POLSKI KOMITET NORMALIZACYJNY Wydział Certyfikacji ul. Świętokrzyska 14, 00-050 Warszawa tel. 0 22 556 74 50; fax. 0 22 556 74 20 e-mail wcrsekr@pkn.pl; www.pkn.pl Załącznik 1 do z dnia 29 marca 2010 r. Strona 1/13 Instrukcja auditowania przez Polski Komitet Normalizacyjny - stronę drugą, Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami normy PN-ISO/IEC 27001 i wydawania świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji 1. Postanowienia ogólne 1.1. Instrukcja zawiera wyjaśnienia zapewniające jednolite i zgodne z przyjętą praktyką stosowanie przez normy PN-ISO/IEC 27001 przy prowadzeniu auditu jako strona druga, a także wymagania dla organizacji auditowanej, strony pierwszej, ubiegającej się o wydanie przez świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001. Świadectwo to, zwane dalej świadectwem stosowania SZBI, jest wydawane organizacji auditowanej przez w sposób i na warunkach określonych w Zarządzeniu Nr 12 Prezesa z dnia 29 marca 2010 r. Niniejsza Instrukcja stanowi Załącznik 1 do tego Zarządzenia. 1.2. stosuje niniejszą instrukcję, w porozumieniu z organizacją auditowaną, przy prowadzeniu zleconego przez organizację auditu strony drugiej. Audit ten w przypadku jego zakończenia z pozytywnym wynikiem oraz spełnienia przez organizację wszystkich postanowień zawartej umowy, skutkuje wydaniem przez świadectwa stosowania SZBI organizacji auditowanej. 2. Terminy i definicje 2.1. W niniejszej instrukcji są stosowane definicje podane w normach przywołanych w pkt. 3. 2.2. Termin audit używany jest zgodnie z normami: PN-EN ISO 9000; PN-EN ISO 19011 oraz PN-EN ISO/IEC 17021, jako synonim słowa audyt użytego w normach PN-ISO/IEC 27001 i PN-ISO/IEC 27006. 2.3. Określenia: organizacja wnioskująca, organizacja auditowana lub organizacja są stosowane do określenia odpowiednio organizacji składającej do wniosek o przeprowadzenie auditu strony drugiej, organizacji podlegającej auditowi i/lub posiadającej wydane przez świadectwo stosowania SZBI. 2.4. Stroną pierwszą auditu jest organizacja auditowana. 2.5. Stroną drugą auditu, przeprowadzającą audit, jest. 2.6. Audit strony drugiej jest to działalność prowadzona przez - stronę drugą, w organizacji auditowanej - stronie pierwszej, zgodnie z zapisami zarządzenia. 3. Dokumenty związane Dokumentami związanymi z niniejszą instrukcją są: 1) PN-ISO/IEC 27001 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania; 2) PN-ISO/IEC 17799 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji;.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 2/13 3) PN-EN ISO 9000 Systemy zarządzania jakością Podstawy i terminologia; 4) PN-EN ISO 19011 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego; 5) PN-EN ISO/IEC 17021 Ocena zgodności Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania; 6) PN-ISO/IEC 27006 Technika informatyczna Techniki bezpieczeństwa Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji; 7) Procedura B3 SZBI Audit wewnętrzny stosowana w. 4. Wniosek o przeprowadzenie przez auditu strony drugiej i wydania świadectwa stosowania SZBI 4.1. Działania przeprowadza się zgodnie z zapisami 2 zarządzenia. 4.2. Organizacja wnioskująca realizując wymagania, o których mowa w pkt 4,1., zobowiązana jest do uiszczenia opłaty wstępnej, o której mowa w 3 ust. 2 pkt 1 załącznika nr 4 do zarządzenia. 5. Przebieg auditu strony drugiej` 5.1. Powołanie zespołu auditujacego. 5.1.1. Zespół auditujący powoływany jest zgodnie z Procedurą B3 Audit wewnętrzny SZBI wdrożonego w. 5.1.2. Zespół auditujący powołuje Pełnomocnik Bezpieczeństwa Informatycznego, zwany dalej PBI, na wniosek Dyrektora Wydziału Certyfikacji, zwanego dalej WCR. 5.1.3. Skład zespołu auditującego WCR podaje organizacji auditowanej do wiadomości. 5.1.4. Przy określaniu wymagań dla auditorów powoływanych do prowadzenia auditu strony drugiej SZBI stosuje się odpowiednio zapisy Procedury B3 Audit wewnętrzny SZBI wdrożonego w oraz normy PN-EN ISO 19011. 5.2. Pierwszy etap auditu strony drugiej. 5.2.1. Podczas pierwszego etapu auditu, przed opracowaniem planu auditu, przeprowadzana jest analiza dokumentacji i informacji dostarczonych przez organizację auditowaną wymaganych przez zespół auditujący. Zespół ten wykonuje czynności związane z pierwszym etapem auditu w siedzibie. W szczególnych przypadkach, w uzgodnieniu z organizacją auditowaną, auditor wiodący może wnioskować do WCR o dokonanie wizyty w siedzibie organizacji wnioskującej. Decyzję o wizycie podejmuje WCR w porozumieniu z PBI i organizacją auditowaną. 5.2.2. W trakcie pierwszego etapu auditu auditowany: 1) udostępnia pełną dokumentację swojego SZBI, a w szczególności analizę ryzyka związanego z bezpieczeństwem informacji oraz deklarację stosowania, zgodnie z wymaganiami normy PN-ISO/IEC 27001; 2) umożliwia auditorowi dokonanie oceny swojej lokalizacji i specyficznych dla tej lokalizacji warunków oraz przeprowadzenie rozmów ze swoim personelem w celu określenia gotowości organizacji do drugiego etapu auditu; 3) przedstawia auditorowi zapisy umożliwiające przeprowadzenie przeglądu organizacji i dokumentujące zrozumienie przez klienta wymagań normy, zwłaszcza w odniesieniu do identyfikacji zagrożeń i analizy ryzyka; z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 3/13 4) udostępnia niezbędne informacje dotyczące zakresu systemu zarządzania i prawnych aspektów związanych z bezpieczeństwem informacji; 5) przedstawia zapisy dotyczące planowania i realizacji auditów wewnętrznych i przeglądów zarządzania, na podstawie których auditor określi gotowość klienta do etapu 2 auditu. 5.2.3. Wynikiem pierwszego etapu auditu są udokumentowane i przedstawione organizacji auditowanej ustalenia, łącznie z identyfikacją wszystkich obszarów, będących przedmiotem zainteresowania, które mogłyby być zakwalifikowane jako niezgodności podczas drugiego etapu auditu oraz plan etapu drugiego auditu, przygotowane przez zespół auditujący. 5.2.4. Za przeprowadzenie pierwszego etapu auditu, wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 niniejszej Instrukcji. 5.3. Drugi etap auditu strony drugiej. 5.3.1. Drugi etap auditu przeprowadza się w siedzibie organizacji wnioskującej. Celem drugiego etapu jest ocena wdrożenia SZBI, w tym skuteczności ocenianego SZBI. Etap ten obejmuje zebranie informacji i dowodów zgodności z wymaganiami normy PN-ISO/IEC 27001, ze szczególnym uwzględnieniem: 1) oceny ryzyka związanego z bezpieczeństwem informacji, przy zapewnieniu, że przeprowadzana ocena ryzyka dostarcza porównywalnych i powtarzalnych wyników; 2) wymagań dotyczących dokumentacji podanych w normie PN-ISO/IEC 27001; 3) wyboru celów stosowania zabezpieczeń oraz zabezpieczeń, w oparciu o procesy oceny ryzyka i postępowania z ryzykiem; 4) przeglądu skuteczności SZBI i pomiaru skuteczności zabezpieczeń oraz raportowania i przeglądu w odniesieniu do celów SZBI; 5) wewnętrznych audytów SZBI i przeglądów dokonywanych przez kierownictwo; 6) odpowiedzialności kierownictwa za politykę bezpieczeństwa informacji; 7) powiązań pomiędzy wybranymi i zastosowanymi zabezpieczeniami, deklaracją stosowania, wynikami procesów oceny i postępowania z ryzykiem oraz polityką SZBI i celami; 8) wdrożenia wybranych i stosowanych zabezpieczeń, biorąc pod uwagę wykonywane przez organizację pomiary skuteczności zabezpieczeń (patrz powyżej pkt 4), w celu określenia, czy zabezpieczenia są wdrożone i skuteczne w osiąganiu określonych celów; 9) programów, procesów, procedur, zapisów, auditów wewnętrznych i przeglądów skuteczności SZBI w celu upewnienia się, że wynikają z decyzji kierownictwa, polityki i celów SZBI. 5.3.2. Organizacja wnioskująca powinna wykazać, że: 1) analiza zagrożeń bezpieczeństwa informacji ma związek z działalnością organizacji i jest do niej adekwatna; 2) dokonała oceny zgodności z prawem, w tym z odpowiednimi umowami i przepisami oraz, że podjęła działania w przypadku stwierdzenia jakichkolwiek niezgodności. 5.3.3. Podczas auditu, auditor może udzielać przedstawicielom organizacji wyjaśnień dotyczących ustaleń z auditu i/lub wymagań normy PN-ISO/IEC 27001. Na z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 4/13 spotkaniu zamykającym audit przedstawiane będą wyłącznie wnioski i spostrzeżenia auditora. 5.3.4. Za przeprowadzenie drugiego etapu auditu, wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 instrukcji. 6. Raport z auditu strony drugiej 6.1. Raport z auditu strony drugiej jest opracowywany zgodnie z Procedurą B3 Audit wewnętrzny SZBI obowiązującą w oraz 4 zarządzenia. 6.2. Raport z auditu strony drugiej jest opracowywany w dwóch egzemplarzach przez auditora wiodącego po zakończeniu etapu drugiego, o którym mowa w pkt 5.3 i przekazywany do PBI. Termin przekazania raportu przez auditora wiodącego wynosi 14 dni roboczych od daty zakończenia drugiego etapu auditu. 6.3. PBI zatwierdza raport, o którym mowa w pkt 6.2 i przekazuje do WCR. Termin zatwierdzenia raportu przez PBI wynosi 5 dni roboczych od daty przekazania go przez auditora wiodącego. 6.4. WCR przekazuje niezwłocznie po otrzymaniu od PBI jeden egzemplarz raportu, o którym mowa w ust. 1, organizacji auditowanej. 7. Wydanie świadectwa stosowania SZBI 7.1. wydaje organizacji auditowanej świadectwo stosowania SZBI na podstawie raportu, o którym mowa w pkt 6, potwierdzającego, że wymagania normy PN-ISO/IEC 27001 w zakresie niezbędnym do współpracy z systemem informatycznym, objęte auditem są przez organizację wnioskującą spełnione. 7.2. Świadectwo stosowania SZBI jest wydawane organizacji auditowanej, jeżeli wszystkie niezgodności, o ile takie stwierdzono w trakcie auditu, zostały usunięte, a działania korygujące sprawdzone przez, podczas wizyty na miejscu lub w inny odpowiedni sposób. 7.3. Świadectwo stosowania SZBI jest wydawane zgodnie z ustaleniami zawartymi w umowie o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI, po uiszczeniu wszystkich opłat określonych w tej umowie i podpisaniu umowy o nadzorze nad świadectwem stosowania SZBI, o której mowa w pkt 8.3. 7.4. Świadectwo jest ważne przez okres 5 (pięciu) lat pod warunkiem wypełniania przez organizację auditowaną postanowień umowy o nadzorze z zastrzeżeniem pkt. 10 niniejszej instrukcji. 7.5. W przypadku odmowy wydania przez świadectwa stosowania SZBI, organizacja wnioskująca otrzymuje pisemne uzasadnienie. Odmowa wydania świadectwa stosowania SZBI nie zwalnia organizacji wnioskującej z zapłaty za faktury, o których mowa w pkt 5.2.4. i 5.3.4. oraz nie upoważnia organizacji auditowanej do roszczeń o zwrot już poniesionych opłat na rzecz, odpowiednio do zapisów zawartych w 3 ust. 3 umowy o przeprowadzenie auditu strony drugiej, której wzór podany jest w załączniku 4 do zarządzenia. 7.6. Za wydanie świadectwa stosowania SZBI, wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 niniejszej Instrukcji. 8. Nadzór nad wydanym organizacji auditowanej świadectwem stosowania SZBI 8.1. sprawuje nadzór nad wydanym świadectwem stosowania SZBI. Celem nadzoru jest sprawdzenie, czy SZBI nadal funkcjonuje, rozważenie wpływu na ten system z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 5/13 zmian zainicjowanych w wyniku zmian w działaniach organizacji oraz potwierdzenia ciągłej zgodności z wymaganiami normy PN-ISO/IEC 27001. 8.2. Nadzór o którym mowa w pkt 8.1 prowadzi poprzez audity nadzoru, o których mowa w pkt 9. 8.3. Audity nadzoru są przeprowadzane w sposób i na warunkach określonych w umowie o nadzorze nad wydanym świadectwem stosowania SZBI zawartej przez organizację auditowaną i przed wydaniem świadectwa stosowania SZBI. Wzór takiej umowy określony jest w Załączniku 5 do Zarządzenia.. 8.4. W okresie ważności wydanego świadectwa stosowania SZBI, organizacja auditowana jest zobowiązana do: 1) przeprowadzenia, co najmniej raz do roku, auditu wewnętrznego SZBI i przeglądu systemu zarządzania bezpieczeństwem informacji i realizacji ich ustaleń; 2) informowania o wszystkich ważnych zmianach w jej systemie zarządzania i strukturze organizacyjnej. 8.5. Koszty wynikające z przeprowadzonych auditów nadzoru ponosi organizacja auditowana. Koszty te są określone w umowie o nadzorze, odpowiednio do zrealizowanych zadań, o których mowa w pkt 9. Są one ustalane w sposób określony w umowie, o której mowa w pkt 8.3, zgodnie z pkt 15 niniejszej Instrukcji. 8.6. Za przeprowadzenie auditu nadzoru, wystawia organizacji wnioskującej fakturę zgodnie z pkt 15 instrukcji. 9. Audit nadzoru 9.1. realizując nadzór nad wydanym świadectwem stosowania SZBI prowadzi planowe audity nadzoru lub audity z krótkim terminem powiadamiania. 9.2. Planowe audity nadzoru prowadzi, zgodnie z zapisami umowy o nadzorze, co najmniej raz w roku. Pierwszy audit strony drugiej w nadzorze przeprowadza się przed upływem 12 miesięcy od zakończenia auditu, będącego podstawą wydania świadectwa stosowania SZBI. Następne audity nadzoru są przeprowadzane w kolejnych okresach rocznych, odpowiednio do czasu ważności świadectwa. 9.3. Audity z krótkim terminem powiadamiania przeprowadza w przypadku powstania uzasadnionych wątpliwości co do spełniania przez organizację zobowiązań zawartych w umowach: o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI oraz o nadzorze nad wydanym świadectwem. 9.4. Każdy planowy audit nadzoru obejmuje przegląd: 1) skuteczności SZBI w odniesieniu do osiągania celów polityki organizacji w zakresie bezpieczeństwa informacji; 2) funkcjonowania procedur okresowej oceny i zgodności z odnośnymi przepisami i regulacjami dotyczącymi bezpieczeństwa informacji; 3) działań mających na celu usunięcie niezgodności stwierdzonych podczas ostatniego auditu; 4) elementów utrzymania systemu, którymi są audity wewnętrzne, przeglądy zarządzania oraz działania korygujące i zapobiegawcze; 5) zmian w udokumentowanym systemie; 6) obszarów, które podlegały zmianom; z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 6/13 7) innych wybranych obszarów, stosownie do potrzeb tak, aby wykazać, że w okresie 3 kolejnych auditów auditowane były wszystkie wymagania normy PN-ISO/IEC 27001; 8) wykorzystania świadectwa stosowania SZBI i raportów z poprzednich auditów; 9) zapisów dotyczących zdarzeń/incydentów związanych z bezpieczeństwem informacji; 10) zapisów świadczących o tym, że w przypadku wykrycia jakiejkolwiek niezgodności lub naruszenia wymagań uzyskania świadectwa stosowania SZBI, organizacja prześledziła własne systemy i procedury i wykonała odpowiednie działania korygujące. 