Продолжая просматривать веб-страницу TJO, вы соглашаетесь с условиями использования файлов cookie. Подробнее

Main content section
Консультация

ISO 27001. Внутренний аудит системы управления информационной безопасностью

Независимый внутренний аудит вашей системы управления информационной безопасностью (ISMS)

Хотите убедиться, что ваша система управления информационной безопасностью соответствует требованиям стандарта ISO/IEC 27001 и способствует достижению целей вашей организации?

Компания TJO Konsultatsioonid проводит независимые внутренние аудиты ISMS с целью оценки эффективности системы управления информационной безопасностью, её соответствия требованиям и возможностей для улучшения. Внутренний аудит помогает выявить потенциальные недостатки до проведения сертификационного или надзорного аудита и предоставляет руководству объективную картину состояния информационной безопасности.

Почему стоит поручить проведение внутреннего аудита ISMS внешнему партнеру?

Во многих организациях сложно найти внутреннего аудитора, который:

  • обладает необходимыми аудиторскими знаниями и опытом;
  • хорошо знаком с требованиями стандарта ISO/IEC 27001;
  • независим от подразделения, подвергаемого аудиту;
  • способен дать объективную оценку эффективности системы.

Внешний аудитор привносит в аудит опыт, накопленный в различных организациях и отраслях, и способен выявить возможности для улучшений, которые могут остаться незамеченными в ходе повседневной деятельности компании.

Что дает организации внутренний аудит ISMS?

По итогам внутреннего аудита организация получает:

  • оценку соответствия требованиям стандарта ISO/IEC 27001;
  • обзор эффективности системы управления информационной безопасностью;
  • информацию об эффективности внедренных мер контроля;
  • перечень выявленных несоответствий;
  • практические рекомендации по совершенствованию системы;
  • лучшую подготовку к сертификационным или надзорным аудитам.

Процесс внутреннего аудита ISMS

1. Анализ документации

Аудитор анализирует документацию системы управления информационной безопасностью, в том числе:

  • политики;
  • процедуры;
  • руководства;
  • результаты оценки рисков;
  • Заявление о применимости (SoA);
  • другие соответствующие документы.

2. Планирование аудита

Подготавливается программа аудита, в рамках которой согласовываются следующие моменты:

  • беседы;
  • наблюдения;
  • объекты и процессы;
  • участники;
  • график проведения аудита.

3. Проведение аудита

В ходе аудита:

  • проводятся собеседования с сотрудниками;
  • оценивается эффективность процессов;
  • проводится анализ доказательств;
  • оценивается эффективность применимых мер контроля.

4. Итоги аудита

Результаты аудита документируются и представляются руководству, включая:

  • несоответствия;
  • наблюдения;
  • области риска;
  • возможности для улучшения.

Когда следует проводить внутренний аудит?

  • Обязательно в качестве полномасштабного аудита перед сертификационным аудитом по стандарту ISO 27001;
  • желательно в соответствии с программой аудита перед следующим повторным аудитом;
  • после крупных организационных изменений;
  • после серьезных инцидентов в сфере информационной безопасности;
  • регулярно, в соответствии с программой аудита организации.

Часто задаваемые вопросы

Сколько времени занимает внутренний аудит ISMS?

Продолжительность аудита зависит от размера организации, количества сотрудников, количества филиалов и объема аудита. В небольших организациях аудит может занять один день; в крупных организациях — несколько дней.

Является ли внутренний аудит обязательным для ISO 27001?

Да. Стандарт ISO/IEC 27001 требует проведения внутренних аудитов через запланированные промежутки времени для оценки соответствия и эффективности системы управления.

Помогает ли внутренний аудит подготовиться к сертификационному аудиту?

Да. Внутренний аудит позволяет выявить несоответствия до проведения аудита сертификационным органом и снизить риск их возникновения.

Может ли аудитор проводить аудит своей собственной работы?

Как правило, нет. Аудитор должен быть независимым и объективным, чтобы обеспечить достоверность результатов аудита.

Почему стоит выбрать TJO Konsultatsioonid?

  • Более 25 лет опыта

Мы помогли сотням организаций разработать системы менеджмента и обладаем обширным опытом в области внедрения и аудита систем менеджмента.

  • Независимая оценка

Мы даем объективную оценку эффективности системы менеджмента информационной безопасности.

  • Практические рекомендации

Цель наших аудитов заключается не просто в выявлении несоответствий, а в определении реальных возможностей для улучшения.

  • Глубокая экспертиза в области стандартов

Мы принимали участие в переводе многочисленных стандартов систем управления, а также в внедрении требований стандартов и проведении обучающих мероприятий в Эстонии.

Время, место и стоимость

Детальная программа, время и место по согласованию.

Хотите узнать больше про консультационные услуги и обучение?

Дополнительные услуги