ISO 27001: Как провести внутренний аудит для вашей организации

Опубликовано: 14 Марта, 2023
ISO 27001: Как провести внутренний аудит для вашей организации

Подготовка к внутреннему аудиту ISO 27001 — сложная задача, особенно если вы никогда раньше ее не проводили. Не беспокойтесь! Получение сертификата ISO 27001 — отличная возможность для вашего бизнеса. Это показывает , что вы заботитесь о своей безопасности и, самое главное, о безопасности вашего клиента. Тем не менее, последнее принесет вам больше повторных сделок и поможет расширить клиентскую базу.

В этой статье я расскажу, что такое ISO 27001, а также почему это важно. Затем мы перейдем к тому, что связано с внутренним аудитом. Наконец, я поделюсь удобным контрольным списком, который поможет вам на этом пути. Давайте посмотрим и посмотрим, что такое ISO 27001.

ISO 27001 и его важность

ISO 27001 — это международный стандарт, установленный Международной организацией по стандартизации. 167 стран мира признают стандарт ISO.

В частности, ISO 27001 стандартизирует защиту информационных активов. Сюда входят бумажные файлы, документы, скоросшиватели, картотечные шкафы, электронные письма и многое другое. Целью ISO 27001 является защита этих данных. Это гарантирует, что все политики относительно него действительно актуальны. Он также проверяет, следует ли компания руководящим принципам, изложенным в ISO.

Стандарт ISO оценивает вашу компанию по многим стандартным критериям. В частности, стандарт состоит из 114 элементов управления в 14 группах и 35 категорий элементов управления. Давайте посмотрим на это.

Группы управления ISO 27001

Чтобы уточнить, ISO 27001 возлагает на вашу компанию ответственность в соответствии с этими 14 группами:

  1. A.5: Политики информационной безопасности
  2. A.6: Организация информационной безопасности
  3. A.7: Безопасность человеческих ресурсов
  4. A.8: Управление активами
  5. A.9: Контроль доступа
  6. A.10: Криптография
  7. A.11: Физическая и экологическая безопасность
  8. A.12: Операционная безопасность
  9. A.13: Безопасность связи
  10. A.14: Приобретение, разработка и обслуживание системы
  11. A.15: Отношения с поставщиками
  12. A.16: Управление инцидентами информационной безопасности
  13. A.17: Аспекты информационной безопасности управления непрерывностью бизнеса
  14. A.18: Соблюдение внутренних и внешних требований, таких как законы

Теперь, как вы проводите внутренний аудит в вашей компании? С чего начать? Какой документации следует придерживаться? Что ж, у меня есть для вас кое-что обязательное для прочтения, чтобы помочь ответить на эти вопросы.

Обязательные требования ISO 27001

Первое, что нужно помнить, это то, что не все организации одинаковы. Поэтому к ним применимы не все элементы управления. Однако, прежде чем вы сможете даже начать аудит, вам необходимо написать и определить масштаб вашей системы управления информационной безопасностью (ISMS). СУИБ — это, по сути, ваш путеводитель по политике безопасности вашей организации.

Кроме того, в пункте 6.12 стандарта ISO 27001 указано, что вы должны провести оценку рисков и определить методологию обработки рисков. Другими словами, если вы обнаружите некоторый риск, каков ваш процесс устранения этого риска?

Кроме того, вам также придется написать документацию по некоторым обязательным пунктам:

Изображение 33

Вы также можете найти более подробную информацию о каждом пункте здесь.

Из-за этих пунктов первый этап сертификации может занять до 6 месяцев. Если вы еще не задокументировали эти процессы, соберите команду и начните писать. Помимо документации, давайте теперь рассмотрим этапы самого внутреннего аудита.

Что входит во внутренний аудит ISO 27001?

Всего аудит состоит из 5 частей.

1. Обзор документации

Прежде всего, это обзор политик, процедур, стандартов и руководств вашей организации, чтобы убедиться, что они соответствуют назначению, проверены и поддерживаются. Это те документы, о которых я говорил в предыдущем разделе. Затем аудитор проверит, есть ли у вас документация и соответствует ли она критериям.

2. Доказательный аудит

Это аудиторская деятельность, которая активно отбирает доказательства. Это демонстрирует, что работники соблюдают политику, следуют процедурам и стандартам и учитывают рекомендации. Вы можете собрать эти доказательства, поговорив с сотрудниками о процессах и процедурах, а также взяв образцы рабочих элементов.

3. Анализ

После обзора документации и выборки доказательств аудитор оценивает и анализирует результаты. Следовательно, они подтвердят, соблюдаются ли стандартные требования.

4. Аудиторский отчет

После завершения анализа вы подготовите аудиторский отчет и предоставите его руководству, чтобы обеспечить прозрачность. Это обязательный шаг независимо от результатов аудита.

5. Обзор руководства

Наконец, руководство должно рассмотреть отчет и рассмотреть результаты аудита. Затем вы должны обеспечить выполнение корректирующих действий и улучшений по мере необходимости.

Чтобы убедиться, что вы готовы к аудиту, я составил контрольный список для вашего удобства в следующем разделе.

Контрольный список аудита ISO 27001

Этот контрольный список пригодится и поможет вам подготовиться к аудиту. Последнее, что вам нужно, — это вступать в фазу аудита неподготовленным, что, очевидно, еще больше удлиняет процесс.

Изображение 4084

1. Обзор документации

  • Просмотрите всю документацию, которую вы использовали при создании своей СМИБ.
  • Убедитесь, что объем аудита соответствует вашей организации (это поможет вам установить четко определенные границы в процессе аудита).
  • Определите всех важных людей в вашей СМИБ и обратитесь к ним за информационными запросами, которые запрашивает аудитор.

2. Обзор руководства

  • Начните встречаться с руководством заранее и установите правила, коммуникацию, ожидания и график
  • Назначьте регулярные контрольные встречи, чтобы гарантировать своевременное выполнение задач обеими сторонами

3. Обзор поля

  • Поговорите с ИТ-отделом, чтобы оценить, как СМИБ работает в реальной жизни (это поможет вам определить, игнорируется ли она).
  • Проведите аудиторские тесты и соберите доказательства, чтобы установить, что работает, а что нет.
  • Документируйте результаты каждого теста в отчете
  • Просмотрите свою СМИБ и другую связанную информацию, чтобы сравнить свои выводы.

4. Анализ

  • Отсортируйте и просмотрите доказательства и выводы, касающиеся вашего плана обработки рисков.
  • Проанализируйте пробелы в вашем процессе или проведите дополнительные тесты

5. Отчет

  • Создать отчет для представления руководству
  • Напишите введение, чтобы уточнить объем, цели, сроки и объем аудита.
  • Создайте исполнительное резюме, чтобы охватить основные выводы, высокоуровневый анализ и общее резюме аудита.
  • Перечислите предполагаемых получателей результатов, выводов и рекомендуемых исправлений.
  • Завершите заявлением с подробным изложением рекомендаций и ограничений области применения.

Короче говоря, этот всеобъемлющий контрольный список поможет вам определить задачи для внутреннего аудита. Надеюсь, это поможет вам максимально подготовиться.

Заключительные слова

После прочтения этой статьи вы наверняка будете готовы к внутреннему аудиту для получения сертификата ISO 27001. Я показал вам все параметры, которые проверяет ISO, но вы все равно должны знать, какие из них применимы к вашей организации. Я также подробно описал весь процесс аудита и дал вам контрольный список, на который следует ссылаться на каждом этапе.

Вы поступили правильно, начав путь к сертификации ISO 27001. Удачи в ваших поисках!

Если у вас есть какие-либо вопросы по этой теме, ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.

Часто задаваемые вопросы

Каковы преимущества получения сертификата ISO 27001?

Сертификат ISO 27001 доказывает вашим клиентам и бизнес-сообществу в целом, что ваша организация серьезно относится к безопасности данных. ISO 27001 — это международный стандарт , признанный в 167 странах. Независимо от того, в какой части мира вы ведете бизнес, ваша сертификация будет признана. В результате это отражает вашу серьезность в отношении безопасности.

Кто проводит фактический аудит ISO 27001?

Вы сами проводите внутренний аудит. И наоборот, аудитор из ISO проведет ваш сертификационный аудит. Как правило, внутренние аудиты могут помочь сохранить вашу сертификацию или помочь вам подготовиться к первоначальному сертификационному аудиту, чтобы избежать каких-либо неожиданностей.

Как часто я должен проводить внутренний аудит?

Никаких указаний по срокам проведения внутренних аудитов не установлено, но, как правило, рекомендуется проводить его ежегодно. Однако ежегодные аудиты потребляют много ресурсов, поэтому они могут быть не идеальными. В результате многие предпочитают проводить их раз в два-три года.

Что такое СМИБ?

ISMS расшифровывается как Система управления информационной безопасностью. Это путеводитель по системам безопасности вашей организации, протоколам и людям, которые работают с ними напрямую. По сути, ваша СМИБ помогает вам защищать информацию и данные вашей организации и управлять ими посредством эффективного снижения рисков. Это также позволяет соблюдать многие законы, в том числе GDPR (Общее положение о защите данных). Наконец, основное внимание уделяется защите трех ключевых аспектов информации: конфиденциальности, целостности и доступности. Короче говоря, это краеугольный камень аудита ISO 27001.

Сколько времени занимает внутренний аудит?

На самом деле это зависит от размера вашей организации, количества работающих в ней людей и текущего состояния существующей документации. В среднем проверка может занять от 2 до 4 месяцев .

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023