Informacja stanowi jeden z najważniejszych elementów działalności każdej firmy i organizacji, a jej bezpieczeństwo jest obecnie postrzegane jako jeden z najważniejszych procesów wymagających prawidłowego i skutecznego zarządzania.
W obliczu tak wielu źródeł zagrożenia dla bezpieczeństwa informacji, umiejętność właściwego ocenienia własnych zdolności jej ochrony, zdobycie wiedzy i umiejętności zdolnych zapewnić jej bezpieczeństwo oraz uzyskanie zgodności z odpowiednią normą ISO traktującą o bezpieczeństwie informacji jest dla wielu firm nie tylko dobrym rozwiązaniem, ale wręcz koniecznością. W trakcie wdrażania normy ISO 27001 w firmie potrzebne jest oczywiście zaangażowanie wszystkich pracowników i członków zarządu, ale jedną z ważniejszych ról odgrywa tu też audytor wewnętrzny ISO 27001. Jaka jest rola audytora wewnętrznego, kto może nim zostać i w jaki sposób tego dokonać?
Rola audytora wewnętrznego ISO 27001
Audytor wewnętrzny to z punktu widzenia organizacji wymagającej zapewnienia sobie odpowiedniego poziomu bezpieczeństwa informacji osoba, która doskonale zna specyfikę normy ISO 27001 i jest w stanie w sposób rzetelny przeprowadzić firmę przez proces wdrażania i certyfikacji wspomnianej normy. Celem jego działania jest przede wszystkim pomoc w ocenie, czy wszystkie wytyczne określone przez normę zostały wprowadzone poprawnie oraz wsparcie z zakresu zgodności z pozostałymi, niespełnionymi jeszcze wymaganiami standardu ISO.
Skuteczne funkcjonowanie systemu zarządzania bezpieczeństwem informacji opartego o normę ISO 27001 wymaga, by każda firma posiadająca certyfikat przeprowadzała regularne audyty wewnętrzne. To dzięki pracy audytora wewnętrznego ISO 27001 zarządcy organizacji są w stanie zweryfikować poprawność podejmowanych przez firmę działań i zabezpieczeń w dziedzinie bezpieczeństwa informacji oraz zweryfikować ich zgodność z założeniami opracowanymi w trakcie wdrażania systemu zarządzania.
Kto może zostać audytorem wewnętrznym?
O ile audytorzy zewnętrzni to osoby zatrudnione przez jednostki akredytacyjne nie mające żadnych powiązań z firmą, w której będą podejmować się przeprowadzania audytu, wiodący audytor wewnętrzny może być w istocie pracownikiem organizacji. Osoby, które już zajmują się koordynowaniem działań audytowych w swojej organizacji i chciałyby potwierdzić swoją rolę poprzez odpowiedni certyfikat oraz osoby odpowiedzialne za kontrolę procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji mogą z powodzeniem myśleć o podjęciu szkolenia i certyfikacji do roli audytora wewnętrznego ISO 27001.
Jakie wymagania należy spełnić, by zostać audytorem wewnętrznym?
W celu objęcia roli oficjalnego audytora wewnętrznego ISO 27001 w firmie i uzyskać certyfikat poświadczający o wiedzy i umiejętnościach z zakresu bezpieczeństwa informacji, konieczne jest ukończenie stosownego szkolenia prowadzonego przez akredytowaną jednostkę certyfikacyjną. Aby móc wziąć udział w takim szkoleniu i ukończyć je z wynikiem pozytywnym, kandydaci na audytora wewnętrznego ISO 27001 powinni przede wszystkim znać zasady i wymagania określone we wskazanej normie. Konieczne do przejścia przez szkolenie będą między innymi:
- Znajomość i zrozumienie Cyklu PDCA (Plan, Do, Check, Act),
- Znajomość zasad, pojęć i koncepcji z zakresu zarządzania bezpieczeństwem informacji,
- Świadomość roli, jaką bezpieczeństwo informacji odgrywa w firmie,
- Umiejętność przypisania i określenia osób odpowiedzialnych za bezpieczeństwo informacji w firmie, w tym także precyzyjnego określenia roli kierownictwa i zarządu w procesie wdrażania systemu zarządzania,
- Umiejętność analizy wyników oceny ryzyka oraz opracowywania właściwego sposobu monitorowania ryzyka tak, by ostatecznie uzyskać akceptowalny poziom zagrożenia,
- Umiejętność aktywnego zapobiegania niebezpieczeństwu oraz wczesnego wykrywania przypadków naruszenia bezpieczeństwa informacji.
Co zyskujesz po szkoleniu na audytora?
Jak podają informacje na stronie DNV GL: Decydując się na szkolenie i certyfikację w roli audytora wewnętrznego ISO 27001 zyskujesz odświeżoną i pogłębioną wiedzę z zakresu systemów zarządzania bezpieczeństwem informacji i ich roli w doskonaleniu działalności firmy.
Podczas szkolenia audytor poznaje wytyczne kierujące przeprowadzaniem audytów, zgodne z wymaganiami norm ISO 19001 oraz ISO 17021, dzięki czemu może samodzielnie przeprowadzać audyty w roli audytora wiodącego. Aby szkolenie miało znaczenie na rynku międzynarodowym i mogło zostać uznane zarówno przez firmę, dla której audytor pracuje, jak i jednostki zewnętrzne kierujące pracą audytorów, szkolenie takie musi odbyć się przy udziale akredytowanej jednostki certyfikacyjnej. Certyfikat po nim uzyskany jest poświadczeniem uprawnień audytora wewnętrznego ISO 27001.