Het certificeringstraject

De certificatietoetsing bestaat uit twee beoordelingen. Optioneel bieden wij klanten aan een pré-audit door ons uit te laten voeren.

Pré-audit (optioneel)

Met een pré-audit krijgt u door middel van een korte (en dus goedkope) toetsing inzicht in de stand van zaken met betrekking tot de certificering voor ISO 27001.

De uitkomsten van onze pré-audit vormen de basis van een eventueel verbeter- of ontwikkeltraject en geven u inzage in wat er nog moet gebeuren om te voldoen aan de normen. U kunt vervolgens samen met ons een planning afspreken zodat de audit realistisch is en zo voorkomt u onnodige verspilling van tijd en kosten.

Het certificeringstraject van ProCertify

Eerste fase beoordeling (document review)

Tijdens de eerste fase geven wij een uitgebreide toelichting op de certificeringsaanpak van ProCertify.

Vervolgens wordt middels een gesprek met een lid of met leden van de directie kennis gemaakt met uw organisatie en uw managementsysteem. Het beveiligingsbeleid, de doelstellingen, de getroffen maartregelen en het continue verbeteren zijn bespreekpunten. Notulen van de directiebeoordeling van het systeem en analyses n.a.v. interne audits en klachten nemen wij samen met u door. Ook worden het ISMS, procedures en vastleggingen geverifieerd.

Doel van de eerste fase is:

verifiëren van de door u verstrekte organisatiegegevens aan ProCertify;
onderzoeken of uw managementsysteem alle elementen bevat die de norm vraagt;
nagaan of het kwaliteitssysteem gereed is voor toetsing op implementatie (tweede fase beoordeling);
bespreking en toetsing van uw motivatie voor eventuele uitsluitingen van normparagrafen.

De beoordeling vindt plaats op uw kantoor. Op grond van de bevindingen wordt in overleg met u een gedetailleerd programma opgesteld voor de tweede beoordeling. Op basis van dit programma kunt u uw medewerkers informeren en voorbereiden.

Tweede fase beoordeling (praktijktoetsing)

Bij de tweede fase beoordeling, ofwel praktijktoetsing, dient de certificerende instantie op objectieve wijze te kunnen vaststellen of het gedocumenteerde systeem voldoende geïmplementeerd is in uw bedrijfsvoering en overeenkomstig en effectief werkt.

Op basis van steekproeven van onderhanden zijnde werkzaamheden en/of (afgeronde) projecten en via vraaggesprekken met uw medewerkers wordt de doeltreffendheid van het beleid en van uw relevante processen en systemen onderzocht. Uw medewerkers hoeven geen procedures of protocollen uit het hoofd te kennen. Wel dienen zij te weten waar het een en ander beschreven staat. Via voorbeelden en interviews willen we kunnen vaststellen dat zij hun werkzaamheden goed beheersen en waar nodig aan verbetering wordt gewerkt.

Deze manier van auditen onderschrijft onze visie op certificatie: het is een middel ter ondersteuning van goede dienstverlening en geen doel op zich. Voor deze tweede fase beoordeling geldt dat het kwaliteitssysteem al wel enige tijd moet worden om onderzocht te kunnen worden. De PDCA-cyclus dient minimaal een keer te zijn doorlopen.

Terugkerende evaluaties in het 2de en 3de jaar

Om te verifiëren of uw managementsysteem nog steeds effectief is en om de voortgang van de verbeteringen van het systeem op te volgen, wordt na de certificering in jaar 2 en jaar 3 een controleaudit uitgevoerd. We onderzoeken daarbij maar een deel van het managementsysteem. De hoeveelheid bezoeken is afhankelijk van de complexiteit van de processen en de omvang van de organisatie. Er dient minimaal één (1) officieel bezoek per jaar plaats te vinden.

De vervolgbezoeken richten zich op de vaststelling dat het goedgekeurde managementsysteem nog altijd is:

onderhouden;
geïmplementeerd;
wordt verbeterd.

Als certificerende organisatie houden we ook rekening met de veranderingen die u heeft gemaakt aan het systeem en controleren we of u nog altijd voldoet aan de eisen van de norm. Het bezoek volgt het programma dat wordt opgesteld. De details worden tijdens een openingsvergadering overeengekomen. Een normaal vervolgbezoek heeft de volgende elementen in zich:

interne audit- en directiebeoordelingsrapportage;
openstaande verbeteracties;
voortgang in behalen van doelstellingen en verbetertrajecten;
preventieve- en verbetermaatregelensystematiek inclusief Klanttevredenheid en klachtenafhandeling;
veranderingen in het systeem en de effectiviteit hiervan;
het managen van veranderingen gerelateerd aan taken en
verantwoordelijkheden van personeel;
het gebruik van het ProCertify en accreditatie logo’s.

Bij de sluitingsvergadering zal onze assessor u rapporteren over de huidige stand van uw managementsysteem en een plan opstellen voor het volgende bezoek. Indien er tekortkomingen zijn geconstateerd zal de assessor afspraken met u maken over de opvolging hiervan.

Driejaarlijkse evaluaties

Het certificaat wordt na elke drie jaar geëvalueerd. Deze evaluatie kan uitgebreider zijn dan de tussentijdse vervolgbezoeken. De benodigde tijd voor deze evaluatie is afhankelijk van de volledigheid van uw managementsysteem en de mate waarin het systeem geïntegreerd is in uw bedrijfsvoering. Wij toetsen of het managementsysteem nog actueel is en of de onderdelen nog steeds op elkaar aansluiten. Het is uiteindelijk onze taak erop toe te zien dat u en uw relaties kunnen bouwen op een managementsysteem dat aan de hoogste normen blijft voldoen.

Rapportage

U ontvangt direct na beëindiging van elke beoordeling een ProCertify-rapportage. Deze rapportage kent de volgende gradaties van bevindingen:

Major Nonconformity. Deze gradatie wordt toegekend aan feitelijk onderbouwde tekortkomingen met een relevant afbreukrisico voor de afnemers van de te certificeren organisatie en/of voor managementsysteem integriteit en/of voor voldoen aan relevante wet- en regelgeving. Een Major Nonconformity houdt aanbeveling voor certificering tegen. Indien Major Nonconformities zijn uitgeschreven zal in overleg met de assessor een vervolgafspraak worden gemaakt om de effectiviteit van de uit te voeren oorzaakanalyse en van de corrigerende maatregelen te verifiëren. Indien voldoende maatregelen zijn getroffen kan alsnog tot certificatie worden aanbevolen.
Minor Nonconformity. Deze gradatie wordt toegepast bij feitelijk onderbouwde opmerkingen waarop corrigerende maatregelen moeten worden ondernomen, omdat het uitblijven van acties zou kunnen leiden tot een situatie met relevant afbreukrisico voor de afnemers en/of voor de integriteit van het managementsysteem en/of voor voldoen aan relevante wet- en regelgeving. De assessor zal vaststellen of er een adequate oorzaak analyse is uitgevoerd en of eventuele corrigerende maatregelen effectief zijn doorgevoerd.

Certificaat / accreditatie

ProCertify zal een certificaat afgeven bij de afronding van een voldoende beoordeling. Bij bevredigende controlebezoeken is het certificaat vanaf de datum van goedkeuring drie jaar geldig en geeft de activiteiten weer waarvoor de goedkeuring is afgegeven. ProCertify kan een certificaat conform haar certificatie procedures schorsen of intrekken bijvoorbeeld bij niet-bevredigende controlebezoeken.

Onze methoden zijn in overeenstemming met de accreditatievereisten (ISO 17021 en ISO 27006).

Niet afronden van de hercertificeringsaudit

Indien de klant de hercertificeringaudit niet heeft voltooid of ProCertify niet in staat is de implementatie van correcties en corrigerende maatregelen voor een belangrijke non-conformiteit te verifiëren vóór de vervaldatum van de certificering, wordt hercertificering niet aanbevolen en wordt de geldigheid van de certificering niet verlengd. De klant wordt geïnformeerd en de gevolgen worden toegelicht. Indien de klant de issues heeft opgelost, vervalt de klant in een nieuwe initiële audit.

Certificering herstellen

Na het verstrijken van de certificering kan ProCertify de certificering binnen 6 maanden herstellen, op voorwaarde dat de openstaande hercertificeringsactiviteiten zijn voltooid, anders moet minimaal een fase 2 worden uitgevoerd. De ingangsdatum op het certificaat is op of na de her-certificeringsbeslissing en de vervaldatum moet gebaseerd zijn op een eerdere certificeringscyclus.

Aanvullende audit

Een aanvullende audit is nodig als tijdens een reguliere audit blijkt dat:

Te interviewen personen niet aanwezig zijn op het overeengekomen tijdstip;
De gevraagde documentatie niet kan worden opgeleverd;
De scope uitgebreider blijkt dan in eerste instantie overeengekomen.

Ook bij situaties die van invloed kunnen zijn op het managementsysteem, zoals grondige wijzigingen in de organisatie, in geval van klachten over de dienstverlening, en voor de opvolging van schorsingen, kan het nodig zijn een extra audit in te plannen.

Uitbreiden scope

ProCertify zal, naar aanleiding van een aanvraag tot uitbreiding van de scope van een reeds verleende certificatie, een beoordeling van de aanvraag uitvoeren en de auditactiviteiten vaststellen. Hiervan wordt een registratie van bijgehouden en wordt opgeslagen in het dossier. Tijdens de scope uitbreiding audit zal de ProCertify auditor het managementsysteem beoordelen op de gewijzigde c.q. toegevoegde onderdelen. Indien de ProCertify lead auditor hierover een positief advies geeft, zal de certificatie manager hierover besluiten. Deze audit kan separaat of in combinatie met een controle audit worden uitgevoerd.

Korte-termijn audits

Het kan voor ProCertify nodig zijn om op korte termijn of onaangekondigd audits uit te voeren bij gecertificeerde klant om klachten te onderzoeken, of als reactie op wijzigingen, of als follow-up van een geschorste klant.

In dergelijke gevallen:

ProCertify beschrijft en maakt vooraf bekend aan de gecertificeerde klant de voorwaarden waaronder dergelijke audits zullen worden uitgevoerd;
ProCertify zal extra zorgvuldigheid in acht nemen bij de toewijzing van het auditteam vanwege het ontbreken van de mogelijkheid voor de klant om bezwaar te maken tegen auditteamleden.

Schorsen of herstellen

Indien ProCertify een afwijking constateert die mogelijk kan leiden tot schorsing, intrekking of beperking van de scope, wordt contact opgenomen met de klant. Indien overleg niet leidt tot een oplossing, wordt de directie van ProCertify geïnformeerd. Deze kan besluiten over te gaan tot schorsing, intrekking of beperking.

ProCertify schorst de certificatie in gevallen waarin bijvoorbeeld:

Kritieke afwijkingen niet tijdig zijn opgelost of teruggebracht tot een niet kritieke afwijking;
De organisatie er niet mee instemt dat audits met de vereiste frequentie worden uitgevoerd;
De organisatie vrijwillig verzoekt om een schorsing;
De klant niet aan zijn betaalverplichtingen voldoet.

Schorsingen worden schriftelijk bevestigd en daarin wordt aangegeven onder welke voorwaarden de schorsing weer kan worden opgeheven. Bij schorsing is de certificering van het managementsysteem van de klant tijdelijk ongeldig en mogen er ook geen uitingen gedaan m.b.t. de certificering.

Een schorsing duurt maximaal 6 maanden.

Beperking scope

ProCertify zal het toepassingsgebied van de certificatie beperken om die delen uit te sluiten die niet aan de eisen voldoen, indien de klant aanhoudend of wezenlijk niet voldoet aan de certificatie-eisen voor de desbetreffende delen van het toepassingsgebied van de certificatie. Een dergelijke beperking zal in overeenstemming zijn met de eisen van de norm die voor certificatie is gebruikt. Een beperking van de scope wordt schriftelijke aan de klant bevestigd, inclusief voorwaarden waarmee de scope weer kan worden uitgebreid.

Intrekken

Wanneer de schorsing niet is opgelost binnen de door ProCertify aangegeven termijn (maximaal 6mnd), wordt het certificaat ingetrokken. Dit wordt schriftelijk bevestigd aan de klant. Het is de organisatie niet toegestaan nog langer te communiceren dat het managementsysteem gecertificeerd is door ProCertify. Ook kan een klant zelf beslissen tot intrekking van het certificaat, een zogenaamde vrijwillige intrekking.

Contact

Bent u klaar om uw informatiebeveiliging naar een hoger niveau te tillen met ISO27001-certificering? Neem vandaag nog contact met ons op voor meer informatie over onze certificeringsdiensten en ontdek hoe ProCertify u kan helpen om uw doelen te bereiken. Bel onze specialisten op 088-2028787 of stuur een mail naar info@procertify.nl.