Audity wewnętrzne w systemie zarządzania bezpieczeństwem informacji

Autor: Bartłomiej Zamostny
Data: 29-04-2014 r.

Po normach ISO 9001, ISO 14001 i OHSAS 18001 i/lub PN-N-18001 najbardziej popularnym standardem zarządzania jest norma dotycząca bezpieczeństwa informacji – ISO/IEC 27001:2005 (PN-ISO/IEC 27001:2007) – Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji – Wymagania (1. wydanie). ISO/IEC 27001 może wdrożyć każda organizacja, która systemowo pragnie uregulować kwestie bezpieczeństwa informacji, niezależnie do jej wielkości oraz tego czym się zajmuje.

Na wyróżnienie zasługują takie elementy jak:

  • specyficzność celu auditu wewnętrznego w kontekście weryfikacji, czy cele i zastosowanie zabezpieczeń wyszczególnionych w załączniku A – normatywnym (czyli obowiązującym, a nie informacyjnym) w postępowaniu z informacjami,
  • konieczność weryfikacji działań obszaru auditowanego również w stosunku do mających zastosowanie wymagań prawnych i innych.

Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury SZBI są:

Program audytu należy zaplanować biorąc pod rozwagę status i ważność procesów i obszarów do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Wybór audytorów i przeprowadzenie audytu powinny zapewnić obiektywność i bezstronność procesu auditowego. Audytorzy nie powinni audytować swojej własnej pracy.

Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów oraz za raportowanie wyników i utrzymywanie zapisów powinny być zdefiniowane w udokumentowanej procedurze.

W uwadze w wymaganiach w pkt 6 ISO/IEC 27001 przypisano normę ISO 19011:2002 – wydanie 1 (ówczesny odpowiednik polski to PN-EN ISO 19011:2003). Na uwagę zasługuje fakt, że:

  • norma zawiera datę, a zgodnie z zasadą normalizacji w przypadku powołań datowanych ma zastosowanie wyłącznie wydanie cytowane, nawet w przypadku nowelizacji przywołanej normy (obecnie aktualne to 2. wydanie – ISO 19011:2011/PN-EN ISO 19011:2012),
  • w międzyczasie wydano (PKN jeszcze nie przygotował polskiego odpowiednika) normę ISO/IEC 27007:2011 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne do audytowania systemu zarządzania bezpieczeństwem informacji – zatem ta będzie bardziej adekwatna niż ww., już zresztą zaktualizowana ISO 19011.

W zasadzie normy dotyczące audytowania zawierają wytyczne, i tak od organizacji zatem zależy czy, jak i którą normę oraz w jakim zakresie zastosuje do procesu auditu wewnętrznego.

Bartłomiej Zamostny

Tagi: iso

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 35147 )
Array ( [docId] => 35147 )

Array ( [docId] => 35147 )