Angebot anfordern
de_DE DE
de_DE DE nl_NL NL en_GB EN

Audit-Verfahren

Aufnahme und Unabhängigkeit

DigiTrust B.V. führt unter Akkreditierung (C618), Audit- und Zertifizierungsaufträge für ISO 27001, NEN 7510 und ISO9001 (Sektoren 33 und 35).

DigiTrust B.V. führt keine internen Audits oder Beratungstätigkeiten durch.

Wenn Sie ein Audit durch DigiTrust B.V. durchführen lassen möchten, müssen Sie zunächst ein Formular ausfüllen. In diesem Formular geben Sie wahrheitsgemäß alle relevanten Informationen über Ihre Organisation an. Diese Informationen werden für die Berechnung der Auditzeit verwendet. Zur Bestimmung der Anzahl der Audittage folgen wir den Richtlinien der Normen ISO 27006, NCS 7510 und für ISO9001 verwenden wir das IAF MD5. Die Anzahl der Audittage basiert auf der Anzahl der Vollzeitbeschäftigten in Ihrer Organisation und den in diesen Normen genannten relevanten Aspekten, die die Berechnung der Auditzeit beeinflussen können. Die Unparteilichkeit wird geprüft, bevor ein Angebot unterbreitet wird. DigiTrust B.V. führt diese Prüfung in Übereinstimmung mit den Regeln von ISO27006 und ISO17065 durch.

 

Audit-Kriterien

Die Auditkriterien dienen als Referenz für die Feststellung der Konformität des Informationssicherheitsmanagementsystems (ISMS) und des Qualitätsmanagementsystems (QMS). Die anwendbaren Kriterien für die Zuordnung sind:

  • Die Anforderungen von ISO 27001, NEN 7510, ISO9001;
  • Die definierten Prozesse und die Dokumentation des ISMS basieren auf der Anwendbarkeitserklärung (Declaration of Applicability, CoA) des Kunden;
  • Die Beschreibung des Geltungsbereichs, etwaige Ausnahmen von der ISO9001-Norm.

 

Definitionen und Behandlung von kritischen und unkritischen Abweichungen

Eine Abweichung ist die Nichterfüllung einer Anforderung. Hier wird unterschieden zwischen:

Kritische Abweichung

      Dies ist eine Abweichung, die die Fähigkeit des Managementsystems beeinträchtigt, die beabsichtigten Ergebnisse zu erzielen. Eine Abweichung kann unter den folgenden Umständen als kritisch eingestuft werden:

  • Wenn ernsthafte Zweifel daran bestehen, dass es eine wirksame Prozesskontrolle gibt oder dass die Produkte oder Dienstleistungen die festgelegten Anforderungen erfüllen;
  • Eine Reihe von nicht-kritischen Anomalien in Verbindung mit gleiche Standardanforderung oder Problem könnte ein systemisches Versagen im Managementsystem aufzeigen und somit eine kritische Abweichung darstellen;
  • Die Abweichungen sind so groß, dass die PDCA des Managementsystems nicht mehr wirksam ist.

Unkritische Abweichung

Dies ist eine Abweichung, die die Fähigkeit des Managementsystems, die beabsichtigten Ergebnisse zu erreichen, nicht beeinträchtigt. Die Betriebsabläufe der Organisation entsprechen jedoch nicht den eigenen oder normativen Anforderungen.

 

Plan für Abhilfemaßnahmen (CAP)

Werden Unstimmigkeiten festgestellt, muss der Kunde einen Plan für Abhilfemaßnahmen (CAP) ausfüllen. Dieser wird vom leitenden Auditor von DigiTrust B.V. überprüft. Der GAP wird dahingehend bewertet, ob die vorgeschlagenen Abhilfemaßnahmen, Ursachenanalysen und Verbesserungen akzeptabel sind. Ist dies nicht der Fall, wird der GAP abgelehnt.

Werden kritische Abweichungen festgestellt, wird ein zusätzliches Audit angesetzt, um die kritischen Abweichungen neu zu bewerten.

