Organizacija, turinti sertifikuotą informacijos saugumo valdymo sistemą pagal ISO/IEC 27001, kurią sertifikavo akredituota sertifikavimo įstaiga (toliau – AVĮ), patyrė kibernetinę ataką, kuri buvo plačiai viešai aptarinėjama ar net eskaluojama. Kokie turėtų būti AVĮ veiksmai?

Pagal ISO/IEC 27000 kibernetinė ataka yra rizika veiklai ir išorinė problema, kurią organizacija turi nustatyti ir informuoti AVĮ. Įprastai tokie veiksmai  turi būti aprašyti sertifikavimo sutartyje, siekiant užtikrinti, kad informacija būtų pateikta laiku pagal ISO/IEC 17021-1 „8.5.3 Sertifikuoto kliento pranešimas apie pasikeitimus. AVĮ turi imtis teisiškai vykdytinų priemonių, užtikrinančių, kad sertifikuotas klientas informuotų AVĮ, be delsimo, dėl dalykų, kurie gali turėti įtakos valdymo sistemos gebėjimui ir toliau atitikti sertifikavimui naudojamo standarto reikalavimus“.

Jeigu šis punktas nebuvo įtrauktas į sertifikavimo sutartį ar organizacija jo nevykdė, AVĮ sužinojusi informaciją apie incidentą, turi patikrinti, ar organizacija įgyvendino atitinkamus ISO/IEC 27001 reikalavimus (ypač A priedo 6.1.3 Informacijos saugumo rizikos apdorojimas ir A.16 Informacijos saugumo incidentų valdymas) ir priimti atitinkamus sprendimus, įskaitant sprendimą dėl sertifikavimo pratęsimo arba sustabdymo. Priklausomai nuo situacijos, turi būti peržiūrėta ankstesnių auditų medžiaga, siekiant įsitikinti, kad jie buvo atlikti tinkamai ir ar AVĮ negali būti laikoma atsakinga už kokius nors praleistus dalykus.

Priežiūros vertinimo metu Biuras vertina, ar AVĮ  ėmėsi tinkamų veiksmų.

Atnaujinta: 2023 03 31

Darbuotojų priežiūra yra daugiau susijusi su apmokomo darbuotojo veiklos stebėjimu ir kontrole iki to laiko, iki kol darbuotojas bus įgaliotas dirbti savarankiškai. Tai apima veiksmus, kai patyręs darbuotojas:

• stovėdamas šalia mokomo darbuotojo, žiūri, kaip yra atliekami atitinkami veiksmai ir įrašai;
• visada peržiūri visus įrašus, atliktus mokomo darbuotojo.

Taip pat darbuotojų priežiūra gali būti taikoma tais atvejais, kai patyręs darbuotojas yra apmokomas naujoms veikloms arba yra atnaujinamos žinios darbuotojo, grįžusio po ilgalaikių atostogų.

Darbuotojo kompetencijos monitoringas yra susijęs su patyrusio ir įgalioto darbuotojo kompetencijos lygio vertinimu. Šis vertinimas yra atliekamas nustatytu periodiškumu.

Monitoringo veiksmai negali apsiriboti tik darbuotojo veiklos stebėjimu vidaus auditų metu. Jei konkrečiam darbuotojui yra priskirtos kitos atitinkamos pareigos ir atsakomybės, taip pat turi būti vertinami visi darbuotojo veiksmai ir įrašai, įrodantys darbuotojo atliktų veiksmų kokybę visose jam priskirtos veiklos srityse, t. y., ne tik bandymų atlikimo veikloje, bet ir kitose veiklose, pvz., vidaus auditų atlikimo, įrangos techninės priežiūros, nuomonių ir aiškinimų teikimo, palyginamųjų bandymų organizavimo ir pan. veiklose.

Įvertinus darbuotojo kompetenciją, turi būti atliekami įrašai, susiję su sprendimu dėl darbuotojo kompetencijos lygio bei su papildomų mokymų ar kitokių veiksmų poreikiu.

Atnaujinta: 2022 06 06

Akreditacija gali būti sustabdyta ne ilgesniam kaip 6 mėn. terminui atitikties vertinimo įstaigos (toliau – AVĮ) prašymu, Biuro iniciatyva, kai AVĮ neatitinka akreditavimo reikalavimų, arba nustačius nesąžiningą AVĮ elgesį, t. y., kai sąmoningai nevykdomi akreditacijos reikalavimai, informacija slepiama ar pateikiama klaidinanti. 

Akreditacijos sustabdymo atveju yra laikinai apribota visa ar dalis akreditavimo srityje nurodytos veiklos, t. y., AVĮ, kurios akreditacija yra sustabdyta, neturi teisės atlikti akredituotos atitikties vertinimo veiklos ir išduodamų dokumentų (bandymų protokolų, ataskaitų, sertifikatų) žymėti akreditacijos simboliu.

Atnaujinta: 2022 03 02

Biuras standartų neplatina. Visus Lietuvos, Europos ir tarptautinius standartus galima įsigyti Lietuvos standartizacijos departamente, daugiau informacijos www.lsd.lt.

Atnaujinta: 2022 03 02

Atsiradus neatitikčiai, atitikties vertinimo įstaiga (toliau – AVĮ) privalo nustatyti neatitikties mastą, t.y. analizuoti savo turimus dokumentus ir įrašus, siekdama nustatyti, ar tokia pati neatitiktis egzistuoja kituose, nei nurodyta neatitiktyje, dokumentuose/įrašuose, įskaitant ir skirtingas veiklos sritis. Taip pat turi būti įvertinta, ar panaši neatitiktis gali atsirasti toje pačioje arba kitoje vietoje.

Neatitikties masto (paplitimo) analizė turi būti atliekama visose atliekamos veiklos srityse. Masto analizė turi būti atliekama prieš dokumentuojant pagrindinę neatitikties priežastį.

Kiekviena konkreti neatitiktis konkrečiame dokumente/įraše gali turėti skirtingas priežastis. AVĮ, įvertinusi besikartojančių neatitikčių skaičių ir kiekvienos neatitikties priežasčių visumą, turi galimybę nustatyti pagrindinę (esminę) priežastį, kurią pašalinus, neatitiktys neturi kartotis.

Neatitikties masto (paplitimo) analizės pavyzdys:

Nustatyta neatitiktis: bandymų protokole pagal metodą X nepateikta visa reikalaujama informacija, nurodyta metode X.

Neatitikties masto analizė:

a) laboratorija turi nustatyti, kokį laikotarpį apims neatitikties masto analizė, t. y. laiko tarpą, per kurį buvo išduoti bandymo pagal metodą X protokolai, kuriuos reikės išanalizuoti;

b) atliekama protokolų, išduotų pagal metodą X, analizė ir nustatoma, keliuose protokoluose kartojasi ta pati neatitiktis;

c) atliekama protokolų, išduotų pagal kitus metodus per nusistatytą laikotarpį, analizė ir nustatoma, ar kartojasi ta pati neatitiktis pagal kitus metodus;

d) atliekama visų protokolų, išduotų per nusistatytą laikotarpį, analizė, įvertinant ar nėra neatitikties, susijusios su standarto LST EN ISO/IEC 17025:2018 reikalavimais bandymų protokolams.

Gauti neatitikties masto (paplitimo) analizės rezultatai turėtų būti dokumentuojami, siekiant tinkamai suplanuoti koregavimo ir korekcinius veiksmus, atsakingus darbuotojus ir planuojamų veiksmų atlikimo laiką.

Neatitikties masto analizės įrašai turi apimti nagrinėtus duomenis (t. y. konkrečius dokumentus/konkretų dokumentų skaičių už konkretų periodą, konkrečias veiklas ir pan.) ir analizės rezultatus (informaciją, ar buvo rasta analogiškų ar panašių neatitikčių, kiek tų neatitikčių ir pan.).

Neatitikties masto analizės įrašų pavyzdys:

a) nagrinėti duomenys: išanalizuoti 53 protokolai, išduoti [per nusistatytąjį laikotarpį])

b) analizės rezultatai: 18-je protokolų rastos neatitiktys, susijusios su metodo reikalavimais, bei 20-je protokolų rastos neatitiktys, susijusios su standarto LST EN ISO/IEC 17025:2018 reikalavimais bandymų protokolams.

Atnaujinta: 2022 03 02

Biuras tokių licencijų neišduoda. Rekomenduojama pasiteirauti Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos (https://vaspvt.gov.lt).

Atnaujinta: 2022 03 02

Biuras laikosi nešališkumo principų – pats neteikia konsultacijų ir nerekomenduoja konsultantų, kurie padėtų pasiekti akreditaciją.

Biuras aprašo akreditavimo proceso etapus akreditacijos dokumente AD 5.1, esant paklausimui, paaiškina šio dokumento nuostatas žodžiu.

Atnaujinta: 2022 03 02

Akr edituota atitikties vertinimo įstaiga (toliau – AVĮ) turi vadovautis AD 5.1  6.12-6.13 punktuose aprašyta tvarka ir šiomis rekomendacijomis:

Pagal akreditavimo sutartį pranešti reikėtų apie šiuos svarbius su akreditavimu susijusius pasikeitimus:

• juridinio asmens, kuris yra ar kurio struktūrinis padalinys yra AVĮ, (toliau – juridinis asmuo) savininko / dalininko pasikeitimą,
• juridinio asmens pavadinimo pasikeitimą;
• juridinio asmens teisinės formos pasikeitimą (juridinio asmens pertvarkymą);
• AVĮ organizacinės struktūros, aukščiausiosios vadovybės, pagrindinių darbuotojų pasikeitimą;
• išteklių ir veiklos vykdymo vietų pasikeitimą;
• akreditavimo srities pasikeitimą;
• juridinio asmens reorganizavimą ar likvidavimą;
• paaiškėjus bet kokioms kitoms aplinkybėms, kurios gali daryti poveikį AVĮ gebėjimui atitikti akreditavimo standarto, akreditavimo sutarties ir, jei taikoma, kitus reikalavimus (toliau – akreditavimo reikalavimai).

  Informuodama apie pasikeitimus AVĮ turi pateikti:

• oficialų pranešimą;
• minimalią informaciją ir pasikeitimo pobūdį ir mastą, pasikeitimą įrodančius dokumentus;
• išsamią pasikeitimų poveikio AVĮ gebėjimui atitikti akreditavimo reikalavimus vertinamąją analizę (AVĮ savęs įvertinimą akreditavimo standarto, akreditavimo sutarties, kitų taikomų reikalavimų atitikčiai);
• veiksmų, kurių ėmėsi arba imsis AVĮ, siekdama užtikrinti atitiktį akreditavimo reikalavimams, planavimo ir atlikimo įrodymus (pvz., pokyčių diegimo planus, dokumentų keitinius, mokymo programas, įgaliojimus).

Pasikeitimų įrodymai ir teiktina informacija gali apimti, bet neapsiriboja:

• pasikeitus juridinio asmens savininkui/ dalininkui – naujojo savininko/ dalininko vardas, pavardė arba pavadinimas, adresas, savininko/ dalininko pasikeitimo įrodymai, įgyta teisė priimti sprendimus (100 proc. ar mažesnė balsų dalis); informacija apie visas susijusias įstaigas ir visus galimus interesų konfliktus, susijusius su naujuoju savininku/ dalininku; informacija apie visus planuojamus akredituotos AVĮ veiklos vietos, pagrindinių darbuotojų, veiklos organizavimo pakeitimus;
• pasikeitus juridinio asmens pavadinimui – sprendimas dėl pavadinimo pakeitimo;
• pasikeitus juridinio asmens teisinei formai – sprendimas dėl juridinio asmens pertvarkymo; informacija apie visus planuojamus akredituotos AVĮ veiklos vietos, pagrindinių darbuotojų, veiklos organizavimo pakeitimus;
• pasikeitus AVĮ aukščiausiajai vadovybei – naujojo vadovo CV, mokymo programa ir kt. 
• juridinio asmens reorganizavimo ar likvidavimo atveju – sprendimas dėl reorganizavimo ar likvidavimo.

Reorganizavus ar likvidavus juridinį asmenį, kuris yra ar kurio struktūrinis padalinys yra AVĮ, juridinio asmens pasibaigimo aplinkybė tampa pagrindu naikinti AVĮ išduoto akreditavimo pažymėjimo galiojimą vadovaujantis Lietuvos Respublikos atitikties vertinimo įstatymo 13 straipsnio 1 dalies 6 punktu.

Sprendimas dėl akreditavimo pažymėjimo galiojimo panaikinimo būtų priimamas ir tuo atveju, jei juridinis asmuo, kurio struktūrinis padalinys yra AVĮ, nuspręstų savo struktūroje panaikinti tokį struktūrinį padalinį ir nebetęsti akredituotos veiklos (šiuo atveju juridinis asmuo turėtų pateikti sprendimą dėl juridinio asmens struktūros pakeitimo, lemiantį AVĮ pabaigą, arba iki AVĮ veiklos nutraukimo pati AVĮ galėtų prašyti akreditavimo pažymėjimo galiojimo panaikinimo Atitikties vertinimo įstatymo 13 straipsnio 1 dalies 1 punkto pagrindu).

Informuoti apie pasikeitimus reikėtų kuo anksčiau, kai tik paaiškėja pasikeitimą lemiančios aplinkybės (pvz., priimamas sprendimas dėl numatomų pasikeitimų).

Akreditavimo pažymėjimo keitimas, jame įrašant pasikeitusius juridinių asmenų registro duomenis (naują juridinio asmens pavadinimą, teisinę formą) arba galiojimo panaikinimas dėl juridinio asmens pabaigos atliekamas tik gavus tai patvirtinančius duomenis iš juridinių asmenų registro.

Visų pakeitimų atveju Biuras įvertins pateiktą informaciją ir praneš apie priimtą sprendimą ir tolesnius veiksmus. Jei turėsite klausimų, kreipkitės į Biurą.

Planuojant ir diegiant pakeitimus reikėtų atsižvelgti į tai, kad akreditacija yra siejama su konkrečiu juridiniu asmeniu ir negali būti automatiškai perduota kitam juridiniam asmeniui ar šio struktūriniam padaliniui, t. y. Biuras neturi teisinio pagrindo išduoti akreditavimo pažymėjimo juridiniam asmeniui, su kuriuo neturi akreditavimo sutarties.

Naujam juridiniam asmeniui siekiant perimti kito juridinio asmens AVĮ vykdomą akredituotą veiklą, gali būti kreipiamasi dėl pirminio akreditavimo ir sudaroma nauja akreditavimo sutartis (jei veiklą perimantis asmuo akredituotos veiklos nevykdo) arba teikiamas prašymas dėl akreditavimo srities išplėtimo (jei veiklą perimantis asmuo jau yra akredituotas tokiai veiklai).

                               Pasikeitimo poveikio akreditavimo reikalavimų atitikčiai analizės pavyzdys

                                                                                      (AVĮ pavadinimas)

                     (Pasikeitimo pavadinimas/ apibūdinimas, pvz., Juridinio asmens teisinės formos pasikeitimas)

                                         Pasikeitimo poveikio akreditavimo reikalavimų atitikčiai analizė

Atnaujinta: 2022 03 02

Biuro interneto svetainėje www.nab.lrv.lt skelbiamas „Akredituotų įstaigų sąrašas“, pateikiama akreditavimo sritis ir kita su akreditavimu susijusi informacija, kurią Biuras turi teikti viešai.

Norint rasti konkretų bandymų metodą reglamentuojantį standartą pasirinkimuose reikia pažymėti varnele – „Ir akreditavimo srityje“, galima paieška nurodant standarto žymenį arba „raktinį“ bandymo metodo žodį.

Taip pat skelbiamos įstaigos, kurių akreditacija yra sustabdyta arba panaikinta.

Atnaujinta: 2022 03 02

Akreditavimo procesas nuo paraiškos dokumentų pateikimo iki akreditavimo pažymėjimo išdavimo vidutiniškai trunka 6-12 mėn.

Atnaujinta: 2022 03 02

Akreditacija suteikiama 5 metų laikotarpiui. Per šį laikotarpį atliekamos periodinės priežiūros vertinimai.

Akreditavimo pažymėjimas gali būti išduotas trumpesniam laikotarpiui, kai standartas, kurio atitikčiai atitikties vertinimo įstaiga buvo akredituota, pakeičiamas nauju standartu, kuriame nustatomas pereinamasis laikotarpis. Šiuo atveju akreditavimo pažymėjimas išduodamas iki pereinamojo laikotarpio termino pabaigos.

Atnaujinta: 2022 03 02

Laboratorija, prieš teikdama Biurui paraišką dėl pirminio akreditavimo standarto LST EN ISO/IEC 17025:2018 atitikčiai, turi:
1. turėti įdiegtą ir veikiančią vadybos sistemą, atitinkančią standarto LST EN ISO/IEC 17025:2018 reikalavimus;
2. gebėti pademonstruoti techninę kompetenciją;
3. turėti patirties siekiamoje akreditavimo srityje.
Akreditacijos siekianti atitikties vertinimo įstaiga pateikia Biurui paraišką pagal akreditacijos dokumente AD 5.1 „Atitikties vertinimo įstaigų akreditavimas. Bendrieji reikalavimai“ nustatytus reikalavimus, kuris taikomas kartu su specialiuosius reikalavimus nustatančiu akreditacijos dokumentu AD 5.3 „Laboratorijų akreditavimas. Specialieji reikalavimai.“ Minėti dokumentai laisvai prieinami Biuro interneto puslapyje adresu: http://nab.lrv.lt/lt/veiklos-sritys-1/bandymu-ir-kalibravimo-laboratoriju-akreditavimas-iso-iec-17025. Pateiktoje nuorodoje taip pat rasite ir kitus, laboratorijos veiklai reikalavimus nustatančius dokumentus.

Atnaujinta: 2022 03 02

Negali. Akreditavimo gali siekti tik Lietuvoje registruotas juridinis asmuo arba aiškiai nustatytas juridinio asmens padalinys.

Atnaujinta: 2022 03 02

Biuras akredituoja atitikties vertinimo įstaigas: bandymų, kalibravimo ir medicinos laboratorijas; kontrolės įstaigas; asmenų, produktų, vadybos sistemų sertifikavimo įstaigas bei EMAS vertintojus.

Atnaujinta: 2022 03 02

Akreditavimas – nacionalinės akreditacijos įstaigos patvirtinimas, kad atitikties vertinimo įstaiga (bandymų, kalibravimo ar medicinos laboratorija, kontrolės bei sertifikavimo įstaiga) atitinka reikalavimus, apibrėžtus darniuosiuose standartuose, ir, jei būtina, kitus papildomus reikalavimus, atlikti konkrečią atitikties vertinimo veiklą.

Akreditavimo proceso metu įsitikinama atitikties vertinimo įstaigų kompetencija, nešališkumu ir veiklos vientisumu.

Lietuvoje šią veiklą atlieka Nacionalinis akreditacijos biuras (toliau – Biuras).

Atnaujinta: 2022 03 02