מהם הסוגים השונים של ביקורת פנימית ISO 27001?

מבוא

דף זה נוצר כדי להסביר את הסוגים השונים של ביקורת פנימית ISO 27001. ראשית, נניח את הבסיס על ידי הסבר קצר על הדרישות בתקן ISO 27001 עצמו, ולאחר מכן נדבר על ISMS, מדוע הוא זקוק לביקורת והמטרות שלו. אם אתם מכירים את הכותרות הללו, נא לגלול למחצית השנייה, שמדברת במיוחד על ביקורת פנימית ומתודולוגיה.

מהו ISO 27001?

ISO 27001 הוא תקן שנוצר על ידי ארגון התקינה הבינלאומי. הוא משמש כמסגרת לארגון מערכת ניהול אבטחת מידע (ISMS). התקן הוא בשני סעיפים פשוטים, הסעיפים (דרישות, ולכן לא אופציונלי) ונספח א' בקרות (משמש אופציונלי להפחתת סיכוני אבטחת מידע שזוהו).

מערכת ניהול אבטחת המידע (ISMS) חייבת להיות מתוכננת, מתוחזקת ולשיפור מתמיד לפי ISO 27001. היא עוזרת להדגים שיטות עבודה מומלצות באבטחת מידע, כולל חלקים מהאיחוד האירופי תקנות הגנה על נתונים כלליות, על ידי סיוע בביסוס עקרונות אבטחת מידע חזקים ותהליכים, מערכות ותשתיות כתוצאה מכך בכל ההיבטים של העסק שלך.

מהי מערכת ניהול אבטחת מידע (ISMS)?

מערכת ניהול אבטחת מידע מתארת ​​ומדגימה את הגישה של החברה או הארגון שלך להגנה על נתונים ושמירה על פרטיות. הוא מפרט את המדיניות, הנהלים, המערכות ורכיבים אחרים המשמשים לאכיפה אבטחת מידע בכל ארגון. א ISMS מתייחסת גם לבעלי עניין (כגון ספקים), היקף הארגון שלך (היכן ועל מה ה-ISMS שלך חל) ונושאים פנימיים וחיצוניים. לגבי האחרונים, אתה יכול לקבוע את הבעיות האלה כדי להציג סיכונים או הזדמנויות לארגון שלך, ולאחר מכן תפעל לפיהם במסגרת ה-ISMS שלך.

למה אתה צריך ISMS?

An מערכת ניהול אבטחת מידע מסייעת בזיהוי והפחתת סיכונים הקשורים למידע היקר ביותר ולנכסים הנלווים שלך. בסופו של דבר, מערכת ISMS מתפקדת יכולה לאפשר לארגון למזער את ההפרעה הנגרמת מאיומי אבטחה ולאפשר שיפור מתמשך. בנוסף לערך ממוקד פנימי זה, ל-ISMS מוצלח יש לרוב ערך מסחרי מוחשי.

למה לבדוק את ה-ISMS שלך?

An ביקורת של ה-ISMS שלך מאפשר בדיקת מערכת הניהול על ידי מבקר אובייקטיבי ומוכשר. זה יבדוק את האלמנטים של ה-ISMS בהתבסס על דרישות סטנדרטיות. זה גם יאפשר יותר תובנה לגבי הרמה הנוכחית של הארגון למילוי צרכיו ומטרות תאגיד. גם היעילות והמעשיות של המדיניות והנהלים הכתובים נמדדות. לבסוף, א ביקורת של ה-ISMS שלך יכול גם לציין את הממצאים החיוביים כדי להבטיח שהם נשמרים כראוי ולספק פיתוח לשיפור מתמיד.

מהי ביקורת פנימית?

במהלך ביקורת פנימית, המבקר אוסף ומתעד עובדות בשיתוף עם המבוקר. ביקורת פנימית מודדת את הפרקטיקות בפועל (והתוצאות הנובעות מכך, כגון רישומים) מולך ISMS, מיושר ל-ISO 27001 תֶקֶן. זה מבטיח שאתה פועל לפי שיטות עבודה מומלצות ו תהליכים להגנה על נתונים רגישים. מבקר מוסמך חייב לבצע ביקורת פנימית מבפנים או (אופציונלי מבחוץ, למשל, יועץ) בשיתוף פעולה הדוק עם הארגון.

מדוע אנו עורכים ביקורות פנימיות?

סעיף 9.2 של ISO 27001 (ותקני ISO מודרניים רבים אחרים) דורשים שביקורות פנימיות יבוצעו ב"מרווחים מתוכננים". אז ראשית, עלינו לערוך ביקורות פנימיות קבועות. אגב, הדרישות האחרות של סעיף 9.2 הן די פשוטות - עלינו לתעד את תוצאות הביקורת שלנו ולוודא שתוכנית הביקורת מתוכננת אך דינמית. נקודה אחרונה זו מבטיחה שתשקול זאת ותגיב בהתאם ככל שהארגון שלך והסביבה העסקית החיצונית משתנים.

מלבד דרישות ISO, אתה צריך להיות מונע לביקורת עבור מספר נהגי ליבה ארגוניים:

• לזהות חוסר יעילות בתהליכים
• לזהות כשלים בעמידה בדרישות התקן
• לזהות שיטות עבודה טובות שניתן לשכפל
• כדי לחפש שיפורים פוטנציאליים
• כדי לזהות ציות

סוגי ביקורת פנימית של ISO 27001

תוך השגת ותחזוקה של הסמכת ISO 27001, ישנם מקרים רבים שבהם אתה עשוי לדרוש ביקורת פנימית. ישנן מספר דרכים לבצע את אסטרטגיית הביקורת הפנימית שלך. ישנם מקרים במסע ההסמכה שלך שבהם ביקורת פנימית עשויה להגביר את הביטחון שלך בעת ביצוע ביקורת חיצונית. במהלך ההסמכה להסמכה ראשונה, קיימות שתי הזדמנויות מצוינות לביקורת פנימית. ניתן להתייחס לאלו כביקורת טרום שלב 1 (בדיקת מוכנות) וביקורת טרום שלב 2.

ביקורת טרום שלב 1 מוסברת

שלב קדם 1 הוא ביקורת שעלולה להתרחש באופן אופציונלי, אך נפוץ מאוד, עבור ISO 27001 ומתמקדת בשאלה האם המדיניות והנהלים הנוכחיים להתאים לדרישות המפורטות בתקן. ביקורת טרום-שלב 1 יכולה להיקרא גם כבדיקת מוכנות ובדרך כלל בוחנת רק את הרכיבים המתועדים (מדיניות, נהלים וכו') של ה-ISMS שלך שנוצר על ידי הארגון שלך ובודק האם הם עומדים בתקן. זֶה ביקורת תעזור להבטיח שהארגון שלך מוכן יותר לשלב חיצוני סקירת מסמך אחת מגוף מאשר.

התוצאה של ביקורת טרום-שלב 1 תהיה מסמך הכולל רשימה של בקרות ו סעיפים והאם הארגון עומד בדרישות עם כל אזור סטנדרטי. יהיו לו גם הזדמנויות לשיפורים (OFIs), תוך הדגשת המדיניות העוסקת בסעיף או בנספח שאולי יש צורך לבדוק אותם מחדש. לבסוף, אי-התאמות עשויות להירשם כאשר המבקר סבור שה-ISMS אינו מתיישב עם תקן ISO 27001.

ביקורת טרום שלב 2 מוסברת

הביקורת לפני שלב 2 מכסה בדרך כלל א שליטה או סעיף ISO 27001 לבחירתך. ביקורת זו מוכיחה את האפקטיביות של נהלי הביקורת והמדיניות שלך בפועל. זה מתבסס על הביקורת שלפני שלב 1, המבטיחה שהארגון שלך מיישם ומתאמן בתהליכים שהוגדרו. תחומים אלה נבדקים ונחקרים על ידי המבקר כדי לייצג את הרמה הנוכחית של הארגון שלך תאימות לאבטחת מידע. הממצאים מתועדים ומאוחסנים בתוך ה-ISMS שלך.

קישור לסעיף 10 של ISO 27001, המתייחס לשיפורים ופעולות מתקנות, לאחר השלמת ביקורת פנימית קדם-שלב 2, ארגון מתעד את אי-ההתאמות שלו ואת התחומים לשיפור במסגרת ה-ISMS שלו. תאריך בדיקה נקבע לכל ממצא לאחר שנקבע צורך בפעולה.

