Omówienie kompetencji audytora wewnętrznego ISO 27001

ISO 27001 to obecnie jedno z najważniejszych, choć mniej oczywistych z punktu widzenia użytkownika narzędzi gwarantujących skuteczną ochronę informacji i bezpieczeństwa danych w firmach i przedsiębiorstwach z różnych obszarów przemysłu. To właśnie informacja stanowi dziś najważniejszą wartość rynkową – utrata kontroli nad nią może oznaczać całkowity upadek firmy, ekspozycję jej działań na ataki z zewnątrz czy wreszcie narażenie na niebezpieczeństwo wrażliwych danych klientów firmy.

Niestety, zagrożenia te są dziś realne nawet przy nieustannej pracy specjalistów nad najlepszymi możliwymi zabezpieczeniami sieci, a wszystko to za sprawą tego że choć Internet faktycznie ułatwił naruszanie poufnych informacji przez osoby poszukujące zysku poprzez niszczenie sukcesu innych, nie tylko sieć stanowi zagrożenie którego należy się obawiać.

Audyt bezpieczeństwa informacji

ISO 27001 to norma promująca kontrolę we wszystkich aspektach działania firmy, wprowadzająca standardy zapobiegające zagrożeniom bezpieczeństwa informacji płynącym zarówno z zewnętrznych, jak i wewnętrznych działań firmy.

Jej wdrożenie, polegające na stworzeniu nowego lub zmodyfikowaniu obecnego systemu zarządzania bezpieczeństwem informacji w firmie to proces długi, żmudny i wymagający odpowiedniego systemu kontroli na każdym etapie prac doskonalących dziania firmy. Kontrolę tą sprawują audytorzy wewnętrzni ISO 27001, którzy znając normę i jej wymagania są w stanie pokierować firmę w stronę lepszych praktyk i działań zgodnych z wymaganiami najwyższych światowych standardów. Jaka jest rola audytora wewnętrznego ISO 27001 i jaka osoba może podjąć się tego zadania?

Audytor wewnętrzny ISO 27001 – zadania i rola w firmie

Certyfikacja systemu zarządzania bezpieczeństwem informacji wymaga, by firma odpowiednio przygotowała się do procesu wdrożenia zmian w swoim systemie działań oraz potwierdziła ich zgodność z założeniami normy podczas audytu certyfikacyjnego.

Aby upewnić się, że pod uwagę wzięte zostały wszystkie możliwe aspekty i działania firmy wymagające poprawy oraz że wszystkie wymagania normy zostały spełnione firma może, a nawet powinna poddawać się regularnym audytom wewnętrznym prowadzonym najczęściej przez zatrudnionego w firmie audytora wewnętrznego ISO 27001. Jako jeden z pracowników firmy jest on osobą doskonale znającą charakterystykę jej działania i przygotowaną do tego, by analizować firmę pod kątem zgodności z ISO 27001 bez pominięcia jakichkolwiek aspektów, czynności czy możliwych błędów i niedociągnięć w systemie zarządzania bezpieczeństwem informacji.[1]

Wśród zadań podejmowanych przez audytora wewnętrznego ISO 27001 najważniejszym projektem jest bez wątpienia audyt wstępny, czyli tzw. analiza luk prowadzona na początku drogi w stronę certyfikacji wewnętrznego systemu zarządzania bezpieczeństwem informacji.

Audytor wewnętrzy ISO 27001 sprawdza wówczas istniejący w firmie system i wszystkie prowadzone w jej obrębie działania, sprawdzając i analizując obszary wymagające poprawy w celu uzyskania zgodności z ISO 27001 jak i te, które już normę spełniają i nie wymagają wprowadzania większych korekt. Audyt wstępny jest podstawą do stworzenia strategii działania w procesie wdrażania nowego systemu, a często też podstawą samego systemu zarządzania bezpieczeństwem informacji.

Celem takiej analizy luk będzie odnalezienie słabych i mocnych stron obecnego systemu w celu stworzenia na jego podstawie lepszego, udoskonalonego systemu zapewniającego zarówno sprostanie wymaganiom ISO 27001, jak i pozostawiającego część dotychczas podejmowanych działań w stanie niezmienionym lub udoskonalonym. Certyfikacja ISO 27001 nie ma na celu całkowitej odmiany charakteru firmy, a jedynie udoskonalenie jej praktyk. I to właśnie dzięki audytorowi wewnętrznemu ISO 27001 doskonale znającemu zagadnienia normy i potrafiącemu analizować je pod kątem specyficznych działań firmy możliwe jest odnalezienie wszystkich luk i niezgodności pomiędzy działaniami firmy a standardami normy oraz ich naprawa.

