Bijlage C

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
(informatief)

Tijdsduur van de audit

C.1   Inleiding

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Deze bijlage bevat nadere informatie met betrekking tot 9.1, 9.2, 9.3 en 9.4 van NEN-EN-ISO/IEC 17021. Deze informatie behoort ook te worden gelezen in combinatie met IS.9 1.3, IS 9.1.4, IS 9.1.6, IS 9.1.7, IS 9.2.4.1, IS 9.2.4.2 en IS 9.2.4.3 van deze NTA. Deze bijlage bevat richtlijnen voor een certificatie-instelling om eigen procedures te ontwikkelen ter bepaling van de hoeveelheid tijd die nodig is voor het certificeren van ISMS-toepassingsgebieden van klanten van verschillende omvang en complexiteit over een breed spectrum van activiteiten.
Certificatie-instellingen behoren voor elke klant en gecertificeerd ISMS de hoeveelheid tijd te bepalen die een auditor behoort te besteden aan initiële certificatie, controlecertificatie en hercertificatie. Het in de auditplanningsfase gebruiken van deze bijlage kan leiden tot een consistente benadering bij het vaststellen van de hoeveelheid tijd die een auditor nodig heeft. Tegelijkertijd bieden de richtlijnen in deze bijlage flexibiliteit in het licht van de bevindingen gedurende het verloop van de audit, in het bijzonder tijdens de fase 1-audit, en de complexiteit van het ISMS-toepassingsgebied in aanmerking nemend.

C.2   Procedure om de tijdsduur van de audit te bepalen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De ervaring heeft geleerd dat de reikwijdte van het ISMS, het aantal medewerkers (zie tabel C.1), en de omvang, kenmerken, complexiteit en significantie van potentiële informatiebeveiligingsrisico's bepalend zijn voor de tijd die nodig is voor ISMS-audits. IS 9.1.4, IS 9.2.4.1, IS 9.2.4.2 en IS 9.2.4.3 bevatten criteria die in aanmerking behoren te worden genomen bij het vaststellen van de tijd die een auditor nodig heeft. Van deze en andere factoren behoort tijdens het contractbeoordelingsproces de potentiële impact op de hoeveelheid toe te wijzen auditortijd te worden onderzocht.
Het is belangrijk op te merken dat al deze factoren in aanmerking behoren te worden genomen bij het vaststellen van de audittijdsduur, en tabel C.1 niet geïsoleerd kan worden gebruikt.
De volgende voorbeelden illustreren factoren die de tijdsduur van de audit kunnen beïnvloeden (zie ook IS 9.1.4):
  • factoren in verband met de omvang van het ISMS-toepassingsgebied (bijv. aantal gebruikte informatiesystemen, aantal gebruikers, aantal bevoorrechte gebruikers, aantal IT-platforms, aantal netwerken en de omvang ervan);
  • factoren in verband met de complexiteit van het ISMS (bijv. kwetsbaarheid van informatiesystemen, risicosituatie van het ISMS, hoeveelheden en soorten behandelde en verwerkte gevoelige en kritische informatie, aantal en soorten elektronische transacties, aantal en omvang van ontwikkelingsprojecten, omvang van op afstand werken, omvang van de ISMS-documentatie);
  • de soort(en) activiteit(en) die binnen het toepassingsgebied van het ISMS wordt/worden uitgevoerd, en de beveiligings-, wettelijke, regelgevende, contractuele en zakelijke eisen in verband met deze soort(en) activiteit(en);
  • de omvang en diversiteit van de binnen de implementatie van de verschillende onderdelen van het ISMS toegepaste technologie (zoals de geïmplementeerde controles, documentatie en/of procescontrole, corrigerende/preventieve actie, informatiesystemen, IT-systemen en netwerken, bijv. of deze vast, mobiel, draadloos, extern of intern zijn);
  • het aantal vestigingen binnen het toepassingsgebied van het ISMS, hoe gelijksoortig of verschillend deze vestigingen zijn, en of bij al deze vestigingen of bij een steekproef een audit wordt uitgevoerd;
  • voorheen aangetoonde prestatie van het ISMS;
  • de binnen de reikwijdte van het ISMS toegepaste mate van uitbesteding en afspraken met derden, en de afhankelijkheid van deze diensten;
  • de normen, wet- en regelgeving die voor de certificatie gelden, en eventuele sectorspecifieke eisen die mogelijk gelden.
In verband met de uitgebreide eisen die gelden voor een managementsysteem voor informatiebeveiliging wegens de specifieke eisen die aan een ISMS worden gesteld, zoals het ISMS-beleid, risicomanagement, en de aan het ISMS verbonden controledoelstellingen en controles, kost het certificeren van een ISMS meestal meer tijd dan het certificeren van een kwaliteitsmanagementsysteem of een milieumanagementsysteem. De certificatie-instelling behoort
  • a) de logica en consistentie te controleren van de methode op basis waarvan de klant de significantie van zijn informatiebeveiligingsrisico's en -impact vaststelt;
  • b) te bevestigen dat het systeem, dat is ontworpen om de naleving te bewerkstelligen van alle relevante wetgeving en overige eisen die voor het ISMS gelden, hiertoe in staat is en dat dit systeem is geïmplementeerd en wordt onderhouden;
  • c) te bevestigen dat de controledoelstellingen en controles correct zijn geselecteerd en geïmplementeerd, dat de doeltreffendheid ervan is gemeten en dat het proces om ‘preventie van en een adequate reactie op beveiligingsgebreken’ te bereiken, correct is en wordt aangehouden;
  • d) te bevestigen dat aan de documenteisen van het ISMS van de klant wordt voldaan;
  • e) te reageren op de uitgebreide eisen die volgen uit de fase 1-audit.

C.3   Auditortijdtabel

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

C.3.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Tabel C.1 geeft een gemiddeld aantal dagen voor een initiële audit (in deze tabel en in het volgende behoren hiertoe eveneens de dagen voor de fase 1-audit en de fase 2-audit), waarvan de ervaring heeft geleerd dat deze passend zijn voor een ISMS-toepassingsgebied met een bepaald aantal medewerkers. De ervaring heeft ook geleerd dat voor ISMS-toepassingsgebieden van een gelijksoortige omvang, voor sommige audits meer en voor andere minder tijd nodig is.
De wisselende tijdsduur voor elke certificatie is afhankelijk van een aantal factoren, o.a. de omvang, de reikwijdte van de audit, de logistiek, de complexiteit van de organisatie en de mate waarin de organisatie van de klant klaar is voor de audit (zie ook C.2). Van deze en andere factoren behoort tijdens het contractbeoordelingsproces de potentiële impact op de hoeveelheid toe te wijzen auditortijd te worden onderzocht. Daarom kan de auditortijdtabel niet geïsoleerd worden toegepast.
Tabel C.1 biedt het raamwerk dat kan worden gebruikt voor het plannen van een audit door een beginpunt te identificeren gebaseerd op het totale aantal medewerkers voor alle ploegen, door dit gegeven aan te passen gebaseerd op de significante factoren die voor het ISMS-toepassingsgebied gelden, en door aan elke factor een additief of subtractief gewicht toe te kennen om het basisgetal nader te bepalen. De in tabel C.1 gebruikte termen worden in C.3.2 verklaard.
Tabel C.1Auditortijdtabel
Aantal werknemers QMS
Auditortijd voor initiële audit (auditordagen)
EMS
Auditortijd voor initiële audit (auditordagen)
ISMS Auditortijd voor initiële audit (auditordagen) Additieve en subtractieve factoren Totale auditortijd
1 − 2 1,5 2,5 1,5 Zie C 2  
3 − 5 1,5 2,5 2 Zie C.2  
6 − 9 2 3 3 Zie C 2  
10 − 15 2,5 3,5 3,5 Zie C 2  
16 − 25 3 4,5 5 Zie C 2  
26 − 45 4 5,5 6 Zie C 2  
46 − 65 5 6 7 Zie C 2  
66 − 85 6 7 8 Zie C 2  
86 − 125 7 8 9 Zie C 2  
126 − 175 8 9 11 Zie C 2  
176 − 275 9 10 12 Zie C 2  
276 − 425 10 11 13 Zie C 2  
426 − 625 11 12 15 Zie C 2  
626 − 875 12 13 16 Zie C 2  
876 − 1 175 13 15 18 Zie C 2  
1 176 - 1 550 14 16 19,5 Zie C 2  
1 551 - 2 025 15 17 21 Zie C 2  
2 026 - 2 675 16 18 22 Zie C 2  
2 676 - 3 450 17 19 23 Zie C 2  
3 451 - 4 350 18 20 24 Zie C 2  
4 351 - 5 450 19 21 25 Zie C 2  
5 451 - 6 800 20 23 26 Zie C 2  
6 801 - 8 500 21 25 27 Zie C 2  
8 501 - 10 700 22 27 28 Zie C 2  
> 10 700 Bovenstaande progressie volgen Bovenstaande progressie volgen Bovenstaande progressie volgen Zie C 2  

C.3.2   Verklaring van termen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De term ‘werknemers’ in tabel C.1 verwijst naar alle personen waarvan de werkactiviteiten verband houden met de reikwijdte en het toepassingsgebied van het ISMS. Het totale aantal werknemers voor alle ploegen is het beginpunt om de audittijdsduur te bepalen.
Het werkelijke aantal werknemers omvat ook de niet-permanente werknemers (seizoenswerknemers, tijdelijke werknemers en werknemers die via een onderaannemingscontract in dienst zijn) die ten tijde van de audit aanwezig zijn. Een certificatie-instelling behoort met de organisatie waar de audit wordt uitgevoerd de tijd van de audit af te spreken die optimaal de volledige reikwijdte van de organisatie aantoont. Deze overweging kan naar goeddunken betrekking hebben op seizoen, maand, dag/datum en ploegendienst.
Parttime werknemers behoren te worden behandeld als fulltime-equivalent werknemers. Deze vaststelling hangt af van het aantal gewerkte uren in vergelijking met een fulltime werknemer.
De term ‘auditortijd’ omvat de door een auditor of auditteam bestede tijd aan de fase 1-audit, de fase 2-audit en de planning (met inbegrip van eventuele beoordeling van documenten die extern plaatsvindt), het tot stand brengen van de verbinding met de organisatie en het personeel, de registraties, de documentatie, het proces, alsmede het opstellen van het rapport. Gebruikelijk reduceert de ‘auditortijd’ die wordt besteed aan de planning en het rapport de totale op locatie bestede auditortijd niet tot minder dan 70 % van de in de auditortijdtabel aangegeven tijd. Indien de planning en het opstellen van het rapport meer tijd vragen, is dat geen gegronde reden om de op locatie aan de audit te besteden tijd te verminderen. Reistijd van de auditor is niet begrepen in deze berekening, en behoort te worden toegevoegd aan de in tabel C.1 genoemde auditortijd.

OPMERKING 1 70 % is een op de ervaring van ISMS -audits gebaseerd getal.

Indien voor de audit technieken op afstand worden gebruikt, zoals interactieve samenwerking via internet, vergaderen via internet, teleconferenties en/of elektronische verificatie van de processen van de organisatie, dan behoren deze activiteiten in het auditplan (zie IS 9.1.6) te worden geïdentificeerd en mogen worden beschouwd als ten dele bijdragend aan de totale ‘op locatie bestede auditortijd’.
Indien de certificatie-instelling een audit plant waarvoor de op afstand uitgevoerde activiteiten meer dan 30 % van de geplande auditortijd op locatie bedragen, dan behoort de certificatie-instelling het auditplan te verantwoorden en van de accreditatie-instelling specifieke goedkeuring te verkrijgen alvorens dit plan te implementeren.

OPMERKING 2 Auditortijd op locatie verwijst naar de auditortijd op locatie toegewezen aan de individuele locaties. Elektronische audits van vestigingen op afstand worden beschouwd als audits op afstand, zelfs indien de elektronische audits fysiek op de locatie van de organisatie worden uitgevoerd.

‘Auditortijd’ zoals vermeld in tabel C.1 is bedoeld in de zin van ‘auditordagen’. Een ‘auditordag’ is gebruikelijk een volledige normale werkdag.
Voor de initiële auditcyclus behoort de controletijd voor een bepaalde organisatie proportioneel te zijn aan de aan de initiële audit bestede tijd, waarbij de per jaar totaal aan controle bestede tijd ongeveer 1/3 behoort te zijn van de aan de initiële audit bestede tijd. Van tijd tot tijd, ten minste bij een hercertificatieaudit, behoort bij de geplande controletijd te worden beoordeeld of er aanleiding is om wijzigingen in de organisatie of in het systeem aan te brengen.
De totale tijdsduur die nodig is om de hercertificatie uit te voeren, zal afhangen van de bevindingen van de beoordeling zoals gedefinieerd in IS 9.1.7 van deze NTA en 9.4 van NEN-EN-ISO/IEC 17021. De tijd voor hercertificatie behoort proportioneel te zijn aan de tijd die zou worden besteed aan een initiële audit in dezelfde organisatie, en behoort circa 2/3 van de tijd te bedragen die nodig zou zijn voor een initiële certificatieaudit van dezelfde organisatie op het moment dat in deze organisatie een hercertificatieaudit wordt uitgevoerd. Een hercertificatieaudit gaat verder dan een routinecontrole, maar indien een hercertificatieaudit wordt uitgevoerd in combinatie met een gepland routinecontrolebezoek, mag voor de hercertificatie dezelfde tijd gelden als voor de controle. Ongeacht de conclusie die wordt getrokken, geldt IS 9.1.3.
Na het vaststellen van van de nodige auditortijd op basis van het aantal werknemers, behoren, naast de in C.2 genoemde factoren, bepaalde factoren in aanmerking te worden genomen die van invloed kunnen zijn op de actuele auditortijd die nodig is om een doeltreffende audit voor het specifieke ISMS uit te voeren.
Voorbeelden van factoren die extra auditortijd nodig kunnen maken (additieve factoren), zijn:
  • gecompliceerde logistiek met meer dan één gebouw of locatie in het toepassingsgebied van het ISMS;
  • meertalige werknemers (waardoor (een) tolk(en) nodig is/zijn, of waardoor individuele auditoren niet onafhankelijk van elkaar kunnen werken);
  • hoge graad van regelgeving;
  • het ISMS heeft betrekking op zeer complexe processen of een relatief hoog aantal of unieke activiteiten;
  • de processen omvatten een combinatie van hardware, software, proces en dienstverlening;
  • activiteiten die het bezoeken van tijdelijke vestigingen nodig maken om de activiteiten van de permanente vestiging(en) te bevestigen waarvan het managementsysteem het onderwerp van certificatie is.

OPMERKING 3 In situaties waarin de te certificeren of gecertificeerde organisatie zijn product(en) of dienst(en) op tijdelijke vestigingen voortbrengt, is het belangrijk dat de evaluatie van dergelijke vestigingen wordt opgenomen in de certificatieaudit en de controleprogramma's.

Voorbeelden van factoren die minder auditortijd nodig kunnen maken (subtractieve factoren), zijn:
  • producten/processen met geen of een laag risico;
  • voorafgaande kennis van de organisatie (bijv. wanneer de organisatie door dezelfde certificatie-instelling al is gecertificeerd met betrekking tot een andere norm);
  • de mate waarin de klant is voorbereid op certificatie (bijv. al is gecertificeerd of erkend door een certificatieprogramma van een andere partij);
  • processen die betrekking hebben op een enkelvoudige algemene activiteit (bijv. alleen service);
  • de volwassenheid van het managementsysteem;
  • een hoog percentage werknemers die dezelfde eenvoudige taken verrichten.
Een tijdelijke vestiging is een locatie anders dan de vestigingen/locaties die zijn geïdentificeerd in het certificatiedocument waarin activiteiten binnen de reikwijdte van de certificatie zijn geïmplementeerd voor een bepaalde tijd. Deze vestigingen kunnen variëren van belangrijke projectmanagementvestigingen tot service-/installatievestigingen van minder belang. De noodzaak om dergelijke vestigingen te bezoeken en de omvang van de steekproeven behoren te worden gebaseerd op een evaluatie van de aan een product of dienst verbonden risico’s dat wegens een afwijking van het systeem niet wordt voldaan aan de eisen/verwachtingen. De voor een steekproef geselecteerde vestigingen behoren een afspiegeling te zijn van het scala aan competenties binnen de organisatie en variaties in dienste, in aanmerking nemend de omvang en soort van activiteiten, en de verschillende fasen van projecten in voortgang.
Alle kenmerken van het toepassingsgebied van het ISMS, processen en producten/diensten behoren in aanmerking te worden genomen en een correcte aanpassing behoort te worden aangebracht voor de factoren die meer of minder tijd van de auditor rechtvaardigen om een doeltreffende audit uit te voeren. Additieve factoren kunnen wegvallen tegen subtractieve factoren. In alle gevallen waarin aanpassingen worden aangebracht aan de in tabel C.1 vermelde tijd, behoren voldoende bewijsmateriaal en registraties te worden aangelegd om de afwijking te verklaren.
Figuur C.1 illustreert de invloed van additieve en subtractieve factoren op de auditortijd die is vermeld in tabel C.1.
Figuur C.1Invloed van additieve en subtractieve factoren op de auditortijd
fig_C.1