Audit wewnętrzny ma kluczowe znaczenie dla zgodności z normą ISO /IEC 27001, ale w niektórych organizacjach może wydawać się trudny do przeprowadzenia.
Aby pomóc Państwu w tym obszarze poniżej opisaliśmy 5 kroków, które pozwolą na przeprowadzenie skutecznego auditu wewnętrznego zgodnego z normą ISO/IEC 27001.
KROK 1: Określ zasięg auditu i przeanalizuj dane
Auditorzy wewnętrzni powinni przeprowadzić analizę ryzyka, aby określić główne procesy i obszary które będą objęte zakresem auditu. Do analizy można wykorzystać informacje z branżowych badań, poprzednie raporty z auditów systemu zarządzania bezpieczeństwem informacji lub inne dokumenty systemowe, np. Politykę ISO/IEC 27001.
Przeprowadzając audit należy upewnić się, że zakres auditu jest odpowiedni w odniesieniu do organizacji – standardowo powinien on odpowiadać zakresowi przyznanego certyfikatu ISO/IEC 27001.
Podczas przedauditowej oceny auditorzy powinni również zidentyfikować główne zainteresowane strony z obszaru bezpieczeństwa informacji i skontaktować się z zainteresowanymi stronami, prosząc o dokumentację, która zostanie poddana przeglądowi podczas auditu.
KROK 2: Planowanie i przygotowanie
Po uzgodnieniu zakresu auditu ISO/IEC 27001 auditorzy będą musieli przeanalizować zebrane dane i stworzyć plan auditu, w którym zostaną określone godziny auditu z podziałem na poszczególne funkcje, procesy lub osoby. Audiotrzy powinni razem z planem określić niezbędne zasoby do przeprowadzenia auditu.
KROK 3: Zbierz dowody
Po utworzeniu planu auditu wewnętrznego systemu ISO/IEC 27001 auditorzy muszą zebrać dowody, przeprowadzając:
Konieczne będzie przeprowadzenie testów auditowych w celu potwierdzenia zebranych dowodów, a także zebranie dokumentów roboczych z auditu dokumentujących przeprowadzone testy.
Początkowy etap auditu wewnętrznego polega zazwyczaj na przeglądaniu dokumentacji związanej z systemem zarządzania bezpieczeństwem informacji. Dokładne zapoznanie się z dokumentacją jest niezbędne do określenia na dalszych etapach na ile system działający w firmie odzwierciedla założenia w niej zawarte.
KROK 4: Analiza
Dowody z auditu powinny być poddane analizie. Czasami analiza może wskazywać luki w obrębie dowodów lub wskazać na potrzebę przeprowadzenia większej liczby testów kontrolnych, co wymaga dalszych działań auditowych.
KROK 5: Raportowanie
Raport z auditu wewnętrznego zazwyczaj składa się z:
Raport z auditu powinien być przedstawiony i omówiony z Zarządem firmy.