Предварительный национальный стандарт ПНСТ 920-2024/ISO/IEC TS 17021-6:2014 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности персонала для проведения аудита и сертификации систем менеджмента непрерывной деятельности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19.04.2024 N 24-пнст)

Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 6. Competence requirements for auditing and certification of business continuity management systems

УДК 658.562:006.354
ОКС 03.120.20

Срок действия - с 1 мая 2024 г.
до 30 апреля 2027 г.

Предисловие

1 Подготовлен Федеральным автономным учреждением "Национальный институт аккредитации" (ФАУ НИ А) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 Внесен Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"

3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 апреля 2024 г. N 24-пнст

4 Настоящий стандарт идентичен международному документу ISO/IEC TS 17021-6:2014 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности персонала для аудита и сертификации систем менеджмента непрерывности бизнеса" (ISO/IEC TS 17021-6:2014 "Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

Введение

Настоящий стандарт дополняет требования стандарта ИСО/МЭК 17021:2011. В частности, в нем разъясняются требования к компетентности персонала, участвующего в процессе сертификации, представленные в ИСО/МЭК 17021:2011, приложение А. Руководящие принципы в ИСО/МЭК 17021:2011, раздел 4, являются основой для требований в этом стандарте.

Органы по сертификации несут ответственность перед заинтересованными сторонами, в том числе перед своими заказчиками и клиентами организаций, чьи системы менеджмента проходят сертификацию, которая касается обеспечения доверия к результатам сертификации посредством того, что к проведению аудитов систем менеджмента непрерывной деятельности будут допускаться только те аудиторы, которые продемонстрировали соответствующий уровень компетентности.

Персонал, участвующий в работах по сертификации систем менеджмента непрерывной деятельности, должен обладать общими навыками, изложенными в ИСО/МЭК 17021:2011, а также специальными навыками в области систем менеджмента непрерывной деятельности, изложенными в настоящем стандарте.

Органам по сертификации необходимо будет определить компетентность группы по аудиту систем менеджмента непрерывной деятельности, необходимую для каждого такого аудита.

В настоящем стандарте используются следующие глагольные формы:

- "должен" указывает на требование;

- "следует" указывает на рекомендацию;

- "могло бы" указывает на разрешение;

- "может" указывает на вероятность или возможность.

Дополнительная информация приведена в Директивах ИСО/МЭК, часть 2.

1 Область применения

Настоящий стандарт устанавливает дополнительные требования ИСО/МЭК 17021:2011. Он устанавливает конкретные требования к компетентности персонала, участвующего в работах по сертификации систем менеджмента непрерывной деятельности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 17000, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)

ISO/IEC 17021:2011 ¹⁾, Conformity assessment - Requirements for bodies providing audit and certification of management systems (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента)

-----------------------------

¹⁾ Заменен на ISO/IEC 17021-1:2015. Однако для однозначного соблюдения требования настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание.

-----------------------------

ISO 22301, Security and resilience - Business continuity management systems - Requirements (Безопасность и устойчивость. Системы менеджмента непрерывности деятельности. Требования)

ISO 22300, Security and resilience - Vocabulary (Безопасность и устойчивость. Словарь)

3 Термины и определения

В настоящем стандарте применены термины по ИСО 22300, ИСО 22301, ИСО/МЭК 17000 и ИСО/МЭК 17021:2011.

4 Общие требования к компетентности

Орган по сертификации должен определить требования к компетентности для каждой функции сертификации согласно данным ИСО/МЭК 17021:2011, таблица А.1. При определении этих требований к компетентности орган по сертификации должен учитывать все требования, установленные в ИСО/МЭК 17021:2011, а также требования, установленные в разделах 5 и 6 настоящего стандарта.

П р и м е ч а н и е 1 - Требования к компетентности персонала, участвующего в конкретных сертификационных функциях приведены в приложении А.

П р и м е ч а н и е 2 - Сведения о принципах аудита приведены в ИСО 19011.

5 Требования к компетентности аудиторов систем менеджмента непрерывной деятельности и персонала, анализирующего отчеты по аудиту и принимающего решения по сертификации

5.1 Общие положения

Весь персонал, участвующий в проведении аудитов систем менеджмента непрерывной деятельности, и сотрудники, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны иметь уровень компетентности, включающий общие навыки, описанные в ИСО/МЭК 17021:2011, а также знания в области систем менеджмента непрерывной деятельности, описанные в 5.2-5.11.

П р и м е ч а н и е 1 - Необязательно, чтобы все аудиторы в группе по аудиту имели одинаковый уровень компетентности, но необходимо обеспечить, чтобы совокупная компетентность группы по аудиту была достаточной для достижения целей аудита.

П р и м е ч а н и е 2 - Несмотря на то, что элементы, составляющие требования к знаниям, одни и те же, признается, что степень детализации для аудиторов и персонала, анализирующего отчеты по аудиту и принимающего решение по сертификации, может быть различной. Ответственность за определение этого лежит на каждом отдельном органе по сертификации.

5.2 Терминология менеджмента непрерывной деятельности

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны, определения, подходы менеджмента непрерывной деятельности и менеджмента рисков.

5.3 Среда организации

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области, в которой работает организация.

5.4 Законы, правила и другие применимые требования

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями для определения того, идентифицировала ли и оценивала ли организация свое соответствие применимым правовым и другим требованиям.

П р и м е ч а н и е 1 - Законодательные и другие обязательные требования регулирующих органов могут быть сформулированы как правовые требования.

П р и м е ч а н и е 2 - Другие требования могут содержать национальные, международные и отраслевые правила, принимаемые к исполнению на добровольной основе.

5.5 Связи между элементами процесса менеджмента непрерывной деятельности

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области взаимосвязи между элементами менеджмента непрерывной деятельности.

5.6 Анализ влияний на деятельность и оценка рисков

Группа по аудиту, анализирующая отчеты по аудиту и принимающая решения по сертификации, должна обладать знаниями в области анализа влияния на бизнес (BIA), включая:

- научно-методические подходы и методики;

- идентификацию видов деятельности, обеспечивающих создание продукции и услуг;

- оценку влияний в течение времени и идентификацию ситуаций, когда данное влияние станет неприемлемым;

- установление сроков для первоочередных мер по возобновлению работы;

- идентификацию зависимостей и вспомогательных ресурсов.

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области оценки рисков и менеджмента рисков, включая:

- научно-методические подходы и методики;

- идентификацию, анализ и оценку рисков, связанных с серьезными инцидентами;

- результативность имеющихся средств контроля;

- выбор вариантов влияния на риски.

5.7 Стратегии непрерывной деятельности

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны знать стратегии и методологии для уменьшения влияния и вероятности серьезных инцидентов, нарушающих работу организации, включая:

- разработку стратегии;

- меры по обеспечению готовности;

- отбор альтернативных стратегий;

- анализ затрат/выгоды стратегий по обеспечению непрерывности бизнеса;

- координацию подходов с внешними заинтересованными сторонами;

- реагирование на инциденты;

- каналы передачи и обмена информацией;

- постановка задач и контроль исполнения;

- координирование действий организаций, реагирующих на инциденты;

- восстановительные работы и возвращение в прежнее состояние.

5.8 Менеджмент инцидентов

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны знать о мерах по менеджменту инцидентов для того, чтобы определить установила ли организация соответствующие ответные действия в связи с серьезными инцидентами, включая потребности, связанные с предупреждением и оповещением.

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями, позволяющими им оценивать результативность организации в связи с проверкой ее способности осуществлять менеджмент инцидентов.

5.9 Планы по обеспечению непрерывной деятельности

Члены группы по аудиту и лица, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями о планах по обеспечению непрерывности деятельности, включая их создание, разработку, поддержание в рабочем состоянии, назначение, формат, структуру и детали исполнения.

5.10 Мероприятия по обеспечению непрерывной деятельности

Члены группы по аудиту, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями о планировании и внедрении типов мероприятий, процессов, методов и критериев для оценки способности организации выполнять свои приоритеты и цели в области восстановления.

5.11 Оценка результативности функционирования систем менеджмента непрерывной деятельности

Члены группы по аудиту, анализирующие отчеты по аудиту и принимающие решения по сертификации, должны обладать знаниями в области оценки результативности функционирования систем менеджмента непрерывной деятельности, включая индикаторы и показатели результативности, чтобы определить, соответствует ли результативность систем менеджмента непрерывной деятельности организации целям и задачам, установленным ее руководством.

6 Требования к компетентности персонала, проводящего анализ заявки для определения требуемого уровня компетентности группы по аудиту, ее состава и продолжительности аудита

6.1 Общие положения

Лица, задействованные в других сертификационных функциях, должны обладать общими навыками, описанными в ИСО/МЭК 17021:2011, а также знаниями в области менеджмента систем менеджмента непрерывной деятельности, описанными в разделах 6.2 и 6.3.

6.2 Терминология менеджмента непрерывной деятельности

Лица, задействованные в других функциях сертификации, должны знать термины менеджмента непрерывной деятельности.

6.3 Среда организации

Лица, задействованные в других функциях сертификации, должны знать среду, в которой работает организация.

6.4 Связи между элементами процесса менеджмента непрерывной деятельности

Лица, задействованные в других функциях сертификации, должны знать взаимосвязи между элементами менеджмента непрерывной деятельности.

Библиография

[1]	ISO 19011	Guidelines for auditing management systems (Руководящие указания по проведению аудита систем менеджмента)
[2]	ISO 22313	Societal security - Business continuity management systems - Guidance (Социальная безопасность. Системы менеджмента непрерывности бизнеса. Руководство)
[3]	ISO 22398	Societal security - Guidelines for exercises (Руководящие принципы для проведения мероприятий общественной безопасности)
[4]	ISO 31000	Risk management - Guidelines (Менеджмент риска. Принципы и руководство)
[5]	ISO Guide 73	Risk management - Vocabulary (Менеджмент риска. Словарь)
[6]	IEC 31010	Risk management - Risk assessment techniques (Менеджмент рисков. Методы оценки рисков)

Ключевые слова: аудит и сертификация систем менеджмента, компетентность персонала, деятельность по оценке соответствия.