Audity wewnętrzne są istotną częścią zgodności z ISO/IEC 27001. Ważne jest, aby wiedzieć jak je skutecznie przeprowadzić.
1. Określenie zakresu i działania przedauditowe
Musisz przeprowadzić ocenę opartą na ryzyku, aby określić cel auditu i określić, które obszary są poza zakresem.
Źródła informacji mogą obejmować badania branżowe, wcześniejsze raporty ISMS (system zarządzania bezpieczeństwem informacji) lub inne dokumenty, takie jak polityka ISMS.
Upewnij się, że zakres auditu jest odpowiedni w odniesieniu do organizacji - zwykle powinien odpowiadać zakresowi certyfikowanego SZBI.
W przypadku dużych organizacji auditorzy mogą potrzebować przeglądu sposobu wdrożenia SZBI w każdej lokalizacji biznesowej.
Jeśli nie jest możliwe sprawdzenie każdej lokalizacji, należy przynajmniej pobrać reprezentatywną próbkę.
Podczas badania przed auditem auditorzy powinni również zidentyfikować i skontaktować się z głównymi zainteresowanymi stronami w ISMS, aby poprosić o wszelką dokumentację, która zostanie przejrzana podczas auditu.
2. Planowanie i przygotowanie
Po uzgodnieniu zakresu kontroli ISMS auditorzy muszą rozbić go na bardziej szczegółowe obszary.
Obejmuje to wygenerowanie planu auditu ISMS, w którym harmonogram i zasoby auditu są uzgadniane z kierownictwem.
Plany auditu identyfikują i wyznaczają granice wokół pozostałych etapów auditu i często obejmują „punkty kontrolne”, które szczegółowo określają konkretne możliwości dla auditorów w zakresie nieformalnych okresowych aktualizacji dla menedżerów.
Takie aktualizacje pozwalają auditorom zgłaszać wątpliwości dotyczące dostępu do informacji lub osób, a kierownictwu zgłaszać wątpliwości dotyczące procesu auditu.
Musisz określić harmonogram ważnych prac auditowych, aby móc ustalić priorytety aspektów, które Twoim zdaniem stanowią największe ryzyko, jeśli SZBI okaże się nieodpowiednio wdrożony lub utrzymywany.
3. Prace w terenie
Po wygenerowaniu planu pracy auditu ISMS auditorzy muszą zebrać dowody, przeprowadzając wywiady z personelem, kierownikami i innymi zainteresowanymi stronami związanymi z ISMS.
Powinni także przejrzeć dokumenty, wydruki i dane ISMS oraz obserwować procesy ISMS w akcji.
Konieczne będzie przeprowadzenie testów kontrolnych w celu potwierdzenia zebranych dowodów, a także dokumentów roboczych z auditu dokumentujących przeprowadzone testy.
Początkowy etap prac terenowych zazwyczaj obejmuje przegląd dokumentacji dotyczącej i wynikającej z SZBI.
Ustalenia auditora mogą wskazywać na potrzebę specjalnych testów kontrolnych w celu ustalenia, jak ściśle SZBI postępuje zgodnie z dokumentacją w odniesieniu do ISO 27001.
4. Analiza
Dowody auditu powinny być sortowane, archiwizowane i przeglądane w odniesieniu do ryzyka i celów kontroli.
Czasami analiza może zidentyfikować luki w dowodach lub wskazać na potrzebę przeprowadzenia dalszych testów auditowych, które będą wymagały dalszego sprawdzenia.
5. Raportowanie
Ten niezbędny element procesu auditu zazwyczaj składa się z: