5 kroków do przeprowadzenia skutecznego auditu wewnętrznego ISO/IEC 27
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/5 kroków do przeprowadzenia skutecznego auditu wewnętrznego ISO/IEC 27001

5 kroków do przeprowadzenia skutecznego auditu wewnętrznego ISO/IEC 27001

Audit wewnętrzny ma kluczowe znaczenie dla zgodności z normą ISO /IEC 27001, ale w niektórych organizacjach może wydawać się trudny do przeprowadzenia.

Aby pomóc Państwu w tym obszarze poniżej opisaliśmy 5 kroków, które pozwolą na przeprowadzenie skutecznego auditu wewnętrznego zgodnego z normą ISO/IEC 27001. 

 

KROK 1: Określ zasięg auditu i przeanalizuj dane

Auditorzy wewnętrzni powinni przeprowadzić analizę ryzyka, aby określić główne procesy i obszary które będą objęte zakresem auditu. Do analizy można wykorzystać informacje z branżowych badań, poprzednie raporty z auditów systemu zarządzania bezpieczeństwem informacji lub inne dokumenty systemowe, np. Politykę ISO/IEC 27001.

Przeprowadzając audit należy upewnić się, że zakres auditu jest odpowiedni w odniesieniu do organizacji – standardowo powinien on odpowiadać zakresowi przyznanego certyfikatu ISO/IEC 27001.

Podczas przedauditowej oceny auditorzy powinni również zidentyfikować główne zainteresowane strony z obszaru bezpieczeństwa informacji i skontaktować się z zainteresowanymi stronami, prosząc o dokumentację, która zostanie poddana przeglądowi podczas auditu.

 

KROK 2: Planowanie i przygotowanie

Po uzgodnieniu zakresu auditu ISO/IEC 27001 auditorzy będą musieli przeanalizować zebrane dane i stworzyć plan auditu, w którym zostaną określone godziny auditu z podziałem na poszczególne funkcje, procesy lub osoby. Audiotrzy powinni razem z planem określić niezbędne zasoby do przeprowadzenia auditu.

 

KROK 3: Zbierz dowody

Po utworzeniu planu auditu wewnętrznego systemu ISO/IEC 27001 auditorzy muszą zebrać dowody, przeprowadzając:

  • wywiady z pracownikami, kierownictwem i innymi podmiotami zaangażowanymi w system zarządzania bezpieczeństwem informacji,
  • przeglądając dokumenty dotyczące systemu, wydruki i dane
  • oraz obserwując procesy systemu zarządzania bezpieczeństwem informacji.

Konieczne będzie przeprowadzenie testów auditowych w celu potwierdzenia zebranych dowodów, a także zebranie dokumentów roboczych z auditu dokumentujących przeprowadzone testy.

Początkowy etap auditu wewnętrznego polega zazwyczaj na przeglądaniu dokumentacji związanej z systemem zarządzania bezpieczeństwem informacji. Dokładne zapoznanie się z dokumentacją jest niezbędne do określenia na dalszych etapach na ile system działający w firmie odzwierciedla założenia w niej zawarte.

 

KROK 4: Analiza

Dowody z auditu powinny być poddane analizie.  Czasami analiza może wskazywać luki w obrębie dowodów lub wskazać na potrzebę przeprowadzenia większej liczby testów kontrolnych, co wymaga dalszych działań auditowych.

 

KROK 5: Raportowanie

Raport z auditu wewnętrznego zazwyczaj składa się z:

  • opisanego zakresu, celów, terminów wykonywanych prac,
  • przedstawionych dowodów zgodności z normą,
  • przygotowanego podsumowania wskazującego kluczowe wnioski i krótką analizę,
  • zidentyfikowanych możliwości poprawy,
  • zidentyfikowanych niezgodności,

Raport z auditu powinien być przedstawiony i omówiony z Zarządem firmy.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności