Audyt ISO 27002

Do kogo skierowana jest usługa?

Usługa audytu jest skierowana do organizacji, które chcą zbadać na ile stosowane rozwiązania w zakresie bezpieczeństwa informacji są zgodne z rekomendacjami zdefiniowanymi w standardzie ISO 27002. Jest to wykaz minimalnych zabezpieczeń, które rozsądek i dobra praktyka nakazuje wdrożyć, by mówić o jakiejkolwiek skutecznej ochronie informacji. Audyt jest przeprowadzany z wykorzystaniem podobnych procedur i działań jak audyty certyfikacyjne systemów zarządzania bezpieczeństwem informacji. Analizowane jest czy zabezpieczenia zostały wdrożone, oraz skuteczność ich implementacji.

Cel audytu

Wykonywany audiy powinien dostarczyć wiedzy na temat stanu zabezpieczeń w badanym obszarze. Przede wszystkim czy stosowane zabezpieczenia są skutecznie wdrożone a w przypadku kiedy zabezpieczenia nie są stosowane, czy jest to optymalna decyzja. Audyt ten może być traktowany jako wskazanie słabości, potencjałów doskonalenia w zakresie zarządzania bezpieczeństwem informacji.

W jaki sposób audytujemy?

Audyt przeprowadzany jest zgodnie z wytycznymi zdefiniowanymi w normach PN-EN ISO 19011:2012 oraz ISO/IEC 27006:2011, a więc dobrymi praktykami stosowanymi w przypadku certyfikacji systemów zarządzania bezpieczeństwem informacji. Audytorzy w trakcie auditu pozyskują wiedzę wykorzystując:

  • analizę dokumentów
  • wywiady z kluczowymi osobami
  • praktyczne obserwacje i demonstracje działania konkretnych zabezpieczeń

W trakcie auditu sporządzane są notatki będące podstawą do sporządzenia raportu.

Kto tworzy zespół audytowy?

W skład zespołu wchodzą auditorzy oraz eksperci techniczni. Audit przeprowadzają wykwalifikowani auditorzy wiodący TÜV NORD Polska. Są oni osobami uprawnionymi do prowadzenia auditów dla systemów ISO 27001, ISO 20000, ISO 22301, ISO 9001, z dużym doświadczeniem auditowym. Jeżeli jest to konieczne, zespół auditowy uzupełniany jest przez ekspertów, stanowiących wsparcie merytoryczne dla określonych zagadnień.

Jak wygląda przebieg audytu?

Audit składa się z dwóch faz, krotko omówionych poniżej:

  • Faza I to przygotowanie do auditu, przygotowanie planu auditu
  • Faza II to przeprowadzenie auditu u klienta, sporządzenie raportu z auditu

Faza I

To przygotowanie zespołu auditowego do auditu. Zespół wspólnie ustala jakie dokumenty mogą być udostępnione zespołowi w celu zapoznania się obszarem auditowanym. Stosowana jest praktyka przesyłania dokumentacji przez klientów lub jeżeli to konieczne auditorzy zapoznają się z dokumentacją na miejscu u klienta. Efektem tej fazy jest szczegółowy plan auditu, wskazujący jakie jednostki organizacyjne, lub procesy będą badane, jakie zabezpieczenia będą oceniane. Plan zawiera również harmonogram czasowy przebiegu auditu. Plan auditu jest wspólnie uzgadniany z organizacją auditowaną.

Faza II

Są to działania realizowane na miejscu w organizacji auditowanej. Prowadzone są wywiady z pracownikami odpowiedzialnymi za auditowane procesy i zabezpieczenia, analizowane konieczne dokumenty i zapisy. Tam gdzie to jest zasadne przeprowadzane są testy, demonstracje np. potwierdzające poprawność działania zabezpieczeń. Po zakończeniu auditu przygotowywany jest raport podsumowujący wyniki auditu i przekazywany auditowanej stronie. Dostarczenie raportu kończy audit.

Zapraszamy serdecznie do kontaktu

Przemysław SzczurekSenior Manager ds. Bezpieczeństwa Informacji

Tel.: +48 605 594 996
p.szczurek@tuv-nord.pl