Leistungsbeschreibung Zertifizierung BCMS, ISMS, SMS



Ähnliche Dokumente
Beschreibung des Zertifizierungsverfahrens ISO und DIN 15593

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH VDA 6.X

Beschreibung des Zertifizierungsverfahrens FSSC 22000

Ablauf einer Managementzertifizierung

Ablauf einer Managementzertifizierung

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH SCC/SCP ALLGEMEIN

Beschreibung des Zertifizierungsverfahrens MAAS BGW auf Grundlage der DIN EN ISO 9001

Beschreibung des Zertifizierungsverfahrens MS - ISO 9001, MS - ISO 14001, MS - ISO/TS MS - OHSAS und MS - ISO 50001

Zertifizierungsverfahren. nach DIN EN ISO 9001, BS OHSAS 18001, DIN EN ISO 14001, DIN EN ISO 50001

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

ALLGEMEINE BEDINGUNGEN FÜR DIE ZERTIFIZIERUNG VON MANAGEMENTSYSTEMEN

Audit-Bericht ISO 9001

Dok.-Nr.: Seite 1 von 6

Beschreibung des Zertifizierungsverfahrens MS SCC und SCP (Version 2011)

Verfahren zur Zertifizierung von Managementsystemen gemäß DIN EN ISO 9001:2008

PB QMS-Umstellungsverfahren

Verfahren zur Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) gemäß DIN EN ISO/IEC 27001:2013

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Zertifizierungsverfahren für Träger und Maßnahmen nach der AZWV. Beantragung, Schritte, Dauer, Kosten

1 Welche Veränderungen kann die Umsetzung eines Qualitätsmanagement-Systems in einer Organisation mit sich bringen?

Konzernrichtlinie der TÜV AUSTRIA HOLDING AG. zum Thema. Beschwerdeverfahren

Internes Audit. Medizinische Universität Wien

Sanktionsreglement zu den Richtlinien für Regionalmarken. Eigentümer: IG Regionalprodukte Letzte Aktualisierung: Version: 4.

Zertifizierungsordnung. International Certification Management GmbH

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Audit-Bericht ISO 9001 Firma: MB Dokutec GmbH & Co. KG Kundennummer: Auftragsnummer:

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

AVE Verfahren Erst-Zertifizierung

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

ZDH-ZERT GmbH. Begutachtungspartner für Handwerk und Mittelstand. Matrixzertifizierung von Unternehmen mit mehreren Standorten/ Niederlassungen

TÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal

Beschreibung des Zertifizierungsverfahren AWO Tandem und AWO Tandem REHA

Managementbewertung Managementbewertung

Informationsschrift zur Zertifizierung von Managementsystemen und AZAV-Anerkennung

2. Godesberger Strahlentherapie Seminar QM - Lust und Frust

LEISTUNGSBESCHREIBUNG IHRE ZERTIFIZIERUNG

Allgemeine Bedingungen zur Zertifizierung von Managementsystemen

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Maintenance & Re-Zertifizierung

Für jede DIN EN ISO 9001:2015 verbindlich gültig!

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Dienstleistungsvertrag

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Interne Audits - klassisch oder softwaregestützt? DGQ-Regionalkreis Schleswig-Holstein, IHK zu Kiel, Haus der Wirtschaft

Geschäftsordnung zur Zertifizierung von Fachunternehmen für die Wartung von Kleinkläranlagen

Informationssicherheit als Outsourcing Kandidat

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Notifizierung von Zertifizierungsstellen

Zertifizierungsregeln

1 GELTUNGSBEREICH UND ZWECK

GPP Projekte gemeinsam zum Erfolg führen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Leitfaden zur Umstellung auf die Ausgabe 2015 der ISO 9001 und ISO 14001

Beschreibung des Zertifizierungsverfahrens ISO/TS 16949:2009

Mediationsordnung des Berufsverbands Deutscher Psychologinnen und Psychologen. (MedO) in der Fassung vom

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

1.1. Geltungsbereich Diese Prüfungsordnung gilt für die Prüfung zum Technischen Risikomanager nach DIN VDE V 0827.

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Richtlinie zur Zertifizierung eines

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Geprüfte Preistransparenz: Gaspreise" für

Managementsysteme und Arbeitssicherheit

GW 103. Reglement zur Auftragsabwicklung bei der Zertifizierung der Fachkundigkeit von Personen. GW 103 d Ausgabe Januar 2007 REGELWERK

Änderungen ISO 27001: 2013

Management von Beschwerden und Einsprüchen

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

Allgemeine Geschäftsbedingungen. der

Kundeninformation EUROCERT

EUROCERT. Rahmenvereinbarung

Qualitätsmanagement in kleinen und mittleren Unternehmen

Hat Oracle das Recht ein Audit durchzuführen?

Beschreibung des Zertifizierungsverfahrens FSSC 22000

Lenkung von Dokumenten und Aufzeichnungen. Studienabteilung

Qualitätssicherungsvereinbarung zur Herzschrittmacher-Kontrolle. Vereinbarung

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Abweichungen. Anforderungen / Zitate aus den Rechtsvorschriften

Übungsbeispiele für die mündliche Prüfung

Die DQS Benchmarking Initiative

Dieter Brunner ISO in der betrieblichen Praxis

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

In Scope I wird zwischen drei möglichen Zertifikaten unterschieden:

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO

Statuten in leichter Sprache

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx

Allgemeine Geschäftsbedingungen der 3cert GmbH

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH IFS FOOD (INTERNATIONAL FEATURED STANDARD)

Covermount-Rahmenvertrag. Microsoft Deutschland GmbH, Konrad-Zuse-Straße 1, Unterschleißheim - nachfolgend Microsoft -

TÜV SÜD- geprüfte Kundenzufriedenheit

STECKBRIEF 1 st, 2 nd, 3 rd PARTY AUDITOR

Transkript:

BCM Business Continuity Management Systems; ISO 22301, BS 25999-2 ISMS Information Security Management System; ISO 27001 SMS Service Management System; ISO 20000-1 Das Zertifizierungsverfahren des Managementsystems (BCMS, ISMS, SMS) besteht aus der Angebots- und Vertragsphase, der Auditvorbereitung, der Durchführung des Audits Stufe 1 mit Bewertung der Management-Dokumentation, der Durchführung des Audits Stufe 2, der Zertifikatserteilung und der Überwachung/Rezertifizierung. Die Auditoren werden von der Zertifizierungsstelle der TÜV NORD CERT GmbH entsprechend der Zulassung für die Branche und Qualifikation ausgewählt. 1 Zertifizierungsverfahren 1.1 Auditvorbereitung Nach Vertragsabschluss bereitet sich der Auditor an Hand des Interessentenfragebogens und des Kalkulationsblattes auf das Audit vor und stimmt sich mit dem Unternehmen über die weitere Vorgehensweise ab. Sollten bei dem Unternehmen besondere Umstände vorhanden sein, welche darüber hinausgehende Absicherungen bzgl. der Vertraulichkeit erfordern, so kann eine zusätzliche Vertraulichkeitsvereinbarung geschlossen werden. Sollten beim Auftraggeber vertrauliche oder sensitive Dokumente / Aufzeichnungen vorhanden sein, die den Auditoren nicht zugänglich gemacht werden können, so ist die Zertifizierungsstelle vorher darüber zu unterrichten. Die Zertifizierungsstelle beurteilt vor dem Audit, ob ohne Einsicht in diese Dokumente / Aufzeichnungen ein adäquates Audit durchgeführt werden kann. Im Rahmen der Vorbereitung auf die Überwachungs- bzw. Rezertifizierungsaudits ist das Unternehmen verpflichtet, der Zertifizierungsstelle wesentliche Änderungen in der Aufbau- und Ablauforganisation ihres Unternehmens mitzuteilen 1.2 Stufe 1 Audit Das Audit der Stufe 1 wird durchgeführt, um einen Überblick und ein Review der Managementsystem-Dokumentation gemäß den Anforderungen des Standards zu erhalten, die Planung für das Stufe 2 Audit zu ermöglichen, den Status der Organisation bezüglich der Erfüllung der Anforderungen für das Stufe 2 Audit basierend auf das Managementsystem und dessen Leitlinien und Ziele. Das Unternehmen trifft alle erforderlichen Arrangements, um das Audit zu ermöglichen, einschließlich der Bereitstellung der Dokumente zu Dokumentenbewertung, dem Zugang zu allen Bereichen, Aufzeichnungen (einschließlich der Internen Audits und Berichte zum Managementreview), des Personal zur Begleitung der Zertifizierungs-, Überwachungs- und Re-Zertifizierungsaudits und der Beseitigung von Schwachstelen. Das Unternehmen stellt alle aktuellen Dokumente 4 Wochen vor dem Audit zur Verfügung. Das Stufe 1 Audit beinhaltet u. a. eine Dokumentenbewertung. Die Zertifizierungstelle stellt aufgrund der Unternehmensangaben fest, wo das Stufe 1 Audit stattfinden wird. 05/07.12 Leistungsbeschreibung BCMS, ISMS, SMS.docx Seite 1 von 5

Die bestehende Managementdokumentation wird bewertet und besteht u. a. aus: BCM ISO22301/BS 25999-2 ISMS ISO 27001 SMS ISO 20000-1 BCM Leitlinie und -Ziele ISMS-Leitlinie und -Ziele SMS-Leitlinie und -Ziele Geltungsbereich des BCM Geltungsbereich des ISMS Geltungsbereich des SMS Verfahren und Dokumente des Risiko Management mit Service Management Plan BCMS o Methode für die Risikoeinschätzung o Bericht der Risikoeinschätzung o Risikobehandlungsplan Business Impact Analyse Erklärung zur Anwendbarkeit Dokumentierte Service Level Agreements Risikoberwertung Business continuity Strategie Dokumentierte Verfahren Dokumentierte Prozesse und Verfahren Incident response Struktur Verfahren und Maßnahmen, die das Aufzeichnungen, gefordert vom Business continuity Pläne/ Incident Management tpläne ISMS unterstützen Standard Aufzeichnungen über BCM- Übungen Die Organisation erhält einen Bericht über die Ergebnisse des Stufe 1 Audits einschließlich der Bewertung der Managementdokumentation und der damit vorhandenen Möglichkeit eventuelle Nichtkonformitäten bis zum Stufe 2 Audit zu beseitigen. Dieser Bericht kann auch Aussagen zu unklaren Punkten beinhalten. Falls im Audit Stufe 1 Nichtkonformitäten festgestellt wurden, sind diese vom Kunden bis zum Audit Stufe 2 zu beheben. Kann abschließend nicht positiv festgestellt werden, dass der Kunde für das Audit der Stufe 2 bereit ist, erfolgt der Abbruch des Zertifizierungsverfahrens nach dem Audit Stufe 1. Für die Koordinierung der Tätigkeiten des Audits Stufe 1 und ggf. die Abstimmung der beteiligten Auditoren untereinander ist der leitende Auditor verantwortlich. 1.3 Zertifzierungsaudit (Stufe 2 Audit) Das Stufe 2 Audit wird gemäß dem abgestimmten Auditplan durchgeführt. Das Unternehmen hat das Recht Auditoren abzulehnen. Das Audit beginnt mit einem Einführungsgespräch, in dem sich die Teilnehmer vorstellen. Das Vorgehen im Audit wird erläutert. Im Rahmen des Audits im Unternehmen überprüfen und bewerten die Auditoren die Wirksamkeit des eingeführten Managementsystems. Während des Audit ermöglicht das Unternehmen den Zugang zu Aufzeichnungen aus den relevanten Geschäftsbereichen die im Geltungsbereich der Zertifizierung. Im Audit werden u. a. folgende Punkte betrachtet: Dokumente, auf denen die Bewertung des Managementsystem beruht, Nachweise über Managementreview und interne Audits, das diese eingeführt, wirksam und gepflegt werden, die Wirksamkeit des Managementsystem in dem Geltungsbereich der Zertifizierung, Nutzung des Zertifkates und Zertifizierungszeichen (soweit vorhanden) Einsprüche gegen das Managementsystem Wirksamkeit der Korrekturmaßnahmen bzgl. von Nichtkonformitäten aus vorangegangenen Audits. Seite 2 von 5

