Audity wewnętrzne w systemie zarządzania bezpieczeństwem informacji

Autor: Bartłomiej Zamostny
Data: 29-04-2014 r.

Po normach ISO 9001, ISO 14001 i OHSAS 18001 i/lub PN-N-18001 najbardziej popularnym standardem zarządzania jest norma dotycząca bezpieczeństwa informacji – ISO/IEC 27001:2005 (PN-ISO/IEC 27001:2007) – Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji – Wymagania (1. wydanie). ISO/IEC 27001 może wdrożyć każda organizacja, która systemowo pragnie uregulować kwestie bezpieczeństwa informacji, niezależnie do jej wielkości oraz tego czym się zajmuje.

Na wyróżnienie zasługują takie elementy jak:

  • specyficzność celu auditu wewnętrznego w kontekście weryfikacji, czy cele i zastosowanie zabezpieczeń wyszczególnionych w załączniku A – normatywnym (czyli obowiązującym, a nie informacyjnym) w postępowaniu z informacjami,
  • konieczność weryfikacji działań obszaru auditowanego również w stosunku do mających zastosowanie wymagań prawnych i innych.

Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury SZBI są:

  • zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami;
  • zgodne ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji;
  • skutecznie wdrożone i utrzymywane;
  • zgodne z oczekiwaniami.

Program audytu należy zaplanować biorąc pod rozwagę status i ważność procesów i obszarów do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Wybór audytorów i przeprowadzenie audytu powinny zapewnić obiektywność i bezstronność procesu auditowego. Audytorzy nie powinni audytować swojej własnej pracy.

Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów oraz za raportowanie wyników i utrzymywanie zapisów powinny być zdefiniowane w udokumentowanej procedurze.

Kierownictwo odpowiada za to, aby działania w obszarze audytowanym były podejmowane bez nadmiernego opóźnienia w celu wyeliminowania wykrytych odstępstw i ich przyczyn. Działania poauditowe powinny zawierać weryfikację podjętych działań i przygotowanie wyników weryfikacji. Norma ISO 19011:2002 – Wytyczne dotyczące auditowania systemu zarządzania jakością i/lub środowiskowego, może dostarczyć pomocnych wytycznych do przeprowadzenia wewnętrznych audytów SZBI.

W uwadze w wymaganiach w pkt 6 ISO/IEC 27001 przypisano normę ISO 19011:2002 – wydanie 1 (ówczesny odpowiednik polski to PN-EN ISO 19011:2003). Na uwagę zasługuje fakt, że:

  • norma zawiera datę, a zgodnie z zasadą normalizacji w przypadku powołań datowanych ma zastosowanie wyłącznie wydanie cytowane, nawet w przypadku nowelizacji przywołanej normy (obecnie aktualne to 2. wydanie – ISO 19011:2011/PN-EN ISO 19011:2012),
  • w międzyczasie wydano (PKN jeszcze nie przygotował polskiego odpowiednika) normę ISO/IEC 27007:2011 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne do audytowania systemu zarządzania bezpieczeństwem informacji – zatem ta będzie bardziej adekwatna niż ww., już zresztą zaktualizowana ISO 19011.

Podobna sytuacja jest z polskim wydaniem normy auditowej dla systemu zarządzania bezpieczeństwem i higieną pracy wg PN-N-18001:2004, tj. PN-N-18011:2006 – Systemy zarządzania bezpieczeństwem i higieną pracy Wytyczne audytowania.

W zasadzie normy dotyczące audytowania zawierają wytyczne, i tak od organizacji zatem zależy czy, jak i którą normę oraz w jakim zakresie zastosuje do procesu auditu wewnętrznego.

Bartłomiej Zamostny

Tagi: iso

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
Array ( [docId] => 35147 )
Array ( [docId] => 35147 )

Array ( [docId] => 35147 )