מהו תהליך הביקורת ISO 27001?

מה כרוך בביקורת ISO 27001?

בדרך כלל נעשה שימוש בביקורות כדי לוודא שפעילות עומדת בסט של קריטריונים מוגדרים. עבור כל תקני מערכת הניהול ISO, נעשה שימוש בביקורות על מנת לוודא שמערכת הניהול עומדת בדרישות התקן הרלוונטי, בדרישות וביעדי הארגון עצמו, ונותרה יעילה ואפקטיבית. יהיה צורך לערוך תוכנית של ביקורות כדי לאשר זאת.

מהי ביקורת ISO 27001?

ביקורת ISO 27001 כוללת מבקר מוסמך ואובייקטיבי הסוקר את ה-ISMS או מרכיביו ובודק שהוא עומד בדרישות התקן, דרישות המידע והיעדים של הארגון עצמו עבור ה-ISMS ושהמדיניות, התהליכים והבקרות האחרות יעילים. ויעיל.

בנוסף לתאימות הכללית והיעילות של האיזמים, ביקורת ISO 27001 נועדה לאפשר לארגון לנהל את סיכוני אבטחת המידע שלו לרמה נסבלת, יהיה צורך לבדוק שהבקרות המיושמות אכן מפחיתות את הסיכון עד לנקודה שבה בעלי הסיכון שמחים לסבול הסיכון הנותר.

מהם סוגי הביקורות?

התקן מחייב שארגון נדרש לכך לתכנן ולבצע לוח זמנים של "ביקורות פנימיות" על מנת להיות מסוגל לטעון לעמידה בדרישות לתקן. יתר על כן, אם ארגון מעוניין להשיג הסמכה, אזי הוא ידרוש "ביקורות חיצוניות" שיבוצעו על ידי "גוף הסמכה" - ארגון מוסמך עם המשאבים המוסמכים לביקורת מול ISO 27001.

כדי להבטיח תועלת מרבית מה-ISMS, מומלץ מאוד לוודא שגוף ההסמכה שנבחר יהיה מוסמך על ידי רשות מפקחת מוכרת. בתוך בריטניה, גופי הסמכה מוסמכים על ידי UKAS - שירות ההסמכה של בריטניה. זהו גוף ההסמכה היחיד בעל מנדט ממשלתי בבריטניה.

ביקורת פנימית

ביקורות פנימיות, כפי שהשם מרמז, הן אותן ביקורות שבוצעו על ידי הארגון ב-ISMS הארגוני. אם לארגון אין מוסמך ומבקרים אובייקטיביים בתוך הצוות שלו, ביקורות אלו יכולות להתבצע על ידי קבלן.

ביקורת חיצונית

המונח "ביקורות חיצוניות" מתייחס לרוב לאותן ביקורות המבוצעות על ידי גוף הסמכה לצורך השגת או שמירה על הסמכה, עם זאת, ניתן להשתמש בו גם כדי להתייחס לאותן ביקורות שבוצעו על ידי אחרים בעלי עניין (למשל שותפים או לקוחות) המבקשים להשיג ביטחון משלהם לגבי ה-ISMS של הארגון. הדבר נכון במיוחד כאשר לגורם כזה יש דרישות החורגות מאלה של התקן.

מדוע חשובות ביקורת ISO 27001?

בלי לאמת כיצד ה-ISMS שלך מנוהל ומתפקד, אין ערובה אמיתית להבטחה שהוא מקיים את היעדים שהוא מוגדר להגשים. ביקורת מובילה במידה מסוימת לספק את הבטחון הזה.

למה אני צריך לבדוק את ה-ISMS שלי?

ישנן מספר סיבות לביקורת ה-ISMS שלך:

מה כרוך בביקורות פנימיות של ISO 27001?

סקירת תיעוד – זוהי סקירה של המדיניות, הנהלים, התקנים ותיעוד ההנחיות של הארגון כדי לוודא שהוא מתאים למטרה ונבדק ומתוחזק.

ביקורת ראייתית (או סקירת שטח) – זוהי פעילות ביקורת הדוגמת באופן אקטיבי ראיות כדי להראות כי ציות למדיניות, כי נהלים ותקנים מבוצעים, וכי נשקלת הנחיות.

אָנָלִיזָה - בהמשך לבדיקת תיעוד ו/או דגימה ראייתית, המבקר יעריך וינתח את הממצאים על מנת לאשר אם מתקיימים דרישות התקן.

דוח ביקורת – יהיה צורך להכין דוח ביקורת כנדרש בתקן בסעיף 9.2 ו) ולמסור להנהלה כדי להבטיח נראות.

סקירת הנהלה – זוהי פעילות נדרשת על פי סעיף 9.3 סקירת ההנהלה אשר חייבת לשקול את ממצאי הביקורות שבוצעו על מנת להבטיח שפעולות מתקנות ושיפורים מיושמים לפי הצורך.

מה כרוך בביקורת חיצונית ISO 27001?

התהליכים לביקורת חיצונית זהים בעיקרם לתכנית הביקורת הפנימית אך מבוצעים לרוב לצורך השגת ותחזוקה של הסמכה. תכנית הביקורות החיצוניות [הסמכה] תיקבע על ידי המבקרים החיצוניים [גוף ההסמכה] אך תפעל לפי דרישה שיטתית.

המבקר הרלוונטי יספק תוכנית של הביקורת ולאחר שהארגון יאשר זאת, יוקצו משאבים ויוסכמו תאריכים, שעות ומיקומים. לאחר מכן הביקורת תיערך בהתאם לתוכנית הביקורת.

באיזו תדירות מבוצעות ביקורות חיצוניות?

אחר גופי הסמכה ברחבי העולם קובעים דרישות שונות לתוכנית ההסמכה עם זאת, ביקורות, במקרה של תעודות מוסמכות של UKAS, זה יכלול:

  • ביקורת הסמכה ראשונית – נערכת ב-2 שלבים.
  • ביקורת מעקב תקופתית - בדרך כלל ב-6 חודשי או, לכל הפחות, במרווחים שנתיים.
  • ביקורת הסמכה מחדש המתבצעת כל 3 שנים.

מהם הסוגים והשלבים של ביקורת חיצונית?

  • ביקורת שלב 1 – "סקירת תיעוד" כדי לקבוע כי לארגון יש את התיעוד הנדרש עבור ISMS תפעולי.
  • ביקורת שלב 2 – "ביקורת הסמכה" – ביקורת ראייתית לאישור הארגון הפעלת ה-ISMS בהתאם לתקן – כלומר שהמדיניות, הנהלים והתקנים המתועדים מיושמים, תפעוליים ויעילים. ביקורת ראייתית זו מתבצעת על בסיס דגימה.
  • ביקורת מעקב - הידועים גם בשם "ביקורות תקופתיות", אלה מבוצעות על בסיס מתוזמן בין ביקורת הסמכה והסמכה מחדש ויתמקדו באחד או יותר תחומים של ה-ISMS.
  • ביקורת הסמכה מחדש - מבוצע לפני תום תקופת ההסמכה (3 שנים עבור תעודות מוסמכות UKAS) ומהווה סקירה יסודית יותר מאלה שבוצעו במהלך ביקורת מעקב. זה מכסה את כל תחומי התקן.

בנוסף לתוכנית של ביקורות חיצוניות להסמכה רשמית לעיל, ייתכן שתידרש לעבור ביקורת חיצונית על ידי צד שלישי מעוניין כגון לקוח, שותף או רגולטור. הגורם הרלוונטי יספק לך בדרך כלל תוכנית ביקורת ויעקוב בדוח ביקורת שיש להזין ל-ISMS שלך סקירה מנהלתית.

הערך של ביקורת ISO 27001 עם/בלי הסמכה

החלטת הארגון להשיג תאימות ואולי הסמכה ל-ISO 27001 יהיה תלוי בסיבות להטמעה ותפעול של ISMS רשמי ומתועד ולעיתים קרובות זה יתועד בתוך מקרה עסקי שיזהה את היעדים הצפויים ואת ההחזר על ההשקעה.

ללא אישור, הארגון יכול לטעון רק ל"עמידה" בתקן, ועמידה זו אינה מובטחת על ידי צד שלישי מוסמך כלשהו. אם הסיבה להטמעת ה-ISMS היא רק לשיפור ניהול האבטחה והבטחה הפנימית, אז זה עשוי להספיק.