Das Unternehmen hat die Pflicht alle Einsprüche gegen das Managmentsystem sowei deren Behandlung aufzuzeichnen und dies im Audit zugänglich zu machen. In dem Schlußgespräch werden die Auditergebnisse, einschließlich der dokumentierten Nichtkonformitäten, dem Unternehmen mitgeteilt. Nichtkonformitäten sind durch das Unternehmen zu untersuchen und geeignete Korrekturmaßnahmen einzuleiten. Eine entsprechender Nachweis ist zu erbringen. Nichtkonformitäten können zu neuen / geänderten Dokumenten / Verfahren und/ oder einem Nachaudit führen. Der Auditleiter entscheidet über den Umfang und Bereich des Nachaudits. Nur Aspekte die für die Nichtkonformitäten zutrafen werden auditiert. Nachdem alle Korrekturmaßnahmen implementiert sind wird der Auditbericht erstellt. 1.4 Zertifikaterteilung Die Erteilung des Zertifikates erfolgt mit der positiven Prüfung des Zertifizierungsverfahrens durch die Zertifizierungsstelle. Der Prüfende darf nicht an der Auditierung beteiligt gewesen sein. Das Zertifikat kann nur dann erteilt werden, wenn alle Nichtkonformitäten behoben sind, d. h. wenn die Korrekturmaßnahmen vom Audit-Team angenommen bzw. verifiziert sind. Die Zertifikate haben eine Gültigkeit von 3 Jahren. 2 Überwachungsaudit Innerhalb der Gültigkeit des Zertifikates (3 Jahre) sind Überwachungsaudits einmal jährlich durchzuführen. Folgende Punkte werden in dem Überwachungsaudit betrachtet: Wirksamkeit des Managementsystems im Geltungsbereich an ausgesuchten Beispielen korrekte Nutzung des Zertifikates und des Zertifizierungszeichens Einsprüche gegen das Managementsystem Wirksamkeit der Korrekturmaßnahmen bzgl. Von Nichtkonformitäten aus vorangegangenen Audits. In dem Schlussgespräch werden die Auditergebnisse, einschließlich der dokumentierten Nichtkonformitäten, dem Unternehmen mitgeteilt. Das Unternehmen erhält einen Auditbericht. Bei der Festlegung des Solltermins / auditrelevanten Datums für die Überwachungsaudits ist zwischen Neukunden (Erstzertifizierung ab dem 01.01.2008) und Bestandskunden (Erstzertifizierung vor dem 01.01.2008) zu unterscheiden. Neukunden: - Das auditrelevante Datum für das jährliche Überwachungsaudits, das dem Zertifizierungsaudit folgt, darf nicht später als 12 Monate nach dem letzten Tag des Audits der Stufe 2 liegen. Bestandskunden: - Das auditrelevante Datum für das jährliche Überwachungsaudit ist das Gültigkeitsdatum des am 01.01.2008 gültigen Zertifikats (Tag und Monat) minus 1 Monat. Seite 3 von 5

