Jak napisać raport z auditu wewnętrznego dla ISO/IEC 27001?

Jak właściwie napisać raport z auditu wewnętrznego systemu ISO/IEC 27001?

Audit wewnętrzny jest konieczny do utrzymania zgodności ze standardami ISO. Wymogi dotyczące pisania raportu z auditu wewnętrznego dla ISO/IEC 27001 są przedstawione w Punkcie 9.2 Standardu.

 

Czym jest audit wewnętrzny ISO/IEC 27001?

Istnieją dwa rodzaje ocen, które powinny zostać wykonane przez organizację, by potwierdzić zgodność z normą ISO/IEC 27001. Jedną z nich jest audit wewnętrzny, drugą audit certyfikujący. Każdy z nich jest przeprowadzany w inny sposób i w innym celu.

 

Audit wewnętrzny ISO/IEC 27001 to dokładne badanie systemu zarządzania bezpieczeństwem informacji (SZBI) organizacji. Jego celem jest potwierdzenie, że system spełnia wymagania ISO/IEC 27001 oraz cele i zadania organizacji, a zasady, procesy i zabezpieczenia działają zgodnie z przeznaczeniem.

 

Audit wewnętrzny prowadzony przez auditorów wewnętrznych, którymi mogą być osoby z organizacji.

 

Raport z auditu wewnętrznego jest kluczową częścią procesu. Pomaga organizacji zidentyfikować słabości, które mogą zagrozić statusowi zgodności organizacji i bezpieczeństwu jej danych. Organizacja powinna wykorzystać wyniki auditu do wprowadzenia ulepszeń przed auditem certyfikującym.

 

Audit wewnętrzny powinien być powtarzany w regularnych odstępach czasu, aby zapewnić zgodność i skuteczność SZBI.

 

Jeśli chodzi o audit certyfikacyjny jest on przeprowadzany przez stronę trzecią, która ocenia SZBI w celu ustalenia, czy organizacja może otrzymać certyfikat. Taką organizacją jest ISOQAR.

 

Korzyści z raportu z auditu wewnętrznego

Udokumentowanie przez organizacje auditów wewnętrznych ISO 27001 pozwoli:

 

  • odkryć niezgodności zanim odkryją je inne zainteresowany strony organizacji;
  • zapewnić silną postawę bezpieczeństwa poprzez zidentyfikowanie obszarów wymagających uwagi przed zdarzeniem związanym z bezpieczeństwem;
  • wykazać i poinformować kierownictwo o poziomie zaangażowania;
  • pomóc pracownikom w zrozumieniu i świadomości oraz
  • informować o ciągłym doskonaleniu.

 

Jak zatem przygotować rzeczowy raport z auditu wewnętrznego ISO/IEC 27001? Wystarczy, że skupisz się na określonych niżej obszarach.

 

4 obszary skutecznego raportu z auditu wewnętrznego ISO/IEC 27001

 

1. Podsumowanie dla kierownictwa

Podsumowanie daje decydentom, zarządzającym przegląd statusu zgodności i wszelkich niezgodności w organizacji, które należy rozwiązać. Może również zawierać wskazanie ustaleń, kwestie krytyczne oraz działania naprawcze i możliwości udoskonalenia.

 

2. Opis przebiegu auditu

Raport powinien zawierać istotne informacje na temat sposobu przeprowadzenia auditu, w tym jego kryteria. Mogą tam się także znaleźć bardziej szczegółowe informacje dotyczące zakresu auditu np. obszary, które zostały objęte auditem, lokalizacje, odpowiedni personel, a także kluczowe ustalenia oceny.

Ustalenia te nie powinny ograniczać się wyłącznie do obszarów niezgodności. Dobrze jest uwzględnić także mocne strony i inne pozytywne spostrzeżenia. Mogą być one wymienione jako oddzielna sekcja lub jako dodatek do podsumowania dla kierownictwa.

 

3. Dokumentacja niezgodności i możliwości poprawy

Udokumentowanie niezgodności w raporcie pozwoli zidentyfikować obszary, w których praktyki organizacji nie są spójne z wymaganiami normy lub potrzebami organizacji. Dzięki temu łatwiej będzie zarządzić działania naprawcze i wprowadzić ulepszenia.

 

4. Lista działań naprawczych

Z uwagi na fakt, iż audit wewnętrzny ma na celu wzmocnienie postawy organizacji w zakresie zgodności, auditor wewnętrzny powinien swój raport zakończyć listą działań naprawczych. Określić kroki konieczne do wprowadzenia w celu zlikwidowania luk w zidentyfikowanych niezgodnościach.

 

Wyniki auditu wewnętrznego rozpoczynają proces ciągłego doskonalenia się organizacji. Kluczowe w nim jest zaangażowanie pracowników. Poznaj 5 sposobów na poprawę bezpieczeństwa informacji.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z Polityką prywatności

Polityka prywatności