9.5. Zakres auditu z krótkim terminem powiadamiania obejmuje doraźne sprawdzenie obszaru w którym zaistniały uzasadnione i udokumentowane wątpliwości co do spełniania przez organizację zobowiązań zawartych w umowach: o przeprowadzenie auditu strony drugiej SZBI i wydanie świadectwa stosowania SZBI oraz o nadzorze nad wydanym świadectwem. 9.6. W przypadku stwierdzenia niezgodności w trakcie nadzoru, organizacja jest zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym w raporcie z auditu. Czas przewidziany na realizację działań korygujących uzależnia od wagi niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań. 9.7. Jeżeli niezgodności te nie zostaną usunięte we wskazanym w raporcie z auditu terminie, zawiesza albo cofa wydane świadectwo stosowania SZBI, przekazując do organizacji stosowny dokument informujący o zawieszeniu albo cofnięciu wydanego świadectwa. W takim przypadku organizacja ponosi także konsekwencje wynikające z zapisów umów zawartych z, w których jako warunek konieczny wymienione jest posiadanie przez nią potwierdzonego SZBI. 10. Zawieszenie, cofnięcie i wznowienie świadectwa stosowania SZBI 10.1. może zawiesić świadectwo stosowania SZBI w przypadku stwierdzenia: 1) niezgodności, w wyniku przeprowadzonego auditu nadzoru, z kryteriami będącymi podstawą wydania świadectwa stosowania SZBI; lub 2) nie wywiązywania się organizacji z zobowiązań wynikających ze wszystkich umów zawartych z. 10.2. Zawieszenie ma ściśle określony termin wyznaczony przez, w którym organizacja ma obowiązek usunięcia niezgodności, wymienionych w dokumencie informującym o zawieszeniu wydanego świadectwa. Po tym terminie następuje cofnięcie świadectwa stosowania SZBI, o ile niezgodności nie zostaną usunięte. 10.3. Wraz z zawieszeniem świadectwa stosowania SZBI zobowiązuje organizację do zaprzestania powoływania się na to świadectwo. 10.4. Wznowienie ważności zawieszonego, zgodnie z pkt 10.1., świadectwa stosowania SZBI może nastąpić w przypadku: 1) przekazania informacji przez organizację, której świadectwo stosowania SZBI uległo zawieszeniu, o spełnieniu warunków powodujących zawieszenie; oraz 2) potwierdzenia, przez audit sprawdzający, spełnienia tych warunków. z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 7/13 10.5. Okres zawieszenia nie ma wpływu na termin ważności zawieszonego świadectwa SZBI, który pozostaje stały i zgodny z datą ważności wymienioną na świadectwie. 10.6. może cofnąć świadectwo stosowania SZBI w następujących przypadkach: 1) niedotrzymania przez organizację warunków umów: o wydanie świadectwa stosowania SZBI i o nadzorze nad wydanym świadectwem; 2) nieusunięcia przez organizację w okresie zawieszenia świadectwa stosowania SZBI niezgodności, których wystąpienie było podstawą zawieszenia świadectwa stosowania SZBI. 10.7. Wraz z cofnięciem świadectwa stosowania SZBI zobowiązuje organizację do zaprzestania powoływania się na świadectwo stosowania SZBI oraz jego zwrot w określonym przez terminie. 10.8. Organizacja ponosi konsekwencje, o których mowa w 8 ust. 3 pkt 2 zarządzenia. 10.9. Cofnięte świadectwo nie podlega wznowieniu w sposób opisany w pkt 10.4. 11. Audit ponownej oceny SZBI 11.1. Celem auditu ponownej oceny jest sprawdzenie skuteczności systemu zarządzania bezpieczeństwem informacji organizacji. Audit ponownej oceny jest przeprowadzany co 5 lat, przed upływem terminu ważności posiadanego świadectwa stosowania SZBI. 11.2. Wniosek o audit ponownej oceny organizacja składa do co najmniej na 6 miesięcy przed upływem terminu ważności posiadanego świadectwa stosowania SZBI. Organizacja składa odpowiedni wniosek, jak w Załączniku 3 do Zarządzenia i podpisuje nową umowę o przeprowadzenie auditu strony drugiej i wydanie świadectwa stosowania SZBI, stosując zapisy Zarządzenia odpowiednio. 