auditrapport van de initiële audit alsmede eventuele bijzonderheden uit de controle-audit in het jaar ervoor.
Onze consultants komen graag met je in contact, bel +31 85-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ managementsysteem voor informatiebeveiliging kost doorgaans behoorlijk wat tijd.
Deze wereldwijd meest ingezette norm voor kwaliteitsbeheersing is gericht op het inzichtelijk maken of een organisatie in staat is om te voldoen aan de eisen die aan haar worden gesteld.
Dé norm voor Informatiebeveiliging binnen de zorgsector in Nederland. Gebaseerd op ISO 27001 met extra aandachtspunten specifiek bedoeld voor de zorg.
De consultants van Avensus Security hebben jarenlange ervaring in het pragmatisch en doeltreffend ondersteunen van een breed scala aan organisaties en hun leveranciers rondom het vraagstuk Informatiebeveiliging, Kwaliteit- en Milieumanagement. Bij bijna alle klanten zetten we tijdens een implementatie traject aan de hand van de betreffende norm in gezamenlijkheid met de klant een managementsysteem op.
Door deze opgebouwde kennis en ervaring hebben de consultants ook zeer praktische suggesties t.a.v. de inrichting van de processen en vele voorbeelden van documenten die bij de implementatie gebruikt kunnen worden. Daarnaast is het merendeel van de consultants Lead Auditor en zijn zij goed op de hoogte van het verloop en de vereisten van een certificeringstraject.
Avensus heeft de kennisexperts in huis: implementatie specialisten, consultants, lead auditors en trainers op het gebied van managementsystemen: ISO 9001, ISO 14001, ISO 20000, ISO 22301, ISO 26000, ISO 27001, ISO 31000, NEN 7510, etc.
