Одит по ISO 27001

Одитът по ISO 27001 е систематично и независимо изследване на системата за управление на информационната сигурност (СУИС) на организацията, за да се определи дали тя е в съответствие със стандарта ISO 27001. Целта на одита е да се оцени ефективността на СУИС и да се идентифицират областите за подобрение.

Одит по ISO 27001: Всичко, което трябва да знаете

Целта на одит по ISO 27001 е да провери дали системата за управление на информационната сигурност (СУИС) на вашата компания отговаря на изискванията на ISO/IEC 27001:2022, последната ревизия на стандартите за системи за управление на информационната сигурност. За да получат и поддържат сертификат по ISO 27001, фирмите трябва да преминат серия от строги вътрешни и външни одити.

Ще разгледаме всичко, което трябва да знаете за провеждането на одити по ISO/IEC 27001, за да получите и поддържате своя сертификат по ISO 27001. Ще научите за изискванията за одит на ISO 27001, защо одитът на ISO 27001 е важен, колко време отнема провеждането на одити и кой може да провежда одити, които доказват, че вашата компания следва актуални най-добри практики за управление на информационната сигурност.

Какво е одит по ISO 27001?

Одитът по ISO 27001 е процес на преглед, който гарантира, че системата за управление на информационната сигурност (СУИС) на вашата организация е в съответствие с най-новите и най-добри практики за информационна сигурност, както е определено от ISO/IEC 27001:2022 последната версия на стандарта ISO/IEC 27001 от 2022 г. Организациите трябва да провеждат поредица от редовни вътрешни и външни одити, за да получат и запазят сертификата си по ISO 27001.

ISO 27001 демонстрира, че контролите на СУИС на компанията са достатъчни, за да осигурят нейните данни, документи и други информационни активи. Сертификатът ISO 27001 също така дава на компаниите конкурентно предимство, показвайки, че техният контрол за сигурност е по-строг и съобразен с международните стандарти.

За да се класират за сертифициране, компаниите трябва да преминат външен одит от акредитирана, обективна одиторска фирма или одобрен одитор по ISO 27001, за да докажат, че техните процеси и системи отговарят на очакванията на ISO/IEC 27001:2013 или ISO/IEC 27001:2022, а след октомври 2025 само на на ISO/IEC 27001:2022.

Непрекъснатите одити по ISO 27001 демонстрират ефективността и ефикасността на контрола за сигурност на компанията. Плюс това, тези одити измерват и показват текущо съответствие с ISO стандартите. Редовното провеждане на одити позволява на организациите да прегледат и оценят нивото на остатъчен риск, свързан с техните съществуващи стандарти за информационна сигурност.

С резултатите от ИТ одита за ISO 27001 организациите могат да продължат да подобряват своите контроли и стандарти за СУИС, за да направят остатъчния риск по-поносим.

Значение на одита на ИТ сигурността за сертифициране по ISO 27001

  1. Сертифицирането по ISO 27001 зависи основно от преминаването на поредица от одити. Една компания не може да претендира за съответствие с най-добрите световни практики за управление на информационната сигурност, освен ако не е преминала успешно през тези одити.
  2. За фирмите може да бъде трудно да установят или поддържат отношения с клиенти или партньори, които изискват сертифициране по ISO 27001 като условие за правене на бизнес. Това означава, че одитите по ISO 27001 може да са от решаващо значение за предприятията, за да получат или задържат клиенти.
  3. За да запазят своята сертификация по ISO 27001, компаниите трябва да преминават през периодични одити, за да докажат, че все още са в съответствие с изискванията, определени от ISO 27001. Както се вижда от резултатите от одита, информационните активи на компанията са надеждни защитени от своите установени системи, процедури и контрол.
  4. Докато една фирма расте, тя е изправена пред допълнителни рискове, които могат да бъдат оценени по време на рутинни одити, за да помогнат да се определи къде могат да се направят подобрения. По време на тези оценки също се разкриват възможности за подобряване на управлението на данни и ИТ сигурността.

Видове одити по ISO 27001

Съответствието с ISO 27001 изисква провеждането на два вида одити: вътрешни одити и външни одити.

