Žiadateľ vyplní žiadosť o certifikáciu manažérskeho systému a zašle ho elektronickou poštou na email certifikacia@cybercompetence.sk poskytovateľovi služby: Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

Odbor certifikácie Kompetenčného a certifikačného centra kybernetickej bezpečnosti preveria, či je certifikačný orgán (CO) schopný vykonať certifikáciu manažérskeho systému podľa požiadaviek potenciálneho klienta a v súlade s vlastnými postupmi a akreditačnými pravidlami
Ceny za výkon posudzovania/certifikácie sa vždy stanovujú na základe vypracovanej cenovej ponuky (CP) alebo jednaní so záujemcom podľa dostupného cenníka na stránkach Kompetenčného centra.
Po akceptovaní a podpísaní cenovej ponuky z Vašej strany Vám pripravíme návrh Zmluvy o certifikácií. Podmienkou poskytnutia služieb je uzavretie zmluvy so záujemcom. Po podpísaní zmluvy obidvomi stranami táto vstupuje do platnosti a stáva sa záväznou, pričom jej platnosť je 3 roky, rovnako ako je platnosť certifikátu.

Certifikačný orgán  zostaví audítorský tím, vhodný pre danú certifikáciu.  Pre každú oblasť certifikácie  musí  byť  v tíme odborne  spôsobilý pracovník.  Počet  členov  tímu  závisí  od  veľkosti klienta a oblastí,  v ktorých  sa  má  vykonať  certifikácia.  Audítorský  tím  musia    tvoriť  nezávislí odborníci, ktorí nie sú žiadnym spôsobom zainteresovaní na činnosti  klienta.

Posudzovaný subjekt  (klient)  je  povinný  poskytnúť  audítorskému  tímu  na  výkon posudzovania dokumentované informácie.

Povinnosťou audítorského tímu je preštudovať dokumentované informácie klienta.

Audítorský  tím  posúdi,  či sú dokumentované informácie spracované v primeranom  rozsahu  a obsahujú všetky náležitosti. V prípade, že dokumentované informácie nie sú spracované v zhode   s požiadavkami  príslušných  normatívnych  kritérií, bezodkladne  informuje  určeného  zástupcu  posudzovaného  subjektu  a zároveň  uvedie,  ktoré požiadavky kritérií neboli primerane akceptované. Vedúci audítor následne dohodne so zástupcom posudzovaného  subjektu  termín,  dokedy  budú dokumentované informácie doplnené a aktualizované. Podľa potreby sa zároveň upraví harmonogram posudzovania.

Po  posúdení dokumentovaných informácii pripraví audítorský  tím  plán  auditu.  K  plánu auditu sa vyjadruje posudzovaný subjekt a určený zástupca Kompetenčného centra .

Certifikácie všetkých manažérskych systémov sú vykonávané v dvoch stupňoch. Cieľom prvého stupňa je získať podklady o plnení kľúčových požiadaviek príslušnej normy. Cieľom druhého stupňa je vykonať posúdenie plnenia všetkých požiadaviek príslušného normatívneho kritéria. Výkon celého auditu  u posudzovaného  subjektu  riadi  vedúci  audítor  v súlade  so  schváleným  plánom  auditu. Každé posudzovanie, začína úvodnou schôdzou. Audítorský  tím  na  tejto  schôdzi  informuje  všetkých  zúčastnených  o cieľoch auditu.

Výkon auditu prebieha formou pohovoru s vybranými pracovníkmi posudzovaného subjektu, sledovania výkonu jednotlivých  činností,  štúdia vyžiadaných dokumentovaných informáciách  porovnávania  so skutočnosťou.

Klient  musí  prizvať na  výkon  každého  auditu  príslušných  špecialistov,  ktorí  vykonávajú odbornú činnosť pre organizáciu v danej oblasti požadovanú normou, napr.  IT  technik  pri ISMS.

Na  záverečnom  stretnutí,  ktoré  sa  koná  vždy  po  ukončení  auditu v priestoroch  posudzovaného  subjektu,  audítorský  tím  komplexne  informuje  vedenie preverovaného  subjektu  o  zistených  nezhodách a vedúci audítor podá informáciu, či audítorský  tím  odporučí  vydať  certifikát  pre  posudzovaný manažérsky systém. Na záverečnom stretnutí predloží vedúci audítor pripravené záznamy, ktoré obsahujú  popis  zistených  nezhôd.

Ak sú zistené závažné nezhody, ktoré potvrdzujú, že preverovaný manažérsky systém nie je v plnom rozsahu požiadaviek funkčný, musia byť najskôr odstránené tieto nezhody a až následne sa môže rozhodnúť  o udelení certifikácie.

Všetky  zistenia  a závery  z auditu,  vrátane  identifikovaných  nezhôd  a  prijatých  nápravných opatrení,  uvedie  audítorský tím  do  správy  z auditu.

O udelení certifikátu rozhoduje vedenie Kompetenčného centra na základe informácií a faktov uvedených v správe z auditu, námietok podaných zástupcami posudzovaného subjektu  na  závery  z auditu,  prípadne  ďalších  doplňujúcich  informácií  a  podkladov,  ako  sú audítorské  dotazníky  a  poznámky,  požiadavky  na  nápravné  opatrenia   apod.   Vedenie certifikačného  orgánu  rozhodne  o vydaní  certifikátu, ak  závery  z auditu  a celkové  hodnotenie posudzovaného manažérskeho systému objektívne preukazujú, že

• posudzovaný systém  je  plne  funkčný  a spĺňa  všetky  požiadavky príslušnej  normy  pre  daný manažérsky systém;
• stanovená organizačná  štruktúra, zadefinované zodpovednosti,  postupy, vykonávané interné audity a osobný prístup všetkých zainteresovaných pracovníkov poskytujú dostatočnú dôveru, že posudzovaný manažérsky systém bude i naďalej  funkčný a efektívny;
• boli zavedené  všetky  požadované  mechanizmy  a postupy  riadenia  vrátane  už  vykonaného preskúmania vedením.

Pred samotným odovzdaním certifikátu (vzor certifikátu) a certifikačných značiek klient obdrží od Kompetenčného centra rozhodnutie o udelení certifikátu. Kompetenčné centrum vykonáva  dohľad nad  certifikovaným  subjektom  prostredníctvom  následných  auditov. Frekvencia následných auditov môže byť stanovená minimálne na 4, maximálne na 12 mesiacov. Následné audity sa musia konať aspoň raz v kalendárnom roku. V Zmluve o certifikácii sú uvedené záväzné pravidlá používania certifikačných značiek a odvolávania sa na certifikáciu. Porušenie týchto pravidiel môže byť dôvodom pre odňatie certifikátu.

Program následných auditov na celé obdobie platnosti certifikátu spracuje certifikačný orgán tak, aby sa počas tohto obdobia postupne preverilo dodržiavanie všetkých požiadaviek príslušnej normy a zároveň sa preverili  všetky organizačné jednotky certifikovaného subjektu, ktoré spadajú do predmetu certifikácie.

Pri následných auditoch audítorský tím postupuje rovnakým spôsobom ako pri certifikačnom audite, ale iba v rozsahu stanovenom v programe následných auditov.

Certifikát zostáva v platnosti, ak sú dodržané všetky podmienky udelenia certifikátu a certifikovaný subjekt rieši všetky zistené nezhody vhodným spôsobom.

Ak má certifikovaný subjekt záujem, aby bola obnovená certifikácia, ktorej končí platnosť, môže požiadať o recertifikáciu.  Vzhľadom na to, že certifikačný orgán vykonával po  dobu  troch rokov dohľad nad certifikovaným manažérskym  systémom,  recertifikačný  audit  spravidla  trvá kratšie ako certifikačný audit, ale dlhšie ako následný audit.

Presný rozsah recertifikačného auditu a cenu za tieto služby určí certifikačný orgán dohodou s klientom, keď certifikovaný subjekt potvrdí svoj záujem o recertifikáciu.

Recertifikačný audit má byť plánovaný a vykonaný včas, aby sa zabezpečil výkon rozhodnutia o vydaní nového certifikátu pred dátumom skončenia platnosti pôvodnej certifikácie.

Počas  platnosti  certifikátu  môže  certifikovaný  subjekt  kedykoľvek  požiadať  o rozšírenie rozsahu  certifikácie. Toto  rozšírenie  rozsahu  certifikácie je  realizované  po podpise žiadosti  o úpravu rozsahu certifikácie. Certifikačný orgán preverí spravidla formou mimoriadneho auditu, či posudzovaný manažérsky systém v plnej miere zahŕňa aj oblasti, o ktoré sa  má  rozšíriť rozsah certifikácie. Doba  platnosti  rozšírenej  certifikácie  je  rovnaká  ako  pri  pôvodnom  rozsahu certifikácie. V prípade, že sa zúži rozsah činností u klienta, certifikačný orgán to preskúma a za príslušný  poplatok  vymení  pôvodný  certifikát  za  nový,  kde  bude  upravený  rozsah  činností vykonávaných  certifikovaným  subjektom  v  rámci  príslušného  certifikovaného  manažérskeho systému.

Ak  certifikačný  orgán  zistí  alebo  má  podozrenie,  že  certifikovaný  klient  závažným spôsobom  porušuje  požiadavky  normy,  podľa  ktorej  bol  certifikát  vydaný, porušuje  pravidlá o používaní certifikačnej značky, respektíve pravidlá odvolávania sa na certifikáciu, je voči nemu vedené súdne konanie/vyšetrovanie súvisiace s informačnou bezpečnosťou, existuje podozrenie z nedodržiavanie predpisov týkajúcich sa informačnej a kybernetickej bezpečnosti je oprávnený vykonať mimoriadny  audit. Cieľom mimoriadneho auditu je preskúmať rozsah  porušenia, okolnosti, za ktorých prišlo k porušeniu požiadaviek normy alebo zmluvne stanovených podmienok  a spôsob odstránenia/riešenia zistených nedostatkov. Mimoriadny audit sa vykonáva nad rámec stanovených programov auditov, vždy na náklady certifikovaného subjektu.

Ak  sa  pri  mimoriadnom  audite  zistia  závažné  nezhody,  vedenie  certifikačného  orgánu rozhodne o  zrušení, pozastavení alebo obmedzení rozsahu platnosti certifikátu.

Kompetenčné centrum môže previesť na základe žiadosti/zmluvy  od záujemcu  platný  akreditovaný  certifikát  určitého manažérskemu systému  vydaný  iným certifikačným orgánom, na vlastný certifikát. Prevod certifikátu je možný iba vtom prípade, ak  certifikát  vydal  certifikačný  orgán,  akreditovaný  členom  multilaterálnej  dohody  o vzájomnom uznávaní výsledkov akreditácie. Medzi takéto akreditačné orgány patria členovia týchto odborných združení:  European  co-operation  for  Accreditation, International  Accreditation  Forum,  Pacific Accreditation Cooperation a Interamerican Accreditation Cooperation. Žiadatelia, ktorí nespĺňajú uvedené  kritériá,  pretože  vlastnia  neakreditované  certifikáty  alebo  certifikáty  s  akreditáciou udelenou  iba  nečlenom uvedenej  dohody,  musia  absolvovať  celý  certifikačný  proces  ako  noví žiadatelia  o certifikáciu.