Audytor wewnętrzny ISO 27001 i jego zadania


Norma ISO 27001 stanowi dziś podstawę skutecznego zarządzania bezpieczeństwem informacji i danych w przedsiębiorstwach zarówno w branży IT, jak i wszędzie tam gdzie ewentualne zagrożenie wyciekiem informacji mogłoby stanowić dla firmy spory problem. W rzeczywistości o certyfikację ISO 27001 starają się dziś przedsiębiorstwa reprezentujące bardzo różnorodne obszary przemysłu, które znając wartość informacji chcą zabezpieczyć je przed wszelkim możliwym ryzykiem wewnętrznym i zewnętrznym. Aby normę wdrożyć konieczne jest jednak przeprowadzanie regularnych audytów wewnętrznych kontrolujących i analizujących stosowany system zarządzania bezpieczeństwem informacji, a do tego konieczna jest obecność audytora wewnętrznego ISO 27001. Jakie są jego zadania i rola w firmie?

Wdrożenie ISO 27001 a rola audytora wewnętrznego

Główne założenia ISO 27001 nawołują do wdrożenia skutecznego systemu kontroli we wszystkich działaniach firmy mających bezpośredni wpływ na kluczowe dla firmy informacje i ich bezpieczeństwo. Stworzenie systemu zarządzania bezpieczeństwem informacji opartego o ISO 27001 powinno być dokładnie przemyślane pod kątem potrzeb i wymagań danego przedsiębiorstwa – norma nie narzuca konkretnych rozwiązań, a jedynie wskazuje właściwe praktyki i zalecane działania wpływające bezpośrednio na bezpieczeństwo informacji. Z tego też powodu niezwykle istotną rolę w całym procesie wdrażania, weryfikowania, doskonalenia i stosowania systemu zarzadzania ISO 27001 odgrywają audytorzy wewnętrzni, którzy jako jedyni są w stanie weryfikować zgodność działań z  normą, wskazywać lepsze rozwiązania w przypadku problemów i upewniać się, że firma jest gotowa do pomyślnego przejścia procesu certyfikacyjnego dla wybranej normy. Każdy audytor wewnętrzny ISO 27001 powinien być przeszkolony pod kątem konkretnej normy, najlepiej przez akredytowaną jednostkę certyfikującą i posiadać odpowiednie doświadczenie w prowadzeniu i zarządzaniu audytami wewnętrznymi w sposób niezależny i bezstronny.

Audytor wewnętrzny ISO 27001 – najważniejsze zadania w firmie

Firma, która chce przystąpić do procesu certyfikacji ISO 27001 powinna być na niego odpowiednio przygotowana, wykazując na podstawie dokumentacji audytów wewnętrznych oraz przeprowadzonego niezależnie przez akredytowaną jednostkę certyfikującą audytu zewnętrznego pełną zgodność wdrożonego systemu zarzadzania bezpieczeństwem informacji z normą ISO 27001. Aby upewnić się, że pod uwagę zostały wzięte wszystkie możliwe obszary działania firmy wpływające na bezpieczeństwo informacji oraz że nowy system zarządzania spełnia założenia normy w każdym elemencie konieczne jest jednak skuteczne kontrolowanie całego procesu projektowania i wdrażania nowego systemu, a osobą kompetentną do wykonywania tego typu kontroli jest właśnie audytor wewnętrzny ISO 27001. Audytorem zostaje zwykle osoba z wewnątrz firmy zajmująca się nadzorowaniem różnych aspektów zarządzania wewnętrznymi procesami firmy i doskonale znająca zagadnienia z zakresu norm międzynarodowych ISO. To właśnie takie osoby są w stanie zapewnić niezbędną podczas audytu znajomość wewnętrznych działań firmy i jej dynamiki, jednocześnie pozostając bezstronnym w obliczu ewentualnych błędów i elementów wymagających natychmiastowej poprawy.[1]

Wśród najważniejszych zadań widniejących w kompetencjach audytora wewnętrznego ISO 27001 należy wymienić przede wszystkim przeprowadzenie dokładnego audytu wstępnego, czyli tzw. analizy luk umożliwiającej weryfikację stosowanych dotychczas praktyk i systemów zarządzania oraz zestawienie ich z wymaganiami normy, które ukaże wszelkie obszary wymagające zmian i poprawy. Audytor wewnętrzy ISO 27001 sprawdza wszystkie prowadzone przez firmę działania i procesy oraz strukturę firmy pod kątem bezpieczeństwa informacji, możliwych zagrożeń, a często także obszarów wymienionych w ISO 27001, które nie zostały przez firmę ujęte w obecnym systemie zarządzania, a mających realny wpływ na bezpieczeństwo informacji. Audyt wstępny jest podstawą do stworzenia strategii wdrażania nowego systemu zarządzania bezpieczeństwem informacji oraz ustalenia w jaki sposób wdrożenie ISO 27001 i założenia normy mogą być dostosowane do indywidualnej dynamiki działania danego przedsiębiorstwa. Certyfikacja ISO 27001 nie ma przecież na celu całkowitej zmiany charakteru i działań firmy, a jedynie ich udoskonalenie.

