ISO 27001. Внутренний аудит системы управления информационной безопасностью
Независимый внутренний аудит вашей системы управления информационной безопасностью (ISMS)
Хотите убедиться, что ваша система управления информационной безопасностью соответствует требованиям стандарта ISO/IEC 27001 и способствует достижению целей вашей организации?
Компания TJO Konsultatsioonid проводит независимые внутренние аудиты ISMS с целью оценки эффективности системы управления информационной безопасностью, её соответствия требованиям и возможностей для улучшения. Внутренний аудит помогает выявить потенциальные недостатки до проведения сертификационного или надзорного аудита и предоставляет руководству объективную картину состояния информационной безопасности.
Почему стоит поручить проведение внутреннего аудита ISMS внешнему партнеру?
Во многих организациях сложно найти внутреннего аудитора, который:
- обладает необходимыми аудиторскими знаниями и опытом;
- хорошо знаком с требованиями стандарта ISO/IEC 27001;
- независим от подразделения, подвергаемого аудиту;
- способен дать объективную оценку эффективности системы.
Внешний аудитор привносит в аудит опыт, накопленный в различных организациях и отраслях, и способен выявить возможности для улучшений, которые могут остаться незамеченными в ходе повседневной деятельности компании.
Что дает организации внутренний аудит ISMS?
По итогам внутреннего аудита организация получает:
- оценку соответствия требованиям стандарта ISO/IEC 27001;
- обзор эффективности системы управления информационной безопасностью;
- информацию об эффективности внедренных мер контроля;
- перечень выявленных несоответствий;
- практические рекомендации по совершенствованию системы;
- лучшую подготовку к сертификационным или надзорным аудитам.
Процесс внутреннего аудита ISMS
1. Анализ документации
Аудитор анализирует документацию системы управления информационной безопасностью, в том числе:
- политики;
- процедуры;
- руководства;
- результаты оценки рисков;
- Заявление о применимости (SoA);
- другие соответствующие документы.
2. Планирование аудита
Подготавливается программа аудита, в рамках которой согласовываются следующие моменты:
- беседы;
- наблюдения;
- объекты и процессы;
- участники;
- график проведения аудита.
3. Проведение аудита
В ходе аудита:
- проводятся собеседования с сотрудниками;
- оценивается эффективность процессов;
- проводится анализ доказательств;
- оценивается эффективность применимых мер контроля.
4. Итоги аудита
Результаты аудита документируются и представляются руководству, включая:
- несоответствия;
- наблюдения;
- области риска;
- возможности для улучшения.
Когда следует проводить внутренний аудит?
- Обязательно в качестве полномасштабного аудита перед сертификационным аудитом по стандарту ISO 27001;
- желательно в соответствии с программой аудита перед следующим повторным аудитом;
- после крупных организационных изменений;
- после серьезных инцидентов в сфере информационной безопасности;
- регулярно, в соответствии с программой аудита организации.
Часто задаваемые вопросы
Сколько времени занимает внутренний аудит ISMS?
Продолжительность аудита зависит от размера организации, количества сотрудников, количества филиалов и объема аудита. В небольших организациях аудит может занять один день; в крупных организациях — несколько дней.
Является ли внутренний аудит обязательным для ISO 27001?
Да. Стандарт ISO/IEC 27001 требует проведения внутренних аудитов через запланированные промежутки времени для оценки соответствия и эффективности системы управления.
Помогает ли внутренний аудит подготовиться к сертификационному аудиту?
Да. Внутренний аудит позволяет выявить несоответствия до проведения аудита сертификационным органом и снизить риск их возникновения.
Может ли аудитор проводить аудит своей собственной работы?
Как правило, нет. Аудитор должен быть независимым и объективным, чтобы обеспечить достоверность результатов аудита.