Audyt SZBI zgodnie z ISO27001 – jak to zrobić?
Wiem doskonale z własnego doświadczenia, że szkolenie to nie wszystko. Po intensywnych kilku dniach szkoleń, wraca się do szarej rzeczywistości i nie wiadomo od czego zacząć. Świadomie odwołuję się do audytu zgodności z normą ISO, a nie RODO, ponieważ jest to temat, który zyskuje na popularności i coraz częściej inspektorzy, szukając skutecznych metod audytu, sięgają właśnie po normy ISO.
Od czego zacząć? Na pewno wiedza. Nie da się weryfikować zgodności z jakimkolwiek standardem, jeżeli się go nie zna. Jeśli weryfikujemy zgodność z RODO, musimy znać przepisy RODO, ale także umieć stosować je w praktyce i rozumieć. Podobnie z ISO27001, należy zapoznać się ze standardem. Dobrym punktem wyjścia jest szkolenie, najlepiej w firmie, która na co dzień przeprowadza audyty zgodności z ISO27001 i certyfikację zgodności.
Kolejnym krokiem jest zakup normy. Podczas szkolenia pewnie w sposób pośredni zapoznamy się z treścią normy, ale nie można weryfikować zgodności ze standardem, którego się nie posiada. Dodatkowo na plus jest to, że sama norma zawiera tabelkę, która wprost może posłużyć nie tylko do przeprowadzenia audytu, ale także za sprawozdanie.
Tu mała dygresja: najnowsza wersja normy (IOS27001:2023) jest w momencie tworzenia tego wpisu jedynie w wersji angielskiej, jednak polecam pracować właśnie na niej.
Sam załącznik do normy jest świetnym narzędziem audytowym, ale zawiera same ogólniki. Nim mniej ma się doświadczenia, tym trudniej może być zmierzyć się z niektórymi wymaganiami, np.
„Obowiązki kierownictwa: Monitorowanie przestrzegania przyjętych polityk” – jest dość intuicyjne do zweryfikowania.
Jednak już wymaganie „Narzędzia wspomagające: Obiekty przetwarzające informacje powinny być chronione przed awariami zasilania i innymi zakłóceniami spowodowanymi awariami mediów pomocniczych” – może powodować trudności. Zaczynając od tego, jakie obiekty należy zakwalifikować do oceny, a kończąc na tym, czym są „media pomocnicze”.
Zazwyczaj podczas szkoleń z normy, prowadzący rozwija wymagania punkt po punkcie. Jednak ta wiedza często ucieka lub nie wszystko zanotujemy i nie ma jak do tego wrócić. Bardzo żałuję, że nikt nie powiedział mi tego wcześniej i sama, w zasadzie przy okazji, wpadłam na to, że uzupełnieniem i rozwinięciem wymagań z normy ISO27001 jest norma ISO27002. Ponownie najnowsza wersja jest w języku angielskim, ale to nie ma znaczenia. W normie ISO27002 rozwinięto punkt po punkcie każde wymaganie z ISO27001. Jest to gotowy zestaw pytań do zadania i zabezpieczeń do sprawdzenia. I tak, jest tego bardzo, bardzo dużo. Jednak prawda jest taka, że liczba i rodzaje zagrożeń też drastycznie rosną, więc bezpieczeństwo informacji staje się zagadnieniem skomplikowanym i złożonym. Co ważne, dzięki podpowiedziom z normy ISO27002 audytor nie musi być ekspertem od weryfikowanego obszaru – wystarczy, że zada odpowiednie pytania i sprawdzi, zgodność odpowiedzi oraz przedstawionych dowodów z tym co zostało wskazane w normie.
Może to być także świetne narzędzie do wykonania samooceny w zakresie bezpieczeństwa informacji.
Zachęcam do tego, aby tabelkę z normy uzupełniać zebranymi dowodami zgodności na bieżąco, aby już w trakcie przeprowadzania audytu powstawało sprawozdanie. Uzupełnianie go później jest naprawdę czasochłonne.
Jeśli chcesz, żebym przeprowadziła audyt zgodności z RODO / ISO27001 w Twojej organizacji, skontaktuj się ze mną. Taki audyt to także doskonała okazja do nauki właściwych metod pracy, bezpośrednio od audytora.
I przypominam – audyt to systematyczny i udokumentowany proces poszukiwania dowodów zgodności z przyjętym standardem (np. RODO, ISO27001). Zatem nie wpisujcie w swoich raportach tylko i wyłącznie niezgodności. Informacje o zgodnościach są bardzo ważne i stanowią podstawę raportu.