Акредитационните органи по света имат различни изисквания за това колко често трябва да се извършват одити, за да се поддържа съответствие; въпреки това, всички компании, които се интересуват от получаване или запазване на своя сертификат, трябва да подават редовни доклади за вътрешен одит по ISO 27001 и да извършват периодични външни одити.

Ето очакванията за вътрешен и външен одит, които организациите трябва да следват, за да останат в съответствие.

Вътрешен одит

Вътрешният одит по ISO 27001 е преглед на СУИС на компанията, извършен от обективен вътрешен персонал, обучен по стандартите ISO 27001, или външен изпълнител, нает да работи заедно с вътрешен екип. Дори когато вътрешен одит е извършен от външна страна, той се счита за вътрешен, освен ако тази страна не е част от сертифициращ орган по ISO 27001.

Съгласно клауза 9.2 на ISO 27001 се изисква последователна програма за одит на ISO 27001, за да се поддържа съответствие. Одобрен план за одит по ISO 27001 определя колко често се провеждат вътрешни одити, методите, използвани за завършване на одита и кой е отговорен за планирането, завършването и докладването на резултатите от одита.

Всяка компания работи със сертифициращия орган, за да определи подходящата честота на одит по ISO 27001 за своята организация, повечето компании ще бъдат препоръчани трябва да завърши годишен одит по ISO 27001.

Обикновено вътрешният одит по ISO 27001 включва:

  • Преглед и поддържане на вътрешна документация за политики и процедури
  • Вземане на проби от доказателства от СУИС като част от полеви преглед, демонстриращ, че политиките и процедурите се следват последователно
  • Анализиране на констатациите от преглед на документи и преглед на място, за да се гарантира, че отговарят на изискванията на ISO 27001
  • Внедряване на подобрения, ако е необходимо, въз основа на констатациите от одита

Процесът на одит на сертифициране по ISO 27001 започва с вътрешен одит, при който вашата организация преглежда своите текущи ИТ процеси и документира обхвата на своя СУИС одит за по-нататъшен външен преглед.

След това организацията извършва оценка на риска и анализ на пропуските, като представя тези одити заедно с друга документация на външни одитори или сертифициращ орган.

И накрая, ако една компания избере да премине към сертифициране, организациите трябва да провеждат редовно планирани вътрешни одити, за да поддържат съответствие.

Външен одит

Когато ИТ специалистите питат „как да се подготвите за одит по ISO 27001“, те обикновено имат предвид външен одит по ISO 27001. Външните одити се провеждат от акредитирани сертифициращи органи, за да се потвърди съответствието със стандартите ISO 27001.

Организациите, които се интересуват от сертифициране по ISO 27001, трябва да участват в четири външни одита:

  • Преглед на дизайна на СУИС
  • Сертификационен одит
  • Одити за наблюдение
  • Ресертификационни одити

След като вашата организация определи обхвата на вашия одит на СУИС, вие ще поискате одитор от акредитирания сертифициращ орган на вашата страна, който да завърши прегледа на дизайна на СУИС. По време на този външен одит по ISO 27001 одиторът преглежда документацията, процесите и процедурите на вашата организация, за да гарантира, че вашите контроли и дизайн на ISMS съответстват на стандартите ISO 27001.

Ако вашата организация отговаря на изискванията на СУИС Design Review, одиторът препоръчва вашата организация за сертифициране и преминава към сертификационен одит.

По време на сертификационния одит одиторът ще прегледа бизнес процесите и контролите на вашата организация чрез полеви преглед, за да се увери, че отговарят на изискванията на ISO 27001 и 93-те първични контрола, посочени в приложение A. Спазването на тези изисквания прави вашата организация допустима за пълно сертифициране по ISO 27001.

За да поддържат съответствие след сертифициране, сертифициращите органи провеждат периодични одити — известни като надзорни одити — при които те вземат произволна извадка от данни, за да гарантират, че следват процедурите и процесите, определени от вашата документация. Тези одити често се фокусират върху конкретни области на СУИС и се случват преди повторно сертифициране.

И накрая, организациите подлежат на обширен ресертификационен одит на всеки три години, за да поддържат допустимостта си за сертифициране по ISO 27001. Този преглед обхваща всички области на СУИС и имитира първоначалния сертификационен одит, като гарантира, че организацията следва непрекъснато стандартите ISO 27001 и подобрява своя СУИС при възникване на нови рискове.