Kolejnym ważnym zadaniem dla audytorów wewnętrznych ISO 27001 jest doradztwo w zakresie założeń normy. W wielu przypadkach firmy podejmujące decyzję o uzyskaniu certyfikacji zapominają o istotnej roli szkoleń i spotkań informacyjnych przedstawiających założenia normy, w czego wyniku pracownicy czy zarząd mogą zupełnie nie rozumieć sensu i potrzeby wprowadzanych zmian. Audytor wewnętrzny ISO 27001, choć pełni rolę niezależnego kontrolera jakości stosowanych przez firmę praktyk i ich zgodności z założeniami normy i powinien zachować w swoich działaniach pełną bezstronność, może poprzez szkolenia i rolę doradczą angażować się w rozwój firmy i wspomagać ją w procesie zmian udoskonalających jej organizację i zasady działania[2].

Najważniejsze cechy audytora wewnętrznego ISO 27001

Zadania stawiane przed audytorami wewnętrznymi i ich istotna rola w całym procesie wdrażania i certyfikacji systemu zarządzania bezpieczeństwem informacji sprawiają, że poza kompetencjami technicznymi w postaci merytorycznego przygotowania do roli audytora bardzo ważną rolę odgrywają tu także tzw. kompetencje miękkie, w tym wiele cech charakteru bez których trudno mówić o „dobrym audytorze”. Audytor wewnętrzny ISO 27001 powinien być ponad wszystko osobą całkowicie bezstronną, nawet w obliczu faktu bycia zatrudnionym jako pracownik wewnętrzny firmy, w której przeprowadza audyty. Jego wnioski i raporty muszą być niezależnie od wszelkich czynników występujących wewnątrz firmy, muszą być zgodne ze stanem faktycznym systemu zarzadzania  bezpieczeństwem informacji w firmie i nie mogą pomijać żadnych elementów istotnych z punktu widzenia ISO 27001. Audytor wewnętrzny ISO 27001 musi wykazać się sumiennością oraz umiejętnościami przywódczymi, gdyż jego rola często będzie sprowadzała się do zarządzania zespołem audytorów w obrębie firmy, ale też wyrozumiałością i umiejętnościami interpersonalnymi w kontaktach z pracownikami firmy, dla których wprowadzane zmiany i ciągle kontrole są zwyczajnie stresujące. Ostatecznie osoby na stanowisku audytora wewnętrznego ISO 27001 muszą być też przygotowane na ciągłe doskonalenie swojej wiedzy i kompetencji z zakresu samej normy – zarówno wprowadzane przez Międzynarodową Organizację Normalizacyjną zmiany, jak i nowe sposoby radzenia sobie z wdrażaniem normy w firmach mogą przyczynić się do ostatecznego sukcesu całego procesu certyfikacji ISO 27001[3].

Audytor wewnętrzny ISO 27001 jest nieodłącznym uczestnikiem procesu certyfikacji systemów zarządzania bezpieczeństwem informacji, bez którego trudno wyobrazić sobie powodzenie tak zaawansowanego logistycznie i skomplikowanego przedsięwzięcia.  Wdrożenie ISO 27001 obejmuje różne aspekty działania firmy i choć początkowo wdrożenie norm może wydawać się prostym zadaniem wymagającym zmiany kilku stosowanych praktyk i działań, w rzeczywistości często obejmuje nawet rok intensywnej pracy nad subtelnymi zmianami, dzięki którym przedsiębiorstwo może pozostać sobą i dążyć do bardziej zrównoważonego rozwoju. Audytor wewnętrzny ISO 27001 odgrywa tu ogromną rolę – to dzięki niemu firma może być pewna, że środki przeznaczone na zmiany i certyfikację zostaną spożytkowane w sposób właściwy, a wdrażane zmiany realnie wpłyną na poprawę jakości i bezpieczeństwa informacji w firmie.

[1] http://www.partnerstwa.pl/audytor-wewnetrzny-iso-27001-poznaj-jego-zadania/

[2] https://www.bsigroup.com/pl-PL/ISO-IEC-27001-Bezpieczenstwo-Informacji/Szkolenia-dla-ISO-IEC-27001/Auditor-Wewnetrzny/

[3] https://www.dnvgl.pl/training/audytor-wewnetrzny-iso-27001-2013-aktualizacja-uprawnien-dla-audytorow-wewnetrznych-iso-27001-2005-66242