ISO/IEC 27001:2022

9.2 Audyt wewnętrzny

Punkt 9 wymagań dotyczących zarządzania dla ISO 27001 dotyczy oceny wydajności, dla której muszą Państwo przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu.

Co oznacza punkt 9.2?

Punkt 9.2 stanowi, że organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu w celu dostarczenia informacji na temat tego, czy system zarządzania bezpieczeństwem informacji ( SZBI ):

  • spełnia wymagania własnego systemu zarządzania bezpieczeństwem informacji organizacji; oraz spełnia wymagania międzynarodowej normy ISO 27001;
  • czy SZBI jest skutecznie wdrożony i utrzymywany

Aby osiągnąć te cele, audytor ISO sprawdzi, czy organizacja:

  • zaplanowała, wdrożyła i utrzymywała program audytów
  • określiła kryteria i zakres każdego audytu
  • wybrała obiektywnych i bezstronnych audytorów
  • zapewniła, że audyty są zgłaszane odpowiedniemu kierownictwu
  • przechowywała udokumentowane informacje jako dowody.

Jak przeprowadzać audyty wewnętrzne SZBI w celu zapewnienia zgodności z 9.2?

Wraz z zarządzaniem ryzykiem związanym z bezpieczeństwem informacji, audyty wewnętrzne są często źródłem niepokoju dla osób rozpoczynających pracę z SZBI, a w szczególności dla organizacji starających się o swój pierwszy certyfikat ISO 27001.

Audyt jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu i ich obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu [1].

W kontekście niniejszej normy audyt wewnętrzny ma na celu dostarczenie informacji na temat tego, czy system zarządzania

– jest zgodny z własnymi wymaganiami

– jest zgodny z wymaganiami normy

– jest skutecznie wdrożony

– jest skutecznie utrzymywany

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM