iw instytut włókiennictwa - Polski Komitet Normalizacyjny

Transkrypt

POLSKI KOMITET NORMALIZACYJNY
Wydział Certyfikacji
ul. Świętokrzyska 14, 00-050 Warszawa
tel. 0 22 556 74 50; fax. 0 22 556 74 20
e-mail [email protected];
www.pkn.pl
Załącznik 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29 marca 2010 r.
Strona 1/13
Instrukcja auditowania przez Polski Komitet Normalizacyjny - stronę drugą, Systemu
Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami normy
PN-ISO/IEC 27001 i wydawania świadectwa stosowania Systemu Zarządzania
Bezpieczeństwem Informacji
1. Postanowienia ogólne
1.1. Instrukcja zawiera wyjaśnienia zapewniające jednolite i zgodne z przyjętą praktyką
stosowanie przez PKN normy PN-ISO/IEC 27001 przy prowadzeniu auditu jako strona
druga, a także wymagania dla organizacji auditowanej, strony pierwszej, ubiegającej
się o wydanie przez PKN świadectwa stosowania Systemu Zarządzania
Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001. Świadectwo to,
zwane dalej świadectwem stosowania SZBI, jest wydawane organizacji auditowanej
przez PKN w sposób i na warunkach określonych w Zarządzeniu Nr 12 Prezesa PKN z
dnia 29 marca 2010 r. Niniejsza Instrukcja stanowi Załącznik 1 do tego Zarządzenia.
1.2. PKN stosuje niniejszą instrukcję, w porozumieniu z organizacją auditowaną, przy
prowadzeniu zleconego przez organizację auditu strony drugiej. Audit ten w przypadku
jego zakończenia z pozytywnym wynikiem oraz spełnienia przez organizację
wszystkich postanowień zawartej umowy, skutkuje wydaniem przez PKN świadectwa
stosowania SZBI organizacji auditowanej.
2. Terminy i definicje
2.1. W niniejszej instrukcji są stosowane definicje podane w
w pkt. 3.
normach przywołanych
2.2. Termin audit używany jest zgodnie z normami: PN-EN ISO 9000; PN-EN ISO 19011
oraz PN-EN ISO/IEC 17021, jako synonim słowa audyt użytego w normach
PN-ISO/IEC 27001 i PN-ISO/IEC 27006.
2.3. Określenia: organizacja wnioskująca, organizacja auditowana lub organizacja są
stosowane do określenia odpowiednio organizacji składającej do PKN wniosek
o przeprowadzenie auditu strony drugiej, organizacji podlegającej auditowi i/lub
posiadającej wydane przez PKN świadectwo stosowania SZBI.
2.4. Stroną pierwszą auditu jest organizacja auditowana.
2.5. Stroną drugą auditu, przeprowadzającą audit, jest PKN.
2.6. Audit strony drugiej jest to działalność prowadzona przez PKN - stronę drugą,
w organizacji auditowanej - stronie pierwszej, zgodnie z zapisami zarządzenia.
3. Dokumenty związane
Dokumentami związanymi z niniejszą instrukcją są:
1) PN-ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy
zarządzania bezpieczeństwem informacji – Wymagania;
2) PN-ISO/IEC 17799 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne
zasady zarządzania bezpieczeństwem informacji;
Opracował:
Wydział Certyfikacji PKN
Dokument nr
.
Zatwierdzony przez Prezesa
PKN
Załącznik Nr 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29.03.2010 r.
Strona 2/13
3) PN-EN ISO 9000 Systemy zarządzania jakością – Podstawy i terminologia;
4) PN-EN ISO 19011 Wytyczne dotyczące auditowania systemów zarządzania jakością
i/lub zarządzania środowiskowego;
5) PN-EN ISO/IEC 17021 Ocena zgodności – Wymagania dla jednostek prowadzących
auditowanie i certyfikację systemów zarządzania;
6) PN-ISO/IEC 27006 Technika informatyczna – Techniki bezpieczeństwa – Wymagania
dla jednostek prowadzących audyt i certyfikację systemów zarządzania
bezpieczeństwem informacji;
7) Procedura B3 SZBI „Audit wewnętrzny” stosowana w PKN.
4. Wniosek o przeprowadzenie przez PKN auditu strony drugiej i wydania świadectwa
stosowania SZBI
4.1. Działania przeprowadza się zgodnie z zapisami § 2 zarządzenia.
4.2. Organizacja wnioskująca realizując wymagania, o których mowa w pkt 4,1.,
zobowiązana jest do uiszczenia opłaty wstępnej, o której mowa w § 3 ust. 2 pkt 1
załącznika nr 4 do zarządzenia.
5. Przebieg auditu strony drugiej`
5.1. Powołanie zespołu auditujacego.
5.1.1.
Zespół auditujący powoływany jest zgodnie z Procedurą B3 „Audit wewnętrzny”
SZBI wdrożonego w PKN.
5.1.2.
Zespół auditujący powołuje Pełnomocnik Bezpieczeństwa Informatycznego PKN,
zwany dalej PBI, na wniosek Dyrektora Wydziału Certyfikacji, zwanego dalej WCR.
5.1.3.
Skład zespołu auditującego WCR podaje organizacji auditowanej do wiadomości.
5.1.4.
Przy określaniu wymagań dla auditorów powoływanych do prowadzenia auditu
strony drugiej SZBI stosuje się odpowiednio zapisy Procedury B3 „Audit
wewnętrzny” SZBI wdrożonego w PKN oraz normy PN-EN ISO 19011.
5.2. Pierwszy etap auditu strony drugiej.
5.2.1.
Podczas pierwszego etapu auditu, przed opracowaniem planu auditu,
przeprowadzana jest analiza dokumentacji i informacji dostarczonych przez
organizację auditowaną wymaganych przez zespół auditujący. Zespół ten wykonuje
czynności związane z pierwszym etapem auditu w siedzibie PKN. W szczególnych
przypadkach, w uzgodnieniu z organizacją auditowaną, auditor wiodący może
wnioskować do WCR o dokonanie wizyty w siedzibie organizacji wnioskującej.
Decyzję o wizycie podejmuje WCR w porozumieniu z PBI i organizacją auditowaną.
5.2.2.
W trakcie pierwszego etapu auditu auditowany:
1) udostępnia pełną dokumentację swojego SZBI, a w szczególności analizę
ryzyka związanego z bezpieczeństwem informacji oraz deklarację stosowania,
zgodnie z wymaganiami normy PN-ISO/IEC 27001;
2) umożliwia auditorowi dokonanie oceny swojej lokalizacji i specyficznych dla tej
lokalizacji warunków oraz przeprowadzenie rozmów ze swoim personelem
w celu określenia gotowości organizacji do drugiego etapu auditu;
3) przedstawia auditorowi zapisy umożliwiające przeprowadzenie przeglądu
organizacji i dokumentujące zrozumienie przez klienta wymagań normy,
zwłaszcza w odniesieniu do identyfikacji zagrożeń i analizy ryzyka;
Opracował:
Dokument nr
Stanowi załącznik Nr 1 do
Zarządzenia Nr 12 Prezesa
PKN z dnia 29.03.2010 r.
PKN
Strona 3/13
4) udostępnia niezbędne informacje dotyczące zakresu systemu zarządzania
i prawnych aspektów związanych z bezpieczeństwem informacji;
5) przedstawia zapisy dotyczące planowania i realizacji auditów wewnętrznych
i przeglądów zarządzania, na podstawie których auditor określi gotowość klienta
do etapu 2 auditu.
5.2.3.
Wynikiem pierwszego etapu auditu są udokumentowane i przedstawione
organizacji auditowanej ustalenia, łącznie z identyfikacją wszystkich obszarów,
będących przedmiotem zainteresowania, które mogłyby być zakwalifikowane jako
niezgodności podczas drugiego etapu auditu oraz plan etapu drugiego auditu,
przygotowane przez zespół auditujący.
5.2.4.
Za przeprowadzenie pierwszego etapu auditu, PKN wystawia organizacji
wnioskującej fakturę zgodnie z pkt 15 niniejszej Instrukcji.
5.3. Drugi etap auditu strony drugiej.
5.3.1.
Drugi etap auditu przeprowadza się w siedzibie organizacji wnioskującej. Celem
drugiego etapu jest ocena wdrożenia SZBI, w tym skuteczności ocenianego SZBI.
Etap ten obejmuje zebranie informacji i dowodów zgodności z wymaganiami normy
PN-ISO/IEC 27001, ze szczególnym uwzględnieniem:
1) oceny ryzyka związanego z bezpieczeństwem informacji, przy zapewnieniu, że
przeprowadzana ocena ryzyka dostarcza porównywalnych i powtarzalnych
wyników;
2) wymagań dotyczących dokumentacji podanych w normie PN-ISO/IEC 27001;
3) wyboru celów stosowania zabezpieczeń oraz
o procesy oceny ryzyka i postępowania z ryzykiem;
zabezpieczeń,
w oparciu
4) przeglądu skuteczności SZBI i pomiaru skuteczności zabezpieczeń oraz
raportowania i przeglądu w odniesieniu do celów SZBI;
5) wewnętrznych audytów SZBI i przeglądów dokonywanych przez kierownictwo;
6) odpowiedzialności kierownictwa za politykę bezpieczeństwa informacji;
7) powiązań pomiędzy wybranymi i zastosowanymi zabezpieczeniami, deklaracją
stosowania, wynikami procesów oceny i postępowania z ryzykiem oraz polityką
SZBI i celami;
8) wdrożenia wybranych i stosowanych zabezpieczeń, biorąc pod uwagę
wykonywane przez organizację pomiary skuteczności zabezpieczeń (patrz
powyżej pkt 4), w celu określenia, czy zabezpieczenia są wdrożone i skuteczne
w osiąganiu określonych celów;
9) programów, procesów, procedur, zapisów, auditów wewnętrznych i przeglądów
skuteczności SZBI w celu upewnienia się, że wynikają z decyzji kierownictwa,
polityki i celów SZBI.
5.3.2.
5.3.3.
Organizacja wnioskująca powinna wykazać, że:
1)
analiza zagrożeń bezpieczeństwa informacji ma związek z działalnością
organizacji i jest do niej adekwatna;
2)
dokonała oceny zgodności z prawem, w tym z odpowiednimi umowami
i przepisami oraz, że podjęła działania w przypadku stwierdzenia jakichkolwiek
niezgodności.
Podczas auditu, auditor może udzielać przedstawicielom organizacji wyjaśnień
dotyczących ustaleń z auditu i/lub wymagań normy PN-ISO/IEC 27001. Na
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 4/13
spotkaniu zamykającym
i spostrzeżenia auditora.
5.3.4.
audit
przedstawiane
będą
wyłącznie
wnioski
Za przeprowadzenie drugiego etapu auditu, PKN wystawia organizacji wnioskującej
fakturę zgodnie z pkt 15 instrukcji.
6. Raport z auditu strony drugiej
6.1. Raport z auditu strony drugiej jest opracowywany zgodnie z Procedurą B3 „Audit
wewnętrzny” SZBI obowiązującą w PKN oraz § 4 zarządzenia.
6.2. Raport z auditu strony drugiej jest opracowywany w dwóch egzemplarzach przez
auditora wiodącego po zakończeniu etapu drugiego, o którym mowa w pkt 5.3
i przekazywany do PBI. Termin przekazania raportu przez auditora wiodącego wynosi
14 dni roboczych od daty zakończenia drugiego etapu auditu.
6.3. PBI zatwierdza raport, o którym mowa w pkt 6.2 i przekazuje do WCR. Termin
zatwierdzenia raportu przez PBI wynosi 5 dni roboczych od daty przekazania go przez
auditora wiodącego.
6.4. WCR przekazuje niezwłocznie po otrzymaniu od PBI jeden egzemplarz raportu, o
którym mowa w ust. 1, organizacji auditowanej.
7. Wydanie świadectwa stosowania SZBI
7.1. PKN wydaje organizacji auditowanej świadectwo stosowania SZBI na podstawie
raportu, o którym mowa w pkt 6, potwierdzającego, że wymagania normy PN-ISO/IEC
27001 w zakresie niezbędnym do współpracy z systemem informatycznym PKN, objęte
auditem są przez organizację wnioskującą spełnione.
7.2. Świadectwo stosowania SZBI jest wydawane organizacji auditowanej, jeżeli wszystkie
niezgodności, o ile takie stwierdzono w trakcie auditu, zostały usunięte, a działania
korygujące sprawdzone przez PKN, podczas wizyty na miejscu lub w inny odpowiedni
sposób.
7.3. Świadectwo stosowania SZBI jest wydawane zgodnie z ustaleniami zawartymi
w umowie o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa
stosowania SZBI, po uiszczeniu wszystkich opłat określonych w tej umowie
i podpisaniu umowy o nadzorze nad świadectwem stosowania SZBI, o której mowa w
pkt 8.3.
7.4. Świadectwo jest ważne przez okres 5 (pięciu) lat pod warunkiem wypełniania przez
organizację auditowaną postanowień umowy o nadzorze z zastrzeżeniem pkt. 10
niniejszej instrukcji .
