ISO 27001 siseaudit infoturbe juhtimissüsteemile
Sõltumatu siseaudit teie infoturbe juhtimissüsteemile (ISMS)
Kas soovite veenduda, et teie infoturbe juhtimissüsteem vastab ISO/IEC 27001 nõuetele ning toetab organisatsiooni eesmärkide saavutamist?
TJO Konsultatsioonid viib läbi sõltumatuid ISMSi siseauditeid, mille eesmärgiks on hinnata infoturbe juhtimissüsteemi toimivust, nõuetele vastavust ja parendusvõimalusi. Siseaudit aitab tuvastada võimalikke puudusi enne sertifitseerimis- või järelevalveauditit ning annab juhtkonnale objektiivse ülevaate infoturbe olukorrast.
Miks tellida ISMSi siseaudit väliselt partnerilt?
Paljudes organisatsioonides on keeruline leida siseaudiitorit, kes:
- omaks vajalikku auditeerimise pädevust;
- tunneks ISO/IEC 27001 nõudeid;
- oleks auditeeritava valdkonna suhtes sõltumatu;
- suudaks anda objektiivset hinnangut süsteemi toimivusele.
Väline audiitor toob auditi käigus kaasa kogemused erinevatest organisatsioonidest ja valdkondadest ning oskab märgata parendusvõimalusi, mis ettevõtte igapäevatöö käigus võivad jääda tähelepanuta.
Mida ISMSi siseaudit annab?
Siseauditi tulemusena saab organisatsioon:
- hinnangu ISO/IEC 27001 nõuetele vastavuse kohta;
- ülevaate infoturbe juhtimissüsteemi toimivusest;
- teavet rakendatud ohjemeetmete mõjususe kohta;
- nimekirja tuvastatud mittevastavustest;
- praktilised soovitused süsteemi täiustamiseks;
- parema valmisoleku sertifitseerimis- või järelevalveauditiks.
ISMSi siseauditi protsess
1. Dokumentatsiooni ülevaatus
Audiitor analüüsib infoturbe juhtimissüsteemi dokumentatsiooni, sealhulgas:
- juhtpõhimõtteid (poliitikaid);
- protseduure;
- juhendeid;
- riskihindamise tulemusi;
- meetmete kohaldatavuse tabelit (SoA);
- muid asjakohaseid dokumente.
2. Auditi planeerimine
Koostatakse auditi programm ning lepitakse kokku:
- intervjuud;
- vaatlused;
- objektid ja protsessid;
- osalejad;
- auditi ajakava.
3. Auditi läbiviimine
Auditi käigus:
- intervjueeritakse töötajaid;
- hinnatakse protsesside toimimist;
- kontrollitakse tõendusmaterjale;
- hinnatakse kohaldatavate ohjemeetmete toimimist.
4. Auditi kokkuvõte
Auditi leiud dokumenteeritakse ning esitatakse juhtkonnale, sh:
- mittevastavused;
- tähelepanekud;
- riskikohad;
- parendusvõimalused.
Millal tuleks siseaudit läbi viia?
- kindlasti täismahus enne ISO 27001 sertifitseerimisauditit;
- soovitavalt enne järjekordset järelevalveauditit;
- pärast suuremaid organisatsioonilisi muudatusi;
- pärast olulisi infoturbeintsidente
- regulaarselt vastavalt organisatsiooni auditiprogrammile.
Korduma kippuvad küsimused
Kui kaua ISMSi siseaudit kestab?
Auditi kestus sõltub organisatsiooni suurusest, töötajate arvust, tegevuskohtade arvust ja auditi ulatusest. Väiksemates organisatsioonides võib audit võtta ühe päeva, suuremates organisatsioonides mitmeid päevi.
Kas siseaudit on ISO 27001 puhul kohustuslik?
Jah. ISO/IEC 27001 nõuab siseauditite läbiviimist planeeritud intervallidega, et hinnata juhtimissüsteemi vastavust ja toimivust.
Kas siseaudit aitab sertifitseerimisauditiks valmistuda?
Jah. Siseaudit võimaldab tuvastada puudused enne sertifitseerimisasutuse auditit ning vähendada mittevastavuste tekkimise riski.
Kas audiitor võib auditeerida enda tööd?
Üldjuhul mitte. Audiitor peab olema sõltumatu ja objektiivne, et tagada auditi usaldusväärsus.