9   Proceseisen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.1   Algemene eisen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.1.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.1 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen van toepassing.

9.1.2   Algemene ISMS-auditeisen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.1.2.1   Criteria van de certificatieaudit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De criteria waartegen de audit van het ISMS van een klant wordt uitgevoerd, moeten de criteria zijn zoals vermeld in NEN 7510, bijlage G van dit document en andere documenten die noodzakelijk zijn voor de uitgeoefende functie. Indien een verklaring nodig is betreffende de toepassing van deze documenten op een bepaald certificatieprogramma, moet een dergelijke verklaring worden gegeven door een relevante en onpartijdige commissie of door personen die de nodige technische competentie bezitten, en door de certificatie-instelling worden gepubliceerd.

9.1.2.2   Beleid en procedures

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De documentatie van de certificatie-instelling moet het beleid en de procedures voor het implementeren van het certificatieproces bevatten, met inbegrip van controles voor het gebruik en de toepassing van documenten gebruikt voor het certificeren van ISMS'en en de procedures voor het uitvoeren van een audit en het certificeren van het ISMS van de organisatie van de klant.

9.1.2.3   Auditteam

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Het auditteam moet formeel worden benoemd en de juiste werkdocumenten ontvangen. Het plan voor en de data van de audit moeten worden overeengekomen met de klant. Het aan het auditteam gegeven mandaat moet duidelijk worden gedefinieerd en bekend worden gemaakt aan de klant. Het mandaat vereist dat het auditteam de structuur, het beleid en de procedures van de organisatie van de klant onderzoekt en bevestigt dat deze voldoen aan alle voor de reikwijdte van de certificatie relevante eisen, en dat de procedures zijn geïmplementeerd en zodanig zijn dat men vertrouwen kan hebben in het ISMS van de klant.

9.1.3   IS Reikwijdte van de certificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Het auditteam moet de audit van het ISMS van de klant uitvoeren binnen het gedefinieerde toepassingsgebied en alle toepasselijke certificatie-eisen in aanmerking nemen. De certificatie-instelling moet ervoor zorgen dat de reikwijdte en grenzen van het ISMS van de organisatie van de klant duidelijk gedefinieerd zijn in de zin van de kenmerken van het bedrijf, de organisatie, de locatie, de bedrijfsmiddelen en de technologie. De certificatie-instelling moet bevestigen dat de organisatie van de klant binnen de reikwijdte van het ISMS aandacht schenkt aan de eisen van 4.3 van NEN 7510.
De certificatie-instelling moet ervoor zorgen dat de informatiebeveiligingsrisicobeoordeling en -risicobehandeling van de organisatie van de klant op de juiste manier haar activiteiten weerspiegelen en zich uitstrekken tot de grenzen van haar activiteiten zoals gedefinieerd in NEN 7510. De certificatie-instelling moet bevestigen dat dit wordt weergegeven in de reikwijdte van het ISMS van de klant en de Verklaring van Toepasselijkheid.
De certificatie-instelling moet ervoor zorgen dat raakvlakken met diensten of activiteiten, die niet volledig worden gedekt door de reikwijdte van het ISMS, worden beheerst binnen het ISMS waarop de certificatie betrekking heeft en begrepen zijn in de informatiebeveiligingsrisicobeoordeling van de organisatie van de klant. Een voorbeeld van een dergelijke situatie is het delen van voorzieningen (bijv. IT-systemen, databanken en telecommunicatiesystemen) met andere organisaties.

9.1.4   IS Duur van de audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet auditoren voldoende tijd geven om alle activiteiten in verband met een initiële audit, controleaudit of hercertificatieaudit te verrichten. De toegekende tijd moet rekening houden met de volgende factoren:
  • a) de reikwijdte van het ISMS (bijv. aantal in gebruik zijnde informatiesystemen, aantal medewerkers);
  • b) de complexiteit van het ISMS (bijv. hoe kritisch zijn de informatiesystemen, wat is risicosituatie van het ISMS); zie ook bijlage A;
  • c) de soort(en) zakelijke activiteiten die binnen de reikwijdte van het ISMS wordt/worden uitgevoerd;
  • d) de omvang en diversiteit van de binnen de implementatie van de verschillende onderdelen van het ISMS toegepaste technologie (zoals de geïmplementeerde controles, documentatie en/of procescontrole, correctieve/preventieve actie, enz.);
  • e) het aantal bedrijfslocaties;
  • f) voorheen aangetoonde prestatie van het ISMS;
  • g) de binnen de reikwijdte van het ISMS toegepaste mate van uitbesteding en afspraken met derden;
  • h) de normen en regelgeving die voor de certificatie gelden.
In bijlage C zijn richtlijnen voor de duur van de audit opgenomen. De certificatie-instelling moet erop voorbereid zijn om de voor een initiële audit, controleaudit of hercertificatieaudit benodigde tijd te verantwoorden.

9.1.5   Meerdere vestigingen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Ingeval van steekproeven in meerdere vestigingen zijn beslissingen op het gebied van ISMS-certificatie complexer dan dergelijke beslissingen voor kwaliteitsmanagementsystemen. Indien een klant een aantal vestigingen heeft die voldoen aan onderstaande criteria a) tot en met c) kan de certificatie-instelling overwegen een op steekproeven gebaseerde aanpak toe te passen voor een certificatieaudit voor meerdere vestigingen.
  • a) Alle vestigingen werken met hetzelfde ISMS, dat centraal wordt beheerd, waar centraal een audit en een managementbeoordeling op worden uitgevoerd.
  • b) Alle vestigingen zijn opgenomen in het interne ISMS-auditprogramma van de klant.
  • c) Alle vestigingen zijn opgenomen in het interne ISMS-managementbeoordelingsprogramma van de klant.
Indien de certificatie-instelling een op steekproeven gebaseerde aanpak wil toepassen, moeten er procedures zijn om het volgende te waarborgen.
  • a) De initiële contractbeoordeling identificeert zo gedetailleerd mogelijk het verschil tussen de vestigingen zodat een adequaat niveau van steekproeven kan worden bepaald.
  • b) De certificatie-instelling heeft bij een representatief aantal vestigingen steekproeven genomen, waarbij rekening is gehouden met:
    • 1) de resultaten van interne audits van het hoofdkantoor en de vestigingen,
    • 2) de resultaten van de managementbeoordeling,
    • 3) de verschillen in de omvang van de vestigingen,
    • 4) de verschillen in de bedrijfsdoelen van de vestigingen,
    • 5) de complexiteit van het ISMS,
    • 6) de complexiteit van de informatiesystemen in de verschillende vestigingen,
    • 7) de variaties in werkwijzen,
    • 8) de variaties in verrichte activiteiten,
    • 9) de potentiële interactie met kritische informatiesystemen of informatiesystemen die gevoelige informatie verwerken en
    • 10) verschillende van toepassing zijnde wettelijke eisen.
  • c) Een representatieve steekproef wordt geselecteerd binnen de reikwijdte van het ISMS van de klant; deze selectie moet plaatsvinden op een beoordeling die is gebaseerd op de onder b) genoemde factoren en op een willekeurig element.
  • d) Op elke vestiging die valt onder het ISMS en die blootstaat aan significante risico's wordt voorafgaand aan certificatie een audit uitgevoerd.
  • e) Het auditprogramma is ontworpen in het licht van bovengenoemde eisen en dekt representatieve steekproeven van de reikwijdte van de ISMS-certificatie binnen de periode van drie jaar.
  • f) Indien, hetzij op het hoofdkantoor of in een van de vestigingen, een afwijking wordt geconstateerd, geldt de procedure van corrigerende maatregelen voor het hoofdkantoor en alle vestigingen waar het certificaat betrekking op heeft.
De in IS 9.1.6 omschreven audit moet betrekking hebben op de activiteiten van het hoofdkantoor van de klant om te waarborgen dat een enkel ISMS voor alle vestigingen geldt en het centrale management op operationeel niveau plaatst. De audit moet betrekking hebben op alle bovengenoemde aspecten.

9.1.6   IS Auditmethode

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet procedures hebben waardoor de klant kan aantonen dat de interne ISMS-audits zijn ingepland en dat het programma en de procedures aantoonbaar operationeel zijn.
De certificatie-instelling mag geen bepaalde manier vooronderstellen waarop het ISMS moet worden geïmplementeerd of een bepaalde opmaak voor documentatie en registraties. Certificatieprocedures moeten erop gericht zijn dat de organisatie van de klant voldoet aan de eisen van NEN 7510 en aan het beleid en de doelstellingen van de organisatie.
Het auditplan moet voor zover van toepassing de ICT-technieken identificeren die tijdens de audit worden gebruikt.

OPMERKING Tot ICT-technieken kunnen bijv. behoren teleconferenties, vergaderen via internet, interactieve communicatie via internet en elektronische toegang op afstand tot de ISMS-documentatie en/of ISMS-processen. Het gebruik van dergelijke technieken behoort de doeltreffendheid en de doelmatigheid van de audit te vergroten en de integriteit van het auditproces te ondersteunen.

9.1.7   IS Rapport certificatieaudit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De rapportageprocedures van de certificatie-instelling moeten waarborgen dat
  • a) voordat het auditteam bij de klant vertrekt, een bespreking plaatsvindt tussen het auditteam en het management van de organisatie van de klant, waarbij het auditteam;
    • 1) een schriftelijke of mondelinge aanwijzing verstrekt met betrekking tot de conformiteit van het ISMS van de organisatie van de klant met de specifieke certificatie-eisen;
    • 2) de organisatie van de klant de mogelijkheid biedt om vragen te stellen over de bevindingen en de grondslag daarvan;
  • b) het auditteam de certificatie-instelling een auditrapport levert over de bevindingen ten aanzien van de conformiteit van het ISMS van de organisatie van de klant met alle certificatie-eisen.
Het auditrapport moet de volgende informatie of een verwijzing daarnaar bevatten:
  • a) een verslag van de audit met inbegrip van een samenvatting van de documentenbeoordeling;
  • b) een verslag van de certificatieaudit van de informatiebeveiligingsrisicoanalyse van de organisatie van de klant;
  • c) de totale aan de audit bestede tijd, en een gedetailleerde specificatie van de aan de documentenbeoordeling, beoordeling van risicoanalyse, audit op locatie en auditrapportage bestede tijd;
  • d) onderzoek dat uit de audit is voortgekomen, de onderbouwing voor de selectie hiervan en de toegepaste methode.
Het auditrapport moet voldoende gedetailleerd zijn om de certificatiebeslissing mogelijk te maken en te ondersteunen. Het moet informatie bevatten over
  • a) de gebieden die de audit heeft bestreken (bijv. de certificatie-eisen en de vestigingen waar audits zijn uitgevoerd), met inbegrip van significante paden die zijn gevolgd en methoden die bij de audit zijn toegepast (zie IS 9.1.6);
  • b) de gedane waarnemingen, zowel positieve (bijv. kenmerken die het waard zijn benoemd te worden) als negatieve (bijv. potentiële non-conformiteiten);
  • c) details van geïdentificeerde non-conformiteiten, onderbouwd door objectieve bewijzen en een verwijzing van deze non-conformiteiten naar de eisen van NEN 7510 of andere voor de certificatie vereiste documenten;
  • d) opmerkingen op de conformiteit van het ISMS van de organisatie van de klant met de certificatie-eisen met een duidelijke verklaring van non-conformiteit, een verwijzing naar de versie van de Verklaring van Toepasselijkheid, en, indien van toepassing, een vergelijking met de resultaten van eerdere certificatieaudits bij de organisatie van de klant.
Ingevulde vragenlijsten, controlelijsten, waarnemingen, verslagen of aantekeningen van auditoren kunnen een integraal deel uitmaken van het auditrapport. Als deze methoden worden gebruikt, moeten deze documenten aan de certificatie-instelling worden overhandigd als bewijs dat de certificatiebeslissing bekrachtigt. Informatie over tijdens de audit geëvalueerde steekproeven moeten in het auditrapport of in andere certificatiedocumentatie worden opgenomen.
Het rapport moet de bekwaamheid van de interne organisatie en de door de organisatie van de klant toegepaste procedures om vertrouwen te geven in het ISMS in aanmerking nemen.
Het rapport moet voldoen aan de in 9.1.10 van NEN-EN-ISO/IEC 17021 opgenomen eisen voor rapportage, en bovendien informatie bevatten over
  • de mate van betrouwbaarheid die geldt voor de interne ISMS-audits en managementbeoordelingen;
  • de belangrijkste waarnemingen, zowel positieve als negatieve, betreffende de implementatie en doeltreffendheid van het ISMS;
  • de aanbeveling van het auditteam of het ISMS van de organisatie van de klant gecertificeerd behoort te worden of niet, met argumentatie die deze aanbeveling onderbouwt.

9.2   Initiële audit en certificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.2.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.2 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS -specifieke eisen en richtlijnen van toepassing.

9.2.2   IS 9.2.1 Competentie van het auditteam

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.2.2.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Naast de in 7.2 opgenomen eisen, gelden voor certificatie de volgende eisen. Voor controleactiviteiten gelden alleen de eisen die relevant zijn voor de geplande controleactiviteit.
De volgende eisen gelden voor het auditteam als geheel.
  • a) Op elk van de volgende gebieden moet ten minste één lid van het auditteam voldoen aan de criteria van de certificatie-instelling, om binnen het team verantwoordelijkheid op zich te nemen op het gebied van
    • 1) het managen van het team;
    • 2) managementsystemen en -processen die van toepassing zijn op ISMS;
    • 3) kennis van de wet- en regelgevende bepalingen op het voorliggende informatiebeveiligingsterrein;
    • 4) het indentificeren van informatiebeveiligingsgerelateerde bedreigingen en trends in gebeurtenissen;
    • 5) het identificeren van de kwetsbare punten van de organisatie van de klant en inzicht in de waarschijnlijkheid van het voorkomen, de impact, het mitigeren en het beheersen ervan;
    • 6) kennis van ISMS-beheersmaatregelen en de implementatie ervan;
    • 7) kennis van het beoordelen van de doeltreffendheid van het ISMS en het meten van de beheersmaatregelen;
    • 8) gerelateerde en/of relevante ISMS-standaarden, best practices, veiligheidsbeleid en procedures;
    • 9) kennis van methoden om incidenten te behandelen, en bedrijfscontinuïteit;
    • 10) kennis van materieel en immaterieel informatiemiddelen en impactanalyse;
    • 11) kennis van de actuele technologie waar beveiliging relevant of een probleem zou kunnen zijn;
    • 12) kennis van risicomanagementprocessen en -methoden.
  • b) Het auditteam moet competent zijn om aanwijzingen over veiligheidsincidenten in het ISMS van de organisatie van de klant op te sporen teruggaand tot de typische elementen van het ISMS.
  • c) Het auditteam moet beschikken over passende werkervaring en ervaring in de praktische toepassing van de bovengenoemde punten (dit betekent niet dat een auditor moet beschikken over de algehele ervaring op alle terreinen van informatiebeveiliging, maar dat het auditteam als geheel moet beschikken over voldoende kennis en ervaring die de reikwijdte van het voorliggende ISMS bestrijkt).
Een auditteam mag uit één persoon bestaan mits die persoon voldoet aan alle criteria zoals hiervoor onder a) vermeld.

9.2.2.2   Aantonen van competentie door auditor

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Auditoren moeten kunnen aantonen dat zij beschikken over de bovengenoemde kennis en ervaring, bij voorbeeld via
  • a) erkende ISMS-specifieke kwalificaties;
  • b) registratie als auditor;
  • c) erkende ISMS-opleidingen;
  • d) actuele documenten over continue beroepsontwikkeling;
  • e) praktisch bewijs door getuigende auditoren tijdens het ISMS-auditproces aan de hand van bij klanten bestaande systemen.

9.2.3   Algemene voorbereidingen voor de initiële audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De certificatie-instelling moet verlangen dat een klant alle nodige voorbereidingen voor het uitvoeren van de certificatieaudit treft, met inbegrip van het verschaffen van de te onderzoeken documentatie en toegang tot alle onderdelen, registraties (met inbegrip van interne auditrapporten en rapporten van onafhankelijke beoordelingen van informatiebeveiliging) en personeel ten behoeve van een certificatieaudit, een hercertificatieaudit en het oplossen van klachten.
Voorafgaand aan een certificatieaudit op locatie moet de klant ten minste de volgende informatie leveren:
  • a) algemene informatie betreffende het ISMS en de activiteiten die het bestrijkt;
  • b) een exemplaar van de in 4.3.1 van NEN 7510 vereiste ISMS-documentatie en indien vereist, eraan gerelateerde documentatie.

9.2.4   Initiële certificatieaudit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.2.4.1   IS Fase 1-audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
In deze fase van de audit moet de certificatie-instelling documentatie verkrijgen over het ontwerp van het ISMS die voldoet aan de in 4.3.1 van NEN 7510 genoemde documentatie.
Het doel van de fase 1-audit is om inzicht te krijgen van het ISMS om de fase 2-audit te plannen in de context van het ISMS-beleid en de -doelstellingen van de organisatie van de klant, en in het bijzonder of de organisatie van de klant klaar is voor de audit.
De fase 1-audit moet het beoordelen van de documenten omvatten, maar behoort hiertoe niet beperkt te zijn. De certificatie-instelling moet met de organisatie van de klant overeenkomen waar en wanneer de beoordeling van de documenten wordt uitgevoerd. In elk geval moet de beoordeling van de documenten zijn afgerond voordat de fase 2-audit begint.
De resultaten van de fase 1-audit moeten worden vastgelegd in een schriftelijk rapport. De certificatie-instelling moet het rapport van de fase 1-audit beoordelen alvorens te besluiten om te vervolgen met de fase 2-audit en om de teamleden van de fase 2-audit met de nodige competentie te kunnen selecteren.
De certificatie-instelling moet de organisatie van de klant informeren welke soorten informatie en registraties tijdens de fase 2-audit mogelijk nodig zijn voor gedetailleerd onderzoek.

9.2.4.2   IS Fase 2-audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De fase 2-audit vindt altijd plaats op de locatie(s) van de klant. Op basis van de in het rapport van de fase 1-audit vastgelegde bevindingen, stelt de certificatie-instelling een auditplan op voor het uitvoeren van de fase 2-audit. De doelstellingen van de fase 2-audit zijn:
  • a) bevestigen dat de organisatie van de klant zich houdt aan haar eigen beleid, doelstellingen en procedures;
  • b) bevestigen dat het ISMS in overeenstemming is met alle eisen van NEN 7510 en de beleidsdoelstellingen van de klant haalt.

OPMERKING Paragraaf 4.3g van bijlage G geeft daarin aan hoe om te gaan met de beheersmaatregelen in hoofdstuk 5-15 van NEN 7510.

Om de punten a en b van 9.2.4.2.1 te bewerkstelligen moet de audit zijn gericht op
  • a) de beoordeling van beveiligingsgerelateerde risico's, en dat deze beoordelingen vergelijkbare en reproduceerbare resultaten opleveren;
  • b) de eisen zoals vermeld in bijlage G - Interpretatie van hoofdstuk 4 uit NEN 7510;
  • c) de selectie van beheersdoelstellingen en -maatregelen gebaseerd op de risicobeoordeling van risicobehandelingsprocessen;
  • d) beoordeling van de doeltreffendheid van het ISMS, metingen van de doeltreffendheid van de beheersmaatregelen, rapportage en beoordeling van de informatiebeveiliging ten opzichte van de ISMS-doelstellingen;
  • e) interne ISMS-audits en directiebeoordelingen;
  • f) verantwoordelijkheid van het management voor het informatiebeveiligingsbeleid;
  • g) overeenstemming tussen de gekozen en geïmplementeerde beheersmaatregelen, de Verklaring van Toepasselijkheid, en de resultaten van de risicobeoordeling, het risicobehandelingsproces en het beleid en de doelstellingen van het ISMS;
  • h) implementatie van beheersmaatregelen (zie bijlage D), rekening houdend met de metingen van de doeltreffendheid van beheersmaatregelen (zie d) om vast te stellen of beheersmaatregelen zijn geïmplementeerd en doeltreffend zijn om de verklaarde doelstellingen te halen;
  • i) programma's, processen, procedures, registraties, interne audits en beoordelingen van de doeltreffendheid van het ISMS om te waarborgen dat deze traceerbaar zijn tot managementbesluiten en ISMS-beleid en -doelstellingen.

9.2.4.3   IS Specifieke elementen van de ISMS-audit

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
9.2.4.3.1   Algemeen
Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De taak van de certificatie-instelling is om vast te stellen of klanten consistent zijn in het vaststellen en handhaven van procedures voor het identificeren, onderzoeken en evalueren van informatiebeveiligingsgerelateerde bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact op de organisatie van de klant. Certificatie-instellingen moeten
  • a) eisen dat de klant aantoont dat de analyse van beveiligingsgerelateerde bedreigingen relevant is en adequaat voor het functioneren van de organisatie van de klant;

    OPMERKING De klant is verantwoordelijk voor het definiëren van de criteria op basis waarvan informatiebeveiligingsgerelateerde risico's van de organisatie van de klant worden geïdentificeerd als significant, en om procedure(s) te ontwikkelen om dit te doen.

  • b) vaststellen of de procedures van de organisatie van de klant voor het identificeren, onderzoeken en evalueren van informatiebeveiligingsgerelateerde bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact, en de resultaten van het toepassen hiervan, consistent zijn met het beleid, de doelstellingen en taakstellingen van de organisatie van de klant.
De certificatie-instelling moet ook vaststellen of de voor het analyseren van de significantie gebruikte procedures correct zijn geïmplementeerd. Indien een informatiebeveiligingsgerelateerde bedreiging voor bedrijfsmiddelen, een kwetsbaar punt of een impact op de organisatie van de klant is geïdentificeerd als significant, moet deze binnen het ISMS worden afgehandeld.
9.2.4.3.2   Naleving van wet- en regelgeving
Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Het onderhouden en evalueren van de naleving van wet- en regelgeving is de verantwoordelijkheid van de klant. De certificatie-instelling moet zich beperken tot controles en steekproeven om het vertrouwen te scheppen dat het ISMS in dit opzicht functioneert. De certificatie-instelling moet verifiëren dat de klant een managementsysteem heeft dat bewerkstelligt dat wet- en regelgeving worden nageleefd in overeenstemming met de informatiebeveiligingsrisico's en -impact.
9.2.4.3.3   Integratie van ISMS-documentatie met documentatie voor andere managementsystemen
Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De klant kan de documentatie voor ISMS en andere managementsystemen (zoals voor kwaliteit, gezondheid en veiligheid, en milieu) combineren zolang het ISMS duidelijk kan worden geïdentificeerd samen met de passende raakvlakken naar de andere systemen.
9.2.4.3.4   Managementsysteemaudits combineren
Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Een certificatie-instelling mag andere managementsysteemcertificatie aanbieden, gekoppeld aan de ISMS-certificatie, of alleen ISMS-certificatie.
De ISMS-audit kan worden gecombineerd met audits van andere managementsystemen. Deze combinatie is mogelijk mits kan worden aangetoond dat de audit voldoet aan alle eisen voor certificatie van het ISMS. Alle voor een ISMS belangrijke elementen moeten duidelijk en snel identificeerbaar in de auditrapporten worden opgenomen. De kwaliteit van de audit mag niet negatief worden beïnvloed door het combineren van de audits.

OPMERKING De gecombineerde audit wordt uitgevoerd conform de IAF MD11:2013 Mandatory Document for the application of ISO/IEC 17021 for audits of integrated management systems. Vanwege het afbreukrisico, de focus en de vereiste diepgang is bij de toepassing van een gecombineerde audit te allen tijde het ISMS het uitgangspunt. Reductie van de audittijd vindt conform IAF MD 11:2013 plaats nadat de audittijd voor ISMS (audittijd = A) en KMS (audittijd = B) elk afzonderlijk zijn berekend en bij elkaar zijn opgeteld ( mml_m1). De reductie mag maximaal 20 % van de totaal berekende tijd voor beide audits (C) bedragen mits aan de voorwaarden uit IAF MD 11:2013 is voldaan.

9.2.5   Informatie betreffende het verlenen van initiële certificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Om een basis te scheppen voor de certificatiebeslissing moet de certificatie-instelling duidelijke rapporten verlangen die voldoende informatie geven om deze beslissing te nemen.
Het auditteam moet in verschillende fasen van het certificatieauditproces rapport uitbrengen aan de certificatie-instelling. In combinatie met de informatie uit de dossiers moeten deze rapporten ten minste de onder IS 9.1.6 opgenomen informatie bevatten.

9.2.6   Certificatiebeslissing

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eenheid, dit kan een persoon zijn, die binnen de certificatie-instelling beslist over het verlenen/intrekken van een certificatie, moet op alle gebieden beschikken over een kennis- en ervaringsniveau dat voldoende is om de auditprocessen en de door het auditteam in deze samenhang gedane aanbevelingen te evalueren.
De beslissing om het ISMS van de organisatie van een klant al dan niet te certificeren, moet door de certificatie-instelling worden genomen op basis van de tijdens het certificatieproces verzamelde informatie en overig relevante informatie. Degenen die de certificatiebeslissing nemen, mogen niet hebben deelgenomen aan de uitvoering van de audit. Deze beslissing moet zijn gebaseerd op de bevindingen en de certificatieaanbeveling van het auditteam, zoals vermeld in hun certificatieauditrapport (zie IS 9.1.6), en overige relevante informatie die beschikbaar is voor de certificatie-instelling.
De eenheid die beslist over het verlenen van de certificatie behoort normaliter niet in te gaan tegen een negatieve aanbeveling van het auditteam. Indien een dergelijke situatie zich voordoet, moet de certificatie-instelling de basis voor de beslissing om de aanbeveling te negeren, documenteren en rechtvaardigen.
Ten aanzien van het beslissen over de certificatie noemt NEN-EN-ISO/IEC 17021 geen specifieke termijn waarbinnen ten minste een volledige interne ISMS-audit en een managementbeoordeling van het ISMS van de organisatie van de klant moeten hebben plaatsgevonden. De certificatie-instelling mag die termijn bepalen. Ongeacht of de certificatie-instelling een minimumfrequentie hiervoor heeft vastgesteld, moet de certificatie-instelling maatregelen nemen om de doeltreffendheid van de managementbeoordeling van de organisatie van de klant en de interne ISMS-auditprocessen te waarborgen.
Aan de organisatie van de klant mag geen certificatie worden verleend, totdat er voldoende bewijs is om aan te tonen dat de afspraken voor managementbeoordelingen en interne ISMS-audits zijn geïmplementeerd, van kracht zijn en worden gehandhaafd.

9.3   Controleactiviteiten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.3.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.3 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen van toepassing.

9.3.2   Controleaudits

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Procedures voor controleaudits moeten consistent zijn met de procedures voor de certificatieaudit van het ISMS van de organisatie van de klant zoals omschreven in deze NTA.
Het doel van de controleaudit is om te verifiëren dat het goedgekeurde ISMS geïmplementeerd blijft, om de implicaties van de als gevolg van wijzigingen in het bedrijf van de klant aan dat systeem aangebrachte wijzigingen in aanmerking te nemen, en om blijvende naleving van de certificatie-eisen te bevestigen. Controleauditprogramma's moeten aandacht besteden aan:
  • a) de elementen van systeemonderhoud, zijnde interne ISMS-audit, managementbeoordeling en corrigerende maatregelen;
  • b) communicatie van externe partijen zoals vereist door NEN 7510 en overige voor certificatie vereiste documentatie;
  • c) wijzigingen in het gedocumenteerde systeem;
  • d) aan verandering onderhevige gebieden;
  • e) de uit NEN 7510 geselecteerde elementen;
  • f) overige geselecteerde gebieden voor zover van toepassing.
De controleaudit door de certificatie-instelling moet minimaal betrekking hebben op het volgende:
  • a) de doeltreffendheid van het ISMS met betrekking tot het halen van de doelstellingen van het informatiebeveiligingsbeleid van de klant;
  • b) het functioneren van procedures voor de periodieke evaluatie en beoordeling van de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging;
  • c) ondernomen actie op non-conformiteiten die tijdens de meest recente audit zijn vastgesteld.
Controleaudit door de certificatie-instelling moet aandacht schenken aan de in NEN-EN-ISO/IEC 17021 voor controleaudits vereiste punten. Daarnaast moeten de volgende aangelegenheden aan de orde komen.
  • a) De certificatie-instelling moet haar controleauditprogramma kunnen aanpassen aan de informatiebeveiligingsthema's die zijn gerelateerd aan de bedreigingen voor bedrijfsmiddelen, kwetsbare punten en impact op de organisatie van de klant en dit programma kunnen rechtvaardigen.
  • b) Het controleauditprogramma van de certificatie-instelling moet worden vastgesteld door de certificatie-instelling. De specifieke data waarop de bezoeken plaatsvinden mogen met de gecertificeerde klant worden overeengekomen.
  • c) Controleaudits mogen worden gecombineerd met audits van andere managementsystemen. De rapportage moet duidelijk de aspecten aanduiden die relevant zijn voor elk managementsysteem.
  • d) De certificatie-instelling moet controleren of het certificaat juist wordt gebruikt.
Tijdens controleaudits moeten certificatie-instellingen de beroeps- en klachtenregistraties controleren die bij de certificatie-instelling zijn gedeponeerd. Indien een non-conformiteit of niet-nakoming van de eisen van certificatie is vastgesteld, moet worden gecontroleerd of de klant het eigen ISMS en en de eigen procedures heeft onderzocht en passende corrigerende maatregelen heeft genomen.
Een controleauditrapport moet in het bijzonder informatie bevatten over het verhelpen van non-conformiteiten die eerder zijn geconstateerd. Minimaal moeten de rapporten van controleaudits als totaal de eisen van punt a) als geheel omvatten.

9.4   Hercertificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.4.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.4 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen van toepassing.

9.4.2   Hercertificatieaudits

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Procedures voor hercertificatieaudits moeten consistent zijn met de procedures voor de certificatieaudit van het ISMS van de organisatie van de klant zoals omschreven in deze NTA.
Certificatie-instellingen moeten duidelijke procedures hebben waarin de omstandigheden en voorwaarden waaronder certificaties worden gehandhaafd, zijn vastgelegd. Indien tijdens controle- of hercertificatieaudits non-conformiteiten blijken te bestaan, moeten dergelijke non-conformiteiten binnen een met de certificatie-instelling overeengekomen tijd doeltreffend worden gecorrigeerd. Indien de correctie niet binnen de overeengekomen tijd plaatsvindt, moet de reikwijdte van de certificatie worden verminderd, of het certificaat worden opgeschort of ingetrokken. De voor het implementeren van de corrigerende actie toegestane tijd moet consistent zijn met de ernst van de non-conformiteit en het risico voor de zekerheid dat de producten of diensten van de klant voldoen aan de genoemde eisen.

9.5   Speciale audits

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.5.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.5 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen van toepassing.

9.5.2   IS 9.5 Speciale gevallen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De activiteiten die nodig zijn om speciale audits uit te voeren, vereisen speciale voorbereiding wanneer een klant met een gecertificeerd ISMS belangrijke wijzigingen aanbrengt in zijn systeem, of wanneer andere wijzigingen worden doorgevoerd die de basis van zijn certificatie kunnen treffen.

9.6   Schorsing, intrekking of beperking van het toepassingsgebied van de certificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.6 van NEN-EN-ISO/IEC 17021 zijn van toepassing.

9.7   Beroep

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.7 van NEN-EN-ISO/IEC 17021 zijn van toepassing.

9.8   Klachten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

9.8.1   Algemeen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.8 van NEN-EN-ISO/IEC 17021 zijn van toepassing. Bovendien zijn de volgende ISMS-specifieke eisen en richtlijnen van toepassing.

9.8.2   Klachten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Klachten zijn een bron van informatie over mogelijke non-conformiteiten. De certificatie-instelling moet van de gecertificeerde klant eisen dat de gecertificeerde klant na ontvangst van een klacht de oorzaak van de klacht vaststelt en indien van toepassing hierover rapporteert, met inbegrip van vooraf bepaalde (of aanleidinggevende) factoren binnen het ISMS van de klant.
De certificatie-instelling moet ervoor zorgen dat de klant dergelijk onderzoek benut om herstel-/corrigerende maatregelen te nemen, met inbegrip van maatregelen
  • a) ter kennisgeving aan de aangewezen autoriteiten indien vereist door de regelgeving;
  • b) om de conformiteit te herstellen;
  • c) om herhaling te voorkomen;
  • d) om negatieve veiligheidsincidenten en de impact ervan te evalueren en te verminderen;
  • e) die voldoende interactie waarborgen met andere onderdelen van het ISMS;
  • f) om de doeltreffendheid van de genomen herstel/corrigerende maatregelen te beoordelen;
  • g) de certificatie-instelling moet eisen van elke klant wiens ISMS is gecertificeerd om, desgevraagd, de registraties van alle klachten en de in overeenstemming met de eisen van NEN 7510 genomen corrigerende maatregelen aan de certificatie-instelling beschikbaar te stellen.

9.9   Registraties van aanvragers en klanten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De eisen zoals vermeld in 9.9 van NEN-EN-ISO/IEC 17021 zijn van toepassing.