ПНСТ 920-2024/ISO/IEC TS 17021-6:2014
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Оценка соответствия
ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА
Часть 6
Требования к компетентности персонала для проведения аудита и сертификации систем менеджмента непрерывной деятельности
Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 6. Competence requirements for auditing and certification of business continuity management systems
ОКС 03.120.20
Срок действия - с 2024-05-01
до 2027-04-30
Предисловие
1 ПОДГОТОВЛЕН Федеральным автономным учреждением "Национальный институт аккредитации" (ФАУ НИА) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 апреля 2024 г. № 24-пнст
4 Настоящий стандарт идентичен международному документу ISO/IEC TS 17021-6:2014* "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности персонала для аудита и сертификации систем менеджмента непрерывности бизнеса" (ISO/IEC TS 17021-6:2014 "Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems", IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).
Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мес до истечения срока его действия разработчику настоящего стандарта по адресу: 123112 Москва, Пресненская набережная, д.10, стр.2 и/или в Федеральное агентство по техническому регулированию и метрологии по адресу: 123112 Москва, Пресненская набережная, д.10, стр.2.
В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе "Национальные стандарты" и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Настоящий стандарт дополняет требования стандарта ИСО/МЭК 17021:2011. В частности, в нем разъясняются требования к компетентности персонала, участвующего в процессе сертификации, представленные в ИСО/МЭК 17021:2011, приложение А. Руководящие принципы в ИСО/МЭК 17021:2011, раздел 4, являются основой для требований в этом стандарте.
Органы по сертификации несут ответственность перед заинтересованными сторонами, в том числе перед своими заказчиками и клиентами организаций, чьи системы менеджмента проходят сертификацию, которая касается обеспечения доверия к результатам сертификации посредством того, что к проведению аудитов систем менеджмента непрерывной деятельности будут допускаться только те аудиторы, которые продемонстрировали соответствующий уровень компетентности.
Персонал, участвующий в работах по сертификации систем менеджмента непрерывной деятельности, должен обладать общими навыками, изложенными в ИСО/МЭК 17021:2011, а также специальными навыками в области систем менеджмента непрерывной деятельности, изложенными в настоящем стандарте.
Органам по сертификации необходимо будет определить компетентность группы по аудиту систем менеджмента непрерывной деятельности, необходимую для каждого такого аудита.
В настоящем стандарте используются следующие глагольные формы:
- "должен" указывает на требование;
- "следует" указывает на рекомендацию;
- "могло бы" указывает на разрешение;
- "может" указывает на вероятность или возможность.
Дополнительная информация приведена в Директивах ИСО/МЭК, часть 2.
1 Область применения
Настоящий стандарт устанавливает дополнительные требования ИСО/МЭК 17021:2011. Он устанавливает конкретные требования к компетентности персонала, участвующего в работах по сертификации систем менеджмента непрерывной деятельности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO/IEC 17000, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)
_______________
ISO 22301, Security and resilience - Business continuity management systems - Requirements (Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования)
ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость. Словарь)
3 Термины и определения
В настоящем стандарте применены термины по ИСО 22300, ИСО 22301, ИСО/МЭК 17000 и ИСО/МЭК 17021:2011.
4 Общие требования к компетентности
Орган по сертификации должен определить требования к компетентности для каждой функции сертификации согласно данным ИСО/МЭК 17021:2011, таблица А.1. При определении этих требований к компетентности орган по сертификации должен учитывать все требования, установленные в ИСО/МЭК 17021:2011, а также требования, установленные в разделах 5 и 6 настоящего стандарта.
Примечание 1 - Требования к компетентности персонала, участвующего в конкретных сертификационных функциях приведены в приложении А.
Примечание 2 - Сведения о принципах аудита приведены в ИСО 19011.
5 Требования к компетентности аудиторов систем менеджмента непрерывной деятельности и персонала, анализирующего отчеты по аудиту и принимающего решения по сертификации
5.1 Общие положения
Весь персонал, участвующий в проведении аудитов систем менеджмента непрерывной деятельности, и сотрудники, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны иметь уровень компетентности, включающий общие навыки, описанные в ИСО/МЭК 17021:2011, а также знания в области систем менеджмента непрерывной деятельности, описанные в 5.2-5.11.
Примечание 1 - Необязательно, чтобы все аудиторы в группе по аудиту имели одинаковый уровень компетентности, но необходимо обеспечить, чтобы совокупная компетентность группы по аудиту была достаточной для достижения целей аудита.
Примечание 2 - Несмотря на то, что элементы, составляющие требования к знаниям, одни и те же, признается, что степень детализации для аудиторов и персонала, анализирующего отчеты по аудиту и принимающего решение по сертификации, может быть различной. Ответственность за определение этого лежит на каждом отдельном органе по сертификации.
5.2 Терминология менеджмента непрерывной деятельности
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны, определения, подходы менеджмента непрерывной деятельности и менеджмента рисков*.
5.3 Среда организации
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области, в которой работает организация.
5.4 Законы, правила и другие применимые требования
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями для определения того, идентифицировала ли и оценивала ли организация свое соответствие применимым правовым и другим требованиям.
Примечание 1 - Законодательные и другие обязательные требования регулирующих органов могут быть сформулированы как правовые требования.
Примечание 2 - Другие требования могут содержать национальные, международные и отраслевые правила, принимаемые к исполнению на добровольной основе.
5.5 Связи между элементами процесса менеджмента непрерывной деятельности
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области взаимосвязи между элементами менеджмента непрерывной деятельности.
5.6 Анализ влияний на деятельность и оценка рисков
Группа по аудиту, анализирующая отчеты по аудиту и принимающая решения по сертификации, должна обладать знаниями в области анализа влияния на бизнес (BIA), включая:
- научно-методические подходы и методики;
- идентификацию видов деятельности, обеспечивающих создание продукции и услуг;
- оценку влияний в течение времени и идентификацию ситуаций, когда данное влияние станет неприемлемым;
- установление сроков для первоочередных мер по возобновлению работы;
- идентификацию зависимостей и вспомогательных ресурсов.
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области оценки рисков и менеджмента рисков, включая:
- научно-методические подходы и методики;
- идентификацию, анализ и оценку рисков, связанных с серьезными инцидентами;
- результативность имеющихся средств контроля;
- выбор вариантов влияния на риски.
5.7 Стратегии непрерывной деятельности
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны знать стратегии и методологии для уменьшения влияния и вероятности серьезных инцидентов, нарушающих работу организации, включая:
- разработку стратегии;
- меры по обеспечению готовности;
- отбор альтернативных стратегий;
- анализ затрат/выгоды стратегий по обеспечению непрерывности бизнеса;
- координацию подходов с внешними заинтересованными сторонами;
- реагирование на инциденты;
- каналы передачи и обмена информацией;
- постановка задач и контроль исполнения;
- координирование действий организаций, реагирующих на инциденты;
- восстановительные работы и возвращение в прежнее состояние.
5.8 Менеджмент инцидентов
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны знать о мерах по менеджменту инцидентов для того, чтобы определить установила ли организация соответствующие ответные действия в связи с серьезными инцидентами, включая потребности, связанные с предупреждением и оповещением.
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями, позволяющими им оценивать результативность организации в связи с проверкой ее способности осуществлять менеджмент инцидентов.
5.9 Планы по обеспечению непрерывной деятельности
Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями о планах по обеспечению непрерывности деятельности, включая их создание, разработку, поддержание в рабочем состоянии, назначение, формат, структуру и детали исполнения.
5.10 Мероприятия по обеспечению непрерывной деятельности
Члены группы по аудиту, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями о планировании и внедрении типов мероприятий, процессов, методов и критериев для оценки способности организации выполнять свои приоритеты и цели в области восстановления.
5.11 Оценка результативности функционирования систем менеджмента непрерывной деятельности
Члены группы по аудиту, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области оценки результативности функционирования систем менеджмента непрерывной деятельности, включая индикаторы и показатели результативности, чтобы определить, соответствует ли результативность систем менеджмента непрерывной деятельности организации целям и задачам, установленным ее руководством.
6 Требования к компетентности персонала, проводящего анализ заявки для определения требуемого уровня компетентности группы по аудиту, ее состава и продолжительности аудита
6.1 Общие положения
Лица, задействованные в других сертификационных функциях, должны обладать общими навыками, описанными в ИСО/МЭК 17021:2011, а также знаниями в области менеджмента систем менеджмента непрерывной деятельности, описанными в разделах 6.2 и 6.3.
6.2 Терминология менеджмента непрерывной деятельности
Лица, задействованные в других функциях сертификации, должны знать термины менеджмента непрерывной деятельности.
6.3 Среда организации
Лица, задействованные в других функциях сертификации, должны знать среду, в которой работает организация.
6.4 Связи между элементами процесса менеджмента непрерывной деятельности
Лица, задействованные в других функциях сертификации, должны знать взаимосвязи между элементами менеджмента непрерывной деятельности.
Приложение А
(справочное)
Знания для проведения аудитов и сертификации систем менеджмента непрерывной деятельности
Краткое изложение знаний, необходимых для аудита и сертификации систем менеджмента непрерывной деятельности, которое носит справочный характер поскольку определяет только области знаний для конкретных функций сертификации, представлено в таблице А.1.
Таблица А.1 - Таблица областей знаний
Знания | Функции сертификации | ||
Проведение анализа заявки для определения требуемой компетентности группы по аудиту, отбора членов группы по аудиту и определения продолжительности аудита | Анализ отчетов по аудиту и принятие решений по сертификации | Проведение аудита и руководство группы по аудиту | |
Терминология менеджмента непрерывной деятельности | X (см. 6.2) | X (см. 5.2) | X (см. 5.2) |
Среда организации | X (см. 6.3) | X (см. 5.3) | X (см. 5.3) |
Законы, правила и другие применимые требования | X (см. 5.4) | X (см. 5.4) | |
Связи между элементами процесса менеджмента непрерывной деятельности | X (см. 6.4) | X (см. 5.5) | X (см. 5.5) |
Анализ влияний на деятельность и оценка рисков | X (см. 5.6) | X (см. 5.6) | |
Стратегии непрерывности и восстановления деятельности | X (см. 5.7) | X (см. 5.7) | |
Менеджмент инцидентов | X (см. 5.8) | X (см. 5.8) | |
Планы по обеспечению непрерывной деятельности | X (см. 5.9) | X (см. 5.9) | |
Мероприятия по обеспечению непрерывной деятельности | X (см. 5.10) | X (см. 5.10) | |
Оценка результативности функционирования систем менеджмента непрерывной деятельности | X (см. 5.11) | X (см. 5.11) |
В состав группы должны входить члены, обладающие соответствующими знаниями, или, при необходимости, следует включить технического эксперта. Если аудит проводится группой, то не обязательно, чтобы все члены группы обладали навыками во всех областях. Требуемый уровень навыков следует поддерживать для всей группы в целом.
Приложение ДА
(справочное)
Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам
Таблица ДА.1
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего национального, межгосударственного стандарта |
ISO/IEC 17000 | IDT | ГОСТ ISO/IEC 17000-2012 "Оценка соответствия. Словарь и общие принципы" |
ISO/IEC 17021:2011 | - | *, |
ISO 22301 | IDT | ГОСТ Р ИСО 22301-2021 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования" |
ISO 22300 | IDT | ГОСТ Р 22.0.12-2015/ИСО 22300:2012 "Безопасность в чрезвычайных ситуациях. Международные термины и определения" |
* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык данного международного стандарта. Примечание - В настоящей таблице использованы следующие условные обозначения степени соответствия стандартов: - IDT - идентичный стандарт. |
_______________
Библиография
[1] | ISO 19011 | Guidelines for auditing management systems (Руководящие указания по проведению аудита систем менеджмента) |
[2] | ISO 22313 | Societal security - Business continuity management systems - Guidance (Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство) |
[3] | ISO 22398 | Societal security - Guidelines for exercises (Руководящие принципы для проведения мероприятий общественной безопасности) |
[4] | ISO 31000 | Risk management - Guidelines (Менеджмент риска. Принципы и руководство) |
[5] | ISO Guide 73 | Risk management - Vocabulary (Менеджмент риска. Словарь) |
[6] | IEC 31010 | Risk management - Risk assessment techniques (Менеджмент рисков. Методы оценки рисков) |
УДК 658.562:006.354 | ОКС 03.120.20 |
Ключевые слова: аудит и сертификация систем менеджмента, компетентность персонала, деятельность по оценке соответствия |