ANEXA METODOLOGIE DE ACREDITARE A ENTITILOR PENTRU EVALUAREA PRODUSELOR DE SECURITATE IT I A SISTEMELOR INFORMATICE I DE COMUNICAII INFOSEC 12

CAPITOLUL I - INTRODUCERE Seciunea 1 - Scop Art.1 - Prezenta metodologie de acreditare stabilete cerinele i activitile aferente procesului de acreditare a entitilor evaluatoare a produselor i soluiilor de securitate IT, precum i a sistemelor informatice i de comunicaii, naionale, civile sau militare, denumite n continuare SIC, care vehiculeaz informaii clasificate. Art.2 - Metodologia de acreditare a entitilor evaluatoare are urmtoarele obiective: a) verificarea faptului c entitatea evaluatoare satisface criteriile de calitate impuse prin regulile i standardele specifice sau deine certificat de calitate emis de o autoritate recunoscut de ctre Oficiul Registrului Naional al Informaiilor Secrete de Stat, denumit n continuare ORNISS; b) verificarea faptului c personalul entitii evaluatoare are nivelul de pregtire tehnic necesar pentru desfurarea activitilor aferente proceselor de evaluare; c) verificarea faptului c entitatea evaluatoare are dotarea tehnic necesar desfurrii activitilor pentru care solicit acreditarea; d) verificarea faptului c entitatea evaluatoare are capacitatea de a aplica criteriile de evaluare i metodologiile asociate; e) verificarea faptului c entitatea evaluatoare are implementat un sistem de protecie a informaiilor, conform cerinele impuse de procesul de evaluare.

1 / 17

Art.3 - (1) Pentru a desfura activitatea de evaluare a produselor i soluiilor de securitate IT destinate utilizrii n SIC care vehiculeaz informaii clasificate, entitile evaluatoare trebuie s ndeplineasc urmtoarele condiii: a) pentru evaluarea de produse i soluii de securitate IT, altele dect cele criptografice, trebuie s fie acreditate de ORNISS, b) pentru evaluarea produselor criptografice, altele dect cele din categoria cifrului de stat, trebuie s fie desemnate ca entiti evaluatoare n cadrul Serviciului de Informaii Externe (SIE), Serviciului Romn de Informaii (SRI) sau Ministerului Aprrii Naionale (MApN) ori s fie acreditate de ORNISS, cu acordul acestor instituii. (2) Prin ordin al Directorului General al ORNISS se stabilete metodologia de acreditare a entitilor de evaluare a produselor criptografice, altele dect cele din categoria cifrului de stat. Art.4 - n vederea acreditrii de ctre ORNISS, entitile evaluatoare trebuie s ndeplineasc criteriile de acreditare, prevzute n anexa nr.1. Seciunea a 2 -a - Definiii Art.5 - n cuprinsul prezentei metodologii de acreditare, urmtorii termeni i sintagme se definesc dup cum urmeaz: a) acreditare aprobarea acordat de ORNISS entitilor evaluatoare, prin care acestea sunt autorizate s desfoare activitile aferente procesului de evaluare a produselor i soluiilor de securitate IT, precum i a SIC care vehiculeaz informaii clasificate. b) evaluare examinarea detaliat, din punct de vedere tehnic i funcional, a aspectelor de securitate ale produselor i soluiilor de securitate IT. Prin procesul de evaluare se verific, cel puin: 1. prezena facilitilor/funciilor de securitate cerute; 2. absena efectelor secundare compromitoare care ar putea decurge din implementarea facilitilor de securitate;

2 / 17

3. funcionalitatea global a produsului sau soluiei de securitate IT; 4. nivelul de ncredere al produselor i soluiilor de securitate IT. c) produs de securitate IT orice element de securitate care se ncorporeaz ntr-un SIC, n scopul asigurrii sau sporirii confidenialitii, integritii informaiilor vehiculate i a disponibilitii informaiilor, resurselor i serviciilor acestuia. d) soluie de securitate IT ansamblu de componente specifice de securitate ale unui SIC, necesare asigurrii unui nivel corespunztor de protecie pentru informaiile clasificate care urmeaz a fi stocate, procesate sau transmise prin acesta. CAPITOLUL II - PROCESUL DE ACREDITARE Art.6 - Procesul de acreditare a entitilor evaluatoare const n parcurgerea urmtoarelor etape: a) solicitarea acreditrii i pregtirea documentaiei de acreditare; b) analiza documentaiei de acreditare; c) inspecia de acreditare; d) realizarea unei evaluri pilot pentru un produs sau soluie de securitate IT; e) luarea unei decizii privind acreditarea; f) emiterea documentelor conform cu decizia de acreditare; g) activiti post-acreditare. Art.7 - Schema de mai jos prezint procesul de acreditare a entitilor evaluatoare ale produselor i soluiilor de securitate IT. Fiecare dintre activitile acestui proces este tratat pe larg n prezenta metodologie de acreditare.

3 / 17

Responsabil Solicitantul acreditrii

Activiti Solicitarea acreditrii

Documente Solicitarea acordrii acreditrii Adresa i documentaia de acreditare Raport de analiz a documentaiei

Comisia de ] acreditare Solicitantul acreditrii Corectarea deficienelor

Analiza documentaiei

NU

Documentaie complet

Raport al comisiei de acreditare

Comisia de acreditare

DA Inspecia de acreditare Raportul comisiei de acreditare

Solicitantul acreditrii

Realizarea unei evaluri pilot

Corectarea deficienelor Emiterea Certificatului de Acreditare Temporar Corectarea deficienelor

Solicitantul acreditrii

Neacreditare Decizia privind acreditarea Acreditare deplin Raport de evaluare

Directorul General al ORNISS

Acreditarea temporar

Directorul General al ORNISS Comisia de acreditare

Eliberarea Certificatului de Acreditare

Certificat de Acreditare Introducere n lista entitilor evaluatoare acreditate

Activiti post-acreditare

4 / 17

CAPITOLUL III - DESCRIEREA METODOLOGIEI DE ACREDITARE Seciunea 1 - Solicitarea acreditrii 1. Documente care trebuie naintate la ORNISS Art.8 - Solicitarea acreditrii se face prin transmiterea ctre ORNISS, de ctre reprezentantul legal al entitii evaluatoare, a unei cereri de acreditare. Art.9 - Cererea de acreditare trebuie s fie nsoit de urmtoarele documente: a. copie a documentului oficial n baza cruia se organizeaz i funcioneaz entitatea evaluatoare pentru care se solicit acreditarea; b. copie a certificatului coninnd codul unic de identificare al entitii evaluatoare sau al persoanei juridice care solicit acreditarea, dup caz; c. un document oficial care s precizeze cel puin urmtoarele: i. lista cuprinznd numerele de nregistrare i denumirea documentelor interne care stabilesc politica de securitate privind protecia informaiilor clasificate vehiculate n cadrul entitii evaluatoare; ii. nivelul maxim de secretizare a informaiilor care pot fi vehiculate n cadrul entitii evaluatoare; iii. faptul c personalul entitii evaluatoare, implicat n procesul de evaluare, deine certificate de securitate corespunztoare nivelului de secretizare a informaiilor la care acesta are acces, conform principiului necesitii de a cunoate; iv. alte tipuri de acreditri/certificri obinute de entitatea evaluatoare, considerate relevante pentru analiza solicitrii, cum ar fi Certificat de Acreditare de Securitate pentru SIC din cadrul entitii evaluatoare, Certificat de zonare TEMPEST a locaiilor entitii evaluatoare, Certificat de caracterizare TEMPEST a echipamentelor entitii evaluatoare etc. d. un document oficial care s cuprind cel puin:

5 / 17

i. prezentarea general a activitii desfurate de entitatea evaluatoare pn n momentul solicitrii acreditrii; ii. organigrama entitii evaluatoare; iii. schema de relaionare a entitii evaluatoare cu alte structuri interne ale persoanei juridice; iv. atribuiile evaluatoare. e. un document oficial care s cuprind: i. lista cu numerele de nregistrare i denumirile procedurilor privind sistemul calitii (Manualul Calitii); ii. lista instrumentelor hardware i software din dotare i/sau nchiriate, utilizate pentru activitile pentru care se solicit acreditarea. f. aspecte privind personalul implicat n activitile pentru care se solicit acreditarea pregtirea personalului din punct de vedere profesional i al securitii, certificri de securitate; g. descrierea msurilor i procedurilor de securitate ale entitii evaluatoare (administrarea securitii, securitatea fizic, securitatea informaiilor, securitatea personalului, INFOSEC); h. criterii i proceduri specifice referitoare la desfurarea activitilor pentru care se solicit acreditarea; i. documente din care s reias experiena acumulat de entitatea evaluatoare n domeniul prestrii de servicii de evaluare a produselor i soluiilor de securitate IT, dup caz; j. orice alte informaii relevante privind solicitantul, corelate cu cererea sa. i responsabilitile compartimentelor din cadrul entitii

6 / 17

Art.10 - Documentele prevzute la art.9 lit. a) j) constituie documentaia de acreditare. O copie a acestui dosar sau referine la documentele interne, dup caz, trebuie s fie transmise la ORNISS. Art.11 - n cazul n care documentaia de acreditare nu este complet, ORNISS va informa solicitantul asupra acestui fapt, n vederea furnizrii informaiilor adiionale necesare. Art.12 - Dac documentaia de acreditare este complet, ORNISS va ntiina solicitantul i va demara etapa de analiz a documentaiei. Art.13 - n cazul n care apar modificri ale documentelor care constituie dosarul de acreditare, versiunile modificate trebuie transmise la ORNISS. Art.14 - Anexa nr. 2 prezint, cu titlu de exemplu, un set de tipuri de proceduri care abordeaz aspectele enumerate mai sus. Procedurile pot face obiectul unor documente separate sau a unui document unitar, n funcie de decizia conducerii persoanei juridice. Toate procedurile trebuie aprobate de reprezentantul legal al persoanei juridice solicitante. 2. Condiii de acreditare Art.15 - Pentru ca entitatea evaluatoare s fie acreditat i pentru pstrarea statutului de entitate evaluatoare acreditat, reprezentantul legal trebuie s se angajeze n scris s ndeplineasc urmtoarele cerine: a. b. s asigure respectarea criteriilor de acreditare stabilite n anexa nr. 1; s cunoasc i s respecte prezenta metodologie de acreditare i s asigure condiiile necesare pentru realizarea activitilor de verificare i inspecie; c. s analizeze recomandrile formulate de ORNISS i s asigure implementarea de msuri corective, dup caz; d. s respecte condiiile impuse de ORNISS cu privire la modul de utilizare a certificatului de acreditare, conform prevederilor anexei nr. 3; e. s notifice ORNISS, n termen de maximum 30 de zile, orice modificare major care poate afecta activitatea entitii evaluatoare, cum ar fi:

7 / 17

i. modificarea statutului juridic, a structurii organizatorice sau a acionariatului; ii. modificri ale politicilor i procedurilor interne de securitate, dup caz; iii. modificri ale locaiei; iv. schimbarea reprezentantului legal sau a personalului abilitat s semneze rapoartele de evaluare; v. modificri de personal, de echipamente, ale mediului operaional sau ale altor resurse, dac sunt semnificative pentru activitile pentru care entitatea evaluatoare este acreditat; vi. orice alte aspecte care pot afecta activitatea entitii evaluatoare sau respectarea de ctre aceasta a criteriilor de acreditare; f. s returneze la ORNISS certificatul de acreditare la expirarea termenului de valabilitate a acreditrii, n cazurile n care ORNISS constat c nu mai sunt meninute condiiile pentru care a fost acordat acreditarea, precum i la iniiativa sa, odat cu notificarea ORNISS despre decizia de a renuna la efectuarea activitilor pentru care a fost acreditat entitatea evaluatoare. Seciunea a 2-a - Analiza documentaiei Art.16 - ORNISS va ntocmi i va transmite solicitantului un raport de analiz a documentaiei, n termen de 30 de zile de la data nregistrrii la ORNISS a documentaiei de acreditare complete, prevzute la art.9. Art.17 - La primirea solicitrii, Directorul General al ORNISS dispune constituirea unei comisii de acreditare i desemneaz o persoana responsabil cu managementul procesului de acreditare (care va reprezenta i punctul de contact al ORNISS cu solicitantul). Art.18 - Comisia de acreditare este responsabil de gestionarea procesului de acreditare pe toat durata acestuia. Art.19 - Principalele responsabiliti ale comisiei de acreditare desemnat pentru gestionarea procesului de acreditare sunt:

8 / 17

a. b.

analiza documentaiei transmise de solicitant; realizarea verificrii preliminare a modului n care sunt satisfcute criteriile de acreditare de ctre solicitant;

c.

ntocmirea raportului de verificare preliminar i formularea de propuneri referitoare la acordarea acreditrii temporare sau a recomandrilor necesare corectrii anumitor aspecte negative constatate;

d. e.

realizarea inspeciei de acreditare; ntocmirea raportului de inspecie i formularea de propuneri privind decizia de acreditare;

f.

monitorizarea activitilor desfurate de ctre entitatea evaluatoare, n baza acreditrii acordate de ORNISS i a meninerii condiiilor conform crora a fost acordat acreditarea;

g.

formularea de propuneri cu privire la reacreditarea entitii evaluatoare, la expirarea certificatului de acreditare, pe baza unei noi solicitri de acreditare;

h.

formularea de propuneri cu privire la retragerea acreditrii, n cazul n care se constat modificarea condiiilor existente la momentul acordrii certificatului de acreditare.

Art.20 - n cazul n care comisia de acreditare constat c documentaia de acreditare este complet i corect ntocmit, va organiza inspecia de acreditare, la sediul entitii evaluatoare. Art.21 - n cazul n care documentaia de acreditare necesit completri sau modificri, ORNISS va informa entitatea evaluatoare n acest sens. Dup corectarea deficienelor, entitatea evaluatoare trebuie s transmit la ORNISS noua versiune a documentaiei de acreditare, care va fi reanalizat de comisia de acreditare, n scopul ntocmirii unui nou raport de analiz.

9 / 17

Seciunea a 3-a - Inspecia de acreditare Art.22 - Pentru a verifica posibilitile entitii evaluatoare solicitante de a ndeplini criteriile de acordare a certificatului de acreditare, enunate n anexa nr. 1, ORNISS trebuie s efectueze o inspecie de acreditare la sediul solicitantului. Art.23 - Inspecia de acreditare este realizat de o echip desemnat de ctre Directorul General al ORNISS, la propunerea comisiei de acreditare, format din experi din cadrul ORNISS i, dup caz, experi din afara ORNISS, cu pregtire tehnic adecvat i autorizai corespunztor. Art.24 - Entitatea evaluatoare solicitant trebuie informat cu privire la componena echipei de inspecie. n cazul n care exist motive obiective n ceea ce privete securitatea informaiilor sau conflicte de interese, entitatea evaluatoare solicitant poate refuza componena echipei de inspecie. Motivaia trebuie s fie scris, nsuit de reprezentantul legal al persoanei juridice din care face parte entitatea evaluatoare sau de reprezentantul legal al entitii evaluatoare, dac aceasta are personalitate juridic. Art.25 - Raportul ntocmit de echipa care a realizat inspecia de acreditare trebuie s precizeze dac entitatea evaluatoare solicitant ndeplinete sau nu criteriile pentru continuarea procesului de acreditare. Art.26 - n cazul n care rezultatele acestei inspecii de acreditare confirm faptul c entitatea evaluatoare satisface criteriile de acreditare, aceasta este informat n scris i poate demara etapa de evaluare pilot. Seciunea a 4-a - Evaluarea pilot Art.27 - n vederea verificrii, de ctre ORNISS, a faptului c entitatea evaluatoare are capacitatea de a efectua n mod corect activitile pentru care solicit acreditarea, entitatea evaluatoare are obligaia s efectueze o evaluare pilot. Art.28 - Evaluarea pilot trebuie s se desfoare n conformitate cu procedurile de evaluare utilizate de solicitantul acreditrii. Entitatea evaluatoare trebuie s notifice la ORNISS stadiul procesului de evaluare pilot.

10 / 17

Art.29 - Dup finalizarea evalurii pilot, entitatea evaluatoare are obligaia de a transmite la ORNISS raportul de evaluare. Art.30 - Comisia de acreditare poate organiza o nou inspecie la sediul entitii evaluatoare, pentru a verifica, n mod special, dac recomandrile formulate n cursul inspeciei de acreditare au fost analizate i au condus la aciuni corective. Art.31 - Membrii echipei de inspecie ntocmesc raportul de inspecie, care trebuie s precizeze dac entitatea evaluatoare ndeplinete criteriile de acreditare enunate n anexa nr. 1. Art.32 - Raportul ntocmit de membrii echipei de inspecie trebuie s conin i propuneri cu privire la decizia de acordare a acreditrii entitii evaluatoare. Seciunea a 5-a - Decizia privind acreditarea Art.33 - Dup parcurgerea activitilor mai sus menionate, la propunerea comisiei de acreditare, Directorul General al ORNISS decide cu privire la acreditarea entitii evaluatoare. Art.34 - Opiunile referitoare la acreditare sunt urmtoarele: a. acreditarea deplin se acord pentru o perioad de maximum 3 ani, n cazul n care criteriile de acreditare sunt respectate; b. acreditarea temporar - se acord pentru o perioad de maximum 12 luni, pentru a permite entitii evaluatoare s realizeze evaluarea pilot sau n cazul n care nu toate condiiile de acreditare sunt ndeplinite. n certificatul de acreditare temporar trebuie s fie specificate condiiile n care este acordat acreditarea temporar, precum i activitile ce trebuiesc ntreprinse i realizate de solicitant nainte de obinerea acreditrii depline; c. neacreditarea reprezint decizia luat n cazul n care se identific deficiene majore n ndeplinirea criteriilor de acreditare. Art.35 - n cazul n care se ia decizia acreditrii depline sau temporare, Directorul General al ORNISS emite certificatul de acreditare corespunztor.

11 / 17

Art.36 - n certificatul de acreditare trebuie s se precizeze activitile pentru care entitatea evaluatoare este acreditat. Anexa nr. 4 prezint un exemplu de astfel de activiti. Pentru fiecare tip de activiti, pe certificat pot fi nscrise clarificri, restricii sau completri, dup caz. Art.37 - Certificatul de acreditare trebuie utilizat de ctre titular numai n scopul pentru care a fost emis. Art.38 - n cazul acordrii acreditrii, entitatea evaluatoare este inclus n Lista entitilor evaluatoare acreditate, publicat pe site-ul web al ORNISS. Art.39 - Entitatea evaluatoare trebuie s stabileasc o delimitare clar ntre activitile autorizate prin certificatul de acreditare emis de ORNISS i celelalte activiti pe care le realizeaz. Aceast delimitare trebuie s se reflecte n toate documentele oficial emise de entitatea evaluatoare (oferte de servicii, contracte, rapoarte de evaluare etc.). Seciunea a 6-a - Activiti post-acreditare Art.40 - Pe toat perioada de valabilitate a certificatului de acreditare, ORNISS trebuie s desfoare inspecii post-acreditare, pentru a verifica meninerea respectrii criteriilor de acreditare. Art.41 - Inspeciile post-acreditare sunt realizate anual sau ori de cte ori ORNISS primete notificarea de la reprezentantul legal al entitii evaluatoare, cu privire la modificri survenite n organizarea sau activitatea entitii, modificri care pot influena procesul de evaluare pentru care entitatea a fost acreditat. Art.42 - ORNISS trebuie s ofere consultan cu privire la implicaiile pe care diferite modificri ale mediului operaional le pot avea asupra desfurrii activitii entitii evaluatoare i, implicit, asupra acreditrii. Art.43 - ORNISS trebuie s menin o baz de date care s conin informaii cu privire la toate entitile evaluatoare ale produselor i soluiilor de securitate IT acreditate. Seciunea a 7-a - Modificarea domeniului de aplicabilitate a acreditrii Art.44 - Procedura de modificare a domeniului de aplicabilitate a acreditrii poate fi demarat n urmtoarele situaii:

12 / 17

a.

la cererea entitii evaluatoare de lrgire a sferei de activiti acreditate. Spre exemplu, dac entitatea evaluatoare recruteaz noi experi, dezvolt metode noi sau achiziioneaz echipamente noi, poate solicita o extindere a domeniului acreditrii. Pentru a modifica domeniul tehnologic, trebuie naintat o nou solicitare ctre ORNISS, urmnd a se relua ntregul proces de acreditare;

b.

la cererea ORNISS, dac se constat o restrngere a capabilitiilor entitii evaluatoare. De exemplu, dac experi ce dein cunotine tehnice importante prsesc entitatea evaluatoare, ORNISS poate restrnge domeniul pentru care a fost emis certificatul de acreditare. 1. Modificri la cererea entitii evaluatoare

Art.45 - n cazul n care dorete modificarea domeniului de aplicabilitate a acreditrii, entitatea evaluatoare trebuie s transmit la ORNISS o solicitare n acest sens, mpreun cu toate elementele care susin aceast cerere. Art.46 - n termen de maximum 30 zile de la data nregistrrii solicitrii, comisia de acreditare organizeaz i efectueaz o inspecie la sediul entitii evaluatoare pentru a verifica aceste elemente i ntocmete un raport n care formuleaz propuneri cu privire la modificarea solicitat. Art.47 - Directorul General al ORNISS, la propunerea comisiei de acreditare, decide cu privire la modificarea sau pstrarea domeniului de activitate pentru care a fost emis certificatul de acreditare. Art.48 - n cazul n care se decide modificarea domeniului de activitate, Directorul General al ORNISS anuleaz vechiul certificat i emite un nou certificat de acreditare, cu valabilitate maxim 3 ani. Art.49 - Reprezentantul legal al entitii evaluatoare are obligaia de a remite vechiul certificat la ORNISS, n termen de maximum 10 zile de la data intrrii n vigoare a noului certificat.

13 / 17

2. Modificarea la cererea ORNISS Art.50 - n cazul n care apar elemente care pot afecta calitatea activitilor pentru care o entitate evaluatoare este acreditat, Directorul General al ORNISS, la propunerea comisiei de acreditare, trimite entitii evaluatoare acreditate o notificare n care sunt identificate aceste elemente, precum i riscurile pe care acestea le reprezint pentru activitile pentru care a fost acordat acreditarea. Art.51 - Notificarea trebuie s precizeze un interval de timp, care s nu depeasc 6 luni, n care entitatea evaluatoare trebuie s dezvolte i s aplice msuri corective, pentru a avea dreptul s pstreze acreditarea. Art.52 - Comisia de acreditare trebuie s organizeze i s realizeze o inspecie la sediul entitii evaluatoare pentru verificarea msurilor corective implementate i s ntocmeasc un raport cu propuneri referitoare la modificarea certificatului de acreditare. Art.53 - La sfritul perioadei stabilite, Directorul General al ORNISS, la propunerea comisiei de acreditare, decide modificarea sau pstrarea domeniului de acreditare. Art.54 - n cazul n care se decide modificarea domeniului de aplicabilitate a acreditrii, Directorul General al ORNISS anuleaz vechiul certificat i emite un nou certificat de acreditare, cu valabilitate maxim 3 ani. Seciunea a 8-a - Rennoirea acreditrii Art.55 - Reprezentantul legal al entitii evaluatoare poate solicita ORNISS o rennoire a certificatului de acreditare cu cel puin 30 zile nainte de expirarea perioadei de valabilitate a certificatului de acreditare pe care l deine. Art.56 - Urmare acestei solicitri, ORNISS efectueaz o inspecie la sediul entitii evaluatoare, cu scopul de a verifica meninerea criteriilor de acreditare i ndeplinirea obligaiilor ce revin entitii prin certificatul de acreditare.

14 / 17

Art.57 - Raportul ntocmit n urma inspeciei trebuie s conin propuneri cu privire la reacreditarea entitii evaluatoare. Art.58 - Directorul General al ORNISS, la propunerea comisiei de acreditare, ia decizia privind reacreditarea. Art.59 - n cazul n care entitatea evaluatoare nu dorete rennoirea acreditrii, este suficient s transmit originalul certificatului de acreditare care a expirat, n termen de maximum 10 zile de la expirarea acestuia. Art.60 - n aceste condiii, la expirarea valabilitii certificatului de acreditare, entitatea evaluatoare va fi nscris n Lista entitilor evaluatoare a cror acreditare a expirat, care se public pe site-ul web al ORNISS. Seciunea a 9-a - Anularea sau suspendarea certificatului de acreditare Art.61 - Directorul General al ORNISS, la propunerea comisiei de acreditare, poate anula sau, dup caz, suspenda certificatul de acreditare acordat unei entiti evaluatoare, n urmtoarele situaii: a. entitatea evaluatoare nu i-a respectat obligaiile ce i revin conform certificatului de acreditare; b. entitatea evaluatoare nu a informat ORNISS sau a furnizat date false cu privire la informaiile prevzute la art.15 lit.e); c. a fost aprobat modificarea domeniului de aplicabilitate a acreditrii, n conformitate cu una dintre procedurile prevzute la Seciunea a 7-a i este emis un nou certificat de acreditare; d. entitatea evaluatoare i modific domeniul de activitate sau i nceteaz activitatea; e. din motive ce privesc aprarea naional sau sigurana statului;

15 / 17

f.

n cazul n care nu sunt respectate criteriile de acreditare, au loc incidente de securitate, care pot afecta calitatea activitii de evaluare, imaginea entitii evaluatoare etc.

Art.62 - n cazul anulrii certificatului de acreditare, entitatea evaluatoare are obligaia de a transmite la ORNISS certificatul anulat, n termen de maximum 10 zile de la data anulrii. 1. Anularea sau suspendarea certificatului de acreditare la cererea entitii evaluatoare Art.63 - n cazul n care entitatea evaluatoare decide s i modifice domeniul de activitate sau s i ntrerup activitatea are obligaia de a informa ORNISS cu privire la aceast decizie i de a solicita anularea sau, dup caz, suspendarea certificatului de acreditare. Art.64 - n aceast situaie, ORNISS anuleaz sau suspend certificatul de acreditare i retrage entitatea din Lista entitilor evaluatoare acreditate. 2. Anularea sau suspendarea certificatului de acreditare la propunerea comisiei de acreditare Art.65 - Comisia de acreditare poate propune Directorului General al ORNISS suspendarea certificatului de acreditare, pe o perioad care s nu depeasc 6 luni. Art.66 - n acest interval, entitatea evaluatoare trebuie s implementeze msuri corective, care s conduc la ndeplinirea criteriilor de acreditare. Art.67 - La sfritul perioadei de suspendare, comisia de acreditare propune Directorului General al ORNISS numirea unei noi echipe de inspecie, care s realizeze o inspecie la sediul entitii evaluatoare, pentru a verifica conformitatea cu criteriile de acreditare. Art.68 - Ulterior inspeciei, echipa de inspecie ntocmete un raport cu propuneri privind meninerea sau anularea certificatului de acreditare. Art.69 - La propunerea comisiei de acreditare, Directorul General al ORNISS poate anula certificatul de acreditare.

16 / 17

3. Consecinele anulrii/suspendrii acreditrii Art.70 - Entitatea evaluatoare este scoas din Lista entitilor evaluatoare acreditate. Art.71 - Entitatea evaluatoare nu mai are dreptul s demareze o nou activitate evaluatoare aflat sub incidena certificatului de acreditare, iar evalurile n curs sunt suspendate. Art.72 - Entitatea evaluatoare trebuie s pun la dispoziia ORNISS toate datele referitoare la evalurile efectuate n baza certificatului de acreditare emis de ORNISS. Art. 73 Bibliografia actelor normative i documentelor cu relevan n domeniu este prevzut n anexa nr. 5. Art.74 - Anexele nr. 1 - 5 fac parte integrant din prezenta metodologie de acreditare.

17 / 17