ГОСТ Р 70510-2022 Оценка соответствия. Применение информационно-коммуникационных технологий (ИКТ) в целях аудита/оценки

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Оценка соответствия

ПРИМЕНЕНИЕ ИНФОРМАЦИОННОКОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ (ИКТ) В ЦЕЛЯХ АУДИТА/ОЦЕНКИ

Издание официальное

Москва Российский институт стандартизации 2022

Предисловие

• 1 ПОДГОТОВЛЕН Ассоциацией по сертификации «Русский Регистр» (Ассоциация «Русский Регистр») на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 документа, который выполнен Федеральным автономным учреждением «Национальный институт аккредитации» (ФАУ НИА)

• 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 «Оценка соответствия»

• 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2022 г. № 1422-ст

• 4 Настоящий стандарт идентичен международному документу IAF MD 4:2018 «Обязательный документ IAF по применению информационно-коммуникационных технологий (ИКТ) в целях аудита/ оценки» (IAF MD 4:2018 «IAF Mandatory Document for the use of information and communication technology (ICT) for auditing/assessment purposes», IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5— 2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

• 5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

© Оформление. ФГБУ «Институт стандартизации», 2022

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

Введение

Международный форум по аккредитации (International Accreditation Forum, Inc. [IAF]) способствует торговле и оказывает поддержку регулирующим органам за счет международной системы взаимного признания среди органов по аккредитации (ОА), практикуемой для обеспечения всемирного признания результатов, выданных органами по оценке соответствия (ООС), которые имеют аккредитацию членов IAF.

Аккредитация снижает уровень риска для бизнеса и его клиентов, гарантируя им, что аккредитованные органы по оценке соответствия (ООС) компетентны в выполняемой ими деятельности в рамках своей области аккредитации. Органы по аккредитации (ОА), которые являются членами IAF, и аккредитованные ими органы по оценке соответствия (ООС) должны соблюдать требования соответствующих международных стандартов и применимых обязательных документов IAF для последовательного применения этих стандартов.

Органы по аккредитации, являющиеся членами Многостороннего соглашения о признании IAF (MLA), регулярно проходят равноправную оценку назначенной группой экспертов, чтобы гарантировать уверенность в функционировании их программ аккредитации. Структура и область IAF MLA подробно описаны в документе IAF PR 4 «Структура IAF MLA и перечень одобренных нормативных документов».

IAF MLA структурировано по 5 уровням. Уровень 1 устанавливает обязательные критерии, применимые ко всем ОА, ИСО/МЭК 17011. Сочетание видов деятельности уровня 2 и соответствующих нормативных документов уровня 3 является основной областью MLA, а сочетание соответствующих нормативных документов уровня 4 (если применимо) и уровня 5 представляет собой подобласть MLA.

Основная область MLA включает в себя такие виды деятельности, как сертификация продукции, и соответствующие обязательные документы, например ИСО/МЭК 17065. Аттестации, проведенные ООС на уровне основной области, считаются одинаково надежными.

Подобласть MLA включает в себя требования к оценке соответствия, например, ИСО 9001 и специальные требования схемы, где применимо, например, ISO TS 22003. Аттестации, проведенные ООС на уровне подобласти, считаются эквивалентными.

IAF MLA предоставляет уверенность, необходимую для признания результатов оценки соответствия на рынке. Аттестация, выданная в рамках области IAF MLA органом, аккредитованным органами по аккредитации, являющимися участниками IAF MLA, может иметь мировое признание, что таким образом способствует развитию международной торговли.

По мере того как информационно-коммуникационные технологии (ИКТ) становятся все более сложными, важно иметь возможность использовать ИКТ для оптимизации эффективности и результативности аудита/оценки, а также для поддержки и обеспечения целостности процесса аудита/оценки.

ИКТ предполагают использование технологий для сбора, хранения, извлечения, обработки, анализа и передачи информации. Сюда относится программное и аппаратное обеспечение, такое как смартфоны, портативные устройства, портативные компьютеры, настольные компьютеры, дроны, видеокамеры, мобильные технологии, искусственный интеллект и т. д. Применение ИКТ может быть целесообразно для проведения аудита/оценки как на месте, так и в дистанционном формате.

