搜索结果: GB/T 27021.6-2020, GB/T27021.6-2020, GBT 27021.6-2020, GBT27021.6-2020
| 标准编号 | GB/T 27021.6-2020 (GB/T27021.6-2020) | | 中文名称 | 合格评定 管理体系审核认证机构要求 第6部分:业务连续性管理体系审核认证能力要求 | | 英文名称 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems | | 行业 | 国家标准 (推荐) | | 中标分类 | A00 | | 国际标准分类 | 03.120.20 | | 字数估计 | 9,971 | | 发布日期 | 2020-03-31 | | 实施日期 | 2020-10-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 27021.6-2020: 合格评定 管理体系审核认证机构要求 第6部分:业务连续性管理体系审核认证能力要求
GB/T 27021.6-2020 英文名称: Conformity assessment -- Requirements for bodies providing audit and certification of management systems -- Part 6: Competence requirements for auditing and certification of business continuity management systems
1 范围
GB/T 27021的本部分对ISO/IEC 17021:2011的现有要求进行了补充。本部分包含了对业务连
续性管理体系(BCMS)认证过程中所涉及人员的特定能力要求。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 17000 合格评定 词汇和通用原则
ISO/IEC 17021:2011 合格评定 管理体系认证机构要求
ISO 22300 公共安全 术语
ISO 22301 公共安全 业务连续性管理体系 要求
3 术语和定义
ISO 22300、ISO 22301、ISO/IEC 17000和ISO/IEC 17021:2011界定的术语和定义适用于本
文件。
4 通用能力要求
认证机构应对ISO/IEC 17021:2011表A.1中的每一项认证职能定义能力要求。在定义这些能力
要求时,认证机构应考虑ISO/IEC 17021:2011中规定的所有要求,以及本部分第5章至第6章中规定
的所有要求。
注1:附录A提供了对特定的认证职能所涉及人员能力要求的资料性摘要。
注2:ISO 19011提供了审核原则的信息。
5 BCMS审核员、复核审核报告人员和做出认证决定人员的能力要求
5.1 总则
所有BCMS审核员、复核审核报告人员和做出认证决定人员均应具备一定程度的能力,包括ISO/
IEC 17021:2011中所描述的通用能力,以及本部分5.2~5.11所描述的BCMS知识。
注1:审核组中的每位审核员不必具备同样的能力,然而审核组的整体能力需要足以实现审核目标。
注2:尽管这些知识要求的基本要素都一样,但可以认识到对审核员、复核审核报告人员和做出认证决定人员而言,知识要求的详略程度可能不尽相同。这由各认证机构负责确定。
5.2 业务连续性管理(BCM)术语
审核组、复核审核报告人员和做出认证决定人员应具备BCM及风险的术语、定义和概念的知识。
5.3 组织环境
审核组、复核审核报告人员和做出认证决定人员应具备组织运行所处环境的知识。
5.4 适用法律法规和其他要求
审核组、复核审核报告人员和做出认证决定人员应具备相关知识,以确定组织是否识别并评价了适
用法律和其他要求的符合性。
注1:行政规章和法规要求可以表述为法律要求。
注2:其他要求可以包括自愿性的国家、国际和特定行业的协定。
5.5 业务连续性管理过程中的关系
审核组、复核审核报告人员和做出认证决定人员应具备BCM各要素间相互关系的知识。
5.6 业务影响分析和风险评估
审核组、复核审核报告人员和做出认证决定人员应具备业务影响分析(BIA)的知识,包括:
---方法学和技术;
---对产品和服务交付活动的识别;
---对时间推移产生的影响进行评估,识别何时会变为不可接受;
---为重启设置优先级;
---对依赖及支持资源的识别。
审核组、复核审核报告并做出认证决定的人员应具备风险评估和风险管理的知识,包括:
---方法学和技术;
---中断事件相关风险的识别、分析和评价;
---现有控制措施的有效性;
---对适当的风险处置的识别。
5.7 业务连续性策略
审核组、复核审核报告人员和做出认证决定人员应具备降低中断事件影响和可能性的策略和方法
学方面的知识,包括:
---策略制定;
---准备措施;
---替代策略的选择;
---连续性策略的成本收益分析;
---和外部相关方的协调方法;
---事件响应;
---沟通;
---命令和控制;
---响应组织的协调;
---恢复和重建。
5.8 事件管理
审核组、复核审核报告人员和做出认证决定人员应具备事件管理措施的知识,以确定组织是否识别
了对中断事件的适当响应,包括预警和沟通需求。
审核组、复核审核报告人员和做出认证决定人员应具备相关知识以评价组织测试其事件管理能力
的有效性。
5.9 业务连续性计划
审核组、复核审核报告人员和做出认证决定人员应具备业务连续性计划的知识,包括业务连续性计
划的建立、开发、维护、目的、格式、结构以及程序细节。
5.10 业务连续性演练
审核组、复核审核报告人员和做出认证决定人员应具备策划和执行业务连续性演练的知识,包括业
务连续性演练的类型、过程、技巧以及评价组织满足其恢复优先级别与恢复目标的能力的准则。
5.11 BCMS绩效评估
审核组、复核审核报告人员和做出认证决定人员应具备BCMS绩效评价的知识,包括指标和绩效
测量的知识,以确定组织的BCMS绩效是否实现其管理层确定的目的和目标。
6 实施申请评审人员的能力要求,以确定审核组能力需求、选择审核组成员和确定审核时间
6.1 总则
其他认证职能的小组或个人应具备的能力......
|