מבוא
כל הביקורות כוללות לפחות מבקר אחד (לעיתים יותר מאחד, כאשר האחראי מכונה בדרך כלל המבקר הראשי) ולפחות מבוקר אחד. תפקיד המבוקרים הוא לשתף פעולה עם צוות הביקורת כדי:
- נווט בין המסמכים והמערכות השונות של ISMS
- לדון ולהסכים על האפקטיביות של חלקי ה ISMS עובר ביקורת
- ספק הוכחות במידת הצורך של האיזמים פעולות (בדרך כלל רשומות)
- הסבר את החשיבה הרקע וההקשר העסקי לביקורת
המיקוד של יצירה זו הוא להסתכל על הכנה לביקורות פנימיות מנקודת מבטו של המבוקר
מהי ביקורת פנימית ISO 27001
ביקורות פנימיות של תקן ISO 27001 מסייעות לארגונים להבטיח שהדרישות שלהם ושל התקן מתקיימות. הביקורת הפנימית של ISO 27001 היא ראשית התהליך של קביעה אם לחברה יש את הנהלים, התהליכים, הפרוטוקולים והאנשים הדרושים כדי להגן על המידע שלה ומערכות ניהול המידע שלה נגד תקן ISO 27001. שנית, הביקורת תבדוק, על ידי בדיקת מסמכים ורישומים ובסיוע המבוקר, האם רכיבי ISMS שונים פועלים כמתוכנן ועומדים בדרישות (חפשו את המילה "יעשה") של תקן ISO.
מה אנחנו צריכים ביקורת פנימית ISO 27001?
כמה נהגים עושים ביצוע ביקורות פנימיות חובה. סעיף 9.2 של ISO 27001 מחייב שביקורות ייעשו ב"מרווחים מתוכננים". רוב החברות מונעות לשחרר ערך אמיתי מה-ISMS שלהן, וההנהלה הבכירה מובילה את הכוונה האסטרטגית הזו. לכן, ביקורות פנימיות נתפסות ומשמשות ככלי שיפור עסקי קריטי.
עריכת ביקורת פנימית מבטיחה כי נהלי החברה מבוצעים על פי התוכנית. משוב חיובי ושלילי מפרויקט ביקורת פנימית חשובה לאין ערוך לשיפור תהליכי ניהול המידע של הארגונים שלך.
ההבדל בין ביקורת ISO 27001 חיצונית ופנימית
השמיים תהליך ביקורת חיצוני זהה בעצם לתהליכי הביקורת הפנימית, אבל המשותף להם בסופו של דבר הוא שהמטרה היא להשיג ולשמור על הסמכת ISO 27001. בדרך כלל, גופים מוסמכים מבצעים ביקורות חיצוניות באמצעות מבקרים מקצועיים. אמנם תהליכי הביקורת הם בעצם זהים, חיצוניים הביקורות נוטות להיות רשמיות ומובנות יותר מאשר ביקורת פנימית.
לעיון, הנה סיכום מהיר של סוגי ביקורת שונים
ביקורת של צד שלישי
זה כאשר ארגון אחר מבקר את הארגון שלך - הדוגמה הברורה היא שה-ISMS שלך נבדק על ידי גוף ההסמכה שבחרת - הידוע בכינויו 'ביקורת חיצונית'.
ביקורת צד שני
זה יכול להיות פנימה לארגון שלך (לקוח בודק אותך) או החוצה מהארגון שלך (לדוגמה, אתה מבקר ספק פוטנציאלי או נוכחי).
ביקורת צד ראשון
ביקורת צד ראשון היא כאשר ארגון מבקר את עצמו - כלומר ביקורת פנימית.
הגדרת הביקורת
כדי לקבל את הערך המקסימלי מהביקורת שלך, עליך להגדיר מראש את פרמטרי הביקורת. זה כולל את היקף, קריטריונים ומטרת הביקורת. מטרת הביקורת היא המטרה או המטרה של הביקורת. היקף הביקורת מזהה אילו פעילויות ורישומים כפופים לביקורת. קריטריוני הביקורת מורכבים ממדיניות, נהלים ודרישות שהביקורת נבחנת מולם, במקרה זה, תקן ISO 27001:2013.
החשיבות של הכנה לביקורת ISO 27001
אם יש מצרך אחד שכולנו היינו רוצים יותר ממנו, זה הזמן. כפי שאמר פעם בנג'מין פרנקלין: 'כישלון להתכונן, זה להתכונן להיכשל'. אני בטוח שהוא לא התייחס לביקורות ISO 27001 באותו זמן, אבל הרלוונטיות עדיין קיימת. ביקורת של כל מערכת ניהול אבטחת המידע שלך, כולל הטכנולוגיות, התהליכים והנהלים והאנשים שלה, כמעט בוודאות תתגלה כמאתגרת.
