Nationell certifieringsordning för personcertifiering inom ... · ISO/IEC 27000-serien. Denna personcertifiering är framtagen av det nationella standardiseringsorganet SIS och dess

Version 6.0

Nationell certifieringsordning för personcertifiering inom Informationssäkerhet: Information Security Management Professional, ISMP SPCR_SISISMP Personcertifiering ISMP, Certifieringsregel, dokumentnummer 17419

2 0 1 3 - 0 3 - 1 2

Version 6.0

2 Information Security Management Professional

Innehållsförteckning

1. BAKGRUND ......................................................................................................................... . 3

2. OMFATTNING....................................................................................................................... 5

3. TERMINOLOGI ..................................................................................................................... . 6

4. KOMPETENSOMRÅDEN ........................................................................................................ 7 ÖVERGRIPANDE KOMPETENSOMRÅDEN ....................................................................................................... 7 KOMPETENSOMRÅDENA SPECIFICERADE ...................................................................................................... 7 KOMPETENSOMRÅDENAS ROLL VID CERTIFIERING .......................................................................................... 9

5. KRAV PÅ ARBETSLIVSERFARENHET OCH UTBILDNING .......................................................... 10 ARBETSLIVSERFARENHET INOM INFORMATIONSSÄKERHET ............................................................................. 10 FEM ÅRS ARBETSLIVSERFARENHET INOM INFORMATIONSSÄKERHET ................................................................ 10 SUBSTITUT FÖR ARBETSLIVSERFARENHET.................................................................................................... 10 KONTROLL AV ARBETSLIVSERFARENHET...................................................................................................... 10 UTBILDNING ......................................................................................................................................... 10 VERIFIERING ......................................................................................................................................... 10

6. KRAV PÅ KUNSKAP ............................................................................................................. 11 KUNSKAP INOM INFORMATIONSSÄKERHET ................................................................................................. 11 SKRIFTLIGT PROV ................................................................................................................................... 11

7. PROFESSIONELLT FÖRHÅLLNINGSSÄTT................................................................................ 13 KRAV PÅ PERSONLIGA EGENSKAPER ........................................................................................................... 13 PROFESSIONELLT FÖRHÅLLNINGSSÄTT ....................................................................................................... 13 INTYGANDE........................................................................................................................................... 13

8. CERTIFIERINGSPROCESSEN ................................................................................................. 14

9. VIDMAKTHÅLLANDE AV CERTIFIERING ................................................................................ 16 PERIODISK ÖVERSYN ............................................................................................................................... 16 OMCERTIFIERING ................................................................................................................................... 16

10. INDRAGNING/UPPHÖRANDE AV CERTIFIKAT................................................................... 17

Version 6.0

3 Nationell certifieringsordning inom informationssäkerhet

1. Bakgrund

Användningen av olika IT-tekniker för informationsbehandling liksom mängden information som behandlas ökar hela tiden. Samhället blir allt mer beroende av att system för informationsbehandling fungerar och att känslig information skyddas. Informationssäkerhetsområdet blir därför allt viktigare samt behovet av personer som behärskar området.

Detta dokument definierar krav i samband med ackrediterad certifiering av personer inom informationssäkerhetsområdet som Information Security Management Professional, förkortas ISMP.

Ett utfärdat certifikat innebär kompetens att analysera, utforma, införa, förvalta och genomföra revision av ledningssystem för informationssäkerhet, i enlighet med SS- ISO/IEC 27000-serien.

Denna personcertifiering är framtagen av det nationella standardiseringsorganet SIS och dess tekniska kommitté TK 318 på uppdrag av SIS Förlag AB. Andra aktörer, exempelvis europeiska och nationella standardiseringsorgan, och personcertifieringsaktörer i Europa, kan ansluta sig till certifieringen genom att etablera motsvarande certifieringsprocess under ackreditering i respektive medlemsland.

Flera aktörer, bland annat den Europeiska Nätverks- och Informationssäkerhetsmyndigheten ENISA har uttalat vikten av att etablera en personcertifiering som bygger på europeiska förhållanden. Inom informationssäkerhetsområdet finns inom EU ett antal direktiv och förordningar som medlemsländerna har att implementera i form av nationell lagstiftning. Samtliga EU:s direktiv o förordningar finns publicerade på websidan www.eur-lex.europa.eu. Dessa berör till exempel följande områden:

- skydd av personuppgifter - regler kring dataintrång, - datalagring för tele- och internetoperatörer, - rapportering av så kallade integritetsincidenter - upphovsrätt och närstående rättigheter till information - säkerhetskrav kring elektronisk kommunikation - elektronisk autentisering och identifiering - hantering av operativa risker inom olika branscher

Informationssäkerhetsarbetet i medlemsländerna sker inom denna legala kontext. Europa ett starkt fokus på de internationellt vedertagna standarderna i ISO/IEC 27000- serien. Detta gör att en europeisk certifiering behövs och efterfrågas.

Flera organisationer har bidragit med kommentarer kring utformningen av certifieringen, bland annat MSB (SVISA-ramverket), FMV, Stockholms universitet (SecLab), NSD samt föreningarna SIG Security och SAISec.

http://www.eur-lex.europa.eu/

Version 6.0


ISMP-certifieringen bedrivs i enlighet med ackrediteringsstandarden för personcertifiering, ISO/IEC 17024 samt International Accreditation Forums vägledningsdokument för samma standard, IAF GD 24:2009.

SIS Förlag AB äger detta dokument och ansvarar för innehåll och förvaltning av detsamma.

Version 6.0


2. Omfattning De kompetens- och kvalifikationskrav som här ställs på personer som söker certifiering utgår från följande källor:

- SS-ISO/IEC 27000; ger den som söker certifiering nödvändig översikt och

terminologi för området informationssäkerhet med utgångspunkt från ISO/IEC 27000-familjen av standarder.

- SS-ISO/IEC 27001; indikerar områden inom vilka kompetens krävs för att

analysera, utforma, införa och förvalta ledningssystem för informationssäkerhet.

- SS-ISO/IEC 27002; indikerar områden inom vilka kompetens krävs för att analysera, utforma, införa och förvalta säkerhetsåtgärder.

- SS-ISO/IEC 27005; indikerar områden inom vilka kompetens krävs beträffande

riskhantering.

- ISO/IEC 27007:2011, anger krav på kompetens och kvalifikationer vid revision av ledningssystem för informationssäkerhet.

- ISO/IEC TR 27008; indikerar områden inom vilka kompetens krävs beträffande

revision av säkerhetsåtgärder.

- SS-EN ISO 19011:2011; anger krav på kompetens och kvalifikationer vid revision av ledningssystem generellt.

- EU-direktiv och förordningar relaterade till informationssäkerhet.

I de fall betydelsen av en nationell översättning av en standard uppräknad här skiljer sig från dess internationella eller europeiska motsvarighet, så ska den internationella eller europeiska versionen gälla.

Genom att kraven utgår från dessa källor säkerställs att personer som erhåller certifiering har kvalifikationer och kompetens att analysera, utforma, införa, förvalta, och genomföra revision av ledningssystem för informationssäkerhet.

Det är endast personens kvalifikationer och kompetens inom informationssäkerhet som certifieras. Andra väsentliga områden som språkkunskaper, kommunikationsförmåga och projektledningskunnande, vilka kan ha betydelse, omfattas inte av certifieringen.

Version 6.0


3. Terminologi Certifieringskommitté

Den kommitté med ledamöter som handhar utvecklingen och förvaltningen av denna certifiering i enlighet med certifieringsorganets policy och kvalitetsledningssystem.

Certifieringsorgan

Den organisation som utfärdar personcertifikat under ackreditering.

Information Security Management Professional, ISMP Person som efter prövning, i enlighet med vad som framgår i detta dokument, erhåller certifikat som Information Security Management Professional.

Examinator

Person som på certifieringsorganets uppdrag ansvarar för examinationen av kandidater.

Kompetens

Visad förmåga att tillämpa kunskaper och/eller färdigheter.

Omcertifiering Certifieringsorganets process för att säkerställa att den certifierade fortlöpande uppvisar den kompetens och innehar de kunskaper som certifikatet kräver.

Omtentamen

Tentamen som erbjuds kandidater som har misslyckats med att nå godkänt resultat på det ordinarie provtillfället.

Periodisk översyn Krav på att vara verksam inom området. Verksamhet ska redovisas till certifieringsorganet vartannat år.

Sökande

Person som skriftligt till certifieringsorganet för personcertifiering ansökt om att få göra tentamen.

Tentamen

Mekanism, i detta fall ett skriftligt prov, vilket mäter den sökandes kompetens, och utgör del av utvärderingen av den sökande.

För termer inom området informationssäkerhet, se SS-ISO/IEC 27000.

Version 6.0


4. Kompetensområden

Övergripande kompetensområden - För att erhålla certifiering krävs att den sökande har kompetens (förmåga) inom

för informationssäkerheten centrala områden (se figur 1). Dessa övergripande kompetensområden härrör från innehåll, rekommendationer och krav i källorna ISO/IEC 27000, 27001, 27002, 27005, 27007, 27008, EU-direktiv och förordningar relaterade till informationssäkerhet samt ISO/IEC 19011.

Styrning Säkerhetsåtgärder Riskhantering Revision

Figur 1: Övergripande kompetensområden

Kompetensområdena specificerade Kompetensområdena innefattar följande delar:

Styrning Området behandlas huvudsakligen i standarderna ISO/IEC 27000 och 27001 samt tillämpliga EU-direktiv och förordningar och innefattar:

- Ledningssystem för informationssäkerhet

o Analysera o Utforma o Införa o Förvalta

- Styrande dokument o Informationssäkerhetspolicy o Riktlinjer för informationssäkerhet

- Organisation för informationssäkerhet - Ledningens genomgång - Kravställning gällande informationssäkerhet - Projektledning

Version 6.0


Exempel på arbetsuppgifter inom Styrning som en ISMP certifierad person kan utföra:

- Genom eget arbete analysera och sammanställa en organisations risker inom

området informationssäkerhet. - Införa ett ledningssystem för informationssäkerhet som effektivt samverkar med

övriga ledningssystem inom organisationen. - Självständigt utarbeta och förankra en Informationssäkerhetspolicy baserad på

den faktiska risksituationen för aktuell organisation. - Utarbeta, förankra och införa riktlinjer baserade på

Informationssäkerhetspolicyn för aktuell organisation.

Säkerhetsåtgärder Området behandlas huvudsakligen i standarden ISO/IEC 27002 samt tillämpliga EU-direktiv och förordningar och innefattar:

- Informationstillgångar

o Ägarskap av tillgångar o Skydd av tillgångar

- Personal och säkerhet - Grundläggande IT-säkerhet - Säkerhet vid anskaffning, utveckling och avveckling av system - Incidenthantering - Driftgodkännande - Kontinuitetsplanering - Fysisk och miljörelaterad säkerhet

Exempel på arbetsuppgifter inom Säkerhetsåtgärder som en ISMP certifierad person kan utföra:

- Utarbeta och införa regler för vem som ska vara ägare av informationstillgångar. - Utarbeta och införa regler för vad ägaransvar för informationstillgångar innebär. - Föreslå adekvata skyddsåtgärder för informationstillgångar. - Föreslå lämplig utbildning för olika personalkategorier. - Kontrollera att tillämplig lagstiftning och direktiv följs samt vid behov föreslå

korrigerande åtgärder. - Analysera olika typer av system med avseende på vilka risker som finns och

föreslå lämpliga åtgärder.

Riskhantering Området behandlas huvudsakligen i standarden ISO/IEC 27005 samt tillämpliga EU-direktiv och förordningar och innefattar:

- Informationssäkerhetsrisker - Riskanalys - Hantering av risker - Kostnads- och nyttoanalys

Version 6.0


Exempel på arbetsuppgifter inom Riskhantering som en ISMP certifierad person kan utföra:

- Utföra riskanalyser och konsekvensbeskrivningar och kunna presentera dessa

samt eventuella förslag till åtgärder för organisationens ledning. - Bedöma tänkbara åtgärder med hänsyn tagen till förhållandet mellan kostnad

och effekt. - Bedöma riskers förändring över tiden och vilka konsekvenser detta medför.

Revision Området behandlas huvudsakligen i standarderna ISO/IEC 19011, 27007, 27008 samt tillämpliga EU-direktiv och förordningar och innefattar:

- Revision av ledningssystem inom informationssäkerhet

o Certifieringsrevision o Internrevision o Personlig integritet

Exempel på arbetsuppgifter inom Revision som en ISMP certifierad person kan utföra:

- Deltaga i revisionsteam för Certifieringsrevision. - Deltaga i Internrevision. - Utarbeta för organisationen adekvat revisionsprogram inom

Informationssäkerhet baserat på aktuell risk.

Kompetensområdenas roll vid certifiering De fyra övergripande kompetensområdena, tillsammans med innehållet i de uppräknade källorna, anger det område inom vilket den sökande ska ha arbetslivserfarenhet och kompetens. Se vidare i respektive avsnitt för ytterligare information om hur detta säkerställs.

De fyra kompetensområdena är starkt knutna till varandra, men innebär olika infallsvinklar då till exempel:

- Styrning innebär design och införande av processer inom informationssäkerhet. - Säkerhetsåtgärder är de åtgärder som införts i en organisation baserat på

riskhantering. - Riskhantering innebär att analysera och dokumentera aktuella risker samt

fastställ vilka risker som kan accepteras. - Revision kan innebära en granskning av att införda processer och åtgärder

innebär tillräckligt skydd i förhållande till aktuella informationssäkerhetsrisker.

Version 6.0


5. Krav på arbetslivserfarenhet och utbildning

Arbetslivserfarenhet inom informationssäkerhet För att erhålla certifiering krävs att den sökande har arbetslivserfarenhet inom informationssäkerhet.

Fem års arbetslivserfarenhet inom informationssäkerhet Den sökande ska ha minst fem års arbetslivserfarenhet från informationssäkerhets- arbete inom två eller fler av de fyra övergripande kompetensområdena (se Kapitel 4 - Kompetensområdena specificerade). Arbetslivserfarenheter som tillgodoräknas för att uppfylla kravet får vara maximalt 15 år gamla räknat från datum för ansökan om certifiering.

Vid redovisning och beräkning av arbetslivserfarenhet ska den sökande ange antal månader som denna arbetat minst halvtid inom de aktuella områdena. Summan måste uppgå till minst 60 kalendermånader (36 månader vid åberopande av substituering, se nedan).

Substitut för arbetslivserfarenhet Kandidatexamen eller högre från högskola/universitet kan ersätta maximalt två års arbetslivserfarenhet, eftersom detta innebär att den sökande genomgått akademisk utbildning som gett generell kompetens kring analys och sammanställning av information, att dra relevanta slutsatser samt att kommunicera. Detta gäller oavsett inom vilket ämne examen avlagts. Motsvarande examina, minst ”bachelor”, från utländska lärosäten godkänns även.

Kontroll av arbetslivserfarenhet Den sökande ska i samband med ansökan om certifiering tillställa certifieringsorganet verifierbar information som visar att krav på arbetslivserfarenhet är uppfyllt. Sökande som nyttjar möjligheten att substituera upp till två år genom gällande certifiering eller examen enligt ovan ska även tillställa certifieringsorganet vidimerade kopior på examensbetyg.

Utbildning Den sökande ska visa att han eller hon har avlagt gymnasieexamen eller motsvarande.

Verifiering Certifieringsorganet verifierar genom stickprov att angivna uppgifter är korrekta, exempelvis genom telefonsamtal till angiven arbetsgivare.

Version 6.0


6. Krav på kunskap

Kunskap inom informationssäkerhet För att erhålla certifiering krävs att den sökande har kunskap inom informationssäkerhet, så som området definieras genom de fyra kompetensområdena.

Skriftligt prov Den sökande ska genomgå ett skriftligt prov för att visa nödvändig kunskap och kompetens. Examinationen administreras av certifieringsorganet.

Examinator: En examinator, som är väl förtrogen med de uppräknade standarderna och innehar relevanta kunskaper och erfarenheter inom informationssäkerhet, ska utses av certifieringsorganet. Examinatorn ska besitta kunskap och erfarenhet som inom samtliga områden överstiger kravet för certifiering, enligt detta dokument, samt ha minst 10 års arbetslivserfarenhet inom informationssäkerhet, dvs. arbetat minst halvtid med informationssäkerhet. Examinatorn ansvarar för rättning av prov.

Frågebank: Examinatorn tar fram en frågebank varifrån frågor väljs ut i samband med varje provtillfälle för att utgöra ett skriftligt prov. Frågorna i frågebanken ska godkännas av certifieringsorganet och certifieringskommittén. Frågorna ska baseras på de tidigare uppräknade standarderna och lagar inom området samt innehålla frågor från alla fyra kompetensområden. Frågorna ska hållas aktuella.

Stickprovskontroll: Certifieringsorganet ansvarar för att stickprov på rättat prov tas regelbundet.

Provets delar: Det skriftliga provet består av två delmoment, varav 60 % (60 av 100 poäng) är flervalsfrågor och 40% (40 av 100 poäng) öppna frågor. Frågorna täcker sammantaget in de fyra kompetensområdena inklusive relaterad EU-lagstiftning (se avsnitt Kompetensområden). För att kandidaten ska bli godkänd ska 70 % av det maximala antal poängen på provet som helhet uppnås, det vill säga 70 poäng. Provtiden är 3 timmar. En tentamensvakt övervakar provet och ansvarar för att certifieringsorganets regelverk för tentamen följs.

Rättningsmall: Rättning av de skriftliga proven sker med hjälp av en förbestämd rättningsmall, där de korrekta svaren på flervalsfrågorna är angivna, samt där grunderna för poängbedömning för de öppna frågorna finns beskrivet.

Meddelande av provresultat: De skriftliga proven och rättningsmallen behålls av certifieringsorganet och delges ej den sökande efter provtillfället. Den sökande får reda på sitt provresultat (antal poäng), och meddelande om resultatet är godkänt eller ej samt antal poäng som krävs för godkänt resultat.

Vid ej godkänt resultat: Ifall godkänt resultat inte uppnås, har den sökande rätt att genomgå nytt certifieringsprov under förutsättning att det genomförs inom 6 månader från det första provtillfället. För det fall godkänt resultat inte uppnås efter 3 provtillfällen, har den sökande endast rätt att genomgå nytt certifieringsprov först efter

Version 6.0


att 1 år förflutit från det senaste provtillfället. En person som genomför omtentamen eller omcertifiering erhåller vid detta tillfälle ett nytt prov där maximalt 15% av frågorna har förekommit vid personens tidigare provtillfällen under de senaste två åren.

Version 6.0


7. Professionellt förhållningssätt

Krav på personliga egenskaper SS-EN ISO 19011:2011 tillsammans med ISO/IEC 27007:2011 fastslår krav på personliga egenskaper för den som ska arbeta med revisioner av ledningssystem för informationssäkerhet. Dessa krav ska gälla för samtliga som söker certifiering. Främst gäller kraven sådant som kan hänföras till det etiska området. Med utgångspunkt i kraven har principer för ett professionellt förhållningssätt formulerats vilka en sökande ska acceptera, följa och förespråka.

Professionellt förhållningssätt För att erhålla certifiering ska den sökande lova att acceptera, tillämpa och förespråka följande principer:

- Uppträdande: Att i sitt värv uppträda på ett oklanderligt och värdigt sätt.

- Objektivitet: Att tillämpa ett objektivt synsätt där problem och potentiella

lösningar bedöms utifrån olika perspektiv.

- Lojalitet: Att utföra uppdrag lojalt, ändamålsenligt och i enlighet med uppdragsgivarens instruktioner, utan att åsidosätta samhällets bästa.

- Konfidentialitet: Att inte obehörigen röja information man fått del av genom

uppdrag eller anställning.

- Kultur: Att vara lyhörd för, och ta hänsyn till, kulturella skillnader mellan olika typer av verksamheter och geografiska platser.

- Integritet: Att i förekommande fall påtala brister, felaktigheter, och etiska

tveksamheter i uppdrag eller arbetsuppgifter på ett tydligt och konstruktivt sätt.

- Lagstiftning: Att hålla sig informerad om och tillämpa gällande lagstiftning inom informationssäkerhetsområdet.

- Standarder: Att förespråka användning av standarder och vedertagen praxis

inom området, speciellt vad gäller standarderna inom ISO27000-serien.

Intygande Den sökande ska skriftligen intyga, i samband med ansökan om certifiering, att dessa principer accepteras, tillämpas och förespråkas liksom certifieringsorganets allmänna villkor.

Version 6.0


8. Certifieringsprocessen

Ansökan om certifiering

Anmälan till tentamen

Tentamen

Utvärdering

• Godkänd tentamen

• Redovisning arbetslivserfarenhet

• Acceptans etiska regler

Certifierings-

organets verifiering

Utfärdande av

certifikat

Figur 2: Certifieringsprocessen från den sökandens perspektiv

Certifieringsprocessen innefattar följande steg (se figur 2):

1. Ansökan om certifiering: Ansökan inleds med information till sökande, som ger potentiella sökande information om samtliga krav för certifiering.

2. Anmälan till tentamen: Den sökande anmäler sig till tentamen, det vill säga ett

provtillfälle där det skriftliga provet kan besvaras.

3. Tentamen: Det skriftliga provet genomförs (se avsnitt skriftligt prov)

4. Utvärdering: Efter godkänd tentamen kan ansökan om certifiering ske. En komplett ansökan består av godkänt provresultat (maximalt två år gammalt räknat från provtillfället till dess att ansökan inkommit), redovisning av arbetslivserfarenhet samt acceptans av principerna för ett professionellt förhållningssätt (se respektive avsnitt för mer information om varje del).

5. Certifieringsorganets verifiering: Certifieringsorganet kontrollerar att ansökan

är korrekt ifylld och att kraven för certifiering är uppfyllda. Detta innefattar även kontroll av uppgifterna i ansökan. Om det finns tveksamheter vid certifieringsorganets bedömning av en sökandes kvalifikationer ska certifieringskommittén kontaktas för en kompletterande bedömning.

6. Utfärdande av certifikat: När samtliga krav är uppfyllda utfärdas certifikatet,

vars giltighetstid är fyra år, till den sökande.

Ovanstående process innebär att den sökande inte behöver ägna tid och ansträngning åt att redovisa arbetslivserfarenhet innan den sökande vet att tentamen blivit godkänd.

Vidare är det möjligt för en sökande som saknar tillräcklig arbetslivserfarenhet, men har ett antal månader, att tentera med godkänt resultat och sedan inom de närmsta två åren skaffa sig den kompletterande arbetslivserfarenheten som behövs. Processen är

Version 6.0


likartad för andra typer av certifieringar inom samma område som CISA, CISM och CISSP.

Utöver de steg som redovisas här ska rutiner finnas vad avser omcertifiering, omtentamen, samt indragning av certifikat.

Version 6.0


9. Vidmakthållande av certifiering För att vidmakthålla certifieringen krävs att den certifierade kontinuerligt utvecklar sitt kunnande inom de övergripande kompetensområden vilka redovisats tidigare. För kontroll av detta finns två krav:

Periodisk översyn Krav att vara verksam: För att vidmakthålla certifikatet krävs att den certifierade är verksam inom informationssäkerhetsområdet.

Redovisning: Den certifierade ska därför vartannat år till certifieringsorganet skriftligen intyga att denna har arbetat eller genomgått utbildning informationssäkerhetsområdet under perioden. Vid denna redovisning ska den sökande ange antal månader som denna arbetat eller genomgått utbildning, minst halvtid, inom något de fyra kompetensområdena under perioden. Antalet månader med minst halvtid måste minst uppgå till minst 18 för tvåårsperioden.

Specialfall: Vid sjukdom, föräldraledighet och andra liknande skäl, kan certifieringsorganet efter bedömning av enskilt fall besluta att kravet är uppfyllt trots att tiden understiger den stipulerade.

Indragande av certifikat: Finner certifieringsorganet att krav på arbetslivserfarenhet inte är uppfyllda på ett tillfredsställande sätt ska personcertifikatet dras in (se avsnitt indragning av certifikat).

Omcertifiering Genom en omcertifiering (skriftligt prov), med maximalt fyra års mellanrum, säkerställs att den certifierade fortlöpande besitter den kunskap och kompetens som certifikatet indikerar (se avsnittet krav på kunskap). Om den certifierade ej uppnår godkänt provresultat har denne möjlighet att sitta provet på nytt så länge det befintliga certifikatet inte upphört att gälla.

Version 6.0


10. Indragning/upphörande av certifikat Det finns tre grunder för indragning av certifikat:

1) Den certifierade har ej redovisat verksamhet inom

informationssäkerhetsområdet i den utsträckning som krävs (se avsnitt vidmakthållande av certifikat).

2) När certifikatets giltighetstid gått ut upphör det att gälla. Den certifierade ska

därför dessförinnan genomgå nytt skriftligt prov med godkänt resultat. Om sådant prov inte genomförs med godkänt resultat upphör certifikatet att gälla (se avsnitt vidmakthållande av certifikat).

3) Det har kommit till certifieringsorganets kännedom och bedömts att den

certifierade inte lever upp till principerna för ett professionellt förhållningssätt (se avsnitt Professionellt förhållningssätt)

En certifierad person kan själv begära att ett certifikat ska upphöra och i detta fall utfärdar certifieringsorganet ett avslutsdokument samt noterar i befintliga register att personen frivilligt avslutat sin certifiering.

En person vars certifikat upphört att gälla kan på nytt ansöka om certifiering och måste då genomgå hela certifieringsprocessen på nytt.

Rutinen för indragning av certifikat, inklusive process för att hantera klagomål på en certifierad person, styrs av certifieringsorganets ledningssystem.

Documents

Nationell certifieringsordning för personcertifiering inom ... · ISO/IEC 27000-serien. Denna personcertifiering är framtagen av det nationella standardiseringsorganet SIS och dess