Примеры использования ИКТ в процессе аудита/оценки могут включать, в частности:

• - совещания с использованием средств телеконференции, включая аудио- и видеосвязь и обмен данными;

• - аудит/оценку документов и записей с помощью удаленного доступа, синхронно (в режиме реального времени) или асинхронно (в соответствующих случаях);

• - запись информации и свидетельств посредством видеодикамер, видео- или аудиозаписи;

• - обеспечение визуального/звукового доступа к удаленным или потенциально опасным местам.

Цели для эффективного применения ИКТ в целях аудита/оценки:

• 1) разработка достаточно гибкой и не имеющей регламентированного характера методологии использования ИКТ для оптимизации обычного процесса аудита/оценки;

• 2) обеспечение наличия надлежащих средств управления во избежание злоупотреблений, которые могут поставить под угрозу целостность процесса аудита/оценки;

• 3) соблюдение принципов безопасности и устойчивости.

Также необходимо принять меры для обеспечения безопасности и конфиденциальности на протяжении всего процесса аудита/оценки.

Другие схемы, нормативные документы и стандарты оценки соответствия могут накладывать ограничения на использование ИКТ при проведении аудита/оценки и могут иметь приоритет над этим стандартом.

В настоящем стандарте используются следующие термины к обязательным документам IAF:

«следует» — использован, чтобы указать признанные методы выполнения требований стандарта. ООС может удовлетворять этим требованиям равноценным способом при условии, что это может быть продемонстрировано органу по аккредитации;

«должен» — использован в стандарте, чтобы указать те положения, которые, отражая требования стандарта, являются обязательными.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Оценка соответствия

ПРИМЕНЕНИЕ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ (ИКТ) В ЦЕЛЯХ АУДИТА/ОЦЕНКИ

Conformity assessment. Use of information and communication technology (ICT) for auditing/assessment purposes

Дата введения — 2023—01—01

• 1 Область применения

Настоящий стандарт предусматривает последовательное применение при аудите/оценке информационных и коммуникационных технологий как части методологии.

Настоящий стандарт предназначен для аудита/оценки систем менеджмента, персонала и продукции и применяется в отношении органов по оценке соответствия и органов по аккредитации. Применение ИКТ является необязательным и может осуществляться в рамках прочих мероприятий по оценке соответствия, но при применении в рамках методологии аудита/оценки должно соответствовать настоящему стандарту.

• 2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных — последнее издание (включая все изменения)]:

IAF MD 5, Determination of Audit Time of Quality, Environmental, and Occupational Health & Safety Management Systems (Определение времени проведения аудитов систем менеджмента качества, окружающей среды, а также системы менеджмента охраны здоровья и безопасности труда)

ISO/IEC 17011, Conformity assessment— Requirements for accreditation bodies accrediting conformity assessment bodies (Оценка соответствия. Требования к органам по аккредитации, аккредитующим органам по оценке соответствия)

ISO/IEC 17021-1, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)

ISO/IEC 17065, Conformity assessment— Requirements for bodies certifying products, processes and services (Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг)

ISO/IEC 17024, Conformity assessment — General requirements for bodies operating certification of persons (Оценка соответствия. Общие требования к органам, проводящим сертификацию персонала)

Настоящий стандарт может также применяться в сочетании с другими стандартами по оценке соответствия, например:

ISO 14065, Greenhouse gases — Requirements for greenhouse gas validation and verification bodies for use in accreditation or other forms of recognition (Газы парниковые. Требования к органам по валидации и верификации парниковых газов для их применения при аккредитации или других формах признания)

ISO/IEC 17020, Conformity assessment — Requirements for the operation of various types of bodies performing inspection (Оценка соответствия. Требования к работе различных типов органов инспекции)

Издание официальное

ISO/IEC 17025, General requirements for the competence of testing and calibration laboratories (Общие требования к компетентности испытательных и калибровочных лабораторий)

Кроме того, инструкции по применению ИКТ в процессе аудита/оценки содержатся в следующих документах:

ISO/IAF Auditing Practices Group — «Electronic documented information systems» (Группа ISO/IAF по аудиторской практике — «Системы электронного документирования данных») www. iso.org/td 76/IS09001 Auditing PracticesGroup

IAF ID 12, Principles on Remote Assessment (Принципы дистанционной оценки)

ISO 19011, Guidelines for auditing management systems (Руководящие указания по аудиту систем менеджмента)

• 3 Термины и определения

В настоящем стандарте применен следующий термин с соответствующим определением:

• 3.1 виртуальная площадка (virtual site): Виртуальная площадка, в которой организация заказчика выполняет работу или предоставляет услугу с использованием интерактивной среды, которая позволяет лицам осуществлять процессы независимо от физического местоположения.

Примечания

• 1 Виртуальная площадка не принимается во внимание в том случае, если процессы должны выполняться в физической среде (например, складирование, производство, физические испытательные лаборатории, установка или ремонт физической продукции).

• 2 Виртуальная площадка (например, внутренняя сеть компании) считается единой площадкой при расчете времени аудита/оценки.

• 4 Требования

  • 4.1 Безопасность и конфиденциальность

    • 4.1.1 Безопасность и конфиденциальность электронной или передаваемой электронным способом информации особенно важны при применении ИКТ в целях аудита/оценки.

    • 4.1.2 Применение ИКТ в целях аудита/оценки должно быть согласовано между аудитируемым/ оцениваемым органом и органом, проводящим аудит/оценку, в соответствии с мерами и положениями по информационной безопасности и защите данных до применения ИКТ в целях аудита/оценки.

    • 4.1.3 В случае невыполнения указанных мер или несогласования мер информационной безопасности и защиты данных орган, проводящий аудит/оценку, должен использовать иные методы проведения аудита/оценки.

    • 4.1.4 Если не достигнуто соглашение относительно применения ИКТ для оценки/аудита, то для выполнения задач аудита/оценки необходимо использовать другие методы.

  • 4.2 Требования к процессу

    • 4.2.1 Орган должен определить и задокументировать риски и возможности, которые могут повлиять на результативность аудита/оценки в каждом случае применения ИКТ в одинаковых условиях, включая выбор технологий и порядок управления ими.

    • 4.2.2 Если ИКТ предлагаются для проведения аудита/оценки, рассмотрение заявки должно включать проверку наличия у заказчика и органа, проводящего аудит/оценку, необходимой инфраструктуры для обеспечения применения предлагаемых ИКТ.

    • 4.2.3 С учетом рисков и возможностей, определенных в пункте 4.2.1, план аудита/оценки должен определять порядок и масштаб применения ИКТ в целях аудита/оценки для оптимизации эффективности и результативности аудита/оценки при обеспечении целостности процесса аудита/оценки.

    • 4.2.4 При использовании ИКТ аудиторы/оценщики и другие заинтересованные лица (например, операторы БПЛА, технические специалисты) должны уметь понимать и использовать информационнокоммуникационные технологии для достижения желаемых результатов аудита/оценки. Аудитор/оцен-щик должен быть также осведомлен о рисках и возможностях применяемых информационно-коммуникационных технологий, а также о влиянии, которое они могут оказать на достоверность и объективность собранной информации.

    • 4.2.5 Если ИКТ применяются в целях аудита/оценки, они увеличивают общее время аудита/оцен-ки, поскольку может потребоваться дополнительное планирование, что может повлиять на продолжительность аудита/оценки.

Примечание — При определении времени и продолжительности аудита/оценки следует обращаться к нормативным ссылкам для ознакомления с дополнительными требованиями, которые могут повлиять на применение ИКТ. Влияние на продолжительность аудита/оценки с использованием ИКТ не ограничивается настоящим стандартом.

• 4.2.6 В отчетах об аудите/оценке и соответствующих записях указывается степень использования ИКТ при проведении аудита/оценки и результативность ИКТ в достижении целей аудита/оценки.

• 4.2.7 Если виртуальные площадки входят в область действия, в сертификационной/аккредита-ционной документации должно быть указано наличие виртуальных площадок и определена деятельность, осуществляемая на виртуальных площадках.

Приложение ДА (справочное)

Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам

Таблица ДА.1

УДК 658.562:006.354

Ключевые слова: информационно-коммуникационные технологии, ИКТ, аудит, оценка

Редактор В.Н. Шмельков Технический редактор В.Н. Прусакова Корректор Р.А. Ментова Компьютерная верстка И.А. Налейкиной

Сдано в набор 08.12.2022. Подписано в печать 23.12.2022. Формат 60*84¹/₈. Гарнитура Ариал. Усл. печ. л. 1,40. Уч.-изд. л. 1,12.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении в ФГБУ «Институт стандартизации» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.