Audyt bezpieczeństwa informacji ISO 27001

Cel audytu

Audyt polega na zbadaniu aktualnego stanu zabezpieczenia zasobów informacyjnych pod względem:  poufności,  integralności  i  dostępności,  wskazaniu  niezgodności oraz przygotowaniu rekomendacji związanych z wprowadzeniem mechanizmów służących do uzyskania bezpieczeństwa informacji, zgodnego z normą. W praktyce audyt bezpieczeństwa informacji w oparciu o normę ISO/IEC 27001 ma na celu określenie zgodności istniejącego systemu zarządzania bezpieczeństwem informacji (SZBI) z wymaganiami zawartymi w normie. 

Kryteria audytu

Audyt zawsze musi odnosić się do założonych kryteriów. Kryteria audytu są to wymagania jakie organizacja ma do spełnienia w zakresie bezpieczeństwa informacji.

Kryteria audytu obejmują następujące wymagania:

  • zobowiązania wynikające z zawartych umów,
  • wymagania zawarte w przepisach prawa,
  • dokumentacja systemowa,
  • normy (ISO/IEC 27001).

Podczas audytu bezpieczeństwa wykonywanego przed wdrożeniem systemu zarządzania bezpieczeństwem informacji oceniamy zgodność zabezpieczeń z wymaganiami prawnymi i technicznymi, dobrymi praktykami oraz normami takimi jak ISO/IEC 27002.

Dla ułatwienia sobie zadania należy wykonać cztery działania, określane przez normę jako kluczowe:

  • planowanie,
  • wykonywanie.
  • raportowanie.
  • działania poaudytowe

Jak badamy?

Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, same zabezpieczenia, procesy i procedury są:

  • zgodne z zaleceniami stansardów i odpowiednimi ustawami i przepisami,
  • zgodne z zidentyfikowanymi wymaganiami bezpieczeństwa informacji,
  • skutecznie wdrożone i utrzymywane,
  • zgodne z oczekiwaniami.

Audyty wewnętrzne umożliwiają audytowanym uzyskanie wiedzy na temat tego, jak ich zabezpieczenia postrzegają osoby z innych komórek organizacyjnych (osoby z zewnątrz).

Program audytu należy zaplanować, biorąc pod uwagę status i ważność procesów oraz ulokowanie obszarów wskazanych do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Każdy audyt musi mieć wyznaczony cel (czyli co należy osiągnąć w następstwie audytu), kryteria (przepisy prawne, zarządzenia, procedury SZBI), zakres (obejmuje jednostki organizacyjne, fizyczne lokalizacje, procesy, działania) oraz termin wykonania.

Faza planowania jest bardzo istotna dla sprawnego przeprowadzenia audytu. Przed rozpoczęciem właściwych prac audytowych audytor powinien skupić się na przeanalizowaniu celu audytu, założonych kryteriów, a także zasięgu audytu, co pozwoli określić granice, w ramach których prowadzony będzie audyt. Na etapie planowania dokonywany jest wybór audytora wiodącego, określany skład zespołu audytowego i podział prac audytowych. Audytor wiodący musi zaplanować również czas potrzebny na wykonanie każdego zadania, jak również czas na spotkania przeglądowe i wymianę informacji pomiędzy członkami zespołu. Niezbędne jest również zaplanowanie spotkań z osobą ze strony audytowanego, odpowiedzialną za przebieg audytu, w celu bieżącego przekazywania informacji odnośnie prowadzonych prac.

Niezwykle ważną kwestią, od której rozpoczyna się właściwy audyt w siedzibie audytowanego, jest spotkanie otwierające. Głównym celem spotkania otwierającego jest przedstawienie zespołu audytowego przedstawicielom audytowanej organizacji i upewnienie się, że audytowany rozumie cel audytu i ogólne zasady oceny. Na spotkanie otwierającym, oprócz potwierdzenia zakresu audytu i przedstawienia metodyki jego prowadzenia, są omówione również kwestie organizacyjne i techniczne związane z przebiegiem audytu.

