Zgodnie z ROZPORZĄDZENIEM MINISTRA CYFRYZACJI z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, certyfikat wydany przez akredytowaną w tym zakresie jednostkę certyfikującą osoby, dla audytora wiodącego systemy zarządzania bezpieczeństwem informacji wg normy PN-EN ISO/IEC 27001 uprawnia do przeprowadzania audytu w rozumieniu art. 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Wykształcenie:
średnie lub wyższe
Szkolenie z zarządzania bezpieczeństwem informacji:
Wymagane: uczestnictwo w kursie dla AWBI w wymiarze 40 godz./1 godzina szkolenia - 45 minut/
Doświadczenie zawodowe:
min. 1 rok zatrudnienia w pełnym wymiarze godzin w przypadku ukończenia studiów wyższych,
w przypadku ukończenia szkoły średniej – 2 lata
Ww. doświadczenie zawodowe powinno obejmować działania, do których zaliczamy np.:
- doświadczenie zawodowe w zakresie bezpieczeństwa IT
- realizację audytów wewnętrznych / strony trzeciej bezpieczeństwa informacji lub systemów informatycznych
- pracę związanej z ochroną danych osobowych
- pracę w obszarze informacji niejawnych
- wdrażanie standardów oraz szacowanie ryzyka w obszarze ochrony informacji
Szkolenia z zarządzania bezpieczeństwem informacji prowadzone są przez instytucje szkolące uznane przez jednostkę certyfikującą – za takie uważa się instytucje ujęte na liście jednostek współpracujących z TUV NORD Polska.
Dla osób samodzielnie przygotowujących się istnieje możliwość przystąpienia „z wolnej stopy”. W takiej sytuacji kandydat do egzaminu zobowiązany jest do złożenia deklaracji o znajomości wymagań określonych w W16/BI „Wytyczne TÜV NORD Polska do certyfikacji personelu w zakresie Systemu Zarządzania Bezpieczeństwem Informacji”.
Warunkiem przystąpienia do procesu certyfikacji jest złożenie „Wniosku o certyfikację” zawierającego informacje dot. spełnienia wymagań zawartych w powyższej tabeli.
Po pozytywnie zdanym egzaminie wydawany jest certyfikat na okres 3 lat.
Jednostka certyfikująca ma prawo do zawieszenia udzielonego certyfikatu, jeżeli:
W przypadku decyzji o zawieszeniu certyfikatu Kierownik Jednostki Certyfikującej Osoby informuje posiadacza certyfikatu na piśmie o przyczynach oraz o wynikających z tego skutkach, a równocześnie daje możliwość zajęcia stanowiska w tej sprawie w wyznaczonym terminie. Jeżeli przyczyny nie można usunąć, to Kierownik Jednostki Certyfikującej Osoby wycofuje certyfikat. Zawiadomienie z podaniem uzasadnienia wycofania dostarczane jest posiadaczowi certyfikatu w formie pisemnej, w którym to jest on wzywany do zwrócenia oryginału certyfikatu do Jednostki Certyfikującej Osoby. Pismo zawiera również pouczenie o możliwości wniesienia odwołania od decyzji. Zawieszenie lub wycofanie certyfikatu zapisywane jest w wykazie certyfikatów.