Wenn der leitende Auditor von DigiTrust B.V. den CAP genehmigt, wird eine positive Empfehlung für die Zertifizierung oder die Fortsetzung der Zertifizierung an den Zertifizierungsmanager übermittelt. Dieser prüft das Dossier und trifft die Zertifizierungsentscheidung für die Erstzertifizierung, die Fortführung der laufenden Zertifizierung und die Re-Zertifizierung.

Wenn DigiTrust B.V. nicht in der Lage ist, die Umsetzung von Korrekturen und Abhilfemaßnahmen für eine wesentliche kritische Abweichung innerhalb von 6 Monaten nach dem letzten Tag der Stufe 2 zu überprüfen, führt DigiTrust B.V. eine weitere Stufe 2 durch, bevor eine Zertifizierung empfohlen wird. Bei größeren Veränderungen in der Organisation sollte eine neue Stufe 1 durchgeführt werden.

 

Erstes Zertifizierungsaudit, Phase 1

Die Planung von DigiTrust B.V. stellt sicher, dass die Ziele von Phase 1 erreicht werden, und der Kunde wird über alle Aktivitäten vor Ort informiert, die während Phase 1 stattfinden.

Die Ziele von Phase 1 sind:

  • Überprüfung der dokumentierten Informationen über das Managementsystem des Kunden;
  • die standortspezifischen Bedingungen des Kunden zu bewerten und Gespräche mit den Mitarbeitern des Kunden zu führen, um die Bereitschaft für Phase 2 zu ermitteln;
  • Bewertung des Status und des Verständnisses des Kunden in Bezug auf die Anforderungen der Norm, insbesondere im Hinblick auf die Identifizierung wesentlicher Leistungen oder signifikanter Aspekte, Prozesse, Ziele und des Betriebs des Managementsystems;
  • Beschaffen Sie sich die notwendigen Informationen über den Umfang des Managementsystems, einschließlich:
    • den Standort(en) des Kunden;
    • die verwendeten Verfahren und Geräte;
    • festgelegte Kontrollniveaus (insbesondere im Falle eines Kunden mit mehreren Niederlassungen);
    • die geltenden Gesetze und Vorschriften.
  • Bewertung der Mittelzuweisung für Phase 2 und Vereinbarung der Einzelheiten von Phase 2 mit dem Kunden;
  • Schaffen Sie einen Schwerpunkt für die Planungsphase 2, indem Sie ein ausreichendes Verständnis des Managementsystems des Kunden und der Betriebsabläufe vor Ort im Kontext der Managementsystemnorm oder eines anderen normativen Dokuments erlangen;
  • Vereinbarungen über das Vorhandensein/die Aktivität von Prozessen in Phase 2;
  • Bewertung, ob interne Audits und Managementbewertungen geplant sind oder bereits durchgeführt wurden, und ob der Umsetzungsgrad des Managementsystems belegt, dass der Kunde für Phase 2 bereit ist;
  • Feststellung, ob das Auditteam über die richtigen Kompetenzen zur Durchführung des Zertifizierungsaudits der Stufe 2 verfügt und ob externe Experten erforderlich sind;
  • Erstellung des Auditplans für Phase 2.

Dokumentierte Schlussfolgerungen bezüglich der Erreichung der Ziele von Phase 1 und der Bereitschaft für Phase 2 sollten dem Kunden mitgeteilt werden, einschließlich der Identifizierung von Problembereichen, die als Abweichung während Phase 2 eingestuft werden können.

Bei der Festlegung des Zeitraums zwischen Phase 1 und Phase 2 müssen die Bedürfnisse des Kunden berücksichtigt werden, um die in Phase 1 festgestellten Probleme zu lösen. Möglicherweise muss DigiTrust B.V. auch seine Vorkehrungen und Berechnungen für Phase 2 überprüfen. Wenn die festgestellten Probleme das Managementsystem des Kunden betreffen, wird DigiTrust B.V. die Notwendigkeit einer vollständigen oder teilweisen Wiederholung von Phase 1 prüfen. Der Kunde wird darüber informiert, dass die Ergebnisse von Phase 1 zu einer Verschiebung oder Absage von Phase 2 führen können.

Erstes Zertifizierungsaudit, Phase 2

Der Zweck von Phase 2 ist die Bewertung der Umsetzung, einschließlich der Wirksamkeit, des Managementsystems des Kunden. Phase 2 findet vor Ort oder teilweise aus der Ferne in den Räumlichkeiten des Kunden statt. Sie umfasst mindestens die Prüfung der folgenden Punkte:

  • Informationen und Nachweise über die Einhaltung aller Anforderungen der anwendbaren Managementsystemnorm oder anderer normativer Dokumente;
  • Leistungsüberwachung, -messung, -berichterstattung und -überprüfung anhand der wichtigsten Leistungs- und Zielvorgaben (in Übereinstimmung mit den Erwartungen in der anwendbaren Managementsystemnorm oder einem anderen normativen Dokument);
  • Die Fähigkeit des Managementsystems des Kunden und seine Leistung im Hinblick auf die Erfüllung der geltenden rechtlichen, regulatorischen und vertraglichen Anforderungen;
  • operative Kontrolle der Prozesse des Kunden;
  • Internes Audit und Management Review;
  • Managementverantwortung für die Kundenpolitik.

Das Auditteam analysiert alle in Phase 1 und Phase 2 gesammelten Informationen und Auditnachweise, um die Auditfeststellungen zu bewerten und sich auf die Auditschlussfolgerungen zu einigen.

Kontroll-Audits

Überwachungsaudits sind Vor-Ort-Audits, aber nicht notwendigerweise vollständige Systemaudits. Sie sollten in Verbindung mit den anderen Überwachungsaktivitäten geplant werden, damit DigiTrust B.V. das Vertrauen darin bewahren kann, dass das zertifizierte Managementsystem des Kunden zwischen den Rezertifizierungsaudits konform bleibt. Jede Überwachung für die entsprechende Managementsystemnorm umfasst:

  • interne Audits und Managementbewertung;
  • Eine Überprüfung der Maßnahmen, die im Zusammenhang mit den beim letzten Audit festgestellten Nichtkonformitäten ergriffen wurden;
  • Bearbeitung von Beschwerden;
  • Wirksamkeit des Managementsystems im Hinblick auf die Erreichung der Ziele des zertifizierten Kunden und die beabsichtigten Ergebnisse des/der entsprechenden Managementsystems/e;
  • Fortschritte bei den geplanten Aktivitäten zur kontinuierlichen Verbesserung;
  • kontinuierliche Betriebskontrolle;
  • Bewertung von Änderungen;
  • die Verwendung von Warenzeichen und/oder jede andere Bezugnahme auf die Zertifizierung.

Rezertifizierung

Zweck des Re-Zertifizierungsaudits ist es, die fortdauernde Konformität und Wirksamkeit des Managementsystems als Ganzes sowie seine fortdauernde Relevanz und Anwendbarkeit auf den Geltungsbereich der Zertifizierung zu bestätigen. Ein Re-Zertifizierungsaudit sollte geplant und durchgeführt werden, um die fortgesetzte Erfüllung aller Anforderungen der relevanten Managementsystemnorm oder eines anderen normativen Dokuments zu bewerten. Dies sollte so rechtzeitig geplant und durchgeführt werden, dass eine rechtzeitige Erneuerung vor Ablauf der Gültigkeit des Zertifikats möglich ist.

Die Rezertifizierungstätigkeit umfasst die Überprüfung früherer Auditberichte über die Überwachung und Leistung des Managementsystems während des letzten Zertifizierungszyklus.

Bei Rezertifizierungsaudits kann eine Stufe 1 erforderlich sein, wenn sich das Managementsystem, die Organisation oder der Kontext, in dem das Managementsystem betrieben wird, wesentlich geändert haben (z. B. Änderungen in der Gesetzgebung).

Das Rezertifizierungsaudit umfasst eine Vor-Ort-Prüfung, die folgende Punkte umfasst:

  • die Wirksamkeit des Managementsystems als Ganzes im Lichte interner und externer Veränderungen und seine fortgesetzte Relevanz und Anwendbarkeit für den Geltungsbereich der Zertifizierung;
  • nachweisliches Engagement für die Aufrechterhaltung der Wirksamkeit und Verbesserung des Managementsystems zur Steigerung der Gesamtleistung;
  • die Wirksamkeit des Managementsystems im Hinblick auf die Erreichung der Ziele des zertifizierten Kunden und die beabsichtigten Ergebnisse des/der entsprechenden Managementsystems/Managementsysteme.

Wurden die Re-Zertifizierungstätigkeiten vor dem Ablaufdatum der bestehenden Zertifizierung erfolgreich abgeschlossen, kann das Ablaufdatum der neuen Zertifizierung auf dem Ablaufdatum der bestehenden Zertifizierung basieren. Das Ausstellungsdatum eines neuen Zertifikats fällt auf oder nach der Re-Zertifizierungsentscheidung.

Nichtbeendigung des Audits zur Neuzertifizierung

Wenn der Kunde das Rezertifizierungsaudit nicht abgeschlossen hat oder DigiTrust B.V. nicht in der Lage ist, die Umsetzung von Korrekturen und Abhilfemaßnahmen für eine wesentliche Nichtkonformität vor dem Ablaufdatum der Zertifizierung zu überprüfen, wird eine Rezertifizierung nicht empfohlen und die Gültigkeit der Zertifizierung wird nicht verlängert. Der Kunde wird informiert und die Konsequenzen werden erläutert. Wenn der Kunde die Probleme behoben hat, läuft der Kunde in einem neuen Erstaudit aus.

Zertifizierung wiederherstellen

Nach Ablauf der Zertifizierung kann DigiTrust B.V. die Zertifizierung innerhalb von 6 Monaten neu erteilen, sofern die ausstehenden Rezertifizierungsaktivitäten abgeschlossen sind, andernfalls muss mindestens eine Stufe 2 durchgeführt werden. Das Gültigkeitsdatum des Zertifikats liegt an oder nach der Entscheidung über die Re-Zertifizierung und das Ablaufdatum muss auf einem früheren Zertifizierungszyklus basieren.

Zusätzliche Prüfung

Eine zusätzliche Prüfung ist erforderlich, wenn eine reguläre Prüfung ergibt, dass:

  • Die zu befragenden Personen sind zum vereinbarten Zeitpunkt nicht anwesend;
  • Die angeforderten Unterlagen können nicht zugestellt werden;
  • Der Geltungsbereich stellt sich als umfangreicher heraus als ursprünglich vereinbart.

Ein zusätzliches Audit muss möglicherweise auch für Situationen geplant werden, die sich auf das Managementsystem auswirken können, z. B. bei tiefgreifenden Veränderungen in der Organisation, bei Beschwerden über den Dienst und bei der Nachverfolgung von Aussetzungen.

Ausweitung des Anwendungsbereichs

DigiTrust B.V. führt nach einem Antrag auf Erweiterung des Geltungsbereichs einer bereits erteilten Zertifizierung eine Bewertung des Antrags durch und legt die Audittätigkeiten fest. Hierüber wird ein Protokoll geführt und in der Akte gespeichert. Während des Audits zur Erweiterung des Geltungsbereichs bewertet der Auditor von DigiTrust B.V. das Managementsystem hinsichtlich der geänderten oder hinzugefügten Komponenten. Wenn der leitende Auditor von DigiTrust B.V. eine positive Stellungnahme dazu abgibt, entscheidet der Zertifizierungsmanager. Dieses Audit kann separat oder in Kombination mit einem Kontrollaudit durchgeführt werden.

Kurzfristige Audits

Es kann notwendig sein, dass DigiTrust B.V. kurzfristige oder unangekündigte Audits bei zertifizierten Auftraggebern durchführt, um Beschwerden zu untersuchen, oder als Reaktion auf Änderungen oder als Folgemaßnahme bei suspendierten Auftraggebern.

In solchen Fällen:

  • DigiTrust B.V. beschreibt und offenbart den zertifizierten Kunden im Voraus die Bedingungen, unter denen solche Audits durchgeführt werden;
  • DigiTrust B.V. wird bei der Zusammenstellung des Auditteams besondere Sorgfalt walten lassen, da der Kunde keine Möglichkeit hat, gegen die Mitglieder des Auditteams Einspruch zu erheben.

Aussetzen oder Wiederherstellen

Wenn DigiTrust B.V. eine Abweichung feststellt, die möglicherweise zur Aussetzung, zum Entzug oder zur Einschränkung des Geltungsbereichs führen könnte, wird der Kunde kontaktiert. Führt die Rücksprache nicht zu einer Lösung, wird das DigiTrust-Compliance-Team informiert. Dieses kann über die Aussetzung, den Entzug oder die Einschränkung entscheiden.

DigiTrust B.V. setzt die Zertifizierung in Fällen aus, in denen z.B.:

  • Kritische Abweichungen, die nicht rechtzeitig behoben oder auf eine unkritische Abweichung reduziert wurden;
  • Die Organisation ist nicht damit einverstanden, dass die Audits in der erforderlichen Häufigkeit durchgeführt werden;
  • Die Organisation beantragt freiwillig eine Aussetzung;
  • Der Kunde kommt seinen Zahlungsverpflichtungen nicht nach.

Die Aussetzung ist schriftlich zu bestätigen, wobei die Bedingungen anzugeben sind, unter denen die Aussetzung aufgehoben werden kann. Im Falle einer Aussetzung ist die Zertifizierung des Managementsystems des Auftraggebers vorübergehend ungültig und es dürfen keine Aussagen über die Zertifizierung gemacht werden.

Eine Aussetzung dauert maximal sechs Monate.

Einschränkung des Geltungsbereichs

DigiTrust B.V. schränkt den Zertifizierungsumfang ein, um die Teile auszuschließen, die die Anforderungen nicht erfüllen, wenn der Kunde die Zertifizierungsanforderungen für die betreffenden Teile des Zertifizierungsumfangs dauerhaft oder wesentlich nicht erfüllt. Eine solche Einschränkung steht im Einklang mit den Anforderungen der für die Zertifizierung verwendeten Norm. Eine Einschränkung des Geltungsbereichs wird dem Kunden schriftlich bestätigt, einschließlich der Bedingungen, unter denen der Geltungsbereich wieder erweitert werden kann.

Zurückziehen

Wenn die Aussetzung nicht innerhalb der von DigiTrust B.V. festgelegten Frist (maximal 6 Monate) behoben wird, wird das Zertifikat eingezogen. Dies wird dem Kunden schriftlich bestätigt. Die Organisation darf nicht mehr kommunizieren, dass das Managementsystem von DigiTrust B.V. zertifiziert ist. Ein Kunde kann auch selbst entscheiden, das Zertifikat zurückzuziehen, ein sogenannter freiwilliger Entzug.

Beendigung Ihrer NEN-7510-Zertifizierung

Wenn ein Kunde ein NEN 7510-Zertifikat besitzt, aber keine personenbezogenen Gesundheitsdaten mehr verarbeitet, dürfen für NEN 7510 keine Überwachungsaudits oder Rezertifizierungsaudits mehr durchgeführt werden. In diesem Fall wird das Zertifikat mit dem Geburtsdatum +24mnd/+36mnd plus maximal 6 Monate ausgesetzt. Wenn der Kunde innerhalb dieses Zeitraums immer noch keine personenbezogenen Gesundheitsdaten verarbeitet, wird das Zertifikat widerrufen.

de_DEDE
nl_NLNL en_GBEN de_DEDE