POLSKIE CENTRUM AKREDYTACJI PROGRAM AKREDYTACJI JEDNOSTEK CERTYFIKUJĄCYCH SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI wg NORMY PN-ISO/IEC 27001 Wydanie 2 Warszawa, 7.08.2009 r.
Spis treści 1 Wprowadzenie...3 2 Definicje...3 3 Wymagania akredytacyjne...3 4 Specyficzne wymagania programu...3 4.1 Wymagania dotyczące struktury organizacyjnej... 4 4.2 Wymagania dotyczące zasobów... 4 4.3 Wymagania dotyczące informacji... 4 4.4 Wymagania dotyczące procesu... 4 4.5 Wymagania dotyczące systemu zarządzania jednostek certyfikujących5 5 Zakres akredytacji...5 6 Szczegółowe zasady oceny...5 6.1 Wniosek... 5 6.2 Obserwacja... 5 7 Postanowienia końcowe...6 8 Dokumenty związane...6 9 Załączniki...6 Załącznik nr 1...7 Wydanie 2 z 7.08.2009 r. str. 2/7
1 Wprowadzenie Tekst niniejszego dokumentu opracowano w Polskim Centrum Akredytacji. Celem opracowania tego dokumentu było określenie wymagań akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji (ISMS) wg PN-ISO/IEC 27001, aby mogły być uznane za kompetentne i wiarygodne. Dokument ten zawiera wytyczne ułatwiające jednolite stosowanie wymagań normy PN-EN ISO/IEC 17021 i PN-ISO/IEC 27006. Należy je interpretować jako doprecyzowanie niektórych wymagań zawartych w normach PN-EN ISO/IEC 17021 i PN-ISO/IEC 27006. Ponadto dokument zawiera zasady akredytacji specyficzne dla jednostek certyfikujących ISMS wg PN-ISO/IEC 27001. Odwoływanie się w dokumencie do norm niedatowanych oznacza odwołanie do ostatniego wydania normy. 2 Definicje Dla potrzeb niniejszego dokumentu stosuje się definicje zawarte w dokumentach przywołanych w punkcie 3 niniejszego dokumentu, a ponadto: ISMS system zarządzania bezpieczeństwem informacji. jednostka certyfikująca każda jednostka prowadząca certyfikację ISMS wg PN-ISO/IEC 27001; 3 Wymagania akredytacyjne Jednostka certyfikująca systemy zarządzania bezpieczeństwem informacji powinna spełniać wymagania akredytacyjne określone w: - PN-EN ISO/IEC 17021 Ocena zgodności - Wymagania dla jednostek prowadzących auditowanie oraz certyfikację systemów zarządzania; - PN-ISO/IEC 27006 Technika informatyczna - Techniki bezpieczeństwa Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji; - PN-EN ISO 19011 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego; - IAF MD 1:2007 Dokument obowiązkowy IAF dotyczący zasad próbkowania w procesach certyfikacji organizacji wielooddziałowych; - IAF MD 2:2007 Dokument obowiązkowy IAF dotyczący przenoszenia akredytowanej certyfikacji systemów zarządzania; - EA-7/05 Wytyczne EA dotyczące zastosowania normy ISO/IEC 17021:2006 w auditach połączonych; - DAC-17 Wytyczne PCA do stosowania normy PN-EN ISO/IEC 17021; - wymagania zawarte w niniejszym dokumencie (). 4 Specyficzne wymagania programu Poniżej zamieszczono wytyczne do wymagań wybranych punktów normy PN-EN ISO/IEC 17021:2007. Dla ułatwienia zastosowano następujący system identyfikacji wytycznych: W.X.Y.Z, gdzie: X.Y.Z oznacza numer punktu normy PN-EN ISO/IEC 17021. Wydanie 2 z 7.08.2009 r. str. 3/7
4.1 Wymagania dotyczące struktury organizacyjnej W. 6.1.2 Jednostka certyfikująca powinna posiadać udokumentowany program certyfikacji na zgodność z wymaganiami PN-ISO/IEC 27001. Jeżeli ma to zastosowanie, jednostka powinna zróżnicować program certyfikacji w zależności od dziedzin ocenianej działalności organizacji ubiegających się o certyfikację z uwzględnieniem działów i grup według Załącznika nr 1. Zaleca się stosowanie listy kontrolnej (checklisty) przeznaczonej dla auditorów i ewentualnie ekspertów oceniających ISMS, przywołanej w programie certyfikacji. W.6.2.2 Komitet chroniący bezstronność powinien mieć wiedzę dotyczącą procesów certyfikacji ISMS. Wymaga się zapewnienia tej wiedzy poprzez szkolenia oraz odpowiednie uzupełnienie składu Komitetu, itp. Jednostka powinna wykazać PCA, w jaki sposób zapewnia Komitetowi tę wiedzę. 4.2 Wymagania dotyczące zasobów W.7.2.5 Auditorzy (w tym auditorzy wiodący) w obszarze ISMS powinni mieć poza ogólnymi umiejętnościami i wiedzą w zakresie auditowania, również umiejętności i wiedzę właściwą do auditowania w specyficznych obszarach technicznych, określonych zgodnie z Załącznikiem 1 W.7.2.9 Grupa lub osoba podejmująca decyzje w sprawie udzielenia, utrzymania, przedłużenia, rozszerzenia, ograniczenia, zawieszenia lub cofnięcia certyfikacji ISMS powinna rozumieć normy PN-ISO/IEC 27001 i PN-ISO/IEC 27006 i wymagania certyfikacyjne oraz powinna mieć wykazane kompetencje do oceny procesów auditowania i związanych z nimi rekomendacji zespołu auditującego. W.7.2.11 Jednostka certyfikująca powinna prowadzić i utrzymywać zapisy z obserwacji działalności swoich auditorów i ekspertów technicznych, prowadzących ocenę organizacji w zakresie wymagań normy PN-ISO/IEC 27001. W.7.2.12 Częstotliwość obserwacji każdego auditora, w tym technicznego, powinna wynosić co najmniej raz na 3 lata. 4.3 Wymagania dotyczące informacji W.8.2.3 W certyfikatach wydawanych przez jednostkę, powinien być jednoznacznie określony charakter działalności organizacji, identyfikowany zgodnie z Załącznikiem 1. 4.4 Wymagania dotyczące procesu W.9.1.1 W przypadku przenoszenia akredytowanej certyfikacji, jednostka powinna mieć udokumentowane zasady postępowania, spójne z wymaganiami zawartymi w IAF MD 2:2007. W.9.1.3 W nawiązaniu do zasady wymienionej w punkcie 4.2.4.c) PN-EN ISO/IEC 17021, zaleca się, aby jednostka zapewniła rotację zespołów oceniających w taki sposób, żeby oceny w kolejnych cyklach certyfikacji były prowadzone przez inny zespół oceniający. W.9.1.4 Ustalając czas auditu, jednostka certyfikująca powinna wziąć pod uwagę wymagania normy PN-ISO/IEC 27006. Jednostka certyfikująca powinna określić jednakowe dla wszystkich organizacji zasady kalkulowania czasu oceny systemu zarządzania według normy PN-ISO/IEC 27001, w tym kalkulowania czasu oceny w przypadku posiadania przez organizację zintegrowanego systemu zarządzania. Sprawy te reguluje dokument EA-7/05, którego wymagania jednostki powinny uwzględnić w swoich systemach zarządzania. Wydanie 2 z 7.08.2009 r. str. 4/7