Rolą audytora wewnętrznego ISO 27001 będzie jednak nie tylko przeprowadzanie badań audytowych na podstawie określonych międzynarodowo wytycznych i dokumentowanie wyników analizy w oparciu o porównania i odwołania do normy ISO 27001, ale też działanie w charakterze doradcy firmy w trakcie wprowadzania zmian w systemie zarządzania bezpieczeństwem informacji. Audytor wewnętrzny ISO 27001, choć zatrudniony przez firmę jako jej pracownik pełni w pewnym sensie rolę niezależnego kontrolera jakości stosowanych przez firmę praktyk i ich zgodności z założeniami normy, do której wymagana jest jego pełna bezstronność i obiektywność, ale też rolę zaangażowanego w rozwój firmy pomocnika, który wspiera ją w osiąganiu określonych celów systemowych i proponuje rozwiązania udoskonalające działania w danym obszarze funkcjonowania firmy.[2]

Podstawowe kompetencje audytora wewnętrznego ISO 27001

Audytor wewnętrzny ISO 27001 powinien być przede wszystkim osobą przeszkoloną w zakresie audytowania pod kątem międzynarodowej normy i pozostawania bezstronnym obserwatorem działań firmy pomimo bezpośredniego związku z nią. Przez swoją bezstronność i obiektywizm oraz przywiązanie do detali audytorzy wewnętrzni ISO 27001 są często traktowani jak surowi kontrolerzy, których zadaniem jest wyłącznie znajdowanie błędów w każdym działaniu.

Warto zdać sobie jednak sprawę, że to właśnie dzięki uważności audytora możliwe jest odnalezienie niedostrzegalnych na pierwszy rzut oka zagrożeń, które należy wyeliminować zarówno w celu uzyskania zgodności z normą jak i dla własnego bezpieczeństwa – firma nie wprowadza standardu ISO tylko po to, by zyskać przewagę konkurencyjną, ale głównie po to, by funkcjonować jeszcze lepiej i bezpieczniej w obliczu zagrożeń docierających do niej z każdej strony.[3]

Audytorzy pełnią jednak nie tylko rolę kontrolerów procesu wdrażania systemu ISO, ale też rolę doradców do spraw normy, przez co wśród ich cech osobowości, oprócz bezstronności, powinny znaleźć się cechy takie jak doskonała organizacja pracy własnej i innych, sumienność, rzetelność, elastyczność, zdyscyplinowanie i obiektywizm. Audytor powinien być przeszkolony i przygotowany do pracy z ludźmi, którzy ze względu na niechęć do zmian mogą podchodzić do niego wrogo lub wręcz odmawiać współpracy.

Dobry audytor przekona ich, że wprowadzane zmiany przyniosą korzyści dla wszystkich, a po pierwotnych trudnościach z przestawieniem się na nowy system ich praca stanie się znacznie łatwiejsza niż dotychczas. Osoby na stanowisku audytora wewnętrznego ISO 27001 muszą być też oczywiście przygotowane do swojej pracy pod względem technicznym, posiadając wiedzę i jak najbardziej aktualne szkolenia z zakresu normy ISO 27001 oraz prowadzenia audytów w oparciu o jej zasady.

Audyt wewnętrzny – rola audytu w procesie certyfikacji

Audytor wewnętrzny ISO 27001 to element nieodłączny procesu certyfikacji systemów zarządzania bezpieczeństwem informacji – bez jego udziału trudno wyobrazić sobie znalezienie wszystkich obszarów działań firmy wymagających naprawy i doskonalenia czy też przygotowanie skutecznej strategii pracy opartej o zrównoważony rozwój i świadome podejście do kwestii zagrożeń i ich eliminacji.

Audytorzy wewnętrzny ISO 27001 mają realny wpływ na bezpieczeństwo informacji w sieci i poza nią każdego dnia, odgrywając rolę strażników standardów wyznaczonych przez Międzynarodową Organizację Normalizacyjną i uznawanych przez najważniejszych przedstawicieli wielu branż za złotą metodę gwarantowania pełnego bezpieczeństwa informacji w ich firmach i organizacjach.

 

[1] https://www.tuv-sud.pl

[2] https://www.dnvgl.pl/training/audytor-wewnetrzny-iso-27001-2013-aktualizacja-uprawnien-dla-audytorow-wewnetrznych-iso-27001-2005-66242

[3] https://www.lynskysolutions.pl/