Neukunden und Bestandskunden: - Das auditrelevante Datum steuert sämtliche Folgeaudits (Überwachungs- und Rezertifizierungsaudits). - Jedes Überwachungsaudit einschließlich der Prüfung, Annahme und ggf. Verifizierung von Maßnahmen zur Korrektur von Nichtkonformitäten, der Erstellung des Auditberichts und der Freigabe durch die Zertifizierungsstelle ist spätestens 3 Monate nach dem auditrelevanten Datum abzuschließen. - Im Rahmen der Jahresüberwachung kann ein Überwachungsaudit frühestens 3 Monate vor dem auditrelevanten Datum durchgeführt werden. Erlaubte Toleranz bei der Durchführung der jährlichen Überwachungsaudits: auditrelevantes Datum -3/+ 0 Monate. 3 Rezertifizierungsaudit Rezertifizierungsaudits müssen einschließlich der Prüfung von Maßnahmen zur Korrektur von Nichtkonformitäten vor dem Ablauf der Geltungsdauer des Zertifikats abgeschlossen sein. Im Rezertifizierungsaudit findet eine Überprüfung der Dokumentation des Managementsystems des Unternehmens sowie ein Audit vor Ort statt, wobei die Ergebnisse des/der vorangegangenen Überwachungsprogramms(e) über die Laufzeit der Zertifizierung zu berücksichtigen sind. Es werden alle Normanforderungen auditiert. Tätigkeiten zu Rezertifizierungsaudits können ein Audit der Stufe 1 erfordern, wenn es signifikante Änderungen im Managementsystem oder im Zusammenhang mit den Tätigkeiten des Unternehmens gibt (z. B.: Gesetzesänderungen). Die Audit-Methodik im Rezertifizierungsaudit entspricht der eines Audits Stufe 2. 4 Erweiterungsaudit Soll der Geltungsbereich des bestehenden Zertifikates erweitert werden, so kann das durch ein Erweiterungsaudit geschehen. Die Durchführung des Erweiterungsaudits kann im Rahmen eines Überwachungsaudits, Rezertifizierungsaudits oder zu einem eigens angesetzten Termin erfolgen. Die Gültigkeitsdauer eines Zertifikates ändert sich dadurch nicht. Ausnahmen sind schriftlich zu begründen. Seite 4 von 5

5 Übernahme von Zertifizierungen anderer Zertifizierungsstellen Generell können nur Zertifikate von akkreditierten Zertifizierungsstellen übernommen werden. Organisationen mit Zertifikaten, die von nicht akkreditierten Zertifizierungsstellen ausgestellt wurden, sind als Neukunde zu behandeln. Es ist ein Pre-Transfer-Review durch eine kompetente Person der übernehmenden Zertifizierungsstelle durchzuführen, das in der Regel aus der Durchsicht wichtiger Dokumente sowie einem Besuch beim Kunden besteht. Ausgesetzte Zertifikate oder solche, bei denen die Gefahr einer Aussetzung besteht, dürfen nicht übernommen werden. Offene Abweichungen sollten, soweit praktikabel, noch vor der Übernahme mit dem bisherigen Zertifizierer geklärt werden. Anderenfalls müssen sie im Audit behandelt werden. Das weitere Überwachungsprogramm richtet sich nach dem bisherigen. 6 Zertifizierung von Unternehmen mit mehreren Standorten Wird ein Unternehmen, das mehrere Standorte unterhält, nach ISO 20000-1 or ISO 27001 zertifiziert, so sind diese Standorte ebenfalls zu auditieren. Die Zertifizierung von Unternehmen mit mehreren Produktionsstätten/Niederlassungen/Standorten etc. mit ähnlichem Tätigkeitsprofil und unter einem einheitlichen Managementsystem erfolgt durch die Anwendung eines Stichprobenverfahrens. 7 Management von Nichtkonformitäten Für jede Nichtkonformität ist vom Unternehmen eine Ursachenanalyse durchzuführen und entsprechende Korrekturmaßnahmen sind zu implementieren. Das Unternehmen hat die Pflicht in Abhängigkeit der Schwere der Nichtkonformität, das Audit-Team innerhalb von 90 Tagen entweder über die festgelegten Korrekturmaßnahmen und Zieltermine oder über die Umsetzung der Korrekturmaßnahmen zu unterrichten. Wird diese Frist nicht eingehalten, gilt das Audit als nicht bestanden. Es kann kein Zertifikat erteilt werden bzw. das Zertifikat wird zurückgezogen. Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback