Tanúsítás

• Milyen esetben vonható vissza a tanúsítvány?
  Minden kiadott tanúsítvány visszavonható. A tanúsítvány visszavonását megelőzheti a tanúsítvány felfüggesztése.A teljesség igénye nélkül felsorolunk néhány okot, ami a tanúsítvány felfüggesztését eredményezi:Ha a felügyeleti audit ezt eredményezi.Ha a súlyos nemmegfelelőségek nem kerülnek kijavításra a meghatározott időn belül.Ha a felügyeleti auditot az ügyfél nem teszi lehetővé a szerződésnek megfelelően.Ha a rövid határidejű felügyeleti auditot az ügyfél nem teszi lehetővé .Információs kötelezettség megszegése esetén – amennyiben a kommunikáció határozott befolyással van az irányítási rendszer működésére.A tanúsítvány vagy a tanúsítási jel nem megfelelő alkalmazása esetében.A tanúsító testülettel szemben fennálló kötelezettség nemteljesítése esetén.A teljesség igénye nélkül felsoroljuk a legfontosabb okokat, ami a tanúsítvány visszavonását eredményezi:Ha a felfüggesztés oka a kijelölt időn belül nem került megszüntetésre.Ha a tanúsított szervezet használta a tanúsítványt vagy utalt rá a tanúsítvány felfüggesztés időtartama alatt.A tanúsítandó cég vagyona csődeljárás alá kerül.A tanúsított szervezet kérésére.
• Információbiztonsági Irányítási Rendszer vonatkozásában: Mennyire kell részletesnek lennie a kockázatelemzésnek? Hány kockázatot kell minimálisan azonosítani egy IBIR rendszerben?
  A szabvány nem követel meg konkrétumot a felsorolt kockázatok számosságára. Azt viszont kötelezővé teszi, hogy a kockázatelemzés kimenetének kell vezérelnie az IBIR rendszert (pl. 1.2. fejezet, Alkalmazás és még számos egyéb helyen). Ezért ha az auditor tud olyan kockázatot említeni, amit a felelősök is jogosnak éreznek, ugyanakkor hiányzik a kockázatelemzésből, akkor az eltérést eredményezhet. Ezért a kockázatelemzésnek \"kellően\" részletesnek kell lennie.
• Mikor kell elvégezni a felügyeleti és megújító auditokat?
  A felügyeleti és a megújító auditok időpontjának a meghatározásánál a tanúsító audit időpontját kell figyelembe venni. Ez azt jelenti, hogy az az időpont az irányadó, amikor a helyszíni auditot a cégnél gyakorlatban elvégeztük és nem a tanúsítvány érvényességének az időpontja. A felügyeleti auditokat tágabb értelemben abban a hónapban kell elvégezni, amikor a tanúsító audit volt. A megújító auditokat célszerű a tanúsító audit időpontjában vagy azt egy-két héttel megelőzően elvégezni, hogy a tanúsítvány érvényességéig kiállítható legyen az új tanúsítvány.
• Mikor csinálunk előauditot és mi ennek a célja?
  A tanúsító audit előkészítése során a tanúsítás előtt álló szervezet arról kíván meggyőződni, hogy a cég bevezette-e minőségirányítási rendszert és teljesítette-e annak alapvető követelményeit, akkor megbízhatja a tanúsító szervezetet az előaudit megtartásával.Az előaudit során az auditor összehasonlítja a MIR gyakorlati működését és a rendszer dokumentációját az ISO 9001-es szabvány követelményeivel, majd auditjelentésében részletes értékelést ad a vezetőség számára a szabványnak való megfelelés mértékéről.Az előaudit a tanúsító audithoz hasonló terjedelmű, mélységű és szigorúságú vizsgálat, azonban a szervezetre nézve semmilyen hátrányos következménnyel nem jár. Előnye, hogy feltárja azokat az eltéréseket, amelyek megléte a tanúsítás sikerét veszélyeztetheti és amelyek kijavítása a későbbi tanúsítás eredményességét nagymértékben növeli.
• Információbiztonsági Irányítási Rendszer vonatkozásában: Mi a jó hozzáférés kezelési szabályzat ismérve?
  Bármilyen hozzáférés kezelési szabályzat elfogadható, ha a szabályzatban leírt módszerrel kapcsolatos kockázatok említve vannak a kockázatelemzésben, és azokat megfelelően kezelik. Így szélsőséges esetben akár a „mindenki mindenhez hozzáfér” típusú szabályzat is elfogadható lehet, bár a kockázatelemzést (és az ahhoz kapcsolódó kockázatkezelési tervet) ez (érthető módon) óriásira duzzasztja.Ugyanakkor a legjobb technikák alkalmazásakor is maradnak kockázatok – ne felejtsük el említeni őket a kockázatelemzésben.
• Mit kell tenni akkor, ha a céges adatokban változás van, milyen esetben lehet új tanúsítványt kiállítani és milyen esetben kell újra tanúsítani a céget?
  Ha a céges adatokban valamilyen változás van, értesíteni kell a tanúsító szervezetet, hogy a módosítást el lehessen végezni.Példák a módosításra:Vannak esetek, amikor csak egyszerűen a tanúsítvány módosítása szükséges. Ilyenek például a cég nevének és címének a változása. Általában elmondható, ha csak adminisztratív adatok változtak, és a cég adószáma nem változott, akkor általában kiállítható egy új tanúsítvány.Abban az esetben viszont, ha a cég tevékenysége megváltozik vagy kiegészül újabb tevékenységgel, és kérik erre a tevékenységre is a tanúsítvány kiállítását, akkor ez csak újabb helyszíni audit lefolytatása után lehetséges.