Punkt 9 wymagań dotyczących zarządzania dla ISO 27001 dotyczy oceny wydajności, dla której muszą Państwo przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu.
Co oznacza punkt 9.2?
Punkt 9.2 stanowi, że organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu w celu dostarczenia informacji na temat tego, czy system zarządzania bezpieczeństwem informacji ( SZBI ):
- spełnia wymagania własnego systemu zarządzania bezpieczeństwem informacji organizacji; oraz spełnia wymagania międzynarodowej normy ISO 27001;
- czy SZBI jest skutecznie wdrożony i utrzymywany
Aby osiągnąć te cele, audytor ISO sprawdzi, czy organizacja:
- zaplanowała, wdrożyła i utrzymywała program audytów
- określiła kryteria i zakres każdego audytu
- wybrała obiektywnych i bezstronnych audytorów
- zapewniła, że audyty są zgłaszane odpowiedniemu kierownictwu
- przechowywała udokumentowane informacje jako dowody.
Jak przeprowadzać audyty wewnętrzne SZBI w celu zapewnienia zgodności z 9.2?
Wraz z zarządzaniem ryzykiem związanym z bezpieczeństwem informacji, audyty wewnętrzne są często źródłem niepokoju dla osób rozpoczynających pracę z SZBI, a w szczególności dla organizacji starających się o swój pierwszy certyfikat ISO 27001.
Audyt jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu i ich obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu [1].
W kontekście niniejszej normy audyt wewnętrzny ma na celu dostarczenie informacji na temat tego, czy system zarządzania
– jest zgodny z własnymi wymaganiami
– jest zgodny z wymaganiami normy
– jest skutecznie wdrożony
– jest skutecznie utrzymywany