ISO/IEC 27001 - Securitatea informației -

Informația reprezintă desigur, unul dintre cele mai de preț bunuri ale unei organizații. Prin urmare, asemenea oricărui bun de preț, informația trebuie protejată. O companie trebuie să utilizeze o abordare sistematică pentru a-și proteja informațiile iar ISO/IEC 27001 aduce exact acest lucru – o abordare sistematică pentru identificarea și tratarea riscurilor de securitate, cu scopul de a asigura că informația este protejată.

Informația poate include printre altele: proprietate intelectuală, contracte, informații financiare, rezultate generate din cercetare și dezvoltare, informații cu caracter personal sau diverse date puse la dispoziție de terți.

Securitatea informației este definită, de regulă, utilizând trei elemente – Confidențialitate (informația este disponibilă numai utilizatorilor autorizați), Integritate (informația este completă și corectă) și Disponibilitate (utilizatorii autorizați au acces la informație atunci cand solicită).

Nerepudierea (asigurarea că un subiect nu poate nega o acțiune desfășurată sau un eveniment petrecut) este un alt concept care este considerat de mulți ca fiind de importanță egală cu cele trei menționate mai sus.

La nivel internațional există diferite sisteme (framework-uri) referitoare la securitatea informației, dezvoltate de instituții precum NIST, ISACA sau ISO.

Conform ISO (Organizația Internațională de Standardizare) “familia de standarde ISO 27000 ajută organizațiile să își protejeze informațiile”

RIGCERT este acreditat pentru certificarea sistemelor de management al securității informației conform ISO/IEC 27001:2013. Certificatul nostru de acreditare este disponibil aici.

ISO 27001 include cerințe specifice de sistem de management precum și o anexa cu 114 controale de securitatea informației împărțite în 14 categorii diferite.

Mai jos detaliem cerințele lui ISO/IEC 27001:2013, inclusiv cele 114 de controale din Anexa A a acestui standard.

Pentru a fi conform cu ISO/IEC 27001 sistemul de management al organizației ce urmărește să obțină certificarea trebuie să se conformeze tuturor cerințelor standardului, inclusiv controalelor din Anexa A ce îi sunt aplicabile (având în vedere specificul organizației). Compania este liberă să definească și să implementeze controale de securitate suplimentare celor din Anexa A, dacă consideră oportun.

Cerințele lui ISO/IEC 27001 sunt grupate în 7 capitole: Contextul organizației, Leadership, Planificare, Suport, Operare, Evaluarea performanței și Îmbunătățire.

CONTEXTUL ORGANIZAȚIEI

Companiei i se solicită să identifice aspectele interne și externe relevante pentru scopul său și care pot afecta sistemul său de management al securității informației. Câteva exemple de aspecte interne: structura organizațională, echipamentele și tehnologia utilizate, competența personalului, cultura organizațională, etc. Aspecte externe pot fi: legislația referitoare la securitatea informației, tendințe în domeniul securității informației, concurența, aspecte legate de mediul economic, etc.

Standardul solicită organizației să identifice părțile interesate (acele părți ce au un interes referitor la sistemul de management al organizației) împreună cu nevoile și așteptările acestora. Câteva exemple de părți intersate: clienți, anagajați, furnizori, comunitate, parteneri de afaceri, utilizatori ai produselor și serviciilor companiei, etc.

Organizația trebuie să definească domeniul de aplicare al sistemului său de management al securității informației. Compania poate decide să includă toate activitățile și locațiile sale în domeniul sistemului de management sau să aplice sistemul numai pentru unele dintre activitățile/ locațiile sale.

LEADERSHIP

Conducerea trebuie să susțină sistemul de management și să demonstreze angajamentul său pentru securitatea informației.

În același timp conducerii i se solicită să definească și să comunice în cadrul organizației o politică privind securitatea informației.

Este de asemenea responsabilitatea managementului organizației să definească și să atribuie responsabilități și autorități referitoare la securitate personalului.

Pentru a putea avea un sistem de management al securității informației funcțional și a beneficia de pe urma utilizării sale, susținerea din partea conducerii este esențială.

PLANIFICARE

ISO/IEC 27001:2013 solicită o evaluare a riscurilor referitoare la securitatea informației.

Metodologia de evaluare utilizată este la alegerea organizației.

Evaluarea de risc trebuie actualizată ori de câte ori este necesar (ex. în situația unor schimbări în structura organizației, în urma unor incidente de securitatea informației, etc).

Pornind de la rezultatele evaluării riscurilor, compania trebuie să aplice un proces de tratare a riscurilor prin implementarea unor controale de securitate.

O declarație de aplicabilitate este solicitată de standard. Acest document conține controalele de securitatea informației din Anexa A a lui ISO/IEC 27001, împreună cu justificarea deciziei de a implementa sau nu respectivul control.

ISO/IEC 27001 solicită organizației să definească obiective de securitatea informației și să planifice acțiuni pentru îndeplinirea lor.

SUPORT

Resursele necesare pentru implementarea sistemului de management al securității informației trebuie să fie disponibile. Organizației i se solicită să determine competența necesară pentru persoanele ce pot avea un impact asupra securității informației. Compania trebuie să se asigure că personalul său este competent și, atunci când este necesar, trebuie să întreprindă acțiunile necesare pentru creșterea nivelului de competență (de exemplu să ofere acces la instruire în domeniul securității informației).

Persoanele ce își desfășoară activitatea sub controlul organizației trebuie să fie conștientizate cu privire la politica privind securitatea informației, contribuția lor la sistemul de management al securității, cerințele de securitatea informației.

Organizația trebuie să se asigure că există procese eficace de comunicare internă și externă.

Sistemul de management al securității informației trebuie să includă informații documentate. Amploarea documentației de sistem depinde de structura și dimensiunea organizației precum și de specificul activităților sale. Trebuie stabilite controale cu privire la crearea și actualizarea documentației sistemului de management (ex. stabilirea formatului documentelor, verificarea și aprobarea documentelor). Totodată trebuie să existe controale cu privire la accesul, distribuirea, regăsirea, utilizarea, păstrarea și controlul versiunilor documentelor.

Controalele se referă atât la documentele elaborate intern cât și la cele de proveniență externă (ex. documentație de la clienți, furnizori, etc)

OPERARE

Cerințele acestui capitol sunt pentru organizație să planifice, să implementeze și să controleze procesele necesare pentru a îndeplini cerințele de securitatea informației. Schimbările planificate trebuie controlate cu scopul de a preveni sau reduce efectele nedorite asupra securității.

Organizației i se solicită de asemenea, să asigure controlul asupra proceselor externalizate ce pot avea un impact asupra securității.

EVALUAREA PERFORMANȚEI

ISO 27001:2013 solicită organizației să evalueze performanța și eficacitatea sistemului său de management al securității informației. La intervale planificate compania trebuie să deruleze audituri interne pentru a se asigura că sistemul de management se conformează cu cerințele standardului ISO/IEC 27001, este implementat și menținut corespunzător.

Conducerea organizației va analiza periodic sistemul de management pentru a se asigura de continua sa adecvare și eficacitate.

ÎMBUNĂTĂȚIRE

Atunci când sunt identificate neconformități organizația trebuie să reacționeze prin aplicarea de corecții (menite a controla neconformitatea și consecințele sale) și acțiuni corective (cu scopul de a elimina cauzele neconformității).

ISO/IEC 27001:2013 solicită ca organizația să își îmbunătățească în mod continuu sistemul de management al securității informației.

 

ANEXA A a ISO/IEC 27001:2013

Categorii de controale

 

A5 – POLITICI DE SECURITATEA INFORMAȚIEI

Standardul solicită organizației să definească un set de politici de securitate, aprobate de conducere și comunicate atât angajaților cât și celorlalte părți interesate. Aceste politici trebuie analizate periodic și ori de câte ori apar modificări semnificative în organizație, cu scopul de a le confirma adecvarea și eficacitatea.

 

A6 – ORGANIZAREA SECURITĂȚII INFORMAȚIEI

Trebuie alocate responsabilități referitoare la securitatea informației pentru personalul organizației. Sarcinile și zonele de responsabilitate conflictuale trebuie segrgate (ex. inițierea și aprobarea tranzacțiilor). Organizației i se solicită să mențină contacte cu autoritățile relevante în aspecte ce privesc securitatea informației. În același timp, contacte corespunzătoare cu grupuri de interese, forumuri sau asociații din domeniul securității informației, trebuie menținute. Aspectele referitoare la securitatea informației trebuie avute în vedere în managementul proiectelor, indiferent de specificul acestora. Utilizarea dispozitivelor mobile introduce riscuri de securitate și ISO/IEC 27001 solicită o politică și măsuri de securitate pentru a gestiona aceste riscuri. Dacă organizația utilizează teleworking-ul (lucrul de la distanță – ex. de acasă, din locații publice, etc) atunci trebuie să stabilească o politică și măsuri de securitate pentru a trata acest aspect.

 

A7 – SECURITATEA RESURSELOR UMANE

Organizația trebuie să efectueze verificări pentru toți candidații la angajare. Nivelul de detaliere al verificărilor trebuie să fie în concordanță cu accesul persoanei la informație și riscurile asociate poziției. Contractele de muncă și celelalte documente de angajare trebuie să includă cerințe de securitate. Conducerea trebuie să solicite tuturor angajaților, precum și contractorilor, să respecte politicile și procedurile de securitate stabilite. Toți angajații și contractanții trebuie să fie conștientizați cu privire la aspectele legate de securitatea informației. Un proces disciplinar trebuie să existe, să fie comunicat și aplicat în cazul angajaților care comit breșe de securitate. Acele responsabilități referitoare la securitate ce rămăn valabile și după ce angajatul părăsește compania (ex. clauze de confidențialitate) trebuie definite clar, comunicate și aplicate.

 

A8 – MANGEMENTUL ACTIVELOR

Trebuie elaborat și mențiunut la zi un inventar al activelor și trebuie nominalizați “proprietari” ai activelor, ce pot fi persoane sau structuri din cadrul organizației. ISO/IEC 27001 solicită organiației să  stabilească, să documenteze și să implementeze reguli pentru utilizarea acceptabilă a activelor. Organizația trebuie să se asigure că activele sale sunt returnate de către persoanele al căror contract de muncă sau colaborare este finalizat. ISO 27001 solicită companiei să definească și să aplice o schemă pentru clasificarea informației ținând cont de aspecte precum valoarea informației pentru companie sau sensibilitatea acesteia la accesul neautorizat sau modificare. Un sistem de etichetare a informației în conformitate cu schema de clasificare trebuie să fie aplicat. Organizația trebuie să dezvolte și să aplice reguli pentru manipularea activelor. Trebuie să existe proceduri/ reguli cu privire la managementul mediilor amovibile (ex. HDD-uri externe, stick-uri USB, CD-uri, DVD-uri, etc). Mediile amovibile ce conțin informație trebuie protejate împotriva accesului neautorizat, utilizării necorespunzătoare sau coruperii informației

 

A9 – CONTROLUL ACCESULUI

ISO/IEC 27001 solicită documentarea și aplicarea unei politici privind controlul accesului care să trateze atât accesul fizic cât și accesul logic la rețele și aplicații. Organizația trebuie să se asigure că utilizatorilor le este permis accesul numai la acele rețele și servicii pe care sunt autorizați să le utilizeze. ISO/IEC 27001:2013 solicită un proces formal de inregistrare și de-registrare a utilizatorilor, în vreme ce alocarea și utilizarea privilegiilor de acces trebuie restricționată și strict controlată. Organizația trebuie să se asigure că la finalizarea angajării sau a contractului de colaborare, drepturile de acces sunt restricționate. Sistemul de management al parolelor utilizat de către organizație trebuie să fie interactiv și să asigure parole de calitate. Trebuie să existe controale care să restricțineze accesul utilizatorilor la codul sursă al programelor software.

 

A10 - CRIPTOGRAFIE

Dacă organizația utilizează critpografia pentru a proteja confidențialitatea, autenticitatea și/ sau integritatea informației, atunci trebuie să dezvolte și să implementeze o politică privind utilizarea controalelor criptografice. În același timp trebuie definită o politică ce să trateze cheile criptografice în aspecte precum utilizarea, protecția și durata lor de viață.

 

A11 – SECURITATE FIZICĂ ȘI DE MEDIU

ISO/IEC 27001:2013 solicită organizației să definească perimetre de securitate cu scopul de a proteja zonele ce conțin informații critice și/sau facilități de procesare a informației. Accesul în aceste zone trebuie permis exclusiv personalului autorizat. Măsuri de securitate fizică pentru birouri și încăperi trebuie proiectate și aplicate. Organizației i se solicită să implementeze măsuri de securitate fizică împotriva dezastrelor naturale, atacurilor sau accidentelor. Zonele de încărcare și descărcare trebuie controlate și, dacă se poate, izolate de facilitățile ce procesează informații critice, pentru a preveni accesul neautorizat. Standardul solicită ca echipamentul să fie poziționat în așa fel încât să se reducă riscurile asociate amenințărilor de mediu și oportunitățile pentru acces neautorizat. Trebuie implementate măsuri de protecție împotriva căderilor de tensiune. Organizația trebuie să protejeze echipamentele și cablurile împotriva interceptărilor neautorizate (ex. prin tehnologii TEMPEST). Echipamentele trebuie întreținute conform specificațiilor pentru a asigura funcționarea lor corespunzătoare. ISO/IEC 27001 solicită organizației să se asigure că echipamentele nu sunt scoase în afara locației fără autorizare. Echipamentele ce se află în afara locației trebuie protejate corespunzător. Atunci când anumite echipamente nu mai sunt utilizate organizația trebuie să se asigure că, înainte de a renunța la ele, a eliminat sau rescris informațiile sensibile și software-ul licențiat. Standardul solicită utilizatorilor să se asigure că echipamentele nesupravegheate au măsuri de protecție active. ISO/IEC 27001 solicită dezvoltarea și aplicarea unei politici privind biroul și ecranul curate.

 

A12 – SECURITATEA OPERAȚIUNILOR

ISO/IEC 27001 solicită proceduri de operare documentate care să fie disponibile tuturor utilizatorilor. Modificările în cadrul organizației precum și modificările proceselor afacerii trebuie controlate în așa fel încât ele să nu afecteze securitatea informației. Organizația trebuie să monitorizeze utilizarea resurselor sale și să realizeze proiecții ale cerințelor viitoare pentru a asigura operarea în condții optime. Mediile de dezvoltare, testare și cele operaționale trebuie separate. Organizația trebuie să dețină măsuri de prevenție, detecție și recuperare în cazul infestării cu malware. Backup-ul informației trebuie realizat cu regularitate iar datele trebuie testate periodic pentru a da asigurări că în situația în care este necesar organizația poate restaura instanțe anterioare. Loguri ale evenimentelor (inclusiv erori, excepții și alte evenimente relevante pentru securitate) trebuie să fie realizate, menținute și analizate periodic. Logurile trebuie protejate împotriva accesului neautorizat și modificării. Activitățile administratorilor de sistem trebuie înregistrate iar logurile generate trebuie protejate. Ceasurile tuturor sistemelor relevante de procesare a informației trebuie sincronizate. Organizația trebuie să controleze instalarea de software pe sistemele sale. ISO 27001 solicită organizației să fie la curent cu informațiile referitoare la vulnerabilitățile tehnice ale sistemelor informatice, să evalueze aceste vulnerabilități și să implementeze măsuri care să trateze riscurile asociate. Activiățile de audit ale sistemelor operaționale trebuie să fie astfel realizate încât să perturbe cât mai puțin procesele afacerii.

 

A13 – SECURITATEA COMUNICAȚIILOR

ISO 27001 solicită organizației să administreze și să controleze rețelele sale în așa fel încât să asigure că informația care circulă este protejată. Aspectele referitoare la securitatea informației precum și nivelurile acceptabile ale serviciilor trebuie agreate cu furnizorii (indiferent dacă aceștia sunt interni sau externi). Diferitele grupuri de servicii, utilizatori și sisteme informatice trebuie segregate în cadrul rețelelor. Organizației i se solicită să definească și să aplice proceduri și controale pentru a proteja transferul informației, indiferent de tipul echipamentelor de comunicații utilizate. Schimbul de informații prin mesagerie electronica (ex. email sau programe de instant messaging) trebuie protejat.

 

A14 – ACHIZIȚIA, DEZVOLTAREA ȘI MENTENANȚA SISTEMELOR

Cerințele specifice de securitatea informației trebuie incluse în cerințele organizației pentru sisteme informatice noi sau îmbunătățiri la sistemele existente. Informația confidențială ce trece prin rețele publice (ex. cazul plaților electronice) trebuie protejată împotriva activităților frauduloase, modificării sau accesului neautorizat. ISO/IEC 27001:2013 solicită organizației să dezvolte și să aplice reguli pentru dezvoltarea de software. În urma modificărilor la platformele de operare, organizația trebuie să analizeze aplicațiile critice pentru afacere, pentru a se asigura că nu există un impact nefavorabil asupra securității informației. Organizația trebuie să dețină reguli care să descurajeze modificările la pachetele software. ISO 27001 solicită organizației să dețină medii de dezvoltare sigure în situația în care activitatea de dezvoltare software este desfășurată in-house. Dacă activitatea de dezvoltare software este externalizată atunci organizația trebuie să monitorizeze activitatea subcontractanților. Testarea produselor software trebuie să se refere inclusiv la aspectele de securitate iar datele de testare trebuie protejate adecvat.

 

A15 – RELAȚII CU FURNIZORII

Organizația trebuie să agreeze și să documenteze în contractele cu furnizorii, cerințele de securitate menite a trata riscurile asociate cu accesul furnizorilor la informațiile sale. Cerințele privind securitatea trebuie agreate cu fiecare furnizor ce accesează, procesează, păstrează sau comunică informații relevante. Cerințele de securitate trebuie să se refere inclusiv la lanțul de aprovizionare cu servicii și produse IT&C. Organizația trebuie să monitorizeze, analizeze și să auditeze modul în care furnizorii respectă cerințele agreate.

 

A16 – MANAGEMENTUL INCIDENTELOR DE SECURITATEA INFORMAȚIILOR

ISO/IEC 27001:2013 solicită proceduri și alocarea de responsabilități pentru a putea asigura un răspuns prompt și corespunzător în cazul incidentelor de securitate. Evenimentele trebuie raportate cât mai rapid, utilizând procese de comunicare eficiente. Organizația trebuie să solicite tuturor angajaților și contractorilor ce utilizează sistemele și serviciile sale să înregistreze și să raporteze orice vulnerabilitate raportată sau observată. Evenimentele de securitate trebuie evaluate pentru a decide dacă ele reprezintă incidente de securitate sau nu. Organizația trebuie să asigure un răspuns adecvat la incidentele de securitate și să utilizeze cunoștințele obținute din analiza acestor incidente pentru a reduce probabilitatea și/ sau impactul unor incidente viitoare.

 

A17 – CONTINUITATEA SECURITĂȚII INFORMAȚIEI

ISO 27001 solicită organizației să integreze aspectele de securitatea informației în managementul continuității, prin definirea de controale care să asigure că securitatea este menținută în cazul unor evenimente nedorite. Organizația trebuie să asigure suficientă redundanță a sistemelor de procesare a informației pentru a satisface necesitățile de disponibilitate.

 

A18 – CONFORMITATE

ISO 27001 solicită organizației să identifice și să actualizeze cerințele legale, contractuale și de reglementare ce se referă la securitatea informației. Trebuie stabilite proceduri pentru a asigura conformitatea cu cerințele privind proprietatea intelectuală și drepturile de autor, protecția informațiilor cu caracter personal. Utilizarea criptografiei trebuie să respecte cerințele legale (dacă există). Organizației i se solicită să efectueze la intervale planificate și ori de câte ori apar modificări semnificative, analize independente ale modului în care respectă cerințele de securitate (ex. controale implementate, proceduri, politici). Managerilor li se solicită să analizeze periodic conformitatea cu politicile și procedurile de securitate, în zona lor de responsabilitate.

 

Acestea sunt, pe scurt, cerințele lui ISO/IEC 27001:2013.

Unele cerințe ar putea să nu fie aplicabile datorită specificului organizației și, desigur, organizația poate defini și aplica controale de securitate suplimentare celor descrise în ISO/IEC 27001 și ISO/IEC 27002, dacă consideră necesar.

ISO/IEC 27001 poate fi implementat și certificat cu succes în organizații de mari dimensiuni dar și în mici business-uri care doresc să demonstreze că dețin controale pentru a proteja informația pe care o procesează sau stochează.

Desigur ISO/IEC 27001 poate fi integrat cu alte standarde de sistem de management precum ISO 9001, ISO/IEC 20000-1 sau ISO 22301, de exemplu.

Pentru scopuri de certificare vă rugăm conactați-ne la office@rigcert.org.

Pentru o mai bună înțelegere a cerințelor ISO/IEC 27001 puteți parcurge cursurile noastre online.

Solicită

Ofertă de Certificare

  • ISO 9001
  • ISO 14001
  • ISO 45001/OHSAS 18001
  • Alt standard
  • ISO 37001
  • ISO/IEC 27001
  • ISO 22301
  • ISO 39001
  • ISO/IEC 20000-1
  • ISO 50001

Ce spun

CLIENȚII NOȘTRI

Colaborarea noastră pentru certificarea ISO 9001:2015 a decurs excelent! Recomandăm echipa RIGCERT pentru flexibilitate, operativitate şi soluţiile oferite.
image description

Andrei Manea

CEO Concept24 Online
Colaborare excelentă pentru certificarea sistemului nostru integrat de management. Apreciez auditorii RIGCERT pentru modul in care au inteles activitatea noastră şi pentru oportunităţile de imbunatătire identificate.
image description

Marian Sandulache

Director QEHS Helinick
PROFESIONALISM, IMPLICARE, INCREDERE, SIGURANŢĂ, COMUNICARE EFICIENTĂ. Auditul efectuat de echipa RIGCERT nu inseamnă doar controlul sec al clientului ci oferă si soluţii reale la problemele pe care le intampină o organizaţie, ceea ce ne face sa îi recomandăm cu incredere.
image description

Adriana Cojocaru

Director executiv Hifu Terramed Conformal
Recomandăm RIGCERT pentru profesionalismul echipei, promptitudine, flexibilitate. Un partener c RIGCERT iţi asigură garanţia mentinerii standardului de calitate vizat. De asemenea, cursurile online de pe site au reprezentat un real ajutor pentru inţelegerea cerinţelor ISO 9001:2015.
image description

Florin Manea

Director tehnic Bio Terra Med
Colaborăm de mulţi ani cu echipa RIGCERT pentru audit şi certificare conform standardelor internaţionale şi intotdeauna am obţinut rezultatele asteptate. Făra indoială vom continua să lucrăm cu voi.
image description

Cristian Moise

Director Best Plate
Apreciez echipa RIGCERT pentru profesionalism şi operativitate. Am colaborat mereu excelent şi recomand RIGCERT cu mare incredere.
image description

Dan Zoldan

Vicepreședinte ARCVIP

Întrebari

curente

Un sistem de management este un set de elemente (politici, procese, proceduri) utilizate de către o organizație pentru a-și desășura activitățile și a-și îndeplini obiectivele. Un sistem de management poate trata o singură disciplină (ex. managementul calității sau managementul securității informației) sau mai multe discipline în același timp, în ceea ce reprezintă un sistem de management integrat.

Pentru fiecare disciplină există standarde specifice care stabilesc cerințele pentru un sistem de management (ex. ISO 9001, ISO 14001, ISO/IEC 27001, etc). O organizație ce urmărește să obțină certificarea sistemului său de management trebuie să demonstreze, în cursul unui audit, că satisface cerințele standardului/ standardelor utilizat(e) ca și referință pentru certificare.

Indiferent de disciplină, toate standardele de sistem de management solicită organizațiilor să definească roluri, responsabilități și autorități pentru personal, să dețină politici documentate, să stabilească obiective și acțiuni pentru a le îndeplini, să demonstreze operarea în condiții controlate, să monitorizeze, să măsoare, să analizeze și să evalueze performanța și să acționeze pentru a îmbunătăți continuu sistemul de management.

Un sistem de management poate fi implementat de către organizație cu personalul propriu sau prin utilizarea de consultanți externi. Este necesar ca sistemul de management să fie menținut și îmbunătățit continuu.

Pentru a fi folositor, sistemul de management trebuie să fie parte din activitățile curente ale organizației și nu un set de elemente separate de rutina operațională. Suportul din partea conducerii este vital pentru succesul oricărui sistem de management.



Certificarea este o atestare din partea unei terțe părți (denumită organism de certificare) că sistemul de management implementat de către o organizație satisfacecerințele unuia sau mai multor standarde (documente). Nu organizația în sine este subiectul certificării ci sistemul său de management.



Procesul de certificare începe cu transmiterea unei cereri de către organizația interesată. Cererea furnizează informațiile necesare pentru ca organismul de certificare să înțeleagă ce se dorește a fi certificat și să planifice resursele pentru a furniza serviciul de certificare.

Se semnează un contract pentru certificarea sistemului de management.

Auditul de certificare este realizat pentru a evalua dacă cerințele standardului/ standardelor sunt implementate corespunzător. Echipa de audit este formată dintr-unul sau mai mulți membri iar durata auditului depinde de o serie de factori precum standardele implicate, dimensiunea organizației, activitățile sale, locațiile operate, etc.

În situația în care concluziile auditului sunt pozitive și nu există alte elemente care ar putea afecta decizia de certificare, organismul emite certificatul/ certificatele de conformitate.

Documentul Reguli Generale pentru Certificarea Sistemelor de Management conține informații detaliate despre modul în care procesul de certificare funcționează și care sunt cerințele pentru a obține și menține certificarea.



Certificarea unui sistem de management este valabilă pentru 3 ani în condițiile parcurgerii cu succes a auditurilor de supraveghere anuale.Auditurile de supraveghere au rolul de a confirma că sistemul de management certificat continuă să respecte cerințele aplicabile.

Organizația este informată cu privire la planificarea auditurilor de supraveghere la momentul obținerii certificării.

În cel de-al treilea an de valabilitate a certificării are loc auditul de recertificare iar organizația intră într-un nou ciclu de 3 ani similar celui anterior.



În situația în care auditurile de supraveghere nu sunt efectuate așa cum este planificat certificarea sistemului de management poate fi suspendată. Pe parcursul suspendării certificarea este temporar invalidă.



Apelurile se referă la decizii ale RIGCERT cu privire la o anumită certificare (ex.neacordare, suspendare, retragere, etc) în vreme ce reclamațiile se pot referi la varii aspecte precum: activitatea personalului RIGCERT, activități ale organizațiilor certificate de către RIGCERT, activități ale unor terți ce dețin relații cu RIGCERT, etc.

Apelurile și reclamațiile trebuie transmise prin email la office@rigcert.org.

Personalul RIGCERT ce ia parte la analiza și decizia referitoare la un apel sau o reclamație nu este implicat în activitățile la care se referă respectivul apel/ respectiva reclamație.

Această analiză poate include acțiuni precum audituri speciale sau solicitarea de informații de la părțile implicate și este finalizată cu o decizie comunicată tuturor părților.

Informații detaliate privind procesul de tratare a apelurilor și reclamațiilor găsiți în documentul Reguli Generale pentru Certificarea Sistemelor de Management.