iw instytut włókiennictwa - Polski Komitet Normalizacyjny
Transkrypt
iw instytut włókiennictwa - Polski Komitet Normalizacyjny
POLSKI KOMITET NORMALIZACYJNY Wydział Certyfikacji ul. Świętokrzyska 14, 00-050 Warszawa tel. 0 22 556 74 50; fax. 0 22 556 74 20 e-mail [email protected]; www.pkn.pl Załącznik 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29 marca 2010 r. Strona 1/13 Instrukcja auditowania przez Polski Komitet Normalizacyjny - stronę drugą, Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami normy PN-ISO/IEC 27001 i wydawania świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji 1. Postanowienia ogólne 1.1. Instrukcja zawiera wyjaśnienia zapewniające jednolite i zgodne z przyjętą praktyką stosowanie przez PKN normy PN-ISO/IEC 27001 przy prowadzeniu auditu jako strona druga, a także wymagania dla organizacji auditowanej, strony pierwszej, ubiegającej się o wydanie przez PKN świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001. Świadectwo to, zwane dalej świadectwem stosowania SZBI, jest wydawane organizacji auditowanej przez PKN w sposób i na warunkach określonych w Zarządzeniu Nr 12 Prezesa PKN z dnia 29 marca 2010 r. Niniejsza Instrukcja stanowi Załącznik 1 do tego Zarządzenia. 1.2. PKN stosuje niniejszą instrukcję, w porozumieniu z organizacją auditowaną, przy prowadzeniu zleconego przez organizację auditu strony drugiej. Audit ten w przypadku jego zakończenia z pozytywnym wynikiem oraz spełnienia przez organizację wszystkich postanowień zawartej umowy, skutkuje wydaniem przez PKN świadectwa stosowania SZBI organizacji auditowanej. 2. Terminy i definicje 2.1. W niniejszej instrukcji są stosowane definicje podane w w pkt. 3. normach przywołanych 2.2. Termin audit używany jest zgodnie z normami: PN-EN ISO 9000; PN-EN ISO 19011 oraz PN-EN ISO/IEC 17021, jako synonim słowa audyt użytego w normach PN-ISO/IEC 27001 i PN-ISO/IEC 27006. 2.3. Określenia: organizacja wnioskująca, organizacja auditowana lub organizacja są stosowane do określenia odpowiednio organizacji składającej do PKN wniosek o przeprowadzenie auditu strony drugiej, organizacji podlegającej auditowi i/lub posiadającej wydane przez PKN świadectwo stosowania SZBI. 2.4. Stroną pierwszą auditu jest organizacja auditowana. 2.5. Stroną drugą auditu, przeprowadzającą audit, jest PKN. 2.6. Audit strony drugiej jest to działalność prowadzona przez PKN - stronę drugą, w organizacji auditowanej - stronie pierwszej, zgodnie z zapisami zarządzenia. 3. Dokumenty związane Dokumentami związanymi z niniejszą instrukcją są: 1) PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania; 2) PN-ISO/IEC 17799 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji; Opracował: Wydział Certyfikacji PKN Dokument nr . Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 2/13 3) PN-EN ISO 9000 Systemy zarządzania jakością – Podstawy i terminologia; 4) PN-EN ISO 19011 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego; 5) PN-EN ISO/IEC 17021 Ocena zgodności – Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania; 6) PN-ISO/IEC 27006 Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji; 7) Procedura B3 SZBI „Audit wewnętrzny” stosowana w PKN. 4. Wniosek o przeprowadzenie przez PKN auditu strony drugiej i wydania świadectwa stosowania SZBI 4.1. Działania przeprowadza się zgodnie z zapisami § 2 zarządzenia. 4.2. Organizacja wnioskująca realizując wymagania, o których mowa w pkt 4,1., zobowiązana jest do uiszczenia opłaty wstępnej, o której mowa w § 3 ust. 2 pkt 1 załącznika nr 4 do zarządzenia. 5. Przebieg auditu strony drugiej` 5.1. Powołanie zespołu auditujacego. 5.1.1. Zespół auditujący powoływany jest zgodnie z Procedurą B3 „Audit wewnętrzny” SZBI wdrożonego w PKN. 5.1.2. Zespół auditujący powołuje Pełnomocnik Bezpieczeństwa Informatycznego PKN, zwany dalej PBI, na wniosek Dyrektora Wydziału Certyfikacji, zwanego dalej WCR. 5.1.3. Skład zespołu auditującego WCR podaje organizacji auditowanej do wiadomości. 5.1.4. Przy określaniu wymagań dla auditorów powoływanych do prowadzenia auditu strony drugiej SZBI stosuje się odpowiednio zapisy Procedury B3 „Audit wewnętrzny” SZBI wdrożonego w PKN oraz normy PN-EN ISO 19011. 5.2. Pierwszy etap auditu strony drugiej. 5.2.1. Podczas pierwszego etapu auditu, przed opracowaniem planu auditu, przeprowadzana jest analiza dokumentacji i informacji dostarczonych przez organizację auditowaną wymaganych przez zespół auditujący. Zespół ten wykonuje czynności związane z pierwszym etapem auditu w siedzibie PKN. W szczególnych przypadkach, w uzgodnieniu z organizacją auditowaną, auditor wiodący może wnioskować do WCR o dokonanie wizyty w siedzibie organizacji wnioskującej. Decyzję o wizycie podejmuje WCR w porozumieniu z PBI i organizacją auditowaną. 5.2.2. W trakcie pierwszego etapu auditu auditowany: 1) udostępnia pełną dokumentację swojego SZBI, a w szczególności analizę ryzyka związanego z bezpieczeństwem informacji oraz deklarację stosowania, zgodnie z wymaganiami normy PN-ISO/IEC 27001; 2) umożliwia auditorowi dokonanie oceny swojej lokalizacji i specyficznych dla tej lokalizacji warunków oraz przeprowadzenie rozmów ze swoim personelem w celu określenia gotowości organizacji do drugiego etapu auditu; 3) przedstawia auditorowi zapisy umożliwiające przeprowadzenie przeglądu organizacji i dokumentujące zrozumienie przez klienta wymagań normy, zwłaszcza w odniesieniu do identyfikacji zagrożeń i analizy ryzyka; Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 3/13 4) udostępnia niezbędne informacje dotyczące zakresu systemu zarządzania i prawnych aspektów związanych z bezpieczeństwem informacji; 5) przedstawia zapisy dotyczące planowania i realizacji auditów wewnętrznych i przeglądów zarządzania, na podstawie których auditor określi gotowość klienta do etapu 2 auditu. 5.2.3. Wynikiem pierwszego etapu auditu są udokumentowane i przedstawione organizacji auditowanej ustalenia, łącznie z identyfikacją wszystkich obszarów, będących przedmiotem zainteresowania, które mogłyby być zakwalifikowane jako niezgodności podczas drugiego etapu auditu oraz plan etapu drugiego auditu, przygotowane przez zespół auditujący. 5.2.4. Za przeprowadzenie pierwszego etapu auditu, PKN wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 niniejszej Instrukcji. 5.3. Drugi etap auditu strony drugiej. 5.3.1. Drugi etap auditu przeprowadza się w siedzibie organizacji wnioskującej. Celem drugiego etapu jest ocena wdrożenia SZBI, w tym skuteczności ocenianego SZBI. Etap ten obejmuje zebranie informacji i dowodów zgodności z wymaganiami normy PN-ISO/IEC 27001, ze szczególnym uwzględnieniem: 1) oceny ryzyka związanego z bezpieczeństwem informacji, przy zapewnieniu, że przeprowadzana ocena ryzyka dostarcza porównywalnych i powtarzalnych wyników; 2) wymagań dotyczących dokumentacji podanych w normie PN-ISO/IEC 27001; 3) wyboru celów stosowania zabezpieczeń oraz o procesy oceny ryzyka i postępowania z ryzykiem; zabezpieczeń, w oparciu 4) przeglądu skuteczności SZBI i pomiaru skuteczności zabezpieczeń oraz raportowania i przeglądu w odniesieniu do celów SZBI; 5) wewnętrznych audytów SZBI i przeglądów dokonywanych przez kierownictwo; 6) odpowiedzialności kierownictwa za politykę bezpieczeństwa informacji; 7) powiązań pomiędzy wybranymi i zastosowanymi zabezpieczeniami, deklaracją stosowania, wynikami procesów oceny i postępowania z ryzykiem oraz polityką SZBI i celami; 8) wdrożenia wybranych i stosowanych zabezpieczeń, biorąc pod uwagę wykonywane przez organizację pomiary skuteczności zabezpieczeń (patrz powyżej pkt 4), w celu określenia, czy zabezpieczenia są wdrożone i skuteczne w osiąganiu określonych celów; 9) programów, procesów, procedur, zapisów, auditów wewnętrznych i przeglądów skuteczności SZBI w celu upewnienia się, że wynikają z decyzji kierownictwa, polityki i celów SZBI. 5.3.2. 5.3.3. Organizacja wnioskująca powinna wykazać, że: 1) analiza zagrożeń bezpieczeństwa informacji ma związek z działalnością organizacji i jest do niej adekwatna; 2) dokonała oceny zgodności z prawem, w tym z odpowiednimi umowami i przepisami oraz, że podjęła działania w przypadku stwierdzenia jakichkolwiek niezgodności. Podczas auditu, auditor może udzielać przedstawicielom organizacji wyjaśnień dotyczących ustaleń z auditu i/lub wymagań normy PN-ISO/IEC 27001. Na Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 4/13 spotkaniu zamykającym i spostrzeżenia auditora. 5.3.4. audit przedstawiane będą wyłącznie wnioski Za przeprowadzenie drugiego etapu auditu, PKN wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 instrukcji. 6. Raport z auditu strony drugiej 6.1. Raport z auditu strony drugiej jest opracowywany zgodnie z Procedurą B3 „Audit wewnętrzny” SZBI obowiązującą w PKN oraz § 4 zarządzenia. 6.2. Raport z auditu strony drugiej jest opracowywany w dwóch egzemplarzach przez auditora wiodącego po zakończeniu etapu drugiego, o którym mowa w pkt 5.3 i przekazywany do PBI. Termin przekazania raportu przez auditora wiodącego wynosi 14 dni roboczych od daty zakończenia drugiego etapu auditu. 6.3. PBI zatwierdza raport, o którym mowa w pkt 6.2 i przekazuje do WCR. Termin zatwierdzenia raportu przez PBI wynosi 5 dni roboczych od daty przekazania go przez auditora wiodącego. 6.4. WCR przekazuje niezwłocznie po otrzymaniu od PBI jeden egzemplarz raportu, o którym mowa w ust. 1, organizacji auditowanej. 7. Wydanie świadectwa stosowania SZBI 7.1. PKN wydaje organizacji auditowanej świadectwo stosowania SZBI na podstawie raportu, o którym mowa w pkt 6, potwierdzającego, że wymagania normy PN-ISO/IEC 27001 w zakresie niezbędnym do współpracy z systemem informatycznym PKN, objęte auditem są przez organizację wnioskującą spełnione. 7.2. Świadectwo stosowania SZBI jest wydawane organizacji auditowanej, jeżeli wszystkie niezgodności, o ile takie stwierdzono w trakcie auditu, zostały usunięte, a działania korygujące sprawdzone przez PKN, podczas wizyty na miejscu lub w inny odpowiedni sposób. 7.3. Świadectwo stosowania SZBI jest wydawane zgodnie z ustaleniami zawartymi w umowie o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI, po uiszczeniu wszystkich opłat określonych w tej umowie i podpisaniu umowy o nadzorze nad świadectwem stosowania SZBI, o której mowa w pkt 8.3. 7.4. Świadectwo jest ważne przez okres 5 (pięciu) lat pod warunkiem wypełniania przez organizację auditowaną postanowień umowy o nadzorze z zastrzeżeniem pkt. 10 niniejszej instrukcji . 7.5. W przypadku odmowy wydania przez PKN świadectwa stosowania SZBI, organizacja wnioskująca otrzymuje pisemne uzasadnienie. Odmowa wydania świadectwa stosowania SZBI nie zwalnia organizacji wnioskującej z zapłaty za faktury, o których mowa w pkt 5.2.4. i 5.3.4. oraz nie upoważnia organizacji auditowanej do roszczeń o zwrot już poniesionych opłat na rzecz PKN, odpowiednio do zapisów zawartych w § 3 ust. 3 umowy o przeprowadzenie auditu strony drugiej, której wzór podany jest w załączniku 4 do zarządzenia. 7.6. Za wydanie świadectwa stosowania SZBI, PKN wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 niniejszej Instrukcji. 8. Nadzór PKN nad wydanym organizacji auditowanej świadectwem stosowania SZBI 8.1. PKN sprawuje nadzór nad wydanym świadectwem stosowania SZBI. Celem nadzoru jest sprawdzenie, czy SZBI nadal funkcjonuje, rozważenie wpływu na ten system Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 5/13 zmian zainicjowanych w wyniku zmian w działaniach organizacji oraz potwierdzenia ciągłej zgodności z wymaganiami normy PN-ISO/IEC 27001. 8.2. Nadzór o którym mowa w pkt 8.1 PKN prowadzi poprzez audity nadzoru, o których mowa w pkt 9. 8.3. Audity nadzoru są przeprowadzane w sposób i na warunkach określonych w umowie o nadzorze nad wydanym świadectwem stosowania SZBI zawartej przez organizację auditowaną i PKN przed wydaniem świadectwa stosowania SZBI. Wzór takiej umowy określony jest w Załączniku 5 do Zarządzenia.. 8.4. W okresie ważności wydanego świadectwa stosowania SZBI, organizacja auditowana jest zobowiązana do: 1) przeprowadzenia, co najmniej raz do roku, auditu wewnętrznego SZBI i przeglądu systemu zarządzania bezpieczeństwem informacji i realizacji ich ustaleń; 2) informowania PKN o wszystkich ważnych zmianach w jej systemie zarządzania i strukturze organizacyjnej. 8.5. Koszty wynikające z przeprowadzonych auditów nadzoru ponosi organizacja auditowana. Koszty te są określone w umowie o nadzorze, odpowiednio do zrealizowanych zadań, o których mowa w pkt 9. Są one ustalane w sposób określony w umowie, o której mowa w pkt 8.3, zgodnie z pkt 15 niniejszej Instrukcji. 8.6. Za przeprowadzenie auditu nadzoru, PKN wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 instrukcji. 9. Audit nadzoru 9.1. PKN realizując nadzór nad wydanym świadectwem stosowania SZBI prowadzi planowe audity nadzoru lub audity z krótkim terminem powiadamiania. 9.2. Planowe audity nadzoru PKN prowadzi, zgodnie z zapisami umowy o nadzorze, co najmniej raz w roku. Pierwszy audit strony drugiej w nadzorze przeprowadza się przed upływem 12 miesięcy od zakończenia auditu, będącego podstawą wydania świadectwa stosowania SZBI. Następne audity nadzoru są przeprowadzane w kolejnych okresach rocznych, odpowiednio do czasu ważności świadectwa. 9.3. Audity z krótkim terminem powiadamiania PKN przeprowadza w przypadku powstania uzasadnionych wątpliwości co do spełniania przez organizację zobowiązań zawartych w umowach: o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI oraz o nadzorze nad wydanym świadectwem. 9.4. Każdy planowy audit nadzoru obejmuje przegląd: 1) skuteczności SZBI w odniesieniu do osiągania celów polityki organizacji w zakresie bezpieczeństwa informacji; 2) funkcjonowania procedur okresowej oceny i zgodności z odnośnymi przepisami i regulacjami dotyczącymi bezpieczeństwa informacji; 3) działań mających na celu usunięcie niezgodności stwierdzonych podczas ostatniego auditu; 4) elementów utrzymania systemu, którymi są audity wewnętrzne, przeglądy zarządzania oraz działania korygujące i zapobiegawcze; 5) zmian w udokumentowanym systemie; 6) obszarów, które podlegały zmianom; Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 6/13 7) innych wybranych obszarów, stosownie do potrzeb tak, aby wykazać, że w okresie 3 kolejnych auditów auditowane były wszystkie wymagania normy PN-ISO/IEC 27001; 8) wykorzystania świadectwa stosowania SZBI i raportów z poprzednich auditów; 9) zapisów dotyczących informacji; zdarzeń/incydentów związanych z bezpieczeństwem 10) zapisów świadczących o tym, że w przypadku wykrycia jakiejkolwiek niezgodności lub naruszenia wymagań uzyskania świadectwa stosowania SZBI, organizacja prześledziła własne systemy i procedury i wykonała odpowiednie działania korygujące. 9.5. Zakres auditu z krótkim terminem powiadamiania obejmuje doraźne sprawdzenie obszaru w którym zaistniały uzasadnione i udokumentowane wątpliwości co do spełniania przez organizację zobowiązań zawartych w umowach: o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI oraz o nadzorze nad wydanym świadectwem. 9.6. W przypadku stwierdzenia niezgodności w trakcie nadzoru, organizacja jest zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym w raporcie z auditu. Czas przewidziany na realizację działań korygujących PKN uzależnia od wagi niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań. 9.7. Jeżeli niezgodności te nie zostaną usunięte we wskazanym w raporcie z auditu terminie, PKN zawiesza albo cofa wydane świadectwo stosowania SZBI, przekazując do organizacji stosowny dokument informujący o zawieszeniu albo cofnięciu wydanego świadectwa. W takim przypadku organizacja ponosi także konsekwencje wynikające z zapisów umów zawartych z PKN, w których jako warunek konieczny wymienione jest posiadanie przez nią potwierdzonego SZBI. 10. Zawieszenie, cofnięcie i wznowienie świadectwa stosowania SZBI 10.1. PKN może zawiesić świadectwo stosowania SZBI w przypadku stwierdzenia: 1) niezgodności, w wyniku przeprowadzonego auditu nadzoru, z kryteriami będącymi podstawą wydania świadectwa stosowania SZBI; lub 2) nie wywiązywania się organizacji z zobowiązań wynikających ze wszystkich umów zawartych z PKN. 10.2. Zawieszenie ma ściśle określony termin wyznaczony przez PKN, w którym organizacja ma obowiązek usunięcia niezgodności, wymienionych w dokumencie informującym o zawieszeniu wydanego świadectwa. Po tym terminie następuje cofnięcie świadectwa stosowania SZBI, o ile niezgodności nie zostaną usunięte. 10.3. Wraz z zawieszeniem świadectwa stosowania SZBI PKN zobowiązuje organizację do zaprzestania powoływania się na to świadectwo. 10.4. Wznowienie ważności zawieszonego, zgodnie z pkt 10.1., świadectwa stosowania SZBI może nastąpić w przypadku: 1) przekazania informacji przez organizację, której świadectwo stosowania SZBI uległo zawieszeniu, o spełnieniu warunków powodujących zawieszenie; oraz 2) potwierdzenia, przez audit sprawdzający, spełnienia tych warunków. Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 7/13 10.5. Okres zawieszenia nie ma wpływu na termin ważności zawieszonego świadectwa SZBI, który pozostaje stały i zgodny z datą ważności wymienioną na świadectwie. 10.6. PKN może cofnąć świadectwo stosowania SZBI w następujących przypadkach: 1) niedotrzymania przez organizację warunków umów: o wydanie świadectwa stosowania SZBI i o nadzorze nad wydanym świadectwem; 2) nieusunięcia przez organizację w okresie zawieszenia świadectwa stosowania SZBI niezgodności, których wystąpienie było podstawą zawieszenia świadectwa stosowania SZBI. 10.7. Wraz z cofnięciem świadectwa stosowania SZBI PKN zobowiązuje organizację do zaprzestania powoływania się na świadectwo stosowania SZBI oraz jego zwrot w określonym przez PKN terminie. 10.8. Organizacja ponosi konsekwencje, o których mowa w § 8 ust. 3 pkt 2 zarządzenia. 10.9. Cofnięte świadectwo nie podlega wznowieniu w sposób opisany w pkt 10.4. 11. Audit ponownej oceny SZBI 11.1. Celem auditu ponownej oceny jest sprawdzenie skuteczności systemu zarządzania bezpieczeństwem informacji organizacji. Audit ponownej oceny jest przeprowadzany co 5 lat, przed upływem terminu ważności posiadanego świadectwa stosowania SZBI. 11.2. Wniosek o audit ponownej oceny organizacja składa do PKN co najmniej na 6 miesięcy przed upływem terminu ważności posiadanego świadectwa stosowania SZBI. Organizacja składa odpowiedni wniosek, jak w Załączniku 3 do Zarządzenia i podpisuje nową umowę o przeprowadzenie auditu strony drugiej i wydanie świadectwa stosowania SZBI, stosując zapisy Zarządzenia odpowiednio. 11.3. Podczas ponownej oceny organizacja auditowana musi wykazać: 1) skuteczność SZBI jako całości w świetle zmian wewnętrznych i zewnętrznych oraz jego stałą odpowiedniość i przydatność w zakresie objętym świadectwem stosowania SZBI; 2) zaangażowanie w utrzymywaniu skuteczności oraz doskonalenie SZBI; 3) że działanie SZBI przyczynia się do realizacji polityki i osiągnięcia celów organizacji. 11.4. PKN wydaje kolejne świadectwo stosowania SZBI w przypadku pozytywnego wyniku auditu ponownej oceny. PKN uwzględnia przy tym wyniki auditów nadzoru, o których mowa w pkt. 9. instrukcji. 11.5. W przypadku stwierdzenia niezgodności w trakcie auditu ponownej oceny, organizacja jest zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym z PKN. 11.6. Czas przewidziany na realizację działań korygujących PKN uzależnia od wagi niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań. 11.7. Jeżeli niezgodności te nie zostaną usunięte w uzgodnionym terminie, PKN nie wydaje nowego świadectwa stosowania SZBI, i tym samym organizacja ponosi także konsekwencje wynikające z zapisów umów zawartych z PKN, w których jako warunek konieczny wymienione jest posiadanie przez nią potwierdzonego SZBI. Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 8/13 12. Wykorzystanie świadectwa stosowania SZBI Organizacja auditowana ma prawo powoływać się na uzyskane świadectwo stosowania SZBI w prowadzonej działalności reklamowej i w kontaktach ze swoimi klientami w odniesieniu do działalności objętej zakresem świadectwa stosowania SZBI. 13. Skargi składane do organizacji auditowanej 13.1. Skargi składane do organizacji auditowanej w zakresie objętym umową z PKN mogą stanowić źródło informacji o zdarzeniach/incydentach dotyczących SZBI i ewentualnych niezgodnościach. W takim przypadku organizacja auditowana opracowuje odpowiedni raport i podejmuje działania korygujące i/lub zapobiegawcze w celu ich usunięcia oraz prowadzi i przechowuje zapisy. 13.2. Podczas auditów nadzoru PKN sprawdza te zapisy. 13.3. Zaleca się, aby nie uznawać działań korygujących za zakończone, dopóki nie wykaże się ich skuteczności i nie dokona niezbędnych zmian w procedurach, dokumentacji i zapisach. 14. Poufność 14.1. PKN zapewnia poufność każdej przekazanej przez organizację dokumentacji, za wyjątkiem przypadków przewidzianych prawem. informacji 14.2. Wszystkie osoby które są w jakikolwiek sposób związane z prowadzonym przez PKN auditem strony drugiej, podpisują deklarację poufności. 15. Sposób ustalania opłat związanych z przeprowadzaniem przez PKN auditu strony drugiej SZBI 15.1. Czas wymagany do przeprowadzenia auditu strony drugiej SZBI, auditów nadzoru oraz auditu ponownej oceny oraz koszty związane z ich przeprowadzeniem PKN określa na podstawie takich danych, jak: wielkość komórki organizacyjnej/organizacji wnioskującej, liczba zatrudnionych, wielooddziałowość, liczba lokalizacji stosowany system informatyczny organizacji auditowanej i jego złożoność - zgodnie z wytycznymi podanymi w normie PN-ISO/IEC 27006 oraz cennikiem stanowiącym Załącznik 1 do niniejszej Instrukcji. 15.2. Koszty o których mowa w pkt 15.1. podaje się organizacji wnioskującej w umowie, o której mowa w pkt 4.2 niniejszej Instrukcji. 15.3. Organizacja wnioskująca potwierdza przyjęcie kosztów określonych w umowie, o której mowa w pkt 4.2 niniejszej Instrukcji. 15.4. Na całkowity koszt auditu strony drugiej składają się: 1) opłata wstępna. Jest to opłata stała obejmująca koszty związane z wstępną analizą dokumentacji. Opłata ta jest zgodna z cennikiem stanowiącym załącznik 1 do niniejszej instrukcji i jest wnoszona przez organizację wnioskującą na podstawie faktury wystawionej przez PKN; 2) koszt przeprowadzenia pierwszego etapu auditu, o którym mowa w pkt 5.2. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.2. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w załączniku 1, do niniejszej instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditorów. Opłata za przeprowadzenie pierwszego etapu auditu wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN; 3) koszt przeprowadzenia drugiego etapu auditu, o którym mowa w pkt 5.3. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 9/13 wnioskującej, realizującego zadania, o których mowa w pkt 5.3.. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie drugiego etapu auditu wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN; 4) koszty wydania świadectwa stosowania SZBI w wersji elektronicznej i papierowej. Opłata określana jest na podstawie Załącznika 1 do niniejszej instrukcji i wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN. 15.5. Koszt auditu nadzoru, o którym mowa w pkt 9 obejmuje wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa pkt 9. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie auditu nadzoru wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN. 15.6. Koszt auditu ponownej oceny, o którym mowa w pkt 11 obejmuje wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa pkt 11. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie auditu ponownej oceny oraz wydanie nowego świadectwa stosowania SZBI wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN. 16. Załączniki: Załącznik 1: Cennik opłat związanych z przeprowadzaniem przez PKN auditu strony drugiej SZBI Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 10/13 Załącznik 1 do Instrukcji Cennik opłat związanych z przeprowadzaniem przez Polski Komitet Normalizacyjny auditu strony drugiej SZBI oraz wydaniem świadectwa stosowania SZBI organizacji wnioskującej 1. Opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz wydaniem świadectwa stosowania SZBI Na opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz wydanie świadectwa stosowania SZBI składają się: A. B. C. D. 1.1. Opłata wstępna Opłata za przeprowadzenie pierwszego etapu auditu Opłata za przeprowadzenie drugiego etapu auditu Opłata za wydanie świadectwa stosowania SZBI A - Opłata wstępna jest to opłata stała, obejmująca koszty związane z wstępną analizą dokumentacji dołączonej do złożonego wniosku. Opłata ta wynosi 1 000 PLN. Jest wnoszona przez organizację wnioskującą na podstawie faktury wystawionej przez PKN w terminie określonym w § 3 ust. 2 pkt 1 umowy o przeprowadzenie auditu strony drugiej i wydania świadectwa stosowania SZBI. 1.2. B - Opłata za przeprowadzenie pierwszego etapu auditu,. Obejmuje ona wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.2 instrukcji; koszt ten jest ustalany na podstawie Tablicy 1. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez PKN po zakończeniu pierwszego etapu auditu. 1.3. C - Koszt przeprowadzenia drugiego etapu auditu. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.3 instrukcji; koszt ten jest ustalany na podstawie Tablicy 1. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez PKN po zakończeniu drugiego etapu auditu. 1.4. D - Opłata za wydanie świadectwa stosowania SZBI jest stała i wynosi 500 PLN. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez PKN przed wydaniem świadectwa stosowania SZBI. 1.5. Wydanie świadectwa stosowania SZBI następuje po dokonaniu wpłat przez organizację auditowaną zgodnie z fakturami wymienionymi w pkt 1.1; 1.2; 1.3 i 1.4. 1.6. Tablice pomocnicze do określania kosztów auditu strony drugiej SZBI Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 11/13 Tablica 1: Koszty auditu strony drugiej SZBI Liczba pracowników organizacji auditowanej Opłata wstępna Opłata za przeprowadzenie pierwszego etapu auditu Opłata za przeprowadzenie drugiego etapu auditu Koszt wydania świadectwa SZBI Całkowity koszt przeprowadzenia auditu strony drugiej i wydania świadectwa stosowania SZBI A B C D A+B+C+D PLN 1-10 1 000 2 400 3 600 500 7 500 11-25 1 000 3 600 4 800 500 9 900 > 25 1 000 4 200 6 000 500 11 700 Tablica 2: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej Łączna liczba dni pracy auditorów podczas oceny SZBI w procesie auditu strony drugiej Liczba pracowników zatrudnionych w organizacji auditowanej Pierwszy etap auditu Drugi etap auditu 1-10 2 3 5 11-25 3 4 7 > 25 3.5 5 8,5 Czas auditu podany w Tablicy 2 nie obejmuje czasu dojazdu zespołu auditorów do siedziby organizacji auditowanej.. 2. Opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI Na opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI składają się: E. Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem F. Opłata za przeprowadzenie corocznego auditu nadzoru Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 12/13 2.1. E – Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem SZBI jest stała i obejmuje koszty związane z: a) bieżącym monitorowaniem SZBI; b) analizą dokumentacji związanej z procesem nadzoru; c) wydawaniem decyzji w nadzorze nad świadectwem stosowania SZBI. Opłata ta wynosi 60 % opłaty za pierwszy etap auditu podanej w kolumnie B Tablicy 1. Jest wnoszona przez organizację auditowaną jako przedpłata raz do roku w terminie uzgodnionym w umowie o nadzorze nad wydanym świadectwem w formie przedpłaty. Otrzymanie przedpłaty jest potwierdzane przez PKN fakturą. 2.2. F - Opłata za przeprowadzenie corocznego auditu nadzoru. Obejmuje ona wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 9.4 instrukcji; koszt ten jest ustalany na podstawie Tablicy 3; Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez PKN po zakończeniu corocznego auditu nadzoru. 2.3. Tablice pomocnicze określania kosztów auditu nadzoru nad wydanym świadectwem stosowania SZBI Tablica 3: Koszty auditu nadzoru SZBI Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem SZBI Opłata za przeprowadzenie auditu nadzoru Całkowity koszt przeprowadzenia auditu nadzoru nad wydanym świadectwem SZBI E F E+F 1-10 1 450 zł 2 400 zł 3 850 zł 11-25 2 150 zł 3 600 zł 5 650 zł > 25 2 550 zł 4 200 zł 6 750 zł Liczba pracowników organizacji auditowanej Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Strona 13/13 Tablica 4: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej Łączna liczba dni pracy auditorów podczas auditu nadzoru Liczba pracowników zatrudnionych w organizacji auditowanej Audit nadzoru 1-10 3 3 11-25 4 4 > 25 5 5 Czas auditu podany w Tablicy 4 nie obejmuje czasu dojazdu zespołu auditorów do siedziby organizacji auditowanej.. 3. Podatek VAT Do wszystkich opłat wymienionych w niniejszym cenniku dolicza się podatek VAT w wysokości 22 % - zgodnie z Ustawą Nr 535 z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. Nr 54 z 5 kwietnia 2004 r.) Opracował: Wydział Certyfikacji PKN Dokument nr Stanowi załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r. Zatwierdzony przez Prezesa PKN