Audit wewnętrzny jest konieczny do utrzymania zgodności ze standardami ISO. Wymogi dotyczące pisania raportu z auditu wewnętrznego dla ISO/IEC 27001 są przedstawione w Punkcie 9.2 Standardu.
Istnieją dwa rodzaje ocen, które powinny zostać wykonane przez organizację, by potwierdzić zgodność z normą ISO/IEC 27001. Jedną z nich jest audit wewnętrzny, drugą audit certyfikujący. Każdy z nich jest przeprowadzany w inny sposób i w innym celu.
Audit wewnętrzny ISO/IEC 27001 to dokładne badanie systemu zarządzania bezpieczeństwem informacji (SZBI) organizacji. Jego celem jest potwierdzenie, że system spełnia wymagania ISO/IEC 27001 oraz cele i zadania organizacji, a zasady, procesy i zabezpieczenia działają zgodnie z przeznaczeniem.
Audit wewnętrzny prowadzony przez auditorów wewnętrznych, którymi mogą być osoby z organizacji.
Raport z auditu wewnętrznego jest kluczową częścią procesu. Pomaga organizacji zidentyfikować słabości, które mogą zagrozić statusowi zgodności organizacji i bezpieczeństwu jej danych. Organizacja powinna wykorzystać wyniki auditu do wprowadzenia ulepszeń przed auditem certyfikującym.
Audit wewnętrzny powinien być powtarzany w regularnych odstępach czasu, aby zapewnić zgodność i skuteczność SZBI.
Jeśli chodzi o audit certyfikacyjny jest on przeprowadzany przez stronę trzecią, która ocenia SZBI w celu ustalenia, czy organizacja może otrzymać certyfikat. Taką organizacją jest ISOQAR.
Udokumentowanie przez organizacje auditów wewnętrznych ISO 27001 pozwoli:
Jak zatem przygotować rzeczowy raport z auditu wewnętrznego ISO/IEC 27001? Wystarczy, że skupisz się na określonych niżej obszarach.
1. Podsumowanie dla kierownictwa
Podsumowanie daje decydentom, zarządzającym przegląd statusu zgodności i wszelkich niezgodności w organizacji, które należy rozwiązać. Może również zawierać wskazanie ustaleń, kwestie krytyczne oraz działania naprawcze i możliwości udoskonalenia.
2. Opis przebiegu auditu
Raport powinien zawierać istotne informacje na temat sposobu przeprowadzenia auditu, w tym jego kryteria. Mogą tam się także znaleźć bardziej szczegółowe informacje dotyczące zakresu auditu np. obszary, które zostały objęte auditem, lokalizacje, odpowiedni personel, a także kluczowe ustalenia oceny.
Ustalenia te nie powinny ograniczać się wyłącznie do obszarów niezgodności. Dobrze jest uwzględnić także mocne strony i inne pozytywne spostrzeżenia. Mogą być one wymienione jako oddzielna sekcja lub jako dodatek do podsumowania dla kierownictwa.
3. Dokumentacja niezgodności i możliwości poprawy
Udokumentowanie niezgodności w raporcie pozwoli zidentyfikować obszary, w których praktyki organizacji nie są spójne z wymaganiami normy lub potrzebami organizacji. Dzięki temu łatwiej będzie zarządzić działania naprawcze i wprowadzić ulepszenia.
4. Lista działań naprawczych
Z uwagi na fakt, iż audit wewnętrzny ma na celu wzmocnienie postawy organizacji w zakresie zgodności, auditor wewnętrzny powinien swój raport zakończyć listą działań naprawczych. Określić kroki konieczne do wprowadzenia w celu zlikwidowania luk w zidentyfikowanych niezgodnościach.
Wyniki auditu wewnętrznego rozpoczynają proces ciągłego doskonalenia się organizacji. Kluczowe w nim jest zaangażowanie pracowników. Poznaj 5 sposobów na poprawę bezpieczeństwa informacji.