5 kroków do przeprowadzenia skutecznego auditu wewnętrznego ISO/IEC 27

5 kroków do przeprowadzenia skutecznego auditu wewnętrznego ISO/IEC 27001

Audit wewnętrzny ma kluczowe znaczenie dla zgodności z normą ISO /IEC 27001, ale w niektórych organizacjach może wydawać się trudny do przeprowadzenia.

Aby pomóc Państwu w tym obszarze poniżej opisaliśmy 5 kroków, które pozwolą na przeprowadzenie skutecznego auditu wewnętrznego zgodnego z normą ISO/IEC 27001. 

 

KROK 1: Określ zasięg auditu i przeanalizuj dane

Auditorzy wewnętrzni powinni przeprowadzić analizę ryzyka, aby określić główne procesy i obszary które będą objęte zakresem auditu. Do analizy można wykorzystać informacje z branżowych badań, poprzednie raporty z auditów systemu zarządzania bezpieczeństwem informacji lub inne dokumenty systemowe, np. Politykę ISO/IEC 27001.

Przeprowadzając audit należy upewnić się, że zakres auditu jest odpowiedni w odniesieniu do organizacji – standardowo powinien on odpowiadać zakresowi przyznanego certyfikatu ISO/IEC 27001.

Podczas przedauditowej oceny auditorzy powinni również zidentyfikować główne zainteresowane strony z obszaru bezpieczeństwa informacji i skontaktować się z zainteresowanymi stronami, prosząc o dokumentację, która zostanie poddana przeglądowi podczas auditu.

 

KROK 2: Planowanie i przygotowanie

Po uzgodnieniu zakresu auditu ISO/IEC 27001 auditorzy będą musieli przeanalizować zebrane dane i stworzyć plan auditu, w którym zostaną określone godziny auditu z podziałem na poszczególne funkcje, procesy lub osoby. Audiotrzy powinni razem z planem określić niezbędne zasoby do przeprowadzenia auditu.

 

KROK 3: Zbierz dowody

Po utworzeniu planu auditu wewnętrznego systemu ISO/IEC 27001 auditorzy muszą zebrać dowody, przeprowadzając:

  • wywiady z pracownikami, kierownictwem i innymi podmiotami zaangażowanymi w system zarządzania bezpieczeństwem informacji,
  • przeglądając dokumenty dotyczące systemu, wydruki i dane
  • oraz obserwując procesy systemu zarządzania bezpieczeństwem informacji.

Konieczne będzie przeprowadzenie testów auditowych w celu potwierdzenia zebranych dowodów, a także zebranie dokumentów roboczych z auditu dokumentujących przeprowadzone testy.

Początkowy etap auditu wewnętrznego polega zazwyczaj na przeglądaniu dokumentacji związanej z systemem zarządzania bezpieczeństwem informacji. Dokładne zapoznanie się z dokumentacją jest niezbędne do określenia na dalszych etapach na ile system działający w firmie odzwierciedla założenia w niej zawarte.

 

KROK 4: Analiza

Dowody z auditu powinny być poddane analizie.  Czasami analiza może wskazywać luki w obrębie dowodów lub wskazać na potrzebę przeprowadzenia większej liczby testów kontrolnych, co wymaga dalszych działań auditowych.

 

KROK 5: Raportowanie

Raport z auditu wewnętrznego zazwyczaj składa się z:

  • opisanego zakresu, celów, terminów wykonywanych prac,
  • przedstawionych dowodów zgodności z normą,
  • przygotowanego podsumowania wskazującego kluczowe wnioski i krótką analizę,
  • zidentyfikowanych możliwości poprawy,
  • zidentyfikowanych niezgodności,

Raport z auditu powinien być przedstawiony i omówiony z Zarządem firmy.

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies