Initiële certificeringsaudit, fase 1

De planning van Noordbeek Certificatie moet ervoor zorgen dat de doelstellingen van fase 1 kunnen worden behaald en de klant wordt geïnformeerd over eventuele ‘on site’-activiteiten tijdens fase 1.

De doelstellingen van fase 1 zijn:

  • de gedocumenteerde informatie van het managementsysteem van de klant beoordelen;
  • de locatiespecifieke omstandigheden van de klant evalueren en besprekingen voeren met het personeel van de klant om de paraatheid voor fase 2 te bepalen;
  • de status en het begrip van de klant beoordelen met betrekking tot de vereisten van de norm beoordelen, in het bijzonder met betrekking tot de identificatie van essentiële prestaties of significante aspecten, processen, doelstellingen en werking van het managementsysteem;
  • de benodigde informatie verkrijgen over de reikwijdte van het managementsysteem, waaronder:
    • de site(s) van de klant;
    • gebruikte processen en apparatuur;
    • vastgestelde controleniveaus (met name in het geval van klanten met meerdere vestigingen);
    • toepasselijke wet- en regelgeving.
  • de toewijzing van middelen voor fase 2 beoordelen en met de opdrachtgever de details van fase 2 overeenkomen;
  • een focus bieden voor planningsfase 2 door voldoende inzicht te krijgen in het managementsysteem van de klant en de site-operaties in de context van de managementsysteemstandaard of ander normatief document;
  • het evalueren of de interne audits en managementreviews worden gepland en uitgevoerd, en of het implementatieniveau van het managementsysteem onderbouwt dat de klant klaar is voor fase 2.

Gedocumenteerde conclusies met betrekking tot het behalen van de doelstellingen van fase 1 en de gereedheid voor fase 2 moeten aan de klant worden gecommuniceerd, inclusief identificatie van eventuele aandachtspunten die tijdens fase 2 als een afwijking kunnen worden geclassificeerd.

Bij het bepalen van het interval tussen fase 1 en fase 2 moet rekening worden gehouden met de behoeften van de klant om de tijdens fase 1 geïdentificeerde problemen op te lossen. Noordbeek Certification moet mogelijk ook haar regelingen voor fase 2 herzien. gevolgen hebben voor het managementsysteem, zal Noordbeek Certification de noodzaak overwegen om fase 1 geheel of gedeeltelijk te herhalen. De opdrachtgever wordt geïnformeerd dat de resultaten van fase 1 kunnen leiden tot uitstel of annulering van fase 2.

Initiële certificeringsaudit, fase 2

Het doel van fase 2 is het evalueren van de implementatie, inclusief effectiviteit, van het managementsysteem van de klant. De fase 2 vindt plaats op de locatie(s) van de opdrachtgever. Het omvat de controle van ten minste het volgende:

  • informatie en bewijs over conformiteit met alle eisen van de toepasselijke managementsysteemnorm of andere normatieve documenten;
  • prestatiemonitoring, meting, rapportage en toetsing aan de belangrijkste prestatiedoelstellingen en -doelen (in overeenstemming met de verwachtingen in de toepasselijke managementsysteemnorm of ander normatief document);
  • het vermogen van het managementsysteem van de klant en zijn prestaties met betrekking tot het voldoen aan toepasselijke wettelijke, regelgevende en contractuele vereisten;
  • operationele beheersing van de processen van de klant;
  • interne audit en managementreview;
  • managementverantwoordelijkheid voor het beleid van de klant.

Het auditteam analyseert alle informatie en auditbewijs die tijdens fase 1 en fase 2 zijn verzameld om de auditbevindingen te beoordelen en overeenstemming te bereiken over de auditconclusies.

Bemonstering op meerdere locaties

Wanneer steekproeven op meerdere locaties worden gebruikt voor de audit van het managementsysteem van een klant voor dezelfde activiteit op verschillende geografische locaties, zal Noordbeek Certification een steekproefprogramma ontwikkelen om een goede audit van het managementsysteem te garanderen. De grondgedachte voor het monsternemingsplan moet voor elke klant worden gedocumenteerd.

Monsterneming op meerdere locaties is alleen toegestaan als:

  • Alle sites behandelen dezelfde activiteiten;
  • Alle vestigingen werken onder hetzelfde ISMS, dat centraal wordt beheerd en gecontroleerd en onderworpen is aan centrale managementbeoordeling;
  • Alle locaties zijn opgenomen in het interne ISMS-auditprogramma van de klant;
  • Alle locaties zijn opgenomen in het ISMS management review programma van de klant.

Als Noordbeek Certification een steekproefgebaseerde benadering wil gebruiken, moet een procedure worden gevolgd om het volgende te waarborgen:

  • De initiële contractbeoordeling identificeert, voor zover mogelijk, het verschil tussen locaties, zodat een adequaat niveau van bemonstering wordt bepaald;
  • Een representatief aantal locaties is bemonsterd door Noordbeek Certification, waarbij rekening is gehouden met:
  • De resultaten van interne audits van het hoofdkantoor en de vestigingen;
  • De resultaten van de directiebeoordeling;
  • Variaties in de grootte van de locaties;
  • Variaties in het zakelijke doel van de sites;
  • Complexiteit van de informatiesystemen op de verschillende vestigingen;
  • Variaties in werkwijzen;
  • Variaties in ondernomen activiteiten;
  • Variaties in ontwerp en werking van bedieningselementen;
  • Potentiële interactie met kritieke informatiesystemen of informatiesystemen die gevoelige informatie verwerken;
  • Eventuele afwijkende wettelijke eisen;
  • Geografische en culturele aspecten;
  • Risicosituatie van de terreinen;
  • Informatiebeveiligingsincidenten op de specifieke locaties.
  • Er wordt een representatieve steekproef geselecteerd uit alle locaties binnen de scope van het ISMS van de klant; deze selectie is gebaseerd op een beoordelingskeuze om de hierboven gepresenteerde factoren weer te geven, evenals een willekeurig element;
  • Elke locatie die is opgenomen in het ISMS en onderhevig is aan significante risico's, wordt voorafgaand aan de certificering gecontroleerd door Noordbeek Certification;
  • Het auditprogramma is ontworpen in het licht van bovenstaande eisen en omvat representatieve steekproeven van de scope van de ISMS-certificering binnen de periode van drie jaar;
  • Bij constatering van een afwijking, hetzij op het hoofdkantoor, hetzij op een enkele vestiging, geldt de procedure voor corrigerende maatregelen voor het hoofdkantoor en alle vestigingen die onder het certificaat vallen.

De audit heeft betrekking op de activiteiten van het hoofdkantoor van de klant om ervoor te zorgen dat één enkel ISMS van toepassing is op alle locaties en zorgt voor centraal beheer op operationeel niveau. De audit zal alle hierboven geschetste problemen behandelen.

Definities en behandeling van grote en kleine non-conformiteit

Een non-conformiteit is het niet voldoen aan een eis. Hierbij is onderscheid naar:

  • Grote non-conformiteit
    Dit is een afwijking die van invloed is op het vermogen van het managementsysteem om de beoogde resultaten te bereiken. Een non-conformiteit kan in de volgende omstandigheden als groot worden geclassificeerd:
  • Als er ernstige twijfel bestaat dat er sprake is van een effectieve procesbeheersing, of dat producten of diensten aan gespecificeerde eisen zullen voldoen;
  • Een aantal kleine non-conformiteiten die verband houden met dezelfde eis of kwestie zou een systemische storing kunnen aantonen en dus een grote non-conformiteit vormen.
  • Kleine non-conformiteit
    Dit is een afwijking die geen invloed heeft op het vermogen van het managementsysteem om de beoogde resultaten te behalen

Voor grote non-conformiteiten moet Noordbeek Certification de correctie en corrigerende maatregelen beoordelen, accepteren en verifiëren voordat certificering wordt verleend, de reikwijdte van certificering wordt uitgebreid of verminderd, wordt verlengd, geschorst of hersteld, of de certificering wordt ingetrokken. Voor kleine non-conformiteiten moet Noordbeek Certification het plan van de klant voor correctie en corrigerende maatregelen beoordelen en accepteren.