תוכנית ביקורת

השמיים תקן ISO 27001 מחייב ביקורת תכנית. תוכנית ביקורת מגדירה בדרך כלל תוכנית תלת שנתית בין ביקורת חיצונית של אישור מחדש. חזק מסגרת ISMS כמו ISMS.online נותן אזור פרויקט המגדיר מסגרות זמן לביקורת, המפרט את מה שצריך לטפל ופרטים רלוונטיים אחרים של הביקורת המתוכננת.

בתוך שלוש השנים הללו, מקובל לטפל בכל התחומים הסטנדרטיים לפחות פעם אחת. תוכניות ביקורת יכולות וחייבות להיות גמישות כדי לעמוד בדרישות שלך צרכי הארגון ולא חייבים להתאים לדגם מוגדר.

כל ביקורת מתוכננת, ותוכנית הביקורת מכילה בדרך כלל פרטים כגון:

• מתי נדרשת הביקורת (אין להפריע לפעילות העסקית הרגילה)
• אילו תחומים בתקן יש לכסות
• מי יבצע את הביקורת?
• המטרה - מדוע מתבצעת הביקורת? זו יכולה להיות ביקורת מתוכננת או ביקורת חוזרת של אזור אי התאמה שזוהה בעבר.
• היקף הביקורת – אילו חלקים בעסק מיועדים לכיסוי בזמן הפנוי?

ישנן שיטות ביקורת שונות בתכלית:

• ניתן לבצע ביקורת סעיף אחר סעיף ובקרה לפי בקרה. דוגמה מצוינת למקומות שבהם גישה זו תהיה מועילה היא עבור כללית יותר בקרות נספח A, מה שמפחית סיכון הקשור לכולם. זה יכלול בחירת חלקים מהתקן וביקורת בחלק מוגדר מראש או בכל הארגון שלך. דוגמה לכך תהיה א.11 אבטחה פיזית עבור כל אחד מהמשרדים או המיקומים שלך.
• שיטת ביקורת נוספת כוללת ביצוע ביקורות מחלקתיות. שיטה זו תבחן ביצוע ביקורת המבוססת על מבנים מחלקתיים ואזורי עבודה. ביקורת מחלקתית עשויה להתאים אם מחלקות פועלות באזורים שונים. דוגמה עשויה להיות ביקורת שלך משאבי אנוש מחלקת (HR) ומרכיבי ה-ISMS שלה.
• ניתן לבצע ביקורת גם על סמך מוצרים/שירותים. זה יבחן את המשימות והפעולות שבוצעו כדי לספק מוצר ספציפי. דרך פרגמטית שאפשר לעשות זאת היא להתחיל מהתוצר הסופי ולעבוד לאחור למועד שבו בוצעו פעולות לראשונה. בעיקרו של דבר מדובר בביקורת של תהליך.

ביקורות לא מתוכננות/נוספות

לפעמים, אתה עשוי להרגיש שאתה צריך לבצע ביקורת מחוץ לתוכנית הביקורת הראשונית שלך בארגון שלך. זה יכול להיות מכמה סיבות הקשורות ליעילות של ה-ISMS שלך. ביקורות מתוכננות הן דרך להראות שהארגון שלך פרואקטיבי ומחפש שיפור מתמיד. עם זאת, זה עשוי להיות חשוב לא פחות להיות תגובתי לנסיבות הארגון שלך - זו הבחירה שלך מכיוון שזה לא דרישה של ISO 27001.

סיבה נוספת שארגון עשוי להזדקק לבצע ביקורת לא מתוכננת היא להגיב לאירוע אבטחה או אירוע אסון. אם פרצת אבטחה הייתה מתרחשת באמצעות הודעת דיוג, ארגון עשוי לראות לנכון לבקר את נספח A בקרה A.7.2.2, אשר בוחן את המודעות וההכשרה של הצוות. זה יהיה כדי להבטיח שסוג זה של פשרה באבטחה לא יחזור על עצמו.

דוגמה לכך שאולי תרצה לבצע ביקורות נוספות היא עקב ממצאי הביקורות המתוכננות שלך. לדוגמה, נניח שהייתם מוצאים אי-התאמות בתחום ביקורת מסוים, אולי עדיף לבדוק את הבקרה או הסעיף הספציפיים במרווחי זמן קבועים יותר עד שהבעיה מתרחשת פחות או שהסיכון יהפוך נסבל יותר. זה יהיה תלוי בתיאבון הסיכון שלך, הנזק הפוטנציאלי ותדירות אי ההתאמות. זה עשוי גם להיות מועיל ומתאים לבצע ביקורת פנימית של כל פעולות מתקנות כדי להבטיח הצלחה.

תוצאות ביקורת

בעת ביצוע ביקורת, חיוני לתעד את התגליות שלך ולהבטיח שיפור מתמשך. ממצאים חיוביים מצוינים גם כדי לעזור לבנות רעיונות ולהבטיח ששיטות עבודה טובות נשמרות. אי-התאמות נרשמות כדי להבטיח שננקטות פעולות מתקנות והבעיות מוקצות לבעלים האחראי. דרך מובנית שכיחה שבה מתועדות תוצאות הביקורת היא כדלקמן:

• התאמה - ההסדרים נשפטים כמספקים את הדרישות של הסעיף/ים הרלוונטיים או הבקרה/ים הרלוונטיים.
• הזדמנויות עבור שיפור - אזורים שצוינו בהם ה-ISMS עשוי להשתפר, לפי שיקול דעתו של הארגון. על הארגון לשקול היטב את הממצא, לתעד את השינויים ב-ISMS לפי הצורך.
• אִי הַתְאָמָה – בעיה המנוגדת לדרישה של ISO 27001. הדבר ידרוש פתרון מלא ונאות מייד לפני הביקורת החיצונית הבאה.
• אי התאמה עיקרית - אי התאמה לתקן ברמה מערכתית תדרוש ככל הנראה התייחסות מההנהלה הבכירה וארגון מחדש של פרקטיקת אבטחת המידע.

שים לב שהגישה שלעיל אינה דרישה של ISO 27001 ולכן תוכל להשתמש בגישות שונות לחלוטין אם הן עובדות עבור הארגון שלך.

כיצד ISMS.online מסייע בביקורות פנימיות

עם ISMS.online, שירות התוכנה שלנו מאפשר למערכת ניהול אבטחת המידע שלך להיות מיקום נגיש הכל-באחד. זה כולל אזור תוכנית ביקורת גמיש שיכול לתעד דוחות ביקורת בין תקופות הסמכה. שנית, ISMS.online עוזר לתמוך בארגונים לנהל את ממצאי הביקורת שלהם ולטפל בהם בהתאם. כמו כן, בתוך שירות התוכנה שלנו, הוא מספק אזור לעמוד בסעיף 10 (שיפור) על ידי מתן מסלול פעולות מתקנות ושיפורים. זה מאפשר לארגון שלך להיות פרואקטיבי יותר בעת טיפול באי-התאמה ושיפורים. הוא עושה זאת על ידי ראיית הסטטוס שלו, הקצאת בעלים אחראי ותאריכים להשלמה ובדיקה. כל התכונות הללו מאפשרות לארגון להרגיש מאורגן טוב יותר עבור ביקורת חיצונית, שכן כל אזורי העבודה והדוחות נגישים בקלות להצגה, ומאפשרים לתהליך להתנהל בצורה חלקה יותר.

ISMS.online מציעה גם שירותי ביקורת פנימית הנערכים על ידי מומחי אבטחת מידע. זה מבטיח שלארגונים יש מבקר מוסמך לבצע את הביקורות הפנימיות שלהם בהתאם לנספח A.18.2.1, המזכיר שתהליכים ונהלים ייבדקו באופן עצמאי. זה יאפשר לממצאי הביקורת שלך להיות אובייקטיביים, מדויקים ובעלי ערך עבור הארגון שלך.

כדי לספק תמיכה נוספת, ISMS.online כולל גם א מאמן וירטואלי תוסף, הכולל סרטונים, מדריכים ורשימות תיוג המספקות מידע על התייחסות לתקן ISO 27001. ישנו סעיף הקשור ל-9.2 (ביקורות פנימיות) ולתחומים רלוונטיים נוספים. זה נותן כיוון לארגון שלך ועוזר לחסוך זמן שניתן להשתמש בו כדי להתמקד בפעולות כלליות יותר. שימוש ב-Virtual Coach יעזור לארגון שלך להפוך לפרגמטי ולהגדיל את שלך אבטחת מידע ביטחון.