7.5. W przypadku odmowy wydania przez PKN świadectwa stosowania SZBI, organizacja
wnioskująca otrzymuje pisemne uzasadnienie. Odmowa wydania świadectwa
stosowania SZBI nie zwalnia organizacji wnioskującej z zapłaty za faktury, o których
mowa w pkt 5.2.4. i 5.3.4. oraz nie upoważnia organizacji auditowanej do roszczeń o
zwrot już poniesionych opłat na rzecz PKN, odpowiednio do zapisów zawartych w § 3
ust. 3 umowy o przeprowadzenie auditu strony drugiej, której wzór podany jest w
załączniku 4 do zarządzenia.
7.6. Za wydanie świadectwa stosowania SZBI, PKN wystawia organizacji wnioskującej
fakturę zgodnie z pkt 15 niniejszej Instrukcji.
8. Nadzór PKN nad wydanym organizacji auditowanej świadectwem stosowania SZBI
8.1. PKN sprawuje nadzór nad wydanym świadectwem stosowania SZBI. Celem nadzoru
jest sprawdzenie, czy SZBI nadal funkcjonuje, rozważenie wpływu na ten system
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 5/13
zmian zainicjowanych w wyniku zmian w działaniach organizacji oraz potwierdzenia
ciągłej zgodności z wymaganiami normy PN-ISO/IEC 27001.
8.2. Nadzór o którym mowa w pkt 8.1 PKN prowadzi poprzez audity nadzoru, o których
mowa w pkt 9.
8.3. Audity nadzoru są przeprowadzane w sposób i na warunkach określonych w umowie
o nadzorze nad wydanym świadectwem stosowania SZBI zawartej przez organizację
auditowaną i PKN przed wydaniem świadectwa stosowania SZBI. Wzór takiej umowy
określony jest w Załączniku 5 do Zarządzenia..
8.4. W okresie ważności wydanego świadectwa stosowania SZBI, organizacja auditowana
jest zobowiązana do:
1) przeprowadzenia, co najmniej raz do roku, auditu wewnętrznego SZBI i przeglądu
systemu zarządzania bezpieczeństwem informacji i realizacji ich ustaleń;
2) informowania PKN o wszystkich ważnych zmianach w jej systemie zarządzania
i strukturze organizacyjnej.
8.5. Koszty wynikające z przeprowadzonych auditów nadzoru ponosi organizacja
auditowana. Koszty te są określone w umowie o nadzorze, odpowiednio do
zrealizowanych zadań, o których mowa w pkt 9. Są one ustalane w sposób określony
w umowie, o której mowa w pkt 8.3, zgodnie z pkt 15 niniejszej Instrukcji.
8.6. Za przeprowadzenie auditu nadzoru, PKN wystawia organizacji wnioskującej fakturę
zgodnie z pkt 15 instrukcji.
9. Audit nadzoru
9.1. PKN realizując nadzór nad wydanym świadectwem stosowania SZBI prowadzi
planowe audity nadzoru lub audity z krótkim terminem powiadamiania.
9.2. Planowe audity nadzoru PKN prowadzi, zgodnie z zapisami umowy o nadzorze, co
najmniej raz w roku. Pierwszy audit strony drugiej w nadzorze przeprowadza się przed
upływem 12 miesięcy od zakończenia auditu, będącego podstawą wydania świadectwa
stosowania SZBI. Następne audity nadzoru są przeprowadzane w kolejnych okresach
rocznych, odpowiednio do czasu ważności świadectwa.
9.3. Audity z krótkim terminem powiadamiania PKN przeprowadza w przypadku powstania
uzasadnionych wątpliwości co do spełniania przez organizację zobowiązań zawartych
w umowach: o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa
stosowania SZBI oraz o nadzorze nad wydanym świadectwem.
9.4. Każdy planowy audit nadzoru obejmuje przegląd:
1) skuteczności SZBI w odniesieniu do osiągania celów polityki organizacji w zakresie
bezpieczeństwa informacji;
2) funkcjonowania procedur okresowej oceny i zgodności z odnośnymi przepisami
i regulacjami dotyczącymi bezpieczeństwa informacji;
3) działań mających na celu usunięcie niezgodności stwierdzonych podczas
ostatniego auditu;
4) elementów utrzymania systemu, którymi są audity wewnętrzne, przeglądy
zarządzania oraz działania korygujące i zapobiegawcze;
5) zmian w udokumentowanym systemie;
6) obszarów, które podlegały zmianom;
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 6/13
7) innych wybranych obszarów, stosownie do potrzeb tak, aby wykazać, że w okresie
3 kolejnych auditów auditowane były wszystkie wymagania normy PN-ISO/IEC
27001;
8) wykorzystania świadectwa stosowania SZBI i raportów z poprzednich auditów;
9) zapisów dotyczących
informacji;
zdarzeń/incydentów
związanych
z bezpieczeństwem
10) zapisów świadczących o tym, że w przypadku wykrycia jakiejkolwiek niezgodności
lub naruszenia wymagań uzyskania świadectwa stosowania SZBI, organizacja
prześledziła własne systemy i procedury i wykonała odpowiednie działania
korygujące.
9.5. Zakres auditu z krótkim terminem powiadamiania obejmuje doraźne sprawdzenie
obszaru w którym zaistniały uzasadnione i udokumentowane wątpliwości co do
spełniania przez organizację zobowiązań zawartych w umowach: o przeprowadzenie
auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI oraz o nadzorze nad
wydanym świadectwem.
9.6. W przypadku stwierdzenia niezgodności w trakcie nadzoru, organizacja jest
zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym w raporcie
z auditu. Czas przewidziany na realizację działań korygujących PKN uzależnia od wagi
niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI
wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań.
9.7. Jeżeli niezgodności te nie zostaną usunięte we wskazanym w raporcie z auditu
terminie, PKN zawiesza albo cofa wydane świadectwo stosowania SZBI, przekazując
do organizacji stosowny dokument informujący o zawieszeniu albo cofnięciu wydanego
świadectwa. W takim przypadku organizacja ponosi także konsekwencje wynikające
z zapisów umów zawartych z PKN, w których jako warunek konieczny wymienione jest
posiadanie przez nią potwierdzonego SZBI.
10. Zawieszenie, cofnięcie i wznowienie świadectwa stosowania SZBI
10.1. PKN może zawiesić świadectwo stosowania SZBI w przypadku stwierdzenia:
1) niezgodności, w wyniku przeprowadzonego auditu nadzoru, z kryteriami będącymi
podstawą wydania świadectwa stosowania SZBI;
lub
2) nie wywiązywania się organizacji z zobowiązań wynikających ze wszystkich umów
zawartych z PKN.
10.2. Zawieszenie ma ściśle określony termin wyznaczony przez PKN, w którym organizacja
ma obowiązek usunięcia niezgodności, wymienionych w dokumencie informującym
o zawieszeniu wydanego świadectwa. Po tym terminie następuje cofnięcie świadectwa
stosowania SZBI, o ile niezgodności nie zostaną usunięte.
10.3. Wraz z zawieszeniem świadectwa stosowania SZBI PKN zobowiązuje organizację do
zaprzestania powoływania się na to świadectwo.
10.4. Wznowienie ważności zawieszonego, zgodnie z pkt 10.1., świadectwa stosowania
SZBI może nastąpić w przypadku:
1) przekazania informacji przez organizację, której świadectwo stosowania SZBI
uległo zawieszeniu, o spełnieniu warunków powodujących zawieszenie;
oraz
2) potwierdzenia, przez audit sprawdzający, spełnienia tych warunków.
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 7/13
10.5. Okres zawieszenia nie ma wpływu na termin ważności zawieszonego świadectwa
SZBI, który pozostaje stały i zgodny z datą ważności wymienioną na świadectwie.
10.6. PKN może cofnąć świadectwo stosowania SZBI w następujących przypadkach:
1) niedotrzymania przez organizację warunków umów: o wydanie świadectwa
stosowania SZBI i o nadzorze nad wydanym świadectwem;
2) nieusunięcia przez organizację w okresie zawieszenia świadectwa stosowania
SZBI niezgodności, których wystąpienie było podstawą zawieszenia świadectwa
stosowania SZBI.
10.7. Wraz z cofnięciem świadectwa stosowania SZBI PKN zobowiązuje organizację do
zaprzestania powoływania się na świadectwo stosowania SZBI oraz jego zwrot
w określonym przez PKN terminie.
10.8. Organizacja ponosi konsekwencje, o których mowa w § 8 ust. 3 pkt 2 zarządzenia.
10.9. Cofnięte świadectwo nie podlega wznowieniu w sposób opisany w pkt 10.4.
11. Audit ponownej oceny SZBI
11.1. Celem auditu ponownej oceny jest sprawdzenie skuteczności systemu zarządzania
bezpieczeństwem informacji organizacji. Audit ponownej oceny jest przeprowadzany
co 5 lat, przed upływem terminu ważności posiadanego świadectwa stosowania SZBI.
11.2. Wniosek o audit ponownej oceny organizacja składa do PKN co najmniej na 6 miesięcy
przed upływem terminu ważności posiadanego świadectwa stosowania SZBI.