11.3. Podczas ponownej oceny organizacja auditowana musi wykazać: 1) skuteczność SZBI jako całości w świetle zmian wewnętrznych i zewnętrznych oraz jego stałą odpowiedniość i przydatność w zakresie objętym świadectwem stosowania SZBI; 2) zaangażowanie w utrzymywaniu skuteczności oraz doskonalenie SZBI; 3) że działanie SZBI przyczynia się do realizacji polityki i osiągnięcia celów organizacji. 11.4. wydaje kolejne świadectwo stosowania SZBI w przypadku pozytywnego wyniku auditu ponownej oceny. uwzględnia przy tym wyniki auditów nadzoru, o których mowa w pkt. 9. instrukcji. 11.5. W przypadku stwierdzenia niezgodności w trakcie auditu ponownej oceny, organizacja jest zobowiązana do ich skutecznego usunięcia w terminie uzgodnionym z. 11.6. Czas przewidziany na realizację działań korygujących uzależnia od wagi niezgodności i stopnia ryzyka w odniesieniu do spełniania przez SZBI wyspecyfikowanych w normie PN-ISO/IEC 27001 wymagań. 11.7. Jeżeli niezgodności te nie zostaną usunięte w uzgodnionym terminie, nie wydaje nowego świadectwa stosowania SZBI, i tym samym organizacja ponosi także konsekwencje wynikające z zapisów umów zawartych z, w których jako warunek konieczny wymienione jest posiadanie przez nią potwierdzonego SZBI. z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 8/13 12. Wykorzystanie świadectwa stosowania SZBI Organizacja auditowana ma prawo powoływać się na uzyskane świadectwo stosowania SZBI w prowadzonej działalności reklamowej i w kontaktach ze swoimi klientami w odniesieniu do działalności objętej zakresem świadectwa stosowania SZBI. 13. Skargi składane do organizacji auditowanej 13.1. Skargi składane do organizacji auditowanej w zakresie objętym umową z mogą stanowić źródło informacji o zdarzeniach/incydentach dotyczących SZBI i ewentualnych niezgodnościach. W takim przypadku organizacja auditowana opracowuje odpowiedni raport i podejmuje działania korygujące i/lub zapobiegawcze w celu ich usunięcia oraz prowadzi i przechowuje zapisy. 13.2. Podczas auditów nadzoru sprawdza te zapisy. 13.3. Zaleca się, aby nie uznawać działań korygujących za zakończone, dopóki nie wykaże się ich skuteczności i nie dokona niezbędnych zmian w procedurach, dokumentacji i zapisach. 14. Poufność 14.1. zapewnia poufność każdej przekazanej przez organizację informacji dokumentacji, za wyjątkiem przypadków przewidzianych prawem. 14.2. Wszystkie osoby które są w jakikolwiek sposób związane z prowadzonym przez auditem strony drugiej, podpisują deklarację poufności. 15. Sposób ustalania opłat związanych z przeprowadzaniem przez auditu strony drugiej SZBI 15.1. Czas wymagany do przeprowadzenia auditu strony drugiej SZBI, auditów nadzoru oraz auditu ponownej oceny oraz koszty związane z ich przeprowadzeniem określa na podstawie takich danych, jak: wielkość komórki organizacyjnej/organizacji wnioskującej, liczba zatrudnionych, wielooddziałowość, liczba lokalizacji stosowany system informatyczny organizacji auditowanej i jego złożoność - zgodnie z wytycznymi podanymi w normie PN-ISO/IEC 27006 oraz cennikiem stanowiącym Załącznik 1 do niniejszej Instrukcji. 15.2. Koszty o których mowa w pkt 15.1. podaje się organizacji wnioskującej w umowie, o której mowa w pkt 4.2 niniejszej Instrukcji. 15.3. Organizacja wnioskująca potwierdza przyjęcie kosztów określonych w umowie, o której mowa w pkt 4.2 niniejszej Instrukcji. 15.4. Na całkowity koszt auditu strony drugiej składają się: 1) opłata wstępna. Jest to opłata stała obejmująca koszty związane z wstępną analizą dokumentacji. Opłata ta jest zgodna z cennikiem stanowiącym załącznik 1 do niniejszej instrukcji i jest wnoszona przez organizację wnioskującą na podstawie faktury wystawionej przez ; 2) koszt przeprowadzenia pierwszego etapu auditu, o którym mowa w pkt 5.2. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.2. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w załączniku 1, do niniejszej instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditorów. Opłata za przeprowadzenie pierwszego etapu auditu wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez ; 3) koszt przeprowadzenia drugiego etapu auditu, o którym mowa w pkt 5.3. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 9/13 wnioskującej, realizującego zadania, o których mowa w pkt 5.3.. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie drugiego etapu auditu wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez ; 4) koszty wydania świadectwa stosowania SZBI w wersji elektronicznej i papierowej. Opłata określana jest na podstawie Załącznika 1 do niniejszej instrukcji i wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez. 15.5. Koszt auditu nadzoru, o którym mowa w pkt 9 obejmuje wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa pkt 9. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie auditu nadzoru wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez. 15.6. Koszt auditu ponownej oceny, o którym mowa w pkt 11 obejmuje wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa pkt 11. Koszt ten jest zależny od czasu auditu ustalonego na podstawie tablicy, jak w Załączniku 1, do niniejszej Instrukcji oraz kosztów dojazdu i pobytu na miejscu zespołu auditujacego. Opłata za przeprowadzenie auditu ponownej oceny oraz wydanie nowego świadectwa stosowania SZBI wnoszona jest przez organizację auditowaną na podstawie faktury wystawionej przez. 16. Załączniki: Załącznik 1: Cennik opłat związanych z przeprowadzaniem przez auditu strony drugiej SZBI z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 10/13 Załącznik 1 do Instrukcji Cennik opłat związanych z przeprowadzaniem przez Polski Komitet Normalizacyjny auditu strony drugiej SZBI oraz wydaniem świadectwa stosowania SZBI organizacji wnioskującej 1. Opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz wydaniem świadectwa stosowania SZBI Na opłaty związane z przeprowadzeniem auditu organizacji wnioskującej oraz wydanie świadectwa stosowania SZBI składają się: A. Opłata wstępna B. Opłata za przeprowadzenie pierwszego etapu auditu C. Opłata za przeprowadzenie drugiego etapu auditu D. Opłata za wydanie świadectwa stosowania SZBI 1.1. A - Opłata wstępna jest to opłata stała, obejmująca koszty związane z wstępną analizą dokumentacji dołączonej do złożonego wniosku. Opłata ta wynosi 1 000 PLN. Jest wnoszona przez organizację wnioskującą na podstawie faktury wystawionej przez w terminie określonym w 3 ust. 2 pkt 1 umowy o przeprowadzenie auditu strony drugiej i wydania świadectwa stosowania SZBI. 1.2. B - Opłata za przeprowadzenie pierwszego etapu auditu,. Obejmuje ona wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.2 instrukcji; koszt ten jest ustalany na podstawie Tablicy 1. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez po zakończeniu pierwszego etapu auditu. 1.3. C - Koszt przeprowadzenia drugiego etapu auditu. Obejmuje on wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 5.3 instrukcji; koszt ten jest ustalany na podstawie Tablicy 1. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez po zakończeniu drugiego etapu auditu. 1.4. D - Opłata za wydanie świadectwa stosowania SZBI jest stała i wynosi 500 PLN. Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez przed wydaniem świadectwa stosowania SZBI. 1.5. Wydanie świadectwa stosowania SZBI następuje po dokonaniu wpłat przez organizację auditowaną zgodnie z fakturami wymienionymi w pkt 1.1; 1.2; 1.3 i 1.4. 1.6. Tablice pomocnicze do określania kosztów auditu strony drugiej SZBI z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 11/13 Tablica 1: Koszty auditu strony drugiej SZBI Liczba pracowników organizacji auditowanej Opłata wstępna Opłata za przeprowadzenie pierwszego etapu auditu Opłata za przeprowadzenie drugiego etapu auditu Koszt wydania świadectwa SZBI Całkowity koszt przeprowadzenia auditu strony drugiej i wydania świadectwa stosowania SZBI A B C D A+B+C+D PLN 1-10 1 000 2 400 3 600 500 7 500 11-25 1 000 3 600 4 800 500 9 900 > 25 1 000 4 200 6 000 500 11 700 Tablica 2: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej Liczba pracowników zatrudnionych w organizacji auditowanej Pierwszy etap auditu Drugi etap auditu Łączna liczba dni pracy auditorów podczas oceny SZBI w procesie auditu strony drugiej 1-10 2 3 5 11-25 3 4 7 > 25 3.5 5 8,5 Czas auditu podany w Tablicy 2 nie obejmuje czasu dojazdu zespołu auditorów do siedziby organizacji auditowanej.. 2. Opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI Na opłaty związane z nadzorem nad wydanym świadectwem stosowania SZBI składają się: E. Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem F. Opłata za przeprowadzenie corocznego auditu nadzoru z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 12/13 2.1. E Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem SZBI jest stała i obejmuje koszty związane z: a) bieżącym monitorowaniem SZBI; b) analizą dokumentacji związanej z procesem nadzoru; c) wydawaniem decyzji w nadzorze nad świadectwem stosowania SZBI. Opłata ta wynosi 60 % opłaty za pierwszy etap auditu podanej w kolumnie B Tablicy 1. Jest wnoszona przez organizację auditowaną jako przedpłata raz do roku w terminie uzgodnionym w umowie o nadzorze nad wydanym świadectwem w formie przedpłaty. Otrzymanie przedpłaty jest potwierdzane przez fakturą. 2.2. F - Opłata za przeprowadzenie corocznego auditu nadzoru. Obejmuje ona wszystkie koszty związane z wizytą zespołu auditującego w siedzibie organizacji wnioskującej, realizującego zadania, o których mowa w pkt. 9.4 instrukcji; koszt ten jest ustalany na podstawie Tablicy 3; Jest ona wnoszona przez organizację wnioskującą po otrzymaniu faktury wystawionej przez po zakończeniu corocznego auditu nadzoru. 2.3. Tablice pomocnicze określania kosztów auditu nadzoru nad wydanym świadectwem stosowania SZBI Tablica 3: Koszty auditu nadzoru SZBI Liczba pracowników organizacji auditowanej Roczna opłata za sprawowanie nadzoru nad wydanym świadectwem SZBI Opłata za przeprowadzenie auditu nadzoru Całkowity koszt przeprowadzenia auditu nadzoru nad wydanym świadectwem SZBI E F E + F 1-10 1 450 zł 2 400 zł 3 850 zł 11-25 2 150 zł 3 600 zł 5 650 zł > 25 2 550 zł 4 200 zł 6 750 zł z dnia 29.03.2010 r.
Załącznik Nr 1 do z dnia 29.03.2010 r. Strona 13/13 Tablica 4: Liczba dni pracy auditorów w zależności od wielkości organizacji auditowanej Liczba pracowników zatrudnionych w organizacji auditowanej Audit nadzoru Łączna liczba dni pracy auditorów podczas auditu nadzoru 1-10 3 3 11-25 4 4 > 25 5 5 Czas auditu podany w Tablicy 4 nie obejmuje czasu dojazdu zespołu auditorów do siedziby organizacji auditowanej.. 3. Podatek VAT Do wszystkich opłat wymienionych w niniejszym cenniku dolicza się podatek VAT w wysokości 22 % - zgodnie z Ustawą Nr 535 z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz. U. Nr 54 z 5 kwietnia 2004 r.) z dnia 29.03.2010 r.