Na wyróżnienie zasługują takie elementy jak:
Audity wewnętrzne w systemie zarządzania bezpieczeństwem informacji
Po normach ISO 9001, ISO 14001 i OHSAS 18001 i/lub PN-N-18001 najbardziej popularnym standardem zarządzania jest norma dotycząca bezpieczeństwa informacji – ISO/IEC 27001:2005 (PN-ISO/IEC 27001:2007) – Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (1. wydanie). ISO/IEC 27001 może wdrożyć każda organizacja, która systemowo pragnie uregulować kwestie bezpieczeństwa informacji, niezależnie do jej wielkości oraz tego czym się zajmuje.
- specyficzność celu auditu wewnętrznego w kontekście weryfikacji, czy cele i zastosowanie zabezpieczeń wyszczególnionych w załączniku A – normatywnym (czyli obowiązującym, a nie informacyjnym) w postępowaniu z informacjami,
- konieczność weryfikacji działań obszaru auditowanego również w stosunku do mających zastosowanie wymagań prawnych i innych.
Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury SZBI są:
- zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami;
- zgodne ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji;
- skutecznie wdrożone i utrzymywane;
- zgodne z oczekiwaniami.
Program audytu należy zaplanować biorąc pod rozwagę status i ważność procesów i obszarów do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Wybór audytorów i przeprowadzenie audytu powinny zapewnić obiektywność i bezstronność procesu auditowego. Audytorzy nie powinni audytować swojej własnej pracy.
Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów oraz za raportowanie wyników i utrzymywanie zapisów powinny być zdefiniowane w udokumentowanej procedurze.
Kierownictwo odpowiada za to, aby działania w obszarze audytowanym były podejmowane bez nadmiernego opóźnienia w celu wyeliminowania wykrytych odstępstw i ich przyczyn. Działania poauditowe powinny zawierać weryfikację podjętych działań i przygotowanie wyników weryfikacji. Norma ISO 19011:2002 – Wytyczne dotyczące auditowania systemu zarządzania jakością i/lub środowiskowego, może dostarczyć pomocnych wytycznych do przeprowadzenia wewnętrznych audytów SZBI.
W uwadze w wymaganiach w pkt 6 ISO/IEC 27001 przypisano normę ISO 19011:2002 – wydanie 1 (ówczesny odpowiednik polski to PN-EN ISO 19011:2003). Na uwagę zasługuje fakt, że:
- norma zawiera datę, a zgodnie z zasadą normalizacji w przypadku powołań datowanych ma zastosowanie wyłącznie wydanie cytowane, nawet w przypadku nowelizacji przywołanej normy (obecnie aktualne to 2. wydanie – ISO 19011:2011/PN-EN ISO 19011:2012),
- w międzyczasie wydano (PKN jeszcze nie przygotował polskiego odpowiednika) normę ISO/IEC 27007:2011 – Technika informatyczna – Techniki bezpieczeństwa – Wytyczne do audytowania systemu zarządzania bezpieczeństwem informacji – zatem ta będzie bardziej adekwatna niż ww., już zresztą zaktualizowana ISO 19011.
Podobna sytuacja jest z polskim wydaniem normy auditowej dla systemu zarządzania bezpieczeństwem i higieną pracy wg PN-N-18001:2004, tj. PN-N-18011:2006 – Systemy zarządzania bezpieczeństwem i higieną pracy – Wytyczne audytowania.
W zasadzie normy dotyczące audytowania zawierają wytyczne, i tak od organizacji zatem zależy czy, jak i którą normę oraz w jakim zakresie zastosuje do procesu auditu wewnętrznego.
Zobacz także:
Tagi: iso
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