Organizacja składa odpowiedni wniosek,
jak w Załączniku 3 do Zarządzenia
i podpisuje nową umowę o przeprowadzenie auditu strony drugiej i wydanie
świadectwa stosowania SZBI, stosując zapisy Zarządzenia odpowiednio.
11.3. Podczas ponownej oceny organizacja auditowana musi wykazać:
1) skuteczność SZBI jako całości w świetle zmian wewnętrznych i zewnętrznych oraz
jego stałą odpowiedniość i przydatność w zakresie objętym świadectwem
stosowania SZBI;
2) zaangażowanie w utrzymywaniu skuteczności oraz doskonalenie SZBI;
3) że działanie SZBI przyczynia się do realizacji polityki i osiągnięcia celów
organizacji.
11.4. PKN wydaje kolejne świadectwo stosowania SZBI w przypadku pozytywnego wyniku
auditu ponownej oceny. PKN uwzględnia przy tym wyniki auditów nadzoru, o których
mowa w pkt. 9. instrukcji.
11.5. W przypadku stwierdzenia niezgodności w trakcie auditu ponownej oceny, organizacja
jest zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym z PKN.
11.6. Czas przewidziany na realizację działań korygujących PKN uzależnia od wagi
niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI
wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań.
11.7. Jeżeli niezgodności te nie zostaną usunięte w uzgodnionym terminie, PKN nie wydaje
nowego świadectwa stosowania SZBI, i tym samym organizacja ponosi także
konsekwencje wynikające z zapisów umów zawartych z PKN, w których jako warunek
konieczny wymienione jest posiadanie przez nią potwierdzonego SZBI.
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 8/13
12. Wykorzystanie świadectwa stosowania SZBI
Organizacja auditowana ma prawo powoływać się na uzyskane świadectwo stosowania
SZBI w prowadzonej działalności reklamowej i w kontaktach ze swoimi klientami
w odniesieniu do działalności objętej zakresem świadectwa stosowania SZBI.
13. Skargi składane do organizacji auditowanej
13.1. Skargi składane do organizacji auditowanej w zakresie objętym umową z PKN mogą
stanowić
źródło
informacji
o zdarzeniach/incydentach
dotyczących
SZBI
i ewentualnych niezgodnościach. W takim przypadku organizacja auditowana
opracowuje odpowiedni raport i podejmuje działania korygujące i/lub zapobiegawcze
w celu ich usunięcia oraz prowadzi i przechowuje zapisy.
13.2. Podczas auditów nadzoru PKN sprawdza te zapisy.
13.3. Zaleca się, aby nie uznawać działań korygujących za zakończone, dopóki nie wykaże
się ich skuteczności i nie dokona niezbędnych zmian w procedurach, dokumentacji
i zapisach.
14. Poufność
14.1. PKN zapewnia poufność każdej przekazanej przez organizację
dokumentacji, za wyjątkiem przypadków przewidzianych prawem.
informacji
14.2. Wszystkie osoby które są w jakikolwiek sposób związane z prowadzonym przez PKN
auditem strony drugiej, podpisują deklarację poufności.
15. Sposób ustalania opłat związanych z przeprowadzaniem przez PKN auditu strony
drugiej SZBI
15.1. Czas wymagany do przeprowadzenia auditu strony drugiej SZBI, auditów nadzoru oraz
auditu ponownej oceny oraz koszty związane z ich przeprowadzeniem PKN określa na
podstawie takich danych, jak: wielkość komórki organizacyjnej/organizacji
wnioskującej, liczba zatrudnionych, wielooddziałowość, liczba lokalizacji stosowany
system informatyczny organizacji auditowanej i jego złożoność - zgodnie z wytycznymi
podanymi w normie PN-ISO/IEC 27006 oraz cennikiem stanowiącym Załącznik 1 do
niniejszej Instrukcji.
15.2. Koszty o których mowa w pkt 15.1. podaje się organizacji wnioskującej w umowie,
o której mowa w pkt 4.2 niniejszej Instrukcji.
15.3. Organizacja wnioskująca potwierdza przyjęcie kosztów określonych w umowie, o której
mowa w pkt 4.2 niniejszej Instrukcji.
15.4. Na całkowity koszt auditu strony drugiej składają się:
1) opłata wstępna. Jest to opłata stała obejmująca koszty związane z wstępną analizą
dokumentacji. Opłata ta jest zgodna z cennikiem stanowiącym załącznik 1 do
niniejszej instrukcji i jest wnoszona przez organizację wnioskującą na podstawie
faktury wystawionej przez PKN;
2) koszt przeprowadzenia pierwszego etapu auditu, o którym mowa w pkt 5.2.
Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie
organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.2. Koszt
ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w załączniku
1, do niniejszej instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu
auditorów. Opłata za przeprowadzenie pierwszego etapu auditu wnoszona jest
przez organizację auditowaną na podstawie faktury wystawionej przez PKN;
3) koszt przeprowadzenia drugiego etapu auditu, o którym mowa w pkt 5.3. Obejmuje
on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 9/13
wnioskującej, realizującego zadania, o których mowa w pkt 5.3.. Koszt ten jest
zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do
niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu
auditujacego. Opłata za przeprowadzenie drugiego etapu auditu wnoszona jest
przez organizację auditowaną na podstawie faktury wystawionej przez PKN;
4) koszty wydania świadectwa stosowania SZBI w wersji elektronicznej i papierowej.
Opłata określana jest na podstawie Załącznika 1 do niniejszej instrukcji i wnoszona
jest przez organizację auditowaną na podstawie faktury wystawionej przez PKN.
15.5. Koszt auditu nadzoru, o którym mowa w pkt 9 obejmuje wszystkie koszty związane
z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego
zadania, o których mowa pkt 9. Koszt ten jest zależny od czasu auditu ustalonego na
podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu
i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie auditu nadzoru
wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez
PKN.
15.6. Koszt auditu ponownej oceny, o którym mowa w pkt 11 obejmuje wszystkie koszty
związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej,
realizującego zadania, o których mowa pkt 11. Koszt ten jest zależny od czasu auditu
ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz
kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za
przeprowadzenie auditu ponownej oceny oraz wydanie nowego świadectwa
stosowania SZBI wnoszona jest przez organizację auditowaną na podstawie faktury
wystawionej przez PKN.
16. Załączniki:
Załącznik 1:
Cennik opłat związanych z przeprowadzaniem przez PKN auditu strony
drugiej SZBI
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 10/13
Załącznik 1 do Instrukcji
Cennik opłat związanych z przeprowadzaniem przez Polski Komitet
Normalizacyjny auditu strony drugiej SZBI oraz wydaniem świadectwa
stosowania SZBI organizacji wnioskującej
1.
Opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz
wydaniem świadectwa stosowania SZBI
Na opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz wydanie
świadectwa stosowania SZBI składają się:
A.
B.
C.
D.
1.1.
Opłata wstępna
Opłata za przeprowadzenie pierwszego etapu auditu
Opłata za przeprowadzenie drugiego etapu auditu
Opłata za wydanie świadectwa stosowania SZBI
A - Opłata wstępna jest to opłata stała, obejmująca koszty związane z wstępną
analizą dokumentacji dołączonej do złożonego wniosku.
Opłata ta wynosi 1 000 PLN. Jest wnoszona przez organizację wnioskującą na
podstawie faktury wystawionej przez PKN w terminie określonym w § 3 ust. 2 pkt 1
umowy o przeprowadzenie auditu strony drugiej i wydania świadectwa stosowania
SZBI.
1.2.
B - Opłata za przeprowadzenie pierwszego etapu auditu,. Obejmuje ona
wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji
wnioskującej, realizującego zadania, o których mowa w pkt. 5.2 instrukcji; koszt ten
jest ustalany na podstawie Tablicy 1.
Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej
przez PKN po zakończeniu pierwszego etapu auditu.
1.3.
C - Koszt przeprowadzenia drugiego etapu auditu. Obejmuje on wszystkie
koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej,
realizującego zadania, o których mowa w pkt. 5.3 instrukcji; koszt ten jest ustalany na
podstawie Tablicy 1.
Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej
przez PKN po zakończeniu drugiego etapu auditu.
1.4.
D - Opłata za wydanie świadectwa stosowania SZBI jest stała i wynosi 500 PLN.
Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury
wystawionej przez PKN przed wydaniem świadectwa stosowania SZBI.
1.5.
Wydanie świadectwa stosowania SZBI następuje po dokonaniu wpłat przez
organizację auditowaną zgodnie z fakturami wymienionymi w pkt 1.1; 1.2; 1.3 i 1.4.
1.6.
Tablice pomocnicze do określania kosztów auditu strony drugiej SZBI
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 11/13
Tablica 1: Koszty auditu strony drugiej SZBI
Liczba
pracowników
organizacji
auditowanej
Opłata
wstępna
Opłata za
przeprowadzenie
pierwszego
etapu auditu
Opłata za
przeprowadzenie
drugiego etapu
auditu
Koszt wydania
świadectwa
SZBI
Całkowity koszt
przeprowadzenia
auditu strony drugiej i
wydania świadectwa
stosowania SZBI
A
B
C
D
A+B+C+D
PLN
1-10
1 000
2 400
3 600
500
7 500
11-25
1 000
3 600
4 800
500
9 900
> 25
1 000
4 200
6 000
500
11 700
Tablica 2: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej
Łączna liczba dni pracy
auditorów podczas oceny
SZBI w procesie auditu
strony drugiej
Liczba pracowników
zatrudnionych
w organizacji auditowanej
Pierwszy etap auditu
Drugi etap auditu
1-10
2
3
5
11-25
3
4
7
> 25
3.5
5
8,5
Czas auditu podany w Tablicy 2 nie obejmuje czasu dojazdu zespołu auditorów do siedziby
organizacji auditowanej..
2.
Opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI
Na opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI składają się:
E. Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem
F. Opłata za przeprowadzenie corocznego auditu nadzoru
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 12/13
2.1.
E – Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem SZBI jest
stała i obejmuje koszty związane z:
a) bieżącym monitorowaniem SZBI;
b) analizą dokumentacji związanej z procesem nadzoru;
c) wydawaniem decyzji w nadzorze nad świadectwem stosowania SZBI.
Opłata ta wynosi 60 % opłaty za pierwszy etap auditu podanej w kolumnie B Tablicy
1. Jest wnoszona przez organizację auditowaną jako przedpłata raz do roku
w terminie uzgodnionym w umowie o nadzorze nad wydanym świadectwem w formie
przedpłaty. Otrzymanie przedpłaty jest potwierdzane przez PKN fakturą.
2.2.
F - Opłata za przeprowadzenie corocznego auditu nadzoru. Obejmuje ona wszystkie
koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej,
realizującego zadania, o których mowa w pkt. 9.4 instrukcji; koszt ten jest ustalany na
podstawie Tablicy 3;
Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury
wystawionej przez PKN po zakończeniu corocznego auditu nadzoru.
2.3.
Tablice pomocnicze określania kosztów auditu nadzoru nad wydanym
świadectwem stosowania SZBI
Tablica 3: Koszty auditu nadzoru SZBI
Roczna opłata za
sprawowanie
nadzoru nad
wydanym
świadectwem SZBI
Opłata za
przeprowadzenie
auditu nadzoru
Całkowity koszt
przeprowadzenia auditu
nadzoru nad wydanym
świadectwem SZBI
E
F
E+F
1-10
1 450 zł
2 400 zł
3 850 zł
11-25
2 150 zł
3 600 zł
5 650 zł
> 25
2 550 zł
4 200 zł
6 750 zł
Liczba
pracowników
organizacji
auditowanej
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN
Strona 13/13
Tablica 4: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej
Łączna liczba dni pracy auditorów
podczas auditu nadzoru
Liczba pracowników
zatrudnionych
w organizacji auditowanej
Audit nadzoru
1-10
3
3
11-25
4
4
> 25
5
5
Czas auditu podany w Tablicy 4 nie obejmuje czasu dojazdu zespołu auditorów do siedziby
organizacji auditowanej..
3. Podatek VAT
Do wszystkich opłat wymienionych w niniejszym cenniku dolicza się podatek VAT
w wysokości 22 % - zgodnie z Ustawą Nr 535 z dnia 11 marca 2004 r. o podatku od towarów
i usług (Dz. U. Nr 54 z 5 kwietnia 2004 r.)
Opracował:
Dokument nr
PKN z dnia 29.03.2010 r.
PKN

iw instytut włókiennictwa - Polski Komitet Normalizacyjny

Transkrypt

Podobne dokumenty

I Specjalistyczna Konferencja „Bezpieczeństwo informacyjne w

Załącznik do umowy Oświadczenie Dot. WARUNKÓW SPRZEDAŻY

Bezpieczne wykorzystywanie systemu teleinformatycznego Karta

Bezpieczeństwo informacji – wdrożenie, certyfikacja i

formularz oświadczenia dla produktu LEX-NORMA

Ogłoszenie o wolnym stanowisku pracy

POPRAWKA do POLSKIEJ NORMY PN-EN 16323

Auditor Wewnętrzny Systemu Zarządzania Środowiskowego ISO

Zasady ustalania opłat - Polski Komitet Normalizacyjny