Informacje, procesy, systemy teleinformatyczne od dawna stanowią kluczowe zasoby niemal każdej organizacji. Z tego też powodu są one narażone na zagrożenia, które wynikają z bardzo różnych źródeł, włączając w to m.in. oszustwa komputerowe, szpiegostwo, sabotaż, wandalizm, ogień i powódź.
Norma ISO 27001 to konkretne wytyczne, które pozwalają stworzyć system zarządzania bezpieczeństwem informacji (SZBI), dzięki któremu – poprzez stosowanie procesu zarządzania ryzykiem – zapewnia się tym zasobom poufność (informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom), integralność (zapewnienie kompletności i dokładności informacji) i dostępność (dostępność i użyteczność informacji na żądanie autoryzowanego podmiotu).
Twoja organizacja może mieć różne motywy, żeby przeprowadzić audyt zgodności z normą ISO 27001, wśród których można wymienić:
- chęć zbudowania SZBI, a następnie przystąpienia do certyfikacji na zgodność z ww. normą,
- sprawdzenie skuteczności wdrożonego SZBI,
- wymogi przepisów prawa,
- identyfikację obszarów wymagających podjęcia działań korygujących.
Bez względu na to, co Cię motywuje, audyt zgodności z wymogami ISO 27001 obejmuje następujące działania:
- przeprowadzenie inwentaryzacji oraz analizy aktywów,
- zdefiniowanie podejścia do szacowania ryzyka oraz przeprowadzenie analizy i oceny ryzyka w obszarze bezpieczeństwa informacji,
- zdefiniowanie relacji z dostawcami,
- analizę zarządzania incydentami związanymi z bezpieczeństwem informacji,
- opracowanie planów ciągłości działania,
- określenie ról, odpowiedzialności i uprawnień związanych z bezpieczeństwem informacji,
- określenie sposobów mierzenia skuteczności zabezpieczeń.
Szczególnie istotnym etapem jest planowanie audytu (stworzenie jego programu), ponieważ wymaga on dokładnego przygotowania. Zupełnie inaczej wygląda to w małej firmie, a jeszcze inaczej w dużej organizacji, która oprócz centrali obejmuje również oddziały i terenowe biura sprzedaży. Jednak istnieje pewien wspólny mianownik w postaci konkretnych informacji, które na etapie przygotowania audytu należy uzgodnić, w szczególności zaś:
- zdefiniować cel audytu, czyli wskazać motywacje, o której była mowa wcześniej,
- wskazać zakres, czas trwania (harmonogram) audytu, co ma ogromne znaczenie dla audytowanej organizacji, ponieważ każdy audyt w jakimś stopniu dezorganizuje pracę personelu skierowanego do współpracy z audytorami,
- określić procedury audytu, co obejmuje m.in. sposób składania raportów do kierownictwa np. w przypadku wykrycia krytycznej niezgodności,
- doprecyzować kryteria audytu, czyli punkt odniesienia, dla którego określana jest zgodność np. zgodność z wewnętrznymi procedurami, z wymogami prawa (ma to także przełożenie na sposób opisywania niezgodności w raporcie z audytu),
- określić metody audytu np. wywiady audytowe, wypełnianie list kontrolnych, przegląd dokumentacji, próbki,
- wyznaczyć zespół audytujący, czyli wskazać audytora wiodącego i członków zespołu audytowego na podstawie kompetencji oraz podziału zadań i ról,
- wskazać niezbędne zasoby po stronie audytowanej organizacji np. wyznaczenie osoby koordynatora, udostępnienie pomieszczenia, itp.,
- potwierdzić zasady dotyczące zachowania poufności.
Gdy etap planowania mamy już za sobą, zespół dedykowanych audytorów iSecure przystępuje do następujących działań:
- przygotowanie działań audytowych np. przeprowadzenie przeglądu dokumentacji, analiza schematu organizacyjnego, analiza materiałów dostępnych na stronie (stronach) www, podział zadań, opracowanie list kontrolnych,
- przeprowadzenie właściwych działań audytowych, które obejmują spotkanie otwierające (wprowadzenie do audytu poprzez przedstawienie planu, celu, kryteriów, itd.), szczegółowy przegląd dokumentacji, zbieranie i weryfikacja informacji (np. poprzez wskazanie źródła informacji oraz dowodu z audytu), opracowanie ustaleń z audytu (wskazanie niezgodności), przygotowanie wniosków z audytu np. przygotowanie rekomendacji, spotkanie zamykające, czyli przedstawienie ustaleń oraz wniosków z audytu,
- przygotowanie i dystrybucja raportu.
Jak widać, nasi audytorzy, planując i realizując audyt u klienta kierują się w pełni wytycznymi zawartymi w normie ISO 19011. Jest on przeprowadzany na poziomie szczegółowości opisanej w normie ISO 27001 (nie obejmuje zatem kontroli poprawności konfiguracji sprzętu informatycznego i oprogramowania oraz testów penetracyjnych).
Istotnym elementem jest również precyzyjne opisanie klasyfikacji niezgodności. Raport, który otrzymasz będzie zawierał następujące opisy niezgodności:
- niezgodność duża – niezgodność o krytycznym znaczeniu, mogąca wywołać istotne konsekwencje w przypadku jej materializacji np. poważne straty finansowe,
- niezgodność średnia – niezgodność o średnim znaczeniu, mogąca wywołać konsekwencje o dużym znaczeniu w przypadku jej materializacji,
- niezgodność mała – niezgodność o małym znaczeniu, niewywołująca znaczących konsekwencji dla organizacji.
Korzyści z audytu zgodności z normą ISO 27001:
- możliwość przystąpienia do certyfikacji wg. ww. normy,
- identyfikacja niezgodności i ich eliminacja,
- obniżenie ryzyka związanego z naruszeniem zasad poufności, integralności i dostępności informacji,
- dobra baza do wdrożenia wymogów wynikających z RODO,
- wzrost świadomości bezpieczeństwa informacji wśród personelu.