לקבלת תועלת ותשואה מקסימלית על ההשקעה מה-ISMS במונחים של מתן ביטחון לארגון החיצוני בעלי עניין ומחזיקי עניין, תידרש תוכנית ביקורת הסמכה עצמאית, חיצונית ומוסמכת.

זכרו שההבדל היחיד מבחינת המאמץ בין "ציות" ל"הסמכה" הוא התוכנית של ביקורת הסמכה חיצונית. הסיבה לכך היא שכדי לטעון באמת ל"עמידה" בתקן הארגון עדיין יצטרך לעשות את כל הנדרש בתקן - "עמידה בבדיקה עצמית" אינה מפחיתה את המשאבים הנדרשים ואת המאמץ הכרוך ביישום ותפעול ISMS.

הכנה לביקורת הסמכה ISO 27001

בעת הכנה לביקורת הסמכה יש לקחת בחשבון את נקודות המפתח הבאות:

האם תהליכי המפתח של ה-ISMS מיושמים ומבצעים?

  • הקשר ארגוני – הבנה ותיעוד של ההקשר הארגוני והדרישות לאבטחת מידע לרבות של בעלי עניין. זה יכלול גם תיעוד היקף ה-ISMS
  • ניהול סיכונים והזדמנויות - האם הארגון זיהה והעריך אבטחת מידע סיכונים והזדמנויות ותוכנית טיפול מתועדת?
  • מנהיגות - האם ניתן להפגין מנהיגות חזקה ברמה העליונה - למשל באמצעות מתן משאבים והצהרת מחויבות מתועדת בתוך הארגון מדיניות אבטחה.
  • ביקורת פנימית – האם תועדה, סוכמה והחלה תוכנית של ביקורות פנימיות בהתאם לסעיף 9.2?
  • סקירת הנהלה – האם ה-ISMS עבר סקירת הנהלה רשמית בהתאם לסעיף 9.3
  • פעולה מתקנת – האם הארגון יכול להוכיח שפעולות מתקנות ושיפורים מנוהלים ומיושמים בצורה יעילה ויעילה?

האם המסמכים הנדרשים נמצאים ומאושרים?

האם רשומות ראיות קלות לאיתור ולגישה?

יש לקבל את כל הצוות והקבלנים הרלוונטיים חינוך, הכשרה ומודעות לאבטחת מידע?

זה גם נוהג טוב להבטיח שמי שיתראיין קיבל תדריך לגבי מה לצפות במהלך הביקורת וכיצד להגיב. כמו כן, ודא שהם יכולים לגשת בקלות למסמכים ולראיות שעשויים להתבקש על ידי המבקר.

מי עורך ביקורת ISO 27001?

כל הביקורות מול ISO 27001 חייב להתבצע על ידי מבקרים מוסמכים ואובייקטיביים.

כדי להפגין כשירות לביקורת ISO 27001, נדרש בדרך כלל שלמבקר ידע מוכח של התקן וכיצד לבצע ביקורת. זה עשוי להיות באמצעות השתתפות בקורס מבקר מוביל ISO 27001 או באמצעות הסמכת ביקורת מוכרת אחרת ולאחר מכן ידע שניתן להוכיח את התקן. זה יכול להיות אפשרי להראות שמבקר מוכשר ללא הכשרה רשמית, עם זאת, סביר להניח שזו תהיה שיחה קשה יותר עם גוף ההסמכה שלך.

כדי להפגין אובייקטיביות, יש להראות כי המבקר אינו מבקר את עבודתו שלו וכי אין הם מושפעים יתר על המידה דרך קווי הדיווח שלהם. עבור ארגונים קטנים יותר או כאלה שרוצים אובייקטיביות ברורה יותר, ייתכן שיהיה מעשי יותר להביא מבקר בחוזה.

גופי הסמכה יבדקו את מיומנות המבקרים שלהם ועליהם להיות מוכנים להוכיח לך זאת על פי בקשה.

איך עושה
ISMS.online להפוך את תהליך הביקורת ליעיל יותר?

ISMS.online כולל פרויקט תוכנית ביקורת שנבנה מראש, המכסה הן ביקורת פנימית והן חיצונית ועשוי לכלול גם ביקורת נגד GDPR אם בחרת באפשרות זו.

תוכנית הביקורת הבנויה מראש כוללת:

  • פעילויות ל-2 ביקורות מומלצות לפני ההסמכה
  • A תוכנית לביקורות פנימיות לתקופת ההסמכה הראשונה של 3 שנים
  • מצייני מקום להסמכה החיצונית שלך ולביקורות תקופתיות

בנוסף לספק את פרויקט תוכנית הביקורת, היכולת לקשר במהירות לאזורי עבודה אחרים בתוך הכל-ב-מקום פלטפורמת ISMS.online פירושו שקישור ממצאי הביקורת לבקרות, לפעולות מתקנות ושיפורים ואפילו לסיכונים נעשה קל ונגיש. זה יאפשר לך להדגים בקלות למבקר החיצוני שלך את הניהול המשותף של הממצאים שזוהו.

צריך מידע נוסף? נא ליצור קשר עם דבר עם אחד המומחים שלנו היום.

כל כמה זמן אני צריך לערוך ביקורת פנימית?

עליך לערוך ביקורות פנימיות המכסות את כל התקן, לכל הפחות, לאורך תקופת ההסמכה (3 שנים לתעודות מוסמכות של UKAS).

אתה יכול לעשות זאת כביקורת יחידה, אבל זה נפוץ יותר לביקורות קטנות יותר לאורך תקופה של 3 שנים.

כמו כן, חשוב לבצע ביקורת על אזורים מסוימים בתדירות גבוהה יותר אם רמות הסיכון גבוהות או שהאזור נתון לשינויים תכופים.

מומלץ לבדוק את דרישות מערכת הניהול (סעיפים 4-10) על בסיס שנתי, וניתן לקשור זאת לסקירת ניהול ה-ISMS שלך, שגם היא צריכה להתבצע מדי שנה.

כמה פרטים עליך לכלול בתרגיל ביקורת פנימית ISO 27001?

המינימום הנדרש הוא שתתעד את התחומים שנבדקו, כל ראיה שנדגמה וכל אי התאמה והזדמנויות לשיפור שזוהו, עם זאת, זה נוהג טוב ומספק יותר תועלת משמעותית אם אתה מתעד את כל הממצאים, כולל היכן משהו עובד כשורה - וזה יספק תחושה חיובית יותר לדוח הביקורת.

מה כוללת ביקורת הסמכה ISO 27001?

ביקורת הסמכה ראשונית של ISO 27001 כוללת:

ביקורת שלב 1 - "סקירת תיעוד" כדי לקבוע שלארגון יש את התיעוד הנדרש עבור ISMS תפעולי.

ביקורת שלב 2 - "ביקורת הסמכה" – ביקורת ראייתית לאשר שהארגון מפעיל את ה-ISMS בהתאם לתקן – כלומר שהמדיניות, הנהלים והסטנדרטים המתועדים מיושמים, תפעוליים ואפקטיביים. ביקורת ראייתית זו מתבצעת על בסיס דגימה.

כדי לשמור על ההסמכה שלך קדימה, הדבר כולל:

ביקורת מעקב - המכונה גם "ביקורות תקופתיות" אלו מבוצעות על בסיס מתוזמן בין ביקורת הסמכה והסמכה מחדש ויתמקדו באחד או יותר תחומים של ה-ISMS.

ביקורת הסמכה מחדש - מבוצע לפני תום תקופת ההסמכה (3 שנים עבור תעודות מוסמכות של UKAS) ומהווה סקירה יסודית יותר מאלה שבוצעו במהלך ביקורת מעקב. זה מכסה את כל תחומי התקן.

 

« כיצד להימנע מטעויות נפוצות של ביקורת פנימית ISO 27001

כיצד אוכל להסביר ISMS לעמיתיי? »

נערך לאחרונה: 17 בינואר, 2022
מְחַבֵּר

מארק שרון

מארק עובד כחלק מצוות השיווק של ISMS.online ומבטיח שהאתר שלנו מעודכן בתוכן שימושי ומידע על כל מה שקשור ל-ISO 27001 ותאימות.

צפה בכל הפוסטים של מארק שרון

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף