Dziś bezpieczeństwo informacji jest nie tylko wymogiem biznesowym, ale również prawnym. Każda organizacja powinna dbać o bezpieczeństwo tajemnicy przedsiębiorstwa, informacji poufnych, danych osobowych oraz innych chronionych informacji. Duża część organizacji państwowych i prywatnych zdecydowała się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) w oparciu o normę ISO/IEC 27001, która jest jedną z najbardziej znanych i uznawanych na świecie norm międzynarodowych dotyczących wymagań bezpieczeństwa. Jeśli jeszcze tego nie zrobiliście, to IKMJ i nasi specjaliści są gotowi skutecznie pomóc Wam zarządzać bezpieczeństwem informacji w Waszej organizacji.
Rodzina norm ISO/IEC 27000 jest dość obszerna. Skupimy swoją uwagę na stosunkowo niedawno zaktualizowanej normie ISO/IEC 27007 Technologia informacyjna – Techniki bezpieczeństwa – Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27007 zawiera wytyczne dotyczące przeprowadzenia skutecznych audytów systemu zarządzania bezpieczeństwem informacji (SZBI), aby zapewnić, że są one przeprowadzone rzetelnie, solidnie i kompetentnie jak powinny. Głównym powodem do aktualizacji jest dostosowanie normy ISO/IEC 27007 do zmian, które zostały wprowadzone do normy ISO 19011 – Wytyczne dotyczące audytu systemów zarządzania.
Norma ISO/IEC 27007 zawiera obszerne wytyczne dotyczące audytowania wymagań określonych w ISO/IEC 27001 oraz kompetencji audytorów SZBI. Załącznik A zawiera wytyczne dotyczące praktyki przeprowadzenia audytu SZBI wraz z wymaganiami normy ISO/IEC 27001:2013, Rozdziały 4-10.
Norma skupia się na audytach wewnętrznych SZBI (audyty pierwszej strony) oraz audytach SZBI przeprowadzanych przez organizacje u dostawców lub innych zewnętrznych interesariuszy (audyty drugiej strony). Norma może być również przydatna do zewnętrznych audytów SZBI wykonywanych w celach innych niż certyfikacja systemu zarządzania przez stronę trzecią. Natomiast norma ISO/IEC 27006 określa wymagania audytu SZBI dla certyfikacji stron trzecich; dokument ten może dostarczyć przydatnych dodatkowych wskazówek.
Audyt systemu zarządzania bezpieczeństwem informacji (SZBI) można przeprowadzić w oparciu o szereg kryteriów audytu, między innymi:
- wymagania określone w ISO/IEC 27001:2013;
- polityki i wymagania ustanowione przez odpowiednie strony zainteresowane;
- wymagania prawne i inne;
- procesy i mechanizmy kontrolne dla SZBI zgodnie z definicją organizacji lub innych stron;
- plany systemu zarządzania bezpieczeństwem informacji związane z dostarczaniem konkretnych wyników SZBI (np. plany zarządzania ryzykiem i szansami w ustanowieniu SZBI, plany osiągnięcia celów bezpieczeństwa informacji, plany postępowania z ryzykiem, plany projektów).
Warto podkreślić, że wytyczne zawarte normie ISO/IEC 27007:2020 należy dostosować do zakresu, złożoności i skali programu audytu oraz stosować w połączeniu z wytycznymi zawartymi w ISO 19011:2018. Przypomnijmy, że norma ISO 19011:2018 zawiera wytyczne dotyczące zarządzania programami audytów, przeprowadzania audytów wewnętrznych lub zewnętrznych systemów zarządzania oraz kompetencji i oceny audytorów systemów zarządzania.
Potrzebujecie sprawdzić zgodność systemu zarządzania bezpieczeństwem informacji?
Skorzystajcie z usług IKMJ w zakresie przeprowadzenia audytu SZBI, audytu zgodności z wymaganiami KRI!
Autor: Maryna Kuczyńska (5384)
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.