Tiêu chuẩn quốc gia TCVN ISO/IEC TS 17021-6:2016 ISO/IEC TS 17021-6:2014 Đánh giá sự phù hợp - Phần 6

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC TS 17021-6:2016

ISO/IEC TS 17021-6:2014

ĐÁNH GIÁ SỰ PHÙ HỢP - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ- PHẦN 6: YÊU CẦU VỀ NĂNG LỰC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ KINH DOANH LIÊN TỤC

Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems

Lời nói đầu

TCVN ISO/IEC TS 17021-6:2016 hoàn toàn tương đương với ISO/IEC TS 17021-6:2014.

TCVN ISO/IEC TS 17021-6:2016 do Ban kỹ thuật Tiêu chuẩn Quốc gia TCVN/CASCO Đánh giá sự phù hợp biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN ISO/IEC 17021 (ISO/IEC 17021) với tên chung Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý, gồm các phần sau:

- TCVN ISO/IEC 17021-1:2015 (ISO/IEC 17021-1:2015), Phần 1: Các yêu cầu

- TCVN ISO/IEC TS 17021-2:2013 (ISO/IEC TS 17021-2:2012), Phần 2: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý môi trường

- TCVN ISO/IEC TS 17021-3:2015 (ISO/IEC TS 17021-3:2013), Phần 3: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý chất lượng

- TCVN ISO/IEC TS 17021-4:2015 (ISO/IEC TS 17021-4:2013), Phần 4: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý sự kiện bền vững

- TCVN ISO/IEC TS 17021-5:2015 (ISO/IEC TS 17021-5:2014), Phần 5: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý tài sản

- TCVN ISO/IEC TS 17021-6:2016 (ISO/IEC TS 17021-6:2014), Phần 6: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý kinh doanh liên tục

- TCVN ISO/IEC TS 17021-7:2016 (ISO/IEC TS 17021-7:2014), Phần 7: Yêu cầu về năng lực đánh giá và chứng nhận hệ thống quản lý an toàn giao thông đường bộ

Lời giới thiệu

Tiêu chuẩn này bổ sung cho TCVN ISO/IEC 17021-1:2015 (ISO/IEC 17021-1:2015), Cụ thể là làm rõ các yêu cầu đối với năng lực của nhân sự tham gia vào quá trình chứng nhận được quy định trong Phụ lục A, TCVN ISO/IEC 17021-1:2015.

Những nguyên tắc hướng dẫn trong điều 4 của TCVN ISO/IEC 17021-1:2015 là cơ sở cho những yêu cầu trong tiêu chuẩn này.

Các tổ chức chứng nhận chịu trách nhiệm đối với các bên liên quan, bao gồm khách hàng của tổ chức chứng nhận và khách hàng của các tổ chức có hệ thống quản lý được chứng nhận, nhằm đảm bảo sự tin cậy của việc chứng nhận hệ thống quản lý kinh doanh liên tục (BCMS) bằng việc sử dụng nhân sự chứng nhận có năng lực phù hợp.

Nhân sự chứng nhận BCMS phải có năng lực chung được quy định trong TCVN ISO/IEC 17021-1:2015 và năng lực cụ thể về chứng nhận BCMS được quy định trong tiêu chuẩn này.

Tổ chức chứng nhận phải xác định năng lực cần thiết của đoàn đánh giá phù hợp với phạm vi của mỗi cuộc đánh giá BCMS.

Trong tiêu chuẩn này từ:

- “phải” chỉ một yêu cầu;

- “cần/nên” chỉ một khuyến nghị;

- “được phép” chỉ sự cho phép;

- “có thể” chỉ một khả năng hoặc năng lực.

ĐÁNH GIÁ SỰ PHÙ HỢP - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ - PHẦN 6: YÊU CẦU VỀ NĂNG LỰC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ KINH DOANH LIÊN TỤC

Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems

1  Phạm vi áp dụng

Tiêu chuẩn này bổ sung cho các yêu cầu của TCVN ISO/IEC 17021-1:2015. Tiêu chuẩn này bao gồm các yêu cầu về năng lực cụ thể đối với nhân sự tham gia vào quá trình chứng nhận hệ thống quản lý kinh doanh liên tục (BCMS).

2  Tài liệu viện dẫn

Các tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng bản mới nhất (bao gồm cả các sửa đổi).

TCVN ISO/IEC 17000, Đánh giá sự phù hợp - Từ vựng và nguyên tắc chung

TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản /ý.

ISO 22301, Societal Security- Business continuity management systems - Requirements (An ninh xã hội - Hệ thống quản lý kinh doanh liên tục - Các yêu cầu)

ISO 22300, Societal Security - Terminonoly (An ninh xã hội - Thuật ngữ)

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa trong ISO 22300, ISO 22301, TCVN ISO/IEC 17000 và TCVN ISO/IEC 17021-1:2015.

4  Yêu cầu chung về năng lực

Tổ chức chứng nhận phải xác định các yêu cầu về năng lực đối với từng chức năng chứng nhận được nêu trong Bảng A.1 của TCVN ISO/IEC 17021-1:2015. Khi xác định các yêu cầu năng lực này, tổ chức chứng nhận phải xem xét tất cả các yêu cầu được quy định trong TCVN ISO/IEC 17021-1:2015 và trong điều 5 và điều 6 của tiêu chuẩn này.

CHÚ THÍCH 1: Phụ lục A đưa ra bảng tóm tắt mang tính tham khảo về các yêu cầu năng lực đối với nhân sự tham gia vào các chức năng chứng nhận cụ thể.

CHÚ THÍCH 2: Thông tin về các nguyên tắc đánh giá được nêu trong TCVN ISO 19011.

5  Yêu cầu về năng lực đối với chuyên gia đánh giá BCMS và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận

5.1  Yêu cầu chung

Tất cả nhân sự tham gia vào đánh giá BCMS và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có trình độ năng lực bao gồm năng lực chung được quy định trong TCVN ISO/IEC 17021-1:2015 cũng như kiến thức về BCMS quy định ở 5.2 đến 5.11 dưới đây.

CHÚ THÍCH 1: Không nhất thiết từng chuyên gia đánh giá trong đoàn đánh giá phải có năng lực như nhau, tuy nhiên, năng lực tổng thể của đoàn đánh giá phải đủ để đạt được mục tiêu đánh giá.

CHÚ THÍCH 2: Mặc dù các yếu tố trong yêu cầu về kiến thức là như nhau, nhưng mức độ chi tiết lại khác nhau với chuyên gia đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận. Trách nhiệm của tổ chức chứng nhận là xác định mức độ chi tiết này.

5.2  Thuật ngữ về quản lý kinh doanh liên tục (BCM)

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về BCM và các thuật ngữ, định nghĩa và khái niệm về rủi ro.

5.3  Bối cảnh của tổ chức

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về bối cảnh trong đó tổ chức hoạt động.

5.4  Luật, quy định và các yêu cầu khác được áp dụng

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức để xác định xem một tổ chức có nhận biết và đánh giá sự tuân thủ các yêu cầu pháp lý và các yêu cầu khác được áp dụng hay không.

CHÚ THÍCH 1: Các yêu cầu luật định và chế định có thể được thể hiện là các yêu cầu pháp lý.

CHÚ THÍCH 2: Các yêu cầu khác có thể bao gồm thỏa thuận quốc gia, quốc tế và lĩnh vực cụ thể mang tính tự nguyện.

5.5  Mối quan hệ bên trong quá trình BCM

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về mối tương quan giữa các yếu tố của BCM.

5.6  Phân tích tác động kinh doanh và đánh giá rủi ro

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về phân tích tác động kinh doanh (BIA), bao gồm:

- phương pháp luận và các kỹ thuật;

- nhận biết các hoạt động cung cấp sản phẩm và dịch vụ;

- đánh giá các tác động theo thời gian và nhận biết khi nào những tác động này trở nên không thể chấp nhận được;

- thiết lập khoảng thời gian ưu tiên cho việc khôi phục lại;

- nhận biết sự phụ thuộc và các nguồn lực hỗ trợ.

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về đánh giá rủi ro và quản lý rủi ro, bao gồm:

- phương pháp luận và các kỹ thuật;

- nhận biết, phân tích và định mức rủi ro liên quan đến sự cố gián đoạn;

- hiệu lực của các kiểm soát hiện tại;

- nhận biết các xử lý rủi ro thích hợp.

5.7  Chiến lược kinh doanh liên tục

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về chiến lược và phương pháp luận nhằm làm giảm tác động và khả năng xảy ra sự cố gián đoạn, bao gồm:

- xây dựng chiến lược;

- các biện pháp chuẩn bị sẵn sàng;

- lựa chọn các chiến lược thay thế;

- phân tích chi phí/lợi ích của các chiến lược liên tục;

- cách tiếp cận phối hợp với các bên liên quan bên ngoài;

- ứng phó sự cố;

- trao đổi thông tin;

- điều khiển và kiểm soát;

- điều phối các tổ chức ứng phó sự cố;

- phục hồi và khôi phục.

5.8  Quản lý sự cố

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về các biện pháp quản lý sự cố để xác định xem tổ chức có nhận biết cách ứng phó thích hợp với sự cố gián đoạn, bao gồm cả cảnh báo và nhu cầu trao đổi thông tin.

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức đánh giá tính hiệu lực của một tổ chức trong việc thử nghiệm khả năng quản lý sự cố của tổ chức đó.

5.9  Phương án kinh doanh liên tục

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về các phương án kinh doanh liên tục, việc thiết lập, xây dựng, duy trì, mục đích, hình thức, cấu trúc và chi tiết về mặt thủ tục của các phương án này.

5.10  Thực hành kinh doanh liên tục

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về việc lập kế hoạch và thực hiện các hình thức thực hành, các quá trình, kỹ thuật và các tiêu chí đề đánh giá khả năng của tổ chức trong việc đáp ứng những ưu tiên và mục tiêu phục hồi.

5.11  Đánh giá kết quả thực hiện BCMS

Đoàn đánh giá và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về đánh giá kết quả thực hiện BCMS, bao gồm các chỉ số đánh giá và các thước đo kết quả thực hiện nhằm xác định xem kết quả thực hiện BCMS của một tổ chức có đáp ứng các mục tiêu và chỉ tiêu được lãnh đạo tổ chức đặt ra hay không.

6  Yêu cầu về năng lực đối với nhân sự tiến hành xem xét đăng ký chứng nhận để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn thành viên đoàn đánh giá và xác định thời lượng đánh giá

6.1  Yêu cầu chung

Nhóm hoặc cá nhân tham gia vào các chức năng chứng nhận khác phải có năng lực bao gồm năng lực chung được quy định trong TCVN ISO/IEC 17021-1:2015 và kiến thức về BCMS được quy định ở 6.2 và 6.3 dưới đây.

6.2  Thuật ngữ về BCM

Nhóm hoặc cá nhân tham gia vào các chức năng chứng nhận khác phải có kiến thức về các thuật ngữ liên quan đến BCM.

6.3  Bối cảnh của tổ chức

Nhóm hoặc cá nhân tham gia vào các chức năng chứng nhận khác phải có kiến thức về bối cảnh trong đó tổ chức hoạt động.

6.4  Mối quan hệ bên trong quá trình BCM

Nhóm hoặc cá nhân tham gia vào các chức năng chứng nhận khác phải có kiến thức về mối quan hệ giữa các yếu tố của BCM.

Phụ lục A

(tham khảo)

Kiến thức về đánh giá và chứng nhận BCMS

Bảng A.1 nêu tóm tắt các kiến thức cần thiết cho việc đánh giá và chứng nhận BCMS nhưng chỉ mang tính tham khảo vì nó chỉ nhận biết các lĩnh vực kiến thức cho các chức năng chứng nhận cụ thể.

Các yêu cầu về năng lực đối với từng chức năng được nêu trong phần nội dung chính của tiêu chuẩn.

Trong Bảng A.1, dấu “X” có nghĩa là tổ chức chứng nhận cần xác định tiêu chí và chiều sâu của kiến thức.

Bảng A.1 - Bảng kiến thức

Đoàn đánh giá cần có kiến thức chuyên môn hoặc kiến thức chuyên môn cần được bổ sung bởi chuyên gia kỹ thuật khi cần. Khi một đoàn đánh giá tiến hành cuộc đánh giá bất kỳ, đoàn đó cần có các mức kỹ năng cần thiết cho cả đoàn chứ không phải cho từng thành viên riêng lẻ trong đoàn.

Thư mục tài liệu tham khảo

[1] TCVN ISO 19011 (ISO 19011), Hướng dẫn đánh giá hệ thống quản lý

[2] ISO 22313, Societal Security - Business continuity management systems - Guidance (An ninh xã hội - Hệ thống quản lý kinh doanh liên tục - Hướng dẫn)

[3] ISO 22398, Societal Security - Guidelines for exercises (An ninh xã hội - Hướng dẫn thực hành)

[4] TCVN ISO 31000, Quản lý rủi ro - Nguyên tắc và hướng dẫn

[5] TCVN 9788 (ISO Guide 73), Quản lý rủi ro - Từ vựng

[6] TCVN IEC 31010 (IEC 31010), Quản lý rủi ro - Kỹ thuật đánh giá rủi ro

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Yêu cầu chung về năng lực

5  Yêu cầu về năng lực đối với chuyên gia đánh giá BCMS và nhân sự thẩm xét báo cáo đánh giá và ra quyết định chứng nhận

5.1  Yêu cầu chung

5.2  Thuật ngữ về quản lý kinh doanh liên tục (BCM)

5.3  Bối cảnh của tổ chức

5.4  Luật, quy định và các yêu cầu khác được áp dụng

5.5  Mối quan hệ bên trong quá trình BCM

5.6  Phân tích tác động kinh doanh và đánh giá rủi ro

5.7  Chiến lược kinh doanh liên tục

5.8  Quản lý sự cố

5.9  Phương án kinh doanh liên tục

5.10  Thực hành kinh doanh liên tục

5.11  Đánh giá kết quả thực hiện BCMS

6  Yêu cầu về năng lực đối với nhân sự tiến hành xem xét đăng ký chứng nhận để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn thành viên đoàn đánh giá và xác định thời lượng đánh giá.

6.1  Yêu cầu chung

6.2  Thuật ngữ về BCM

6.3  Bối cảnh của tổ chức

6.4  Mối quan hệ bên trong quá trình BCM

Phụ lục A (tham khảo) Kiến thức về đánh giá và chứng nhận BCMS

Thư mục tài liệu tham khảo