W.9.1.5 Jednostka certyfikująca powinna mieć udokumentowane zasady wybierania próbki w przypadku auditowania ISMS organizacji wielooddziałowych. Zasady te powinny być spójne z wymaganiami określonymi w dokumencie IAF MD 1:2007. W.9.2.2.3 Zespół auditujący powinien być powołany i złożony z auditorów wg W.7.2.5. Wybór zespołu powinien być przeprowadzony w odniesieniu do przydzielonych kompetencji auditorów i ekspertów technicznych oraz może być dokonany zarówno spośród wewnętrznych, jak i zewnętrznych zasobów ludzkich. 4.5 Wymagania dotyczące systemu zarządzania jednostek certyfikujących W.10.3.1 Jednostka certyfikująca powinna mieć wdrożony u siebie dowolny system zarządzania bezpieczeństwem informacji, z tym, że zalecanym jest system spełniający wymagania PN-ISO/IEC 27001. W.10.3.6.1 Jednostka certyfikująca powinna objąć auditami wewnętrznymi procedury i procesy związane z certyfikacją ISMS. 5 Zakres akredytacji Zakres akredytacji określa się w odniesieniu do rodzajów działalności gospodarczej identyfikowanych według Załącznika nr 1, uszczegółowionych wg określonej grupy lub klasy działalności produkcyjnej lub usługowej. W dokumentach akredytacyjnych jednostek certyfikujących ISMS PCA potwierdza spełnienie wymagań normy PN-EN ISO/IEC 17021 oraz normy PN-ISO/IEC 27006. 6 Szczegółowe zasady oceny PCA podczas prowadzenia ocen jednostek certyfikujących ISMS postępuje zgodnie z zasadami akredytacji podanymi w dokumentach DA-01 i DAC-08 oraz zasadami określonymi poniżej. 6.1 Wniosek Wniosek o akredytację lub o rozszerzenie zakresu akredytacji na certyfikację systemów zarządzania bezpieczeństwem informacji składa się na formularzach FA-01 i FAC-02. Do wniosku należy dołączyć, oprócz dokumentów wymaganych w dokumencie DAC-08, opis własnego systemu zarządzania bezpieczeństwem informacji (patrz punkt 4.5 - W.10.3.1). 6.2 Obserwacja W procesach akredytacji i rozszerzania zakresu akredytacji na certyfikację ISMS, obserwacji podlega wyłącznie audit certyfikacyjny (etap 1 + etap 2). Ponadto ocenie podlega raport sporządzony przez zespół jednostki certyfikującej. W procesie akredytacji, obserwacji podlega praca każdego członka zespołu auditującego jednostki certyfikującej. Liczebność zespołu PCA jest określana w zależności od liczebności zespołu oceniającego jednostki certyfikującej w proporcji co najmniej 1 osoba zespołu PCA na dwie osoby zespołu oceniającego jednostki certyfikującej. W przypadku auditów certyfikacyjnych w organizacjach wielooddziałowych PCA obserwuje wyłącznie audit w siedzibie organizacji. W każdej ocenie w nadzorze jest przeprowadzana ocena na miejscu i obserwacja. Obserwacji podlega tylko etap 2 auditu certyfikacyjnego lub audit w nadzorze. Wydanie 2 z 7.08.2009 r. str. 5/7
Przy ponownej akredytacji obowiązują zasady jak dla procesu akredytacji, przy czym obserwacji podlegają oba etapy auditu certyfikacyjnego lub, w przypadku gdy jednostka nie ma nowego klienta, audit w nadzorze. Przy wyborze auditów do obserwacji w programie ISMS PCA kieruje się zasadą wyboru obszarów krytycznych z punktu widzenia bezpieczeństwa informacji. Za takie obszary PCA uznaje dziedziny działalności identyfikowane kodami EA (patrz Załącznik nr 1): - kod EA 32 - NACE/PKD 64, 65, 66; - kod EA 33 NACE/PKD 62, 63.1; - kod EA 36 NACE/PKD 84; - kod EA 38 NACE/PKD 86.1, 86.2; - kod EA 39 NACE/PKD 63.9. Uzyskanie akredytacji w obszarach działalności krytycznych, zdefiniowanych powyższymi kodami NACE/PKD, wymaga przeprowadzenia przez PCA obserwacji podczas auditu jednostki w organizacjach prowadzących działalność w obszarach objętych ww. kodami NACE/PKD. 7 Postanowienia końcowe Niniejsze wydanie dokumentu zastępuje wydanie 1 z 20.06.2005 r. Dokument został wprowadzony Komunikatem nr 62 z dnia 7.08.2009 r. 8 Dokumenty związane PN-ISO/IEC 27001: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania DA-01 Opis systemu akredytacji; DA-02 Zasady stosowania symboli akredytacji; DAC-08 Akredytacja jednostek certyfikujących. Wymagania szczegółowe. Polskie Normy dostępne są w Polskim Komitecie Normalizacyjnym (www.pkn.pl). Dokumenty EA i IAF w wersji oryginalnej dostępne są na stronach internetowych: EA: www.european-accreditation.org, IAF: www.iaf.nu. Dokumenty PCA oraz tłumaczenia wybranych dokumentów EA i IAF dostępne są na stronie internetowej PCA www.pca.gov.pl. Dostęp do tych dokumentów jest bezpłatny. 9 Załączniki Załącznik nr 1 Rodzaje działalności gospodarczej Wydanie 2 z 7.08.2009 r. str. 6/7
Rodzaje działalności gospodarczej Załącznik nr 1 Kod EA Branża Kod NACE/PKD 1 1 Rolnictwo, rybołówstwo 01, 02, 03 2 Górnictwo i kopalnictwo 05, 06, 07, 08, 09 3 Produkty żywnościowe, napoje, wyroby tytoniowe 10, 11, 12 4 Tekstylia i wyroby tekstylne 13, 14 5 Skóry i wyroby skórzane 15 6 Drewno i jego przetwory 16 7 Miazga, papier i wyroby papiernicze 17 8 Firmy wydawnicze 58.1, 59.2 9 Drukarnie 18 10 Produkcja koksu i produktów rafinacji ropy naftowej 19 11 Paliwa jądrowe 24.46, 20.13 12 Chemikalia, produkty chemiczne, włókna sztuczne 20 bez 20.13 13 Farmaceutyki 21 14 Wyroby z gumy i plastiku 22 15 Niemetaliczne produkty nieorganiczne 23 bez 23.5 i 23.6 16 Beton, cement, wapno, gips itp. 23.5, 23.6 17 Metale i wyroby metalowe 24 bez 24.46, 25 bez 25.4, 33.11 18 Maszyny i osprzęt do nich 25.4, 28, 30.4, 33.12, 33.2 19 Urządzenia elektryczne i optyczne 26, 27, 33.13, 33.14, 95.1 20 Przemysł stoczniowy 30.1, 33.15 21 Lotnictwo 30.3, 33.16 22 Inne urządzenia transportowe 29, 30.2, 30.9, 33.17 23 Produkcja niesklasyfikowana gdzie indziej 31, 32, 33.19 24 Recykling 38.3 25 Dostawy energii elektrycznej 35.1 26 Dostawy gazu 35.2 27 Dostawy wody 35.3, 36 28 Budownictwo 41, 42, 43 29 Handel hurtowy i detaliczny; naprawy pojazdów 45, 46, 47, 95.2 mechanicznych, motocykli, wyrobów do użytku osobistego i domowego 30 Hotele i restauracje 55, 56 31 Transport, przechowalnictwo, łączność 49, 50, 51, 52, 53, 61 32 Pośrednictwo finansowe; nieruchomości; wynajem 64, 65, 66, 68, 77 33 Technika informatyczna 58.2, 62, 63.1 34 Usługi inżynierskie 71, 72, 74 bez 74.3 35 Inne usługi 69, 70, 73, 74.3, 78, 80, 81, 82 36 Administracja publiczna 84 37 Szkolnictwo 85 38 Zdrowie i opieka społeczna 75, 86, 87, 88 39 Inne służby socjalne 37, 38.1, 38.2, 39, 59.1, 60, 63.9, 79, 90, 91, 92, 93, 94, 96 1 Klasyfikacja Działalności Gospodarczej NACE Rev. 2 wg Rozporządzenia PE i Rady Nr 1893/2006 (OJ L 393/1 z 30.12.2006); Polska Klasyfikacja Działalności (PKD) 2007, Rozporządzenie Rady Ministrów z dnia 24 grudnia 2007 r. (Dz.U. Nr 251, poz.1885) Wydanie 2 z 7.08.2009 r. str. 7/7