Postup pri certifikácii manažérskych systémov
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti ako certifikačný orgán vykonáva podľa ISO/IEC 17021-1:2015 naprieč celým Slovenskom certifikáciu manažérskych systémov:
- systém manažérstva kvality podľa ISO 9001:2015 (QMS)
- systém riadenia IT služieb ISO/IEC 20000-1:2018 (SMS)
- systém manažérstva kontinuálnej prevádzky ISO 22301:2019 (BCMS)
- systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2013 (ISMS)
Postup pre záujemcov o certifikáciu jedného alebo viacerých manažérskych systémov je nasledovný:
Nezávislosť, nestrannosť a zabezpečenie kvality
Kvalita služieb poskytovaných Kompetenčným centrom je zabezpečovaná udržiavaním funkčného a efektívneho manažérskeho systému kvality, využívaním kompetentného, odborne spôsobilého a spoľahlivého personálu a otvoreným prístupom ku klientom v zmysle platnej politiky.
Povinnosti a práva certifikovaného subjektu počas platnosti certifikátu
Certifikovaný subjekt smie počas platnosti certifikátu používať pridelené certifikačné značky a odvolávať sa na certifikáciu spôsobom uvedeným v zmluve o certifikácii.
Povinnosťou certifikovaného subjektu je priebežne informovať Kompetenčné centrum o zmenách v dokumentovaných informáciách certifikovaného manažérskeho systému a poskytovať certifikačnému orgánu aktuálne znenia dokumentovaných informácii. Zároveň musí certifikovaný subjekt informovať certifikačný orgán o zmenách, ktoré súvisia so zmenou štruktúry riadenia, zásadných zmenách v procesoch, výrobnom/služby poskytujúcom programe alebo iných zmenách, ktoré súvisia s certifikovaným manažérskym systémom.
Ochrana informácií získaných počas posudzovania
Všetky informácie, ktoré Komptenčné centrum a členom audítorského tímu poskytne posudzovaný/certifikovaný subjekt, sa považujú za dôverné a môžu sa použiť iba v rámci procesu posudzovania a certifikácie daného subjektu a nebudú poskytnuté tretej strane bez súhlasu certifikovaného subjektu s výnimkou poskytnutia menovaným posudzovateľom akreditačného orgánu.
V prípade, že bude predpismi alebo zákonnou autoritou (súd, kontrolný orgán, vyšetrovateľ) požadované informácie o zákazníkoch, môžu byť údaje so súhlasom Generálneho riaditeľa KCCKB poskytnuté v nevyhnutnom rozsahu, tak aby bola splnená požiadavka legislatívy. Ak legislatíva ukladá certifikačnému orgánu povinnosť poskytnúť údaje bez súhlasu klienta, generálny riaditeľ KCCKB môže udeliť súhlas s poskytnutím informácií bez súhlasu klienta. V ostatných prípadoch sa vždy vyžaduje súhlas klienta.
Informovanie o udelených certifikátoch
Kompetenčné centrum informuje o certifikátoch ním udelených, pozastavených, obmedzených, rozšírených alebo zrušených na vlastnej webovej stránke v zozname. Rovnaké informácie môžu byť uvedené na informačných serveroch, v špecializovaných katalógoch, periodikách a publikáciách, kde takéto informácie zverejňujú aj iné certifikačné orgány.
Pravidlá používania certifikačných značiek, spoločných značiek a odvolávania sa na certifikáciu
Presné pravidlá používania certifikačnej značky, spoločnej značky a odvolávania sa na certifikáciu sú uvedené vždy v zmluve o certifikácii, ktorú je povinný akceptovať, resp. uzavrieť každý klient s Kompetenčným centrom pred vydaním certifikátov. Každá certifikovaná organizácia môže používať iba tú certifikačnú značku, ktorej jej bola pridelená certifikačným orgánom, vzťahuje sa na jej certifikovaný manažérsky systém a iba za tej podmienky, že Kompetenčné centrum nepozastavila ani nezrušila platnosť príslušného certifikátu. Rovnaká zásada platí aj pri odvolávaní sa na certifikáciu.