Indien Noordbeek Certification niet in staat is om de implementatie van correcties en corrigerende maatregelen van een grote non-conformiteit binnen 6 maanden na de laatste dag van Stage 2 te verifiëren, zal Noordbeek Certification nog een Stage 2 uitvoeren voordat certificering wordt aanbevolen.

Surveillance-audit

Surveillance-audits zijn audits ter plaatse, maar zijn niet noodzakelijk volledige systeemaudits, en moeten samen met de andere toezichtactiviteiten worden gepland, zodat Noordbeek Certification het vertrouwen kan behouden dat het gecertificeerde managementsysteem van de klant tussen de hercertificeringsaudits in blijft voldoen. Elk toezicht voor de relevante managementsysteemnorm omvat:

  • interne audits en managementreview;
  • een beoordeling van de acties die zijn ondernomen op tijdens de vorige audit vastgestelde non-conformiteiten;
  • klachtenafhandeling;
  • effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en);
  • voortgang van geplande activiteiten gericht op continue verbetering;
  • voortdurende operationele controle;
  • beoordeling van eventuele wijzigingen;
  • gebruik van merken en/of enige andere verwijzing naar certificering.

Hercertificering

Het doel van de hercertificeringsaudit is om de voortdurende conformiteit en effectiviteit van het managementsysteem als geheel te bevestigen, en de blijvende relevantie en toepasbaarheid ervan voor de reikwijdte van certificering. Er moet een hercertificeringsaudit worden gepland en uitgevoerd om de voortdurende vervulling van alle vereisten van de relevante managementsysteemnorm of een ander normatief document te evalueren. Dit moet tijdig worden gepland en uitgevoerd om tijdige verlenging vóór de vervaldatum van het certificaat mogelijk te maken.

De hercertificeringsactiviteit omvat de beoordeling van eerdere auditrapporten van het toezicht en de prestatie van het managementsysteem gedurende de meest recente certificeringscyclus.

Hercertificeringsauditactiviteiten moeten mogelijk een fase 1 hebben in situaties waarin er significante wijzigingen zijn geweest in het managementsysteem, de organisatie of de context waarin het managementsysteem functioneert (bijvoorbeeld wijzigingen in de wetgeving).

De hercertificeringsaudit omvat een audit ter plaatse die betrekking heeft op het volgende:

  • de effectiviteit van het managementsysteem in zijn geheel in het licht van interne en externe veranderingen en de blijvende relevantie en toepasbaarheid ervan voor de scope van certificering;
  • blijk gegeven van inzet om de effectiviteit en verbetering van het managementsysteem te handhaven om de algehele prestaties te verbeteren;
  • de effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en).

Vervaldatum

Voor elke belangrijke non-conformiteit stelt Noordbeek Certification tijdslimieten vast voor correctie en corrigerende maatregelen. Deze acties moeten worden geïmplementeerd en geverifieerd voordat de certificering verloopt.

Wanneer hercertificeringsactiviteiten met succes zijn afgerond vóór de vervaldatum van de bestaande certificering, kan de vervaldatum van de nieuwe certificering worden gebaseerd op de vervaldatum van de bestaande certificering. De afgiftedatum van een nieuw certificaat valt op of na het hercertificeringsbesluit.

Hercertificeringsaudit niet afronden

Indien de opdrachtgever de hercertificeringsaudit niet heeft voltooid of Noordbeek Certification niet in staat is de implementatie van correcties en corrigerende maatregelen voor een belangrijke non-conformiteit te verifiëren vóór de vervaldatum van de certificering, wordt hercertificering niet aanbevolen en wordt de geldigheid van de certificering niet worden verlengd. De opdrachtgever wordt geïnformeerd en de gevolgen worden toegelicht.

Certificering herstellen

Na het verstrijken van de certificering kan Noordbeek Certification de certificering binnen 6 maanden herstellen, op voorwaarde dat de openstaande hercertificeringsactiviteiten zijn voltooid, anders moet minimaal een fase 2 worden uitgevoerd. De ingangsdatum op het certificaat is op of na de hercertificeringsbeslissing en de vervaldatum moet gebaseerd zijn op een eerdere certificeringscyclus.


Contact

Noordbeek Certification B.V.
Rijndijk 235
2394 CD Hazerswoude
KvK 80529585

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.


© Noordbeek B.V. All rights reserved.