Auditprocessen

Bel ons voor vrijblijvende informatie

Intake en onafhankelijkheid

Noordbeek Certification voert alleen opdrachten uit voor ISO 27001, NEN 7510, of ISO 27001 en NEN 7510 tezamen, in relatie tot certificering.

Voor gerelateerde assurance-onderzoeken voor NEN 7512 en 7513 wordt u verwezen naar Noordbeek B.V.

Interne audits voeren wij niet uit bij certificeringsklanten van Noordbeek Certification.

Voor het vaststellen van het aantal auditdagen volgen wij de richtlijnen in de standaarden ISO 27006 en NCS 7510. Dit aantal is gebaseerd op het aantal fte in uw organisatie en de in deze standaarden genoemde relevante aspecten die invloed kunnen hebben op de audittijdberekening.

Initiële certificeringsaudit, fase 1

De planning van Noordbeek Certification moet ervoor zorgen dat de doelstellingen van fase 1 kunnen worden behaald en de klant wordt geïnformeerd over eventuele ‘on site’-activiteiten tijdens fase 1.

De doelstellingen van fase 1 zijn:

  • de gedocumenteerde informatie van het managementsysteem van de klant beoordelen;
  • de locatiespecifieke omstandigheden van de klant evalueren en besprekingen voeren met het personeel van de klant om de paraatheid voor fase 2 te bepalen;
  • de status en het begrip van de klant beoordelen met betrekking tot de vereisten van de norm beoordelen, in het bijzonder met betrekking tot de identificatie van essentiële prestaties of significante aspecten, processen, doelstellingen en werking van het managementsysteem;
  • de benodigde informatie verkrijgen over de reikwijdte van het managementsysteem, waaronder:
    • de site(s) van de klant;
    • gebruikte processen en apparatuur;
    • vastgestelde controleniveaus (met name in het geval van klanten met meerdere vestigingen);
    • toepasselijke wet- en regelgeving.
  • de toewijzing van middelen voor fase 2 beoordelen en met de opdrachtgever de details van fase 2 overeenkomen;
  • een focus bieden voor planningsfase 2 door voldoende inzicht te krijgen in het managementsysteem van de klant en de site-operaties in de context van de managementsysteemstandaard of ander normatief document;
  • het evalueren of de interne audits en managementreviews worden gepland en uitgevoerd, en of het implementatieniveau van het managementsysteem onderbouwt dat de klant klaar is voor fase 2.
  • het vaststellen of het auditteam de juiste competenties bevat voor het uitvoeren van de Stage 2 certificeringsaudit.

Gedocumenteerde conclusies met betrekking tot het behalen van de doelstellingen van fase 1 en de gereedheid voor fase 2 moeten aan de klant worden gecommuniceerd, inclusief identificatie van eventuele aandachtspunten die tijdens fase 2 als een afwijking kunnen worden geclassificeerd.

Bij het bepalen van het interval tussen fase 1 en fase 2 moet rekening worden gehouden met de behoeften van de klant om de tijdens fase 1 geïdentificeerde problemen op te lossen. Noordbeek Certification moet mogelijk ook haar regelingen voor fase 2 herzien. gevolgen hebben voor het managementsysteem, zal Noordbeek Certification de noodzaak overwegen om fase 1 geheel of gedeeltelijk te herhalen. De opdrachtgever wordt geïnformeerd dat de resultaten van fase 1 kunnen leiden tot uitstel of annulering van fase 2.

Initiële certificeringsaudit, fase 2

Het doel van fase 2 is het evalueren van de implementatie, inclusief effectiviteit, van het managementsysteem van de klant. De fase 2 vindt plaats op de locatie(s) van de opdrachtgever. Het omvat de controle van ten minste het volgende:

  • informatie en bewijs over conformiteit met alle eisen van de toepasselijke managementsysteemnorm of andere normatieve documenten;
  • prestatiemonitoring, meting, rapportage en toetsing aan de belangrijkste prestatiedoelstellingen en -doelen (in overeenstemming met de verwachtingen in de toepasselijke managementsysteemnorm of ander normatief document);
  • het vermogen van het managementsysteem van de klant en zijn prestaties met betrekking tot het voldoen aan toepasselijke wettelijke, regelgevende en contractuele vereisten;
  • operationele beheersing van de processen van de klant;
  • interne audit en managementreview;
  • managementverantwoordelijkheid voor het beleid van de klant.

Het auditteam analyseert alle informatie en auditbewijs die tijdens fase 1 en fase 2 zijn verzameld om de auditbevindingen te beoordelen en overeenstemming te bereiken over de auditconclusies.

Criteria

De audit criteria worden gebruikt als referentie om de conformiteit van het Information System Management System (ISMS) te bepalen. De van toepassing zijnde criteria voor de opdracht zijn:

  • De eisen vanuit ISO 27001 en NEN 7510;
  • De gedefinieerde processen en documentatie van het ISMS op basis van de Verklaring van Toepasselijkheid (VvT) van de klant.

Bemonstering op meerdere locaties

Wanneer steekproeven op meerdere locaties worden gebruikt voor de audit van het managementsysteem van een klant voor dezelfde activiteit op verschillende geografische locaties, zal Noordbeek Certification een steekproefprogramma ontwikkelen om een goede audit van het managementsysteem te garanderen. De grondgedachte voor het monsternemingsplan moet voor elke klant worden gedocumenteerd.

Monsterneming op meerdere locaties is alleen toegestaan als:

  • Alle sites behandelen dezelfde activiteiten;
  • Alle vestigingen werken onder hetzelfde ISMS, dat centraal wordt beheerd en gecontroleerd en onderworpen is aan centrale managementbeoordeling;
  • Alle locaties zijn opgenomen in het interne ISMS-auditprogramma van de klant;
  • Alle locaties zijn opgenomen in het ISMS management review programma van de klant.

Als Noordbeek Certification een steekproefgebaseerde benadering wil gebruiken, moet een procedure worden gevolgd om het volgende te waarborgen:

  • De initiële contractbeoordeling identificeert, voor zover mogelijk, het verschil tussen locaties, zodat een adequaat niveau van bemonstering wordt bepaald;
  • Een representatief aantal locaties is bemonsterd door Noordbeek Certification, waarbij rekening is gehouden met:
  • De resultaten van interne audits van het hoofdkantoor en de vestigingen;
  • De resultaten van de directiebeoordeling;
  • Variaties in de grootte van de locaties;
  • Variaties in het zakelijke doel van de sites;
  • Complexiteit van de informatiesystemen op de verschillende vestigingen;
  • Variaties in werkwijzen;
  • Variaties in ondernomen activiteiten;
  • Variaties in ontwerp en werking van bedieningselementen;
  • Potentiële interactie met kritieke informatiesystemen of informatiesystemen die gevoelige informatie verwerken;
  • Eventuele afwijkende wettelijke eisen;
  • Geografische en culturele aspecten;
  • Risicosituatie van de terreinen;
  • Informatiebeveiligingsincidenten op de specifieke locaties.
  • Er wordt een representatieve steekproef geselecteerd uit alle locaties binnen de scope van het ISMS van de klant; deze selectie is gebaseerd op een beoordelingskeuze om de hierboven gepresenteerde factoren weer te geven, evenals een willekeurig element;
  • Elke locatie die is opgenomen in het ISMS en onderhevig is aan significante risico's, wordt voorafgaand aan de certificering gecontroleerd door Noordbeek Certification;
  • Het auditprogramma is ontworpen in het licht van bovenstaande eisen en omvat representatieve steekproeven van de scope van de ISMS-certificering binnen de periode van drie jaar;
  • Bij constatering van een afwijking, hetzij op het hoofdkantoor, hetzij op een enkele vestiging, geldt de procedure voor corrigerende maatregelen voor het hoofdkantoor en alle vestigingen die onder het certificaat vallen.

De audit heeft betrekking op de activiteiten van het hoofdkantoor van de klant om ervoor te zorgen dat één enkel ISMS van toepassing is op alle locaties en zorgt voor centraal beheer op operationeel niveau. De audit zal alle hierboven geschetste problemen behandelen.

Definities en behandeling van grote en kleine non-conformiteit

Een non-conformiteit is het niet voldoen aan een eis. Hierbij is onderscheid naar:

  • Grote non-conformiteit
    Dit is een afwijking die van invloed is op het vermogen van het managementsysteem om de beoogde resultaten te bereiken. Een non-conformiteit kan in de volgende omstandigheden als groot worden geclassificeerd:
    • Als er ernstige twijfel bestaat dat er sprake is van een effectieve procesbeheersing, of dat producten of diensten aan gespecificeerde eisen zullen voldoen;
    • Een aantal kleine non-conformiteiten die verband houden met dezelfde eis of kwestie zou een systemische storing kunnen aantonen en dus een grote non-conformiteit vormen.
  • Kleine non-conformiteit
    Dit is een afwijking die geen invloed heeft op het vermogen van het managementsysteem om de beoogde resultaten te behalen

Voor grote non-conformiteiten moet Noordbeek Certification de correctie en corrigerende maatregelen beoordelen, accepteren en verifiëren voordat certificering wordt verleend, de reikwijdte van certificering wordt uitgebreid of verminderd, wordt verlengd, geschorst of hersteld, of de certificering wordt ingetrokken. Voor kleine non-conformiteiten moet Noordbeek Certification het plan van de klant voor correctie en corrigerende maatregelen beoordelen en accepteren.

Indien Noordbeek Certification niet in staat is om de implementatie van correcties en corrigerende maatregelen van een grote non-conformiteit binnen 6 maanden na de laatste dag van Stage 2 te verifiëren, zal Noordbeek Certification nog een Stage 2 uitvoeren voordat certificering wordt aanbevolen.

Surveillance-audit

Surveillance-audits zijn audits ter plaatse, maar zijn niet noodzakelijk volledige systeemaudits, en moeten samen met de andere toezichtactiviteiten worden gepland, zodat Noordbeek Certification het vertrouwen kan behouden dat het gecertificeerde managementsysteem van de klant tussen de hercertificeringsaudits in blijft voldoen. Elk toezicht voor de relevante managementsysteemnorm omvat:

  • interne audits en managementreview;
  • een beoordeling van de acties die zijn ondernomen op tijdens de vorige audit vastgestelde non-conformiteiten;
  • klachtenafhandeling;
  • effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en);
  • voortgang van geplande activiteiten gericht op continue verbetering;
  • voortdurende operationele controle;
  • beoordeling van eventuele wijzigingen;
  • gebruik van merken en/of enige andere verwijzing naar certificering.

Hercertificering

Het doel van de hercertificeringsaudit is om de voortdurende conformiteit en effectiviteit van het managementsysteem als geheel te bevestigen, en de blijvende relevantie en toepasbaarheid ervan voor de reikwijdte van certificering. Er moet een hercertificeringsaudit worden gepland en uitgevoerd om de voortdurende vervulling van alle vereisten van de relevante managementsysteemnorm of een ander normatief document te evalueren. Dit moet tijdig worden gepland en uitgevoerd om tijdige verlenging vóór de vervaldatum van het certificaat mogelijk te maken.

De hercertificeringsactiviteit omvat de beoordeling van eerdere auditrapporten van het toezicht en de prestatie van het managementsysteem gedurende de meest recente certificeringscyclus.

Hercertificeringsauditactiviteiten moeten mogelijk een fase 1 hebben in situaties waarin er significante wijzigingen zijn geweest in het managementsysteem, de organisatie of de context waarin het managementsysteem functioneert (bijvoorbeeld wijzigingen in de wetgeving).

De hercertificeringsaudit omvat een audit ter plaatse die betrekking heeft op het volgende:

  • de effectiviteit van het managementsysteem in zijn geheel in het licht van interne en externe veranderingen en de blijvende relevantie en toepasbaarheid ervan voor de scope van certificering;
  • blijk gegeven van inzet om de effectiviteit en verbetering van het managementsysteem te handhaven om de algehele prestaties te verbeteren;
  • de effectiviteit van het managementsysteem met betrekking tot het behalen van de doelstellingen van de gecertificeerde opdrachtgever en de beoogde resultaten van het betreffende managementsysteem(en).

Vervaldatum

Voor elke belangrijke non-conformiteit stelt Noordbeek Certification tijdslimieten vast voor correctie en corrigerende maatregelen. Deze acties moeten worden geïmplementeerd en geverifieerd voordat de certificering verloopt.

Wanneer hercertificeringsactiviteiten met succes zijn afgerond vóór de vervaldatum van de bestaande certificering, kan de vervaldatum van de nieuwe certificering worden gebaseerd op de vervaldatum van de bestaande certificering. De afgiftedatum van een nieuw certificaat valt op of na het hercertificeringsbesluit.

Hercertificeringsaudit niet afronden

Indien de opdrachtgever de hercertificeringsaudit niet heeft voltooid of Noordbeek Certification niet in staat is de implementatie van correcties en corrigerende maatregelen voor een belangrijke non-conformiteit te verifiëren vóór de vervaldatum van de certificering, wordt hercertificering niet aanbevolen en wordt de geldigheid van de certificering niet worden verlengd. De opdrachtgever wordt geïnformeerd en de gevolgen worden toegelicht.

Certificering herstellen

Na het verstrijken van de certificering kan Noordbeek Certification de certificering binnen 6 maanden herstellen, op voorwaarde dat de openstaande hercertificeringsactiviteiten zijn voltooid, anders moet minimaal een fase 2 worden uitgevoerd. De ingangsdatum op het certificaat is op of na de hercertificeringsbeslissing en de vervaldatum moet gebaseerd zijn op een eerdere certificeringscyclus.

Speciale audits

Indien noodzakelijk kan Noordbeek Certification een speciale audit uitvoeren, al dan niet als een audit in twee fasen.

Uitbreiden scope

Noordbeek Certification zal, naar aanleiding van een aanvraag tot uitbreiding van de scope van een reeds verleende certificatie, een beoordeling van de aanvraag uitvoeren en eventuele auditactiviteiten vaststellen die nodig zijn om te beslissen of de verlenging al dan niet kan worden verleend. Dit kan worden uitgevoerd in combinatie met een surveillance audit.

Short-notice audits

Het kan voor Noordbeek Certification nodig zijn om op korte termijn of onaangekondigd audits uit te voeren bij gecertificeerde opdrachtgevers om klachten te onderzoeken, of als reactie op wijzigingen, of als follow-up van geschorste opdrachtgevers.

In dergelijke gevallen:

  • Noordbeek Certification beschrijft en maakt vooraf bekend aan de gecertificeerde opdrachtgevers de voorwaarden waaronder dergelijke audits zullen worden uitgevoerd;
  • Noordbeek Certification zal extra zorgvuldigheid in acht nemen bij de toewijzing van het auditteam vanwege het ontbreken van de mogelijkheid voor de opdrachtgever om bezwaar te maken tegen auditteamleden.

Opschorting, intrekking of beperking van de scope van certificering

Indien Noordbeek Certification een afwijking constateert die mogelijk kan leiden tot schorsing, intrekking of beperking, wordt contact opgenomen met de opdrachtgever. Indien overleg niet leidt tot een oplossing, wordt de Certificeringscommissie geïnformeerd. Deze commissie kan besluiten over te gaan tot schorsing, intrekking of beperking.

Noordbeek Certification schorst de certificatie in gevallen waarin bijvoorbeeld:

  • Het gecertificeerde managementsysteem van de opdrachtgever heeft aanhoudend of ernstig niet voldaan aan de certificeringseisen, waaronder eisen voor de effectiviteit van het managementsysteem;
  • De gecertificeerde opdrachtgever staat niet toe dat er surveillance audits of hercertificeringsaudits worden uitgevoerd met de vereiste frequenties;
  • De gecertificeerde opdrachtgever heeft vrijwillig een schorsing aangevraagd.

Bij schorsing is de certificering van het managementsysteem van de opdrachtgever tijdelijk ongeldig.

Noordbeek Certification herstelt de geschorste certificatie als het probleem dat tot de schorsing heeft geleid, is opgelost. Het niet oplossen van de problemen die hebben geleid tot de schorsing binnen een door Noordbeek Certification vastgestelde tijd zal leiden tot intrekking of vermindering van de scope van certificatie. (Opmerking: In de meeste gevallen zou de schorsing niet langer zijn dan zes maanden.)

Noordbeek Certification zal de scope van certificatie beperken om de onderdelen die niet aan de eisen voldoen uit te sluiten, wanneer de gecertificeerde opdrachtgever aanhoudend of ernstig heeft gefaald om te voldoen aan de certificatie-eisen voor die delen van de scope van certificatie. Een dergelijke verlaging moet in overeenstemming zijn met de eisen van de norm die voor certificering wordt gebruikt.

Beëindiging van NEN-7510 certificeringswerkzaamheden

Indien een opdrachtgever beschikt over een NEN 7510-certificaat, maar geen gezondheidsinformatie meer verwerkt, mogen geen surveillance audits of hercertificeringsaudits meer worden uitgevoerd voor NEN 7510. In deze situatie kan de Certificeringscommissie besluiten de werkzaamheden van Noordbeek Certification te beëindigen voor NEN 7510.

 

 

IT Audits
Contact

Noordbeek Certification B.V.
Rijndijk 235
2394 CD Hazerswoude
KvK 80529585

071 3416911 

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

© Noordbeek B.V. All rights reserved.