Етапи на одит по ISO 27001

Докато вашата организация се подготвя за сертифициране по ISO 27001, важно е да разберете двата етапа, които съставляват първоначалния сертификационен одит. Критериите за одит за ISO 27001 се определят от тези два етапа и допустимостта на вашата компания за сертифициране зависи от преминаването на двата етапа на одит.

Компаниите трябва да имат предвид, че обикновено организациите ще наемат отделен външен одитор, който да им помогне при изпълнението на изискванията за съответствие на етап 1, преди да поискат външен одит от сертифициращия орган за етап 2.

Етап 1

Етап 1 от одита на ISO 27001 се нарича преглед на дизайна на СУИС. Преди една компания да поиска одит на дизайна на ISMS, изключително важно е компанията да се подготви правилно за това, което включва прегледът на дизайна на СУИС.

Първо, работете с вашия екип за съответствие, за да определите базовите нива на толерантност към риск и сигурност на вашата компания въз основа на очакванията на вашите клиенти или партньори. Може да се наложи да вземете предвид и правни или договорни изисквания. Тези елементи ще определят обхвата, целите на сигурността и декларацията за приложимост за вашия сертификационен одит.

След това подробно документирайте всички процеси, процедури, политики, насоки и контроли за вашия СУИС въз основа на изискванията, описани подробно в ISO 27001 и ISO 27002. Ще трябва също така да завършите оценка на риска, обработка на риска и анализ на пропуски, за да изпратите с вашата документация.

След като внедрите и документирате контролите във вашия СУИС, одитор ще прегледа вашата документация по време на прегледа на дизайна на СУИС, за да се увери, че отговаря на изискванията на ISO 27001. След като приключи, одиторът ще предостави на вашата организация доклад за одит по ISO 27001.

Докладът от одита включва техните констатации и препоръки за подобряване на вашите процеси или контроли, преди да преминат към етап 2. Служителите на вашата организация може също да се наложи да преминат допълнително обучение по сигурността, за да отговарят на стандартите за одит на ISO 27001 етап 1, преди да преминат напред към етап 2 от процеса на сертифициране.

Етап 2

Ако одитор препоръча вашата организация за сертифициране след етап 1, вашата организация може да избере да продължи напред с етап 2, за да продължи сертифицирането. При одита на етап 2 на ISO 27001 одитор от сертифициращ орган ще извърши преглед на доказателствен терен, за да потвърди, че бизнес процесите и контролите във вашия ISMS са в съответствие с документираните и одобрени процедури от етап 1.

Одиторът изследва задълбочена, произволна извадка от данни и информационни активи като доказателство, за да потвърди, че вашият СУИС работи ефективно и отговаря на изискванията, продиктувани от ISO 27001 и задължителните контроли в Приложение A. Това доказателство трябва да гарантира, че вашите бизнес процедури работят, както са документирани.

За да завършат своя одит, одиторите често ще интервюират ключови заинтересовани страни, отговорни за управлението на системата СУИС, както и членове на вътрешния одит и екипите за съответствие. Те също така ще изискат доказателства за предишни одитни доклади и всички корекции, извършени въз основа на резултатите от етап 1. Тези одитни доклади ги информират за несъответствията, представени от предишния одитор, докато одитите на управлението потвърждават, че са въведени подобрения след одита.

Етап 2 е и времето за определяне на процесите, които ще се движат напред след сертифицирането. Това включва процедури за обучение за информираност относно сигурността и процеса на вътрешен одит, който трябва да бъде документиран, за да се постигне сертифициране и да се поддържа непрекъснато съответствие.

След като вашата организация премине етап 2 на процеса на одит по ISO 27001, вашата компания ще бъде сертифицирана по ISO 27001 за три години. От компаниите обаче все още се изисква да извършват и представят годишни надзорни одити, за да следват необходимия график за вътрешен одит, представен на сертифициращия орган, и да покажат, че техните контроли работят непрекъснато по предназначение.

Годишни надзорни одити по ISO 27001

Една от основните цели на системата за управление на информационната сигурност ISO 27001 е да осигури непрекъснато подобрение . Принципът Планирай - Прави - Проверявай - Действай, подкрепен от одити и прегледи, ще помогне за постигането на тази цел.

Годишните надзорни одити са основен компонент на това. Това е задължително изискване за поддържане на акредитирана ISO 27001 сертификация.

Кога се извършва годишният надзорен одит?

В повечето случаи вашата организация ще бъде подложена на годишен надзорен одит в края на година 1 и година 2. Първият от тях всъщност ще бъде извършен малко преди края на първата година. Целта е тригодишният цикъл да е настроен така, че вашият ресертификационен одит да се проведе преди края на година 3. Това е важно, защото ако бъдат открити някакви несъответствия в края на третата година, може да има пропуск в сертифицирането ви докато предприемате коригиращи действия.

Някои по-големи организации обичат годишните си надзорни одити да се извършват по-често, разпределени в календара. Графикът може да бъде съгласуван с одитора.

Колко време отнема годишният надзорен одит?

Одитът по ISO 27001 може да отнеме от няколко дни до няколко седмици, в зависимост от фактори като размера и сложността на организацията, обхвата на одита, броя на участващите одитори и готовността на организацията. За по-малка организация одитът може да отнеме само няколко дни, докато за по-големи и по-сложни организации одитът може да отнеме до няколко седмици или дори месеци.

Къде се провежда годишният надзорен одит?

Годишният надзорен одит обикновено се провежда на място. Одитите обаче могат да се извършват дистанционно при изключителни обстоятелства като COVID-19. Ако имате няколко обекта, вашият централен офис винаги ще бъде одитиран плюс клоновете, различни от избраните за първоначалния одит за сертифициране по ISO 27001. Отново ще бъдат избрани различни обекти за втория годишен надзорен одит и повторно сертификационен одит, въпреки че главният офис ще бъде включен във всеки одит.

Какво се случва при годишния надзорен одит?

При годишен надзорен одит одиторът ще възприеме подход, подобен на този на Етап 2 на одита по ISO 27001. Въпреки това, по-малко време ще бъде изразходвано за някои области от вашата система за управление и вероятно само части от вашата организация ще бъдат одитирани.

Голяма част от това, което се случва, ще се ръководи от това, което одиторът е открил при предишни одити, например при изследване на области на слабости. Следното ще бъде покрито като минимум:

  • Преглед на несъответствия и коригиращи действия от предишни одити
  • Поддръжка и работа на Системата за управление
  • Ефективността на вашите вътрешни одити
  • Разглеждане на вашите прегледи от ръководството
  • Превантивни и коригиращи действия
  • Актуализации на документацията
Вторият годишен надзорен одит в тригодишния цикъл на сертифициране вероятно ще проучи различни аспекти и операции във вашата организация. Целта е да се одитират всички процеси в рамките на цикъла.

Какво се случва след годишния надзорен одит?

Както при други одити, одиторът ще обобщи констатациите в края на посещението. Ще бъде представен и писмен доклад, в който се посочват всички несъответствия.

Ако има големи несъответствия, ще имате до три месеца, за да предприемете коригиращи действия и да предоставите доказателства, че сте го направили. Ако не го направите, това може да означава, че вашият сертификат ISO 27001 ще бъде оттеглен.

За незначителни несъответствия одиторът ще съгласува план с вас. В зависимост от риска и тежестта, Одиторът ще използва своята свобода на преценка, за да установи как несъответствието може да бъде „затворено“. Той потенциално може да бъде затворен при следващия одит или чрез изпращане на доказателства до одитора, или може би дори друг одит.


Финални думи

Одитът по ISO 27001 е жизненоважна част от поддържането на съответствие със ISMS на вашата организация. Тъй като основната й цел е да гарантира, че СУИС на организацията е адекватно внедрена и управлявана, акредитацията по ISO 27001 ще позволи на вашата организация да задържи уверени клиенти и заинтересовани страни.

Нуждаете се от помощ при навигирането в света на информационната сигурност или при подготовката за вътрешен или сертификационен одит? Щастливи сме да помогнем — свържете се с експертите на ИС Консулт Сървис днес чрез формата за контакти.