Audytowanie Systemu Zarządzania Bezpieczeństwem Informacji. Norma ISO/IEC 27007:2020

Dziś bezpieczeństwo informacji jest nie tylko wymogiem biznesowym, ale również prawnym. Każda organizacja powinna dbać o bezpieczeństwo tajemnicy przedsiębiorstwa, informacji poufnych, danych osobowych oraz innych chronionych informacji.  Duża część organizacji państwowych i prywatnych zdecydowała się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) w oparciu o normę ISO/IEC 27001, która jest  jedną z najbardziej znanych i uznawanych na świecie norm międzynarodowych dotyczących wymagań bezpieczeństwa. Jeśli jeszcze tego nie zrobiliście, to IKMJ i nasi specjaliści są gotowi skutecznie  pomóc Wam zarządzać bezpieczeństwem informacji w Waszej organizacji.

Rodzina norm ISO/IEC  27000 jest dość obszerna. Skupimy swoją uwagę na stosunkowo niedawno zaktualizowanej normie ISO/IEC 27007 Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27007 zawiera wytyczne dotyczące przeprowadzenia skutecznych audytów systemu zarządzania bezpieczeństwem informacji  (SZBI), aby zapewnić, że są one przeprowadzone rzetelnie, solidnie i kompetentnie jak powinny. Głównym powodem do aktualizacji jest dostosowanie normy ISO/IEC 27007 do zmian, które zostały wprowadzone do normy ISO 19011 – Wytyczne dotyczące audytu systemów zarządzania.

Zobacz podobne  Nowa norma ISO/IEC 27001:2022

Norma ISO/IEC 27007 zawiera obszerne wytyczne dotyczące audytowania wymagań określonych w ISO/IEC 27001 oraz kompetencji audytorów SZBI. Załącznik A zawiera wytyczne dotyczące praktyki przeprowadzenia audytu SZBI wraz z wymaganiami normy ISO/IEC 27001:2013, Rozdziały 4-10.

Norma skupia się na audytach wewnętrznych SZBI (audyty pierwszej strony) oraz audytach SZBI przeprowadzanych przez organizacje u dostawców lub innych zewnętrznych interesariuszy (audyty drugiej strony). Norma może być również przydatna do zewnętrznych audytów SZBI wykonywanych w celach innych niż certyfikacja systemu zarządzania przez stronę trzecią. Natomiast norma ISO/IEC 27006 określa wymagania audytu SZBI dla certyfikacji stron trzecich; dokument ten może dostarczyć przydatnych dodatkowych wskazówek.

Audyt systemu zarządzania bezpieczeństwem informacji (SZBI) można przeprowadzić w oparciu o szereg kryteriów audytu, między innymi:

  • wymagania określone w ISO/IEC 27001:2013;
  • polityki i wymagania ustanowione przez odpowiednie strony zainteresowane;
  • wymagania prawne i inne;
  • procesy i mechanizmy kontrolne dla SZBI zgodnie z definicją organizacji lub innych stron;
  • plany systemu zarządzania bezpieczeństwem informacji związane z dostarczaniem konkretnych wyników SZBI (np. plany zarządzania ryzykiem i szansami w ustanowieniu SZBI, plany osiągnięcia celów bezpieczeństwa informacji, plany postępowania z ryzykiem, plany projektów).
Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

Warto podkreślić, że wytyczne zawarte normie ISO/IEC 27007:2020 należy dostosować do zakresu, złożoności i skali programu audytu oraz stosować w połączeniu z wytycznymi zawartymi w ISO 19011:2018. Przypomnijmy, że norma ISO 19011:2018 zawiera wytyczne dotyczące zarządzania programami audytów, przeprowadzania audytów wewnętrznych lub zewnętrznych systemów zarządzania oraz kompetencji i oceny audytorów systemów zarządzania.

Potrzebujecie sprawdzić zgodność systemu zarządzania bezpieczeństwem informacji?

Skorzystajcie z usług IKMJ w zakresie przeprowadzenia audytu SZBI, audytu zgodności z wymaganiami KRI!

 

Autor: Maryna Kuczyńska (5384)

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

Scroll to Top