26/09/2024
W dzisiejszym świecie, gdzie bezpieczeństwo informacji jest kluczowe, norma ISO 27001 stała się złotym standardem dla systemów zarządzania bezpieczeństwem informacji (ISMS). Uzyskanie i utrzymanie certyfikatu ISO 27001 wymaga regularnych audytów. Ten artykuł kompleksowo omówi audyty ISO 27001, odpowiadając na pytania o ich wymagania, znaczenie, czas trwania i osoby uprawnione do ich przeprowadzania. Zrozumienie procesu audytu ISO 27001 jest niezbędne dla każdej organizacji, która poważnie myśli o bezpieczeństwie swoich danych i chce wykazać zgodność z międzynarodowymi standardami.
Co to jest audyt ISO 27001?
Audyt ISO 27001 to proces weryfikacji, który zapewnia, że System Zarządzania Bezpieczeństwem Informacji (ISMS) w Twojej organizacji jest zgodny z najnowszymi najlepszymi praktykami w zakresie bezpieczeństwa informacji, określonymi w wytycznych ISO/IEC 27001:2013. Organizacje muszą regularnie przeprowadzać serię audytów wewnętrznych i zewnętrznych, aby uzyskać i utrzymać certyfikat ISO 27001.
Certyfikat ISO 27001 potwierdza, że kontrole ISMS firmy są wystarczające do zabezpieczenia jej danych, dokumentów i innych zasobów informacyjnych. Posiadanie certyfikatu ISO 27001 daje firmom przewagę konkurencyjną, demonstrując, że ich kontrole bezpieczeństwa są rygorystyczne i zgodne z międzynarodowymi standardami.
Aby zakwalifikować się do certyfikacji, firmy muszą przejść audyt zewnętrzny przeprowadzony przez akredytowaną, obiektywną firmę audytorską lub zatwierdzonego audytora ISO 27001. Ma to na celu udowodnienie, że ich procesy i systemy spełniają oczekiwania normy ISO/IEC 27001:2013.
Ciągłe audyty ISO 27001 demonstrują efektywność i skuteczność kontroli bezpieczeństwa w firmie. Ponadto audyty te mierzą i wykazują ciągłą zgodność ze standardami ISO. Regularne przeprowadzanie audytów pozwala organizacjom przeglądać i oceniać poziom ryzyka rezydualnego związanego z ich istniejącymi standardami bezpieczeństwa informacji.
Dzięki wynikom audytu IT dla ISO 27001, organizacje mogą stale ulepszać swoje kontrole i standardy ISMS, aby uczynić ryzyko rezydualne bardziej akceptowalnym.
Znaczenie audytów ISO 27001
Zasadniczo, seria audytów ISO 27001 jest wymagana do zakończenia procesu certyfikacji ISO 27001. Bez pomyślnego przejścia tych audytów organizacja nie może twierdzić, że jest zgodna z międzynarodowymi najlepszymi praktykami w zakresie zarządzania bezpieczeństwem informacji.
W niektórych przypadkach organizacje mogą nie być w stanie współpracować z klientami lub partnerami, którzy umownie wymagają zgodności ze standardami ISO 27001, aby zawrzeć lub odnowić umowę. To może sprawić, że audyty ISO 27001 staną się niezbędne dla firm, aby przyciągnąć lub utrzymać klientów w swojej branży.
Nawet po uzyskaniu certyfikatu ISO 27001, organizacja musi przestrzegać regularnego harmonogramu audytów, aby wykazać ciągłą zgodność ze standardami ISO 27001 i utrzymać certyfikat. Audyty pokazują, że systemy, procesy i kontrole firmy działają skutecznie i stale chronią jej zasoby informacyjne.
Regularnie planowane audyty oceniają nowe ryzyka w miarę rozwoju firmy, umożliwiając firmom prewencyjne identyfikowanie wszelkich słabości w istniejących systemach. Audyty te ujawniają również możliwości wzmocnienia istniejących praktyk zarządzania danymi i bezpieczeństwa IT.
Rodzaje audytów ISO 27001
Zgodność z ISO 27001 wymaga przeprowadzania dwóch rodzajów audytów: audytów wewnętrznych i audytów zewnętrznych.
Jednostki akredytacyjne na całym świecie mają różne wymagania dotyczące częstotliwości przeprowadzania audytów w celu utrzymania zgodności; jednak wszystkie firmy zainteresowane uzyskaniem lub utrzymaniem certyfikatu muszą regularnie składać raporty z audytu wewnętrznego ISO 27001 i przechodzić okresowe audyty zewnętrzne.
Poniżej przedstawiono oczekiwania dotyczące audytów wewnętrznych i zewnętrznych, których organizacje muszą przestrzegać, aby zachować zgodność.
Audyt wewnętrzny
Audyt wewnętrzny ISO 27001 to przegląd ISMS firmy przeprowadzany przez obiektywny personel wewnętrzny przeszkolony w zakresie standardów ISO 27001 lub zewnętrznego wykonawcę zatrudnionego do współpracy z zespołem wewnętrznym. Nawet jeśli audyt wewnętrzny jest przeprowadzany przez stronę zewnętrzną, jest on uważany za wewnętrzny, chyba że strona ta jest częścią jednostki certyfikującej ISO 27001.
Zgodnie z Klauzulą 9.2 ISO 27001, spójny program audytu ISO 27001 jest wymagany do utrzymania zgodności. Zatwierdzony plan audytu ISO 27001 określa, jak często przeprowadzane są audyty wewnętrzne, metody stosowane do przeprowadzenia audytu oraz kto jest odpowiedzialny za planowanie, przeprowadzanie i raportowanie wyników audytu.
Każda firma współpracuje z jednostką certyfikującą w celu ustalenia odpowiedniej częstotliwości audytu ISO 27001 dla swojej organizacji, przy czym większości firm zaleca się przeprowadzanie rocznego audytu ISO 27001.
Zazwyczaj audyt wewnętrzny ISO 27001 obejmuje:
- Przegląd i aktualizację dokumentacji wewnętrznej dotyczącej polityk i procedur
- Pobieranie próbek dowodów z ISMS w ramach przeglądu terenowego, demonstrujące, że polityki i procedury są konsekwentnie przestrzegane
- Analizę wyników przeglądu dokumentacji i przeglądu terenowego w celu upewnienia się, że spełniają one wymagania ISO 27001
- Wdrażanie ulepszeń, w razie potrzeby, na podstawie wyników audytu
Proces audytu certyfikacyjnego ISO 27001 rozpoczyna się od audytu wewnętrznego, podczas którego organizacja przegląda swoje bieżące procesy IT i dokumentuje zakres audytu ISMS w celu dalszego przeglądu zewnętrznego.
Następnie organizacja przeprowadza ocenę ryzyka i analizę luk, przedstawiając te audyty wraz z inną dokumentacją audytorom zewnętrznym lub jednostce certyfikującej.
Wreszcie, jeśli firma zdecyduje się ubiegać o certyfikację, organizacje muszą regularnie przeprowadzać zaplanowane audyty wewnętrzne, aby utrzymać zgodność.
Audyt zewnętrzny
Kiedy specjaliści IT pytają „jak przygotować się do audytu ISO 27001?”, zazwyczaj mają na myśli audyt zewnętrzny ISO 27001. Audyty zewnętrzne są przeprowadzane przez akredytowane jednostki certyfikujące w celu potwierdzenia zgodności ze standardami ISO 27001.
Organizacje zainteresowane certyfikacją ISO 27001 muszą uczestniczyć w czterech audytach zewnętrznych:
- Przegląd projektu ISMS (ISMS Design Review)
- Audyt certyfikacyjny
- Audyty nadzoru
- Audyty recertyfikacyjne
Po określeniu zakresu audytu ISMS, należy poprosić audytora z akredytowanej w danym kraju jednostki certyfikującej o przeprowadzenie Przeglądu Projektu ISMS. Podczas tego audytu zewnętrznego ISO 27001 audytor przegląda dokumentację, procesy i procedury organizacji, aby upewnić się, że kontrole i projekt ISMS są zgodne ze standardami ISO 27001.
Jeśli organizacja spełnia wymagania Przeglądu Projektu ISMS, audytor rekomenduje organizację do certyfikacji i przechodzi do Audytu Certyfikacyjnego.
Podczas Audytu Certyfikacyjnego audytor przegląda procesy biznesowe i kontrole organizacji poprzez przegląd terenowy, aby upewnić się, że spełniają one wymagania ISO 27001 i 114 podstawowych kontroli wymienionych w Załączniku A. Spełnienie tych wymagań czyni organizację uprawnioną do pełnej certyfikacji ISO 27001.
Aby utrzymać zgodność po certyfikacji, jednostki certyfikujące przeprowadzają okresowe audyty — znane jako Audyty Nadzoru — podczas których pobierają losową próbkę danych, aby upewnić się, że są one zgodne z procedurami i procesami określonymi w dokumentacji. Audyty te często koncentrują się na określonych obszarach ISMS i odbywają się przed recertyfikacją.
Wreszcie, organizacje podlegają kompleksowemu Audytowi Recertyfikacyjnemu co trzy lata, aby utrzymać uprawnienia do certyfikacji ISO 27001. Ten przegląd obejmuje wszystkie obszary ISMS i naśladuje początkowy Audyt Certyfikacyjny, zapewniając, że organizacja stale przestrzega standardów ISO 27001 i ulepsza swój ISMS w miarę pojawiania się nowych ryzyk.
Etapy audytu ISO 27001
Przygotowując się do certyfikacji ISO 27001, ważne jest, aby zrozumieć dwa etapy, które składają się na początkowy audyt certyfikacyjny. Kryteria audytu dla ISO 27001 są zdefiniowane przez te dwa etapy, a uprawnienie firmy do certyfikacji zależy od pomyślnego przejścia obu etapów audytu.
Firmy powinny zauważyć, że powszechnie organizacje zatrudniają oddzielnego audytora zewnętrznego, aby pomógł im w spełnieniu wymagań 1 etapu zgodności przed złożeniem wniosku o audyt zewnętrzny z jednostki certyfikującej na etap 2.
Etap 1
Etap 1 audytu ISO 27001 nazywany jest Przeglądem Projektu ISMS. Zanim firma złoży wniosek o audyt Projektu ISMS, kluczowe jest, aby firma odpowiednio przygotowała się na to, co obejmuje Przegląd Projektu ISMS. Lista kontrolna audytu ISO 27001 może pomóc w przygotowaniu się do audytu etapu 1.
Po pierwsze, współpracuj z zespołem ds. zgodności, aby określić tolerancję ryzyka firmy i podstawowe poziomy bezpieczeństwa w oparciu o oczekiwania klientów lub partnerów. Może być również konieczne uwzględnienie wymagań prawnych lub umownych. Elementy te zdefiniują zakres, cele bezpieczeństwa i oświadczenie o stosowalności dla audytu certyfikacyjnego.
Następnie dokładnie udokumentuj wszystkie procesy, procedury, polityki, wytyczne i kontrole dla swojego ISMS w oparciu o wymagania wyszczególnione w ISO 27001 i ISO 27002. Należy również przeprowadzić ocenę ryzyka, postępowanie z ryzykiem i analizę luk, aby przedłożyć je wraz z dokumentacją.
Po wdrożeniu i udokumentowaniu kontroli w ISMS, audytor przejrzy dokumentację podczas Przeglądu Projektu ISMS, aby upewnić się, że spełnia ona wymagania ISO 27001. Po zakończeniu audytor przekaże organizacji raport z audytu ISO 27001.
Raport z audytu zawiera ustalenia i zalecenia dotyczące ulepszenia procesów lub kontroli przed przejściem do etapu 2. Pracownicy organizacji mogą również potrzebować ukończyć dodatkowe szkolenie z zakresu bezpieczeństwa, aby spełnić standardy audytu ISO 27001 etapu 1 przed przejściem do etapu 2 procesu certyfikacji.
Etap 2
Jeśli audytor zarekomenduje organizację do certyfikacji po etapie 1, organizacja może zdecydować się na przejście do etapu 2 w celu uzyskania certyfikacji. W audycie ISO 27001 etapu 2 audytor z jednostki certyfikującej przeprowadzi przegląd terenowy oparty na dowodach, aby potwierdzić, że procesy biznesowe i kontrole w ramach ISMS są zgodne z udokumentowanymi i zatwierdzonymi procedurami z etapu 1.
Audytor przeprowadza dokładne, losowe pobieranie próbek danych i zasobów informacyjnych jako dowód, aby potwierdzić, że ISMS działa skutecznie i spełnia wymagania określone przez ISO 27001 i obowiązkowe kontrole Załącznika A. Dowody te powinny wykazać, że procedury biznesowe działają zgodnie z dokumentacją.
Aby zakończyć audyt, audytorzy często przeprowadzają wywiady z kluczowymi interesariuszami odpowiedzialnymi za zarządzanie systemem ISMS, a także z członkami zespołów audytu wewnętrznego i zgodności. Poproszą również o dowody wcześniejszych raportów z audytów i wszelkich działań naprawczych podjętych na podstawie wyników etapu 1. Raporty z audytów informują ich o niezgodnościach przedstawionych przez poprzedniego audytora, podczas gdy audyty zarządzania potwierdzają, że ulepszenia zostały wdrożone po audycie.
Etap 2 to także czas na określenie procesów na przyszłość po certyfikacji. Obejmuje to procedury szkolenia w zakresie świadomości bezpieczeństwa i proces audytu wewnętrznego, które muszą być udokumentowane, aby uzyskać certyfikację i utrzymać ciągłą zgodność.
Po pomyślnym przejściu procesu audytu ISO 27001 etapu 2, firma otrzyma certyfikat ISO 27001 na trzy lata. Jednak firmy są nadal zobowiązane do przeprowadzania i składania corocznych audytów nadzoru, aby przestrzegać wymaganego harmonogramu audytu wewnętrznego złożonego jednostce certyfikującej i wykazać, że ich kontrole działają w sposób ciągły zgodnie z zamierzeniami.
Kto może przeprowadzać audyty ISO 27001?
Ważne audyty wewnętrzne i zewnętrzne ISO 27001 muszą być przeprowadzane przez obiektywnych, kompetentnych i doświadczonych audytorów z udokumentowaną wiedzą na temat standardu ISO 27001. Udokumentowana wiedza jest powszechnie wskazywana przez formalne wykształcenie lub certyfikację. Jednak jednostka certyfikująca może zatwierdzić audytora, który może wykazać swoją wiedzę poprzez odpowiednie pytania i odpowiedzi dotyczące audytu ISO 27001.
W przypadku audytów wewnętrznych audytorzy muszą należeć do zespołu, który jest oddzielony od interesariuszy utrzymujących ISMS, aby upewnić się, że nie dokonują przeglądu własnej pracy lub nie tworzą konfliktu interesów. W przypadku organizacji bez oddzielnego działu zgodności lub zespołu audytorskiego, powszechne jest zatrudnianie formalnie przeszkolonego wykonawcy lub firmy audytorskiej w celu wsparcia planu audytu wewnętrznego. Firmy te mogą pomóc w uniknięciu typowych błędów audytu ISO 27001.
Agencje certyfikacyjne zatwierdziły i akredytowały audytorów, którzy przeprowadzają zewnętrzne audyty certyfikacyjne, nadzoru i recertyfikacyjne. Często audytorzy ci ukończyli kurs Auditora Wiodącego ISO 27001 lub podobny formalny kurs szkoleniowo-certyfikacyjny.
Harmonogram audytu ISO 27001
Audyt ISMS firmy w celu certyfikacji może być długotrwałym procesem. Dla większości małych i średnich firm początkowy proces certyfikacji trwa od 6 do 12 miesięcy od początku do końca. Większe organizacje z bardziej kompleksowym ISMS lub szerszym zakresem mogą spodziewać się, że proces ten potrwa do 18 miesięcy.
Firmy powinny spodziewać się obszernego przygotowania dokumentacji jeszcze przed rozpoczęciem Przeglądu Projektu ISMS etapu 1. Sam ten proces często może zająć od 6 do 10 miesięcy. Może być konieczne przeprowadzenie wielu audytów wewnętrznych i wdrożeń, zanim ISMS będzie gotowy do rozpoczęcia procesu certyfikacji.
Po rozpoczęciu procesu certyfikacji audytor będzie współpracował z organizacją w celu utworzenia harmonogramu audytu ISO 27001. Harmonogram ten określa ramy czasowe dla audytora na dokładne przejrzenie dokumentacji na etapie 1 i zebranie wystarczającej ilości dowodów na wykazanie zgodności na etapie 2.
Podczas gdy przegląd dokumentacji podczas etapu 1 zazwyczaj trwa około tygodnia, etap 2 często trwa dłużej, ponieważ audytorzy przeprowadzają wywiady z interesariuszami i spędzają więcej czasu na badaniu ISMS.
Podczas każdego etapu audytorzy mogą przedstawić działania naprawcze, które muszą zostać zakończone, zanim organizacja będzie mogła przejść do certyfikacji. W zależności od tego, jakie działania naprawcze są konieczne do spełnienia standardów ISO 27001, ukończenie niezbędnych ulepszeń może dodatkowo wydłużyć harmonogram certyfikacji ISO 27001.
Jak skuteczne narzędzia pomagają w audycie ISO 27001?
Współczesne platformy do zarządzania dostępem uprzywilejowanym (PAM) oparte na zasadach Zero Trust mogą znacząco usprawnić proces audytu ISO 27001. Zarówno audytorzy wewnętrzni, jak i zewnętrzni mogą łatwo przeglądać sesje, zapytania i polecenia w całej infrastrukturze IT z jednej centralnej platformy. Dobrej jakości platformy PAM centralizują wszystkie logi organizacji w jednym miejscu, co znacznie ułatwia ich zbieranie i analizę.
Szczegółowe logi generowane przez platformy PAM mogą pomóc audytorom zewnętrznym szybko zweryfikować wdrożone kontrole, usprawniając zbieranie dowodów zarówno podczas początkowego procesu certyfikacji, jak i okresowych audytów nadzoru w ramach zgodności z ISO 27001. Ponadto zespoły wewnętrzne oszczędzają czas podczas audytów wewnętrznych i mogą dostarczać kompleksowe logi jednostkom certyfikującym zgodnie z procedurami audytu wewnętrznego ISO 27001.
Audyt nie musi być czasochłonny ani wymagać dużych zasobów. Dzięki odpowiednim narzędziom organizacja może mieć pewność, że jej zasoby informacyjne są bezpieczne, a wbudowane funkcje bezpośrednio wspierają kontrole ISO 27001. Funkcje te pomagają łatwo osiągnąć i utrzymać zgodność z ISO 27001 bez zbędnych problemów.
Jeśli chcesz poznać inne artykuły podobne do Audyt ISO 27001: Wszystko, co musisz wiedzieć, możesz odwiedzić kategorię Audyt.