ככל שהארגון נרחב ומורכב יותר, כך סביר יותר שממצאי הביקורת יעכבו את ההסמכה. עם זאת, ישנם צעדים שאתה יכול לנקוט מראש כדי להפוך את הביקורת שלך ליעילה יותר ופחות מאתגרת. ודא שאתה אוסף את כל המסמכים הדרושים לפני הביקורת כדי להדגים את מאמצי הציות שלך. בנוסף, ודא שאתה מבין את הדרישות של תחומי התקן הרלוונטיים הכפופים לביקורת. לבסוף, ודא שאתה מעודכן בכל תחומי העבודה המתמשכים כגון פעולות מתקנות, סקירות ההנהלה ותוכנית הביקורת; סביר מאוד שהן ייבדקו כחלק מהביקורת הפנימית.
כיצד להתכונן באופן מעשי לביקורת הפנימית
גם המבקר וגם הארגון חייבים להיות מוכנים כראוי לביקורת. קל לשכוח תוך כדי דגש על התיעוד שלך שיש הרבה דברים מעשיים שאולי תצטרך להיות מוכן אליהם. לפני הביקורת (נניח שבועיים לפני), בדרך כלל כדאי לוודא שכל המדיניות/נהלים/מערכות/רישומים/בקרות הרלוונטיים יהיו עדכניים ככל האפשר עם מסלולי ביקורת מתאימים מתאימים. אם אתה חושב שזה מתאים, אתה יכול לקרוא שוב את המדיניות, התהליך והנהלים הרלוונטיים שלך כדי להכיר את עצמך מחדש ואולי לעיין לפני הביקורת אם תראה לנכון. לאחר קריאת מסמך זה, לא יפתיע אותך שאולי תצטרך להמציא תיעוד בביקורת. כתוצאה מכך, סביר להניח שכדאי לוודא שהתיעוד זמין לפני הביקורת, או לפחות לדעת איך לגשת אליו. הסתובבות בחיפוש אחר דברים ברגע האחרון רק תבזבז את זמנך ואת המבקרים; יש לסדר את הגישה והאישור מראש. עליך לוודא את כל הרשאות האבטחה הנדרשות, כגון גישה לחדר השרתים או כרטיס מפתח למחסן. באופן דומה, ייתכן שיהיה עליך לעשות סידורים מיוחדים מראש, כמו כיבוי אזעקה או הפסקה זמנית של הייצור.
יתר על כן, ייתכן שתזדקק ל-PPE עבור המבקר במקרה של חשיפה לסביבה מסוכנת, כגון קסדת בטיחות או אפילו סרבל. זה חשוב במיוחד מכיוון שאי הסדר זה עלול לגרום לכך שהמבקר לא ימלא את חובותיו. כמו כן, עשויה להיות מחלקה או אדם ספציפיים שייבדקו, כגון משאבי אנוש. אתה חייב לוודא זאת צוותים מיוחדים מודעים לכך של הביקורת וזמינים למבקר לדבר איתו. ודא שאתה נותן תשומת לב רבה לעמיתים/עובדים שלך. תוכנית הביקורת תעזור לך לגבש את ההסדרים הללו.
לבסוף, עשויות להיות כמה הכנות לוגיסטיות שעליך לבצע - למשל, לארגן מרחב עבודה מתאים למבקר. זה יכול לשמש כדי לעבוד על ממצאי הביקורת והכתיבה. באופן דומה, המבקר עשוי להזדקק לחיבור אינטרנט כדי לבצע היבטים מסוימים של הביקורת. לכן, עליך להורות להם להביא עמם נקודה חמה אם המדיניות שלך לא מאפשרת לאורחים להצטרף לרשת. מצד שני, שימוש ב-Wi-Fi וסיסמה לאורחים בהישג יד יעזור להפוך את הדברים לפשוטים יותר עבור המבקר.
שום הכנה היא ההכנה הטובה ביותר
זה עשוי להפתיע אותך, אבל ה-ISMS האידיאלי לא יצטרך להתכונן לביקורת. ISMS מוצלח מעודכן עם דרישות סטנדרטיות מתמשכות כגון סקירות ההנהלה, ביקורת, פעולות מתקנות וכו'. התעדכנות בתחומי העבודה הללו ישמש רק סיוע לשיטות העסקיות שלך בגלל שיפורים מתמידים של ה-ISMS שלך. לפני הביקורת שלך, ניקיון ביתי עשוי להיות מסודר. עם זאת, מערכת שמזכירה לך את המטלות, המשימות הקרובות, סקירות המדיניות ומשימות מתמשכות אחרות תיתן לך את הסיכוי הטוב ביותר להימנע מפאניקת ISO. כאן אנחנו נכנסים לתמונה. אנחנו מספקים שלם פלטפורמה שתוכל לנהל ולבנות את ה-ISMS שלך. הודות לפתרונות שלנו, לארגון שלך, ללקוחות ולבעלי עניין אחרים יכולים להיות אמון בציות וודאות הסמכה. מטירוני אבטחת מידע ועד ותיקים ותיקים, אנחנו רגילים לעבוד עם לקוחות מכל הרקעים. ככל שהארגון שלך גדל ומשתנה, איומי infosec חדשים צצים ללא הרף. עיצבנו את הפלטפורמה שלנו לעזור לך להתאים אותו לכל זה ועוד ככל שהעולם ממשיך להתפתח.
ממצאי ביקורת קודמים ופעולות מתקנות - האם יבדקו?
המטרה היא לבצע ביקורת פנימית של ה-ISMS מול ISO 27001 שלא יביא אי-התאמות חדשות. לכן, אתה חייב להיכנס לביקורת בביטחון של התאמה. כתוצאה מכך, סקירת התיעוד היא חיונית. אנחנו צריכים לבדוק שכל הפוליסות מוגשות ומאושרות על ידי ההנהלה שלי. אחרת, התאמה ל-Cl.5.2 עלולה להיות בסכנה.
בנוסף, זה יעזור אם תסתכל על הפעולות המתקנות ב-ISMS; ניתן להשתמש בנתונים אלה כדי להתכונן לביקורת הפנימית הקרובה שלך. המידע המסופק על ידי ה-CA (פעולות מתקנות) יראה לך אזורים שזוהו בעבר שדורשים שיפור. לפעמים הפעולות המתקנות יכולות להיות מבדיקת הנהלה או תגובה לאירוע ביטחוני. עם זאת, אנו הולכים להתמקד בפעולות מתקנות הנובעות מביקורת. אישורי אישורים אלו חיוניים לבדיקה מכיוון שכמעט ודאי הם ייבדקו בביקורת שלך. הביקורת הבאה חייבת להתייחס להזדמנויות השיפור ולכל אי התאמה שעלתה מהביקורת הקודמת שלך. זה כדי להדגים את המסירות המתמשכת שלך לשיפור מתמיד של ISMS. המונח 'מוען' מעורפל, אז אנחנו מוכנים להבהיר את הדברים. כדי להשיג ציות בתחום זה, עליך להוכיח למבקר כי פעלת בהתאם לשינויים המומלצים. הדרך לעשות זאת היא שימוש במעקב אחר הפעולות המתקנות שלנו וב- תכונת עבודה מקושרת כדי להציג את השינויים שביצעת בתגובה לממצא. אם לא פעלת בהתאם לאימון, אל תיבהל, הציות עדיין אפשרי. חייבות להיות ראיות לכך שחושבים על הממצא ופועלים לפיו. בדרך כלל, יספיקו לתעד את הממצא ב-CA Tracker ולקבוע תאריך יעד/מוקצה; זה מראה שהחברה שלך שוקלת את ההצעה והיא בתהליך של החלטה על דרך הפעולה הבאה. בנוסף, יש להתייחס לכל אישורי האישורים באיחור לפני כל ביקורת כדי להוכיח את המחויבות לשיפור מתמיד של ה-ISMS.
למה לבחור בנו?
אליאנטיסט, החברה שמאחורי ISMS.online, מוסמכת לתקן ISO 27001 על ידי גוף הסמכה מוסמך UKAS. אנו מספקים ללקוחותינו תמיכת ISO ו-ISMS מקיפה. בהתבסס על החבילה שהם בוחרים, רמת התמיכה שהם יקבלו תשתנה, אבל אנשים אמיתיים תמיד יהיו מעורבים. למידע נוסף, עיין במדיניות התמיכה שלנו או אל תהסס לפנות למחלקת התמיכה שלנו. קל להשיג וודאות תאימות וודאות הסמכה עם השירותים שלנו עבור הארגון שלך, הלקוחות ובעלי עניין אחרים. אנו רגילים לעבוד עם לקוחות בכל הרמות, החל מ חדשים לוותיקים.