Prace audytowe, rozdzielone przez audytora wiodącego w fazie planowania, prowadzone są przez członków zespołu, zgodnie z założonym harmonogramem. Prace audytowe przeprowadzane są metodą próbkowania, w oparciu o przygotowane listy kontrolne. Oznacza to, że nie jest szczegółowo badany cały obszar, lecz wybrane jego elementy. Próbki powinny być potwierdzone dowodami z uwagi na to, że na etapie raportowania, posłużą do sformułowania wykrytych niezgodności.W celu uzupełnienia informacji audytor przeprowadza wywiady z wybranymi pracownikami organizacji oraz przeprowadza wizje lokalne.

Bezstronność audytu

Wybór audytorów i sposób przeprowadzenia audytu powinny zapewnić obiektywność i beztronność procesu audytowego. Co oczywiste, nigdy audytorzy nie powinni audytować swojej własnej pracy. Audytor nie powinien także audytować obszaru, co do którego istnieje podejrzenie, że będzie miał trudności z zachowaniem obiektywizmu. Sytuacja taka może wystąpić wtedy, gdy w badanej komórce organizacyjnej pracuje osoba mocno zaprzyjaźniona z audytorem lub osoba, której audytor z jakich powodów jest bardzo nieprzychylny. Jest to ważne, bowiem celem audytora jest uzyskanie dowodów z audytu i wydanie obiektywnej oceny, która pozwoli określić stopnień spełnienia kryteriów. Celem audytorów jest szukanie zgodności, a nie poszukiwanie potknięć audytowanego. Audytorzy nie mogą kierować się negatywnymi emocjami wobec audytowanego. Audytorzy muszą pamiętać, że audyt nie jest kontrolą. Nie mogą zapominać, że audyty wewnętrzne podejmowane są dobrowolnie przez organizację i ich celem jest doskonalenie systemu.

Audyt bezpieczeństwa może być realizowany zarówno przez osoby zatrudnione w weryfikowanej organizacji jak i za pomocą zewnętrznych specjalistów. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki organizacji i pozwala dokładnie analizować wybrane zabezpieczenia ponieważ może być realizowany częściej niż audyt zewnętrzny. Aby dobrze wykonać zadanie audytorzy powinni rozumieć obszar audytowany i działalność audytowanego. W normie PN-EN ISO 19011 podkreślono, że aby audyt stał się wiarygodnym i miarodajnym narzędziem musi opierać się na sześciu zasadach: rzetelności, uczciwym przedstawieniu wyników, należytej staranności zawodowej, niezależności, podejściu opartym na dowodach i poufności. 

Dokumentacja audytu

Dokumentacja obejmuje plan audytu, dowody audytu oraz raport. Ze względu na fakt, że niejednokrotnie ujawniane są słabości w zakresie bezpieczeństwa, wszelkie informacje stanowią tajemnicę przedsiębiorstwa i dostęp do niej powinien być udzielany przez Zarząd organizacji zgodnie z zasadą niezbędnej wiedzy koniecznej.

Osoby uzyskujące dostęp do dokumentacji audytu oraz dokumentacji bezpieczeństwa informacji, m.in. zagrożeń, oceny ryzyka, wdrożonych środków bezpieczeństwa informacji, powinny zachować poufność tych informacji w trakcie, jak również po ustaniu zatrudnienia.

Zakończenie audytu

Po zakończeniu prac audytowych audytor wiodący organizuje spotkanie zespołu, omawiane są wszystkie zidentyfikowane niezgodności i przygotowany raport podsumowujący audyt. Celem przygotowania raportu podsumowującego jest zebranie wszystkich faktów razem tak, aby na spotkaniu zamykającym mogły być zaprezentowane audytowanemu. Odbiorcą raportu jest zwykle Zarząd organizacji, w której audyt był prowadzony, dlatego zapisy w raporcie powinny być jasne i zrozumiałe dla odbiorcy. Sformułowane w raporcie niezgodności powinny być poparte dowodami i odnosić się do punktów normy.  Raport podsumowujący powinien zawierać wyraźną interpretację faktów, aby przedstawić audytowanemu wnioski z audytu i upewnić się, że są one dla niego zrozumiałe.

Skontaktuj się w celu uzyskania szczegółowej oferty. Zadzwoń lub napisz