«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
- stas@abcgroup.com.ua
Все, що вам потрібно знати перед аудитом ISO 27001 та / або СУІБ
Ми знаємо, що майбутній аудит може бути складним, тому ми підготували короткий (приблизно) посібник, щоб відповісти на ваші запитання та пояснити, як це працює та що вам потрібно зробити заздалегідь.
Прочитайте, а якщо у вас виникнуть інші запитання, напишіть нам!
Різниця між аудитом сертифікату ISO 27001 та СУІБ є.
Перше, це - аудит надає Звіт, а при сертифікації - Сертифікат відповідності ISO 27001. Друге. Перевірка області виконання вимог. Аудит перевірятиме не тільки ISO 27001, но и вимоги нормативних документів від НБУ.
Трете, аудитор майже завжди надасть Вам звіт (виняток, якщо Ви відмовляєтесь надавати докази), у випадку сертифікації – Ви або отримаєте сертифікат, або ні.
Четверте, у Вашій команді має бути щонайменше три співробітники з сертифікатами ISO 27001, бажано Lead Auditor та вони повинні працювати як три незалежних співробітника це: керівник інформаційної безпеки, внутрішній аудитор (допустимий варіант зовнішній аудитор), ризики. Однак якщо Ви невелика компанія, то Ви можете поєднувати де які обов’язки. Після аудиту Ви отримаєте тільки зауваження у відсутності компетентних співробітників, а при сертифікації - не отримаєте Сертифікат.
Поширені питання
1. Що потрібно зробити перед аудитом ISO 27001?
Найважливіше – забезпечити відповідність вашої системи управління вимогам, хоча ми впевнені, що ви думали про це заздалегідь! Залежно від того, який аудит (наприклад, Етап 1, Етап 2, Нагляд чи Реєстрація) – ви також можете ознайомитися з нашими інструкціями щодо того, чого від нього очікувати. Тому якщо цікаво, то дивіться різні питання.
Окрім цього (що саме по собі є великою роботою!), вам небагато чого потрібно підготувати заздалегідь, окрім:
1. Переконатися, що ви та потрібні люди з вашої команди доступні протягом днів аудиту (див. розділ 11 «Які члени команди потрібні для нашого аудиту ISO 27001? »), і що вони готові поспілкуватися з аудитором і надати необхідні докази.
2. Переконайтеся, що ви надали аудитору доступ до будь-якої платформи GRC (модель управління ризиками в сфері керівництва та відповідності нормативним вимогам в компанії), яку ви використовуєте (якщо ви хочете надати їм доступ). (див. розділ 5 «Надання аудитору доступу до будь-якої платформи GRC, яку ви використовуєте »).
2. Який графік аудиту ISO 27001?
День аудиту зазвичай триває 7 годин. У АВС він зазвичай триває з 10:00 до 17:00 за київським часом, хоча може бути можливість перенести час початку та закінчення приблизно на 1 годину раніше або пізніше (якщо ви цього бажаєте, зверніться безпосередньо до аудитора або до іншого контакту АВС, якщо ви ще зв'язалися з аудитором). Також заплановані обідні та ранкові/вечірні перерви.
Аудитор керує аудитом та складає графік – він заздалегідь (бажано щонайменше за тиждень до аудиту) надасть вам план аудиту, надаючи більше деталей щодо графіка. Він розрахує, що буде охоплено (наприклад, які пункти, засоби контролю, теми) та в які часові інтервали. Він також може охоплювати «співбесіди», для яких знадобляться інші члени команди.
Часто аудитор планує певний час наприкінці дня (приблизно з 15:00 до 17:00), протягом якого він збиратиме докази та переглядатиме/зіставлятиме свої нотатки, тому після цього етапу ваша присутність може не знадобитися.
План аудиту містить деякі вказівки щодо того, хто повинен бути присутнім. Додаткову інформацію з цього питання можна знайти в розділі «Які члени команди потрібні для нашого аудиту ISO 27001?»
3. Як виглядає процес аудиту ISO 27001? Що ми робитимемо цілий день?
Компанія АВС та її аудитор(и) повинні зібрати достатньо доказів відповідності, щоб ми могли видати вам Звіт (сертифікат).
Компанії котрі надають Звт (сертифікат) відповідності не можуть його видати, доки аудитор не збере докази відповідності кожному пункту та застосовному контролю стандарту ISO 27001.
Тільки сертифікація! Беручи це до уваги, загалом кажучи, аудит (особливо аудит другого етапу або ресертифікаційний аудит, який є повносистемним аудитом) передбачає, що аудитор виконує стандартний аудит пункт за пунктом та контроль за контролем, шукаючи докази відповідності. Це означає, що аудитор спеціально дослідить та запросить у вас докази, щоб проілюструвати, як ваша СУІБ відповідає вимогам кожного пункту та контролю, а ваше завдання — допомогти йому знайти ці докази (хоча іноді аудитор може зібрати їх в асинхронних частинах аудиту (див. розділ 4 «Асинхронні та синхронні аудити ISO 27001 »). У міру того, як аудитор збирає ці докази (можливо, роблячи знімки екрана, можливо, роблячи нотатки, можливо, ставлячи додаткові запитання), він записуватиме це у своєму звіті/нотатках. Їм може знадобитися деякий час для документування та збору доказів у процесі, тому, будь ласка, будьте терплячими, поки вони це роблять (у ваших інтересах дозволити їм зібрати більше доказів, оскільки це допомагає сформувати картину відповідності, яку сертифікаційна компанія покаже сертифікованому органу з акредитації (IAF).
КОРИСНА ПОРАДА: Для гарної підготовки до аудиту постайте себе на місце аудитора – і перегляньте стандартний пункт за пунктом, кожен контрольний пункт, і подумайте, які докази ви б надали аудитору для підтвердження відповідності, і чи цього достатньо? Фактично, саме так аудитор і буде думати!
Якщо є докази невідповідності (або недостатні докази відповідності), це призведе до реєстрації невідповідності (значної або незначної). Немає потреби турбуватися про отримання невідповідностей – аудитор повідомить вас, коли це станеться, і ви зможете вирішити їх після аудиту у вашому Плані коригувальних дій, щоб АВС могла продовжити видачу вам Звіту (сертифікату). Див. розділ 18 «Усунення невідповідностей, виявлених за стандартом ISO 27001» нижче для отримання додаткової інформації про це.
Варто також зазначити, що майже кожен сертифікаційний аудит призводить до принаймні кількох суттєвих або незначних невідповідностей, тому не хвилюйтеся, якщо у вас є такі (можливо, навіть понад 10). Це не велика проблема, і найважливіше, щоб ви зосередилися на тому, щоб винести з них уроки та швидко їх виправити.
4. Асинхронні та синхронні аудити ISO 27001
Головна мета АВС — провести ретельний та ефективний аудит. Іноді ми можемо переглянути вашу документацію асинхронно, використовуючи гнучку методологію. Це означає, що протягом кількох годин ви можете займатися іншими справами, поки ваш аудитор перевіряє докази на будь-якій платформі відповідності / інструменті GRC (управління з трьох точок зору: вищого керівництва (Governance), управління ризиками (Risk management) та відповідності вимогам (Compliance), який ви використовуєте. Однак вам потрібно буде бути присутнім, якщо/коли вони захочуть зустрітися знову, щоб обговорити будь-які порушені питання, поставити запитання або запросити додаткові докази за необхідності.
Якщо ви твердо переконані в необхідності більшої кількості гнучких/асинхронних розділів вашого аудиту або маєте перевагу роботі над аудитом разом з вашим аудитором, будь ласка, повідомте про це аудитору. Ми закликаємо наших аудиторів бути гнучкими до ваших вимог.
Гнучкі/асинхронні аспекти аудиту можливі лише за умови, що ви підготували свої докази у форматі, який дозволяє аудитору самостійно їх переглядати. Найчастіше це працює, коли ви використовуєте інструмент GRC, який зберігає докази для вас і надає аудитору доступ до окремого перегляду, хоча це також може спрацювати, якщо ви завантажили докази на Google Диск або Dropbox. Якщо це не так, аудитору потрібно буде провести аудит старомодним способом, тобто опрацювати кожен пункт і контролювати за допомогою посібника від вашої компанії, який показує їм докази.
Також зверніть увагу, що повністю асинхронні аудити неможливі згідно з вимогами ISO 27006 (який містить рекомендації щодо процесів аудиту для ISO 27001), тому навіть якщо ми впровадимо асинхронні елементи, нам знадобиться ваша участь в аудиті (див. розділ 11 « Які члени команди потрібні для нашого аудиту ISO 27001? »).
5. Надання аудитору доступу до будь-якої платформи GRC, яку ви використовуєте
Якщо ви хочете, щоб ваш аудитор використовував будь-яку платформу/інструмент GRC, який ви використовуєте, вам потрібно буде переконатися, що ви надаєте йому доступ до нього до початку аудиту.
Будь ласка, зверніться до вашого менеджера з обслуговування клієнтів або менеджера проектів з вашої платформи/інструменту GRC (управління з трьох точок зору: вищого керівництва (Governance), управління ризиками (Risk management), щоб отримати допомогу у наданні цього доступу.
Вас мали б представити своєму аудитору АВС (і включити до нього запрошення в календарі), тому у вас буде його адреса електронної пошти, щоб надати йому доступ.
Якщо ви не хочете надавати аудитору доступ до платформи чи папки, або ви не використовуєте платформу/інструмент GRC, це не проблема, але це означає, що вам потрібно буде співпрацювати з аудитором, щоб надавати докази протягом дня(ів) аудиту (і жодні гнучкі/асинхронні елементи не будуть можливими).
6. Графік та перерви під час аудиту ISO 27001
У плані аудиту буде встановлено графік, який включатиме перерву на обід та коротші перерви вранці та вдень.
Але не хвилюйтеся, якщо вам потрібно буде зробити додаткові перерви або адаптувати графік — наші аудитори гнучкі. Якщо аудит потрібно змінити залежно від його просування або ваших обставин, то це можливо. Не соромтеся просити про перерви, коли це необхідно. Ми розуміємо, що дистанційні аудити можуть періодично перериватися (чи потрібно вам відчинити двері для доставки, чи приготувати ще одну чашку чаю) — це зовсім не проблема! Просто повідомте аудитора, і ви зможете витратити 5/10 хвилин!
7. Час початку та завершення аудиту ISO 27001
Як стандарт, ми плануємо 7-годинні дні аудиту та надсилаємо запрошення в календарі, щоб заздалегідь заблокувати дати. Запрошення в календарі зазвичай починаються о 10:00 ранку за київським часом та закінчуються о 17:00 за британським часом.
Часто аудитор планує певний час наприкінці дня (приблизно з 15:00 до 17:00) для збору доказів та перегляду нотаток, а це означає, що ваш день може закінчитися трохи раніше.
Якщо ви бажаєте змінити час аудиту (наприклад, перенести час початку на 8:00 або 10:00 за київським часом – і відповідно завершити на годину раніше або пізніше), повідомте нас, і ми постараємося внести зміни. Час початку на 1 годину або 30 хвилин раніше або пізніше рідко повинен бути проблемою, але зрештою, аудитор повинен буде підтвердити, що це відповідає його графіку, оскільки він відповідає за управління аудитом.
8. Проведення віддалених аудитів ISO 27001, WiFi Signal та Google Meets у порівнянні з іншими постачальниками послуг відеоконференцзв'язку
Якщо ваш аудит проводиться дистанційно, переконайтеся, що у вас є потужне з’єднання Wi-Fi. Заздалегідь увійдіть у систему та виберіть тихе місце з хорошим звуком. Заздалегідь перевірте свої навушники та обладнання. Якщо ви передбачаєте будь-які проблеми, будь ласка, повідомте про це АВС якомога швидше.
АВС зазвичай використовує Zoom, але ми з радістю перейдемо на Google Meets або Microsoft Teams, якщо це вам зручніше. Просто повідомте про це Станіславу або комусь іншому в команді про ваші уподобання.
9. Як розраховується тривалість аудиту ISO 27001, і чи буде її достатньо?
Компанія АВС розрахувала тривалість аудиту на основі розміру та обставин вашої компанії, відповідно до вимог ISO 27006 щодо «тривалості аудиту», і ми повністю очікуємо завершити аудит протягом цього часу, тому можна з упевненістю припустити, що до кінця заключної зустрічі ви будете повністю готові (за винятком усунення будь-яких виявлених невідповідностей, що відбувається пізніше – див. розділ 18 « Усунення невідповідностей, виявлених під час аудиту ISO 27001» та розділ 19 «Коли ми отримаємо сертифікат ISO 27001 »).
Ваш аудитор буде відповідальним за управління швидкістю аудиту, щоб забезпечити виконання всіх робіт у відведений для аудиту час, і дуже малоймовірно, що знадобиться додатковий час. (Хоча, якщо часу обмаль до кінця аудиту, це може означати дещо коротші перерви!).
За обмежених обставин (зазвичай, коли виникли непередбачені обставини, які затримали доступ аудитора до перевірки доказів, такі як: недоступність доказів, непрацююча платформа GRC, яку ви використовуєте, недоступність об'єктів аудиту або постійно виникають труднощі з оперативним пошуком доказів об'єктами аудиту) може знадобитися додатковий час. У такому випадку аудитор повідомить вас про це та домовиться з вами про додатковий час до закінчення аудиту. АВС має виставити рахунок за такий додатковий час.
10. Нам потрібно відкласти нашу аудиторську перевірку. Чи це можливо?
АВС намагається якомога краще врахувати ваші потреби щодо зміни дат аудиту.
Обов’язково повідомте команду АВС (включно з вашим аудитором, який зрештою буде особою, яка має домовитися про нові дати) якомога швидше, щоб вони могли почати розглядати можливість перенесення дат.
Однак, також варто врахувати договірну позицію, викладену в Умовах Договору АВС. У ній зазначено, що якщо повідомлення про перенесення/скасування відбувається між 28 та 13 днями до відповідних днів, з вас стягуватиметься половина узгодженої плати за скасовані/перенесені дні (на додаток до вартості перенесених днів). Якщо скасування відбувається менш ніж за 14 днів до відповідного дня (днів), з вас стягуватиметься повна плата за скасовані дні (на додаток до вартості перенесених днів).
Хоча це договірна позиція АВС, ми зробимо все можливе, щоб уникнути стягнення з вас плати за перенесення, де це можливо. Цей термін у договорі включено, оскільки наші аудитори можуть не мати змоги знайти додаткову роботу в останній момент, щоб замінити скасовані дні, і тому зазнають втрати давно запланованого заробітку.
Так само, якщо ваш аудитор згоден на перенесення аудиту (як вони зазвичай роблять), то АВС продовжить роботу, не зобов'язуючи вас дотримуватися умов договору.
Єдине, на що слід звернути увагу, це те, що часто графік вашого аудитора буває заздалегідь заповнений. Якщо ви перенесете аудит, вам потрібно буде працювати до наступної доступності аудитора, тому не дивуйтеся, якщо перенесений аудит виявиться пізніше, ніж ви б хотіли.
11. Які члени команди потрібні для нашого аудиту ISO 27001?
Для забезпечення безперебійного проведення аудиту вкрай важливо мати під рукою потрібних членів команди. Деякі рекомендації з цього питання (і ваш аудитор та його план аудиту повинні базуватися на цьому далі):
1. Для початку, представник (або представники) вищого керівництва повинні бути присутніми на вступній зустрічі, щоб продемонструвати відданість керівництва та надати загальний огляд. Не проблема, якщо все вище керівництво не може бути присутнім. Якщо у вас є якісь занепокоєння з цього приводу, ви завжди можете заздалегідь запитати у свого аудитора, з ким він хоче зустрітися (і коли).
2. Протягом решти аудиту CISO або кваліфікований керівник СУІБ повинен бути присутнім, щоб допомагати аудитору, надавати докази та полегшувати доступ до необхідних документів і областей. Як правило, цей «Керівник» повинен повністю блокувати виділені дні аудиту, хоча можуть бути прогалини, коли аудитор працює над пунктами асинхронно та знову збирається, щоб обговорити те, що він переглянув, за допомогою Керівника (див. розділ 4 «Асинхронні та синхронні аудити ISO 27001 »), або, ближче до кінця дня, витрачає деякий час на перегляд своїх нотаток та написання своїх звітів.
3. Крім того, для участі в співбесідах або надання конкретних доказів на вимогу аудитора може знадобитися інший персонал, включаючи представників вищого керівництва, власників процесів, ІТ-персонал та керівників підрозілів. Це допоможе АВС виконати вимоги аудиту та забезпечити його проведення зрозуміло. Потенційним учасникам аудиту не потрібно блокувати всі дні аудиту так само, і аудитор АВС може прагнути працювати в межах їхнього графіка. Аудитор також поділиться планом аудиту, який проллє світло на те, коли можуть проводитися співбесіди, а під час аудиту Графік зустрічей має допомогти аудитору організувати ці співбесіди.
АВС надішле компанії на узгодження Графік зустрічей. Будь ласка, додайте до цих запрошень інших представників, яких ви хочете відвідати, та/або повідомте нас, якщо ваш «Гід» – це хтось інший, ніж та особа/люди, з якими ми спілкувалися з АВС досі.
12. Що відбувається на етапі 1 (сертифікаційному) аудиті?
Аудит Етапу 1 – це коротша, перша частина сертифікаційного аудиту, яка зазвичай триває 1 день (іноді 2 дні або більше для великих компаній), а метою аудиту Етапу 1 є перевірка ваших політик і процедур.
Бажаним результатом першого етапу є підтвердження АВС готовності вашої компанії до аудиту другого етапу, який є основною частиною сертифікаційного аудиту.
Щоб дати вам уявлення про те, на чому зосередиться аудитор на першому етапі аудиту (і, отже, як ви можете підготуватися), він збиратиме докази, що стосуються таких аспектів:
Сфера застосування вашої СУІБ (та які види діяльності включені, а які виключені – забезпечення відсутності неналежних винятків) – пункт 4.3 стандарту ISO 27001
Чи відображається ваша сфера застосування у вашій Політики інформаційної безпеки – пункти 4.3 та 5.2 стандарту ISO 27001
Ваші цілі інформаційної безпеки – пункти 5.2b та 6.2 стандарту ISO 27001 – включаючи те, чи встановили ви відповідні засоби контролю для створення та оновлення документованої інформації щодо цілей інформаційної безпеки – пункт 6.2 стандарту ISO 27001
Ваш процес встановлення зовнішніх та внутрішніх проблем – пункт 4.1 стандарту ISO 27001
Ваш юридичний реєстр – пункт 4.2 стандарту ISO 27001 – він має бути вичерпним, і аудитори часто знайдуть другорядний (або важливий) нормативний документ, якщо ви пропустили.
КОРИСНА ПОРАДА: ChatGPT може допомогти вам перевірити ваш список, щоб переконатися, що ви не пропустили жодного очевидного законодавства, якщо ви вкажете таке підказку, як «Моя компанія є компанією [XYZ SaaS], що базується в [країна], і продає клієнтам по всьому [ЄС / світу / Америки]. Будь ласка, надайте мені список законодавства, яке може застосовуватися до нашої компанії, . Вам слід провести додаткове дослідження, окрім цього, але це буде корисною відправною точкою!
Ваша методологія оцінки ризиків визначена - пункт 6.1.2 стандарту ISO 27001
Критерії для визначення часу проведення оцінки ризиків визначено – пункт 6.1.2 стандарту ISO 27001
Ваш прийнятний рівень ризику визначено – пункт 6.1.2 стандарту ISO 27001
Ваші відповідальні за ризики розподілені правильно – пункт 6.1.2 стандарту ISO 27001
Ваша Заява про застосовність (і те, що ви правильно включили всі необхідні засоби контролю): зокрема, переконайтеся, що вона охоплює:
Обґрунтування виключення та включення елементів контролю (переконайтеся, що у вашому SoA є окремий стовпець для цього!) – пункт 6.1.3 стандарту ISO 27001
Докази того, що ви визначили, що засоби контролю інформаційної безпеки базуються на оцінці ризиків інформаційної безпеки (IAF наполегливо вимагає підтвердження цього, тому переконайтеся, що ви можете показати аудитору, як ви це зробили) - пункт 6.1.3 стандарту ISO 27001
Вимоги до вашої компетентності та навчання персоналу з підвищення обізнаності – пункт 7.2 стандарту ISO 27001
Ваш процес оцінки ефективності навчального процесу – пункт 7.2b стандарту ISO 27001
Ваш процес підтримки та підвищення обізнаності персоналу – пункт 7.3 стандарту ISO 27001
Ваша політика або процеси щодо необхідності внутрішнього та зовнішнього зв'язку, що стосується системи управління інформаційною безпекою – пункт 7.4 стандарту ISO 27001
Ваша політика або процеси щодо включення задокументованої інформації, що вимагається стандартом ISO/IEC 27001 або визначена Організацією як необхідна для ефективності СУІБ – пункт 7.5 стандарту ISO 27001
Ваші методи та критерії моніторингу, вимірювання, аналізу та оцінювання – пункт 9.1 стандарту ISO 27001
Ваші докази внутрішнього аудиту – пункт 9.2 стандарту ISO 27001
Підтвердження компетентності вашого внутрішнього аудитора – ви можете запитати у свого внутрішнього аудитора його кваліфікацію, щоб підтвердити це – пункт 9.2 стандарту ISO 27001
Ваш процес реагування на невідповідності та коригувальні дії – пункт 10.2 стандарту ISO 27001
Ваші докази управлінського огляду (включаючи те, що протокол охоплює всі необхідні вхідні та вихідні дані) – пункт 9.3 стандарту ISO 27001
Після аудиту першого етапу ви отримаєте звіт від АВС (зазвичай протягом тижня після аудиту). Якщо все пройшло гладко, це буде рекомендацією перейти до другого етапу.
У Звіті також може бути наведено перелік незначних та суттєвих «проблемних зон», виявлених аудитором під час Етапу 1. Фактично, це пункти, які на Етапі 2, якщо їх не вирішать, стануть незначними або суттєвими невідповідностями, тому вони слугують корисною відправною точкою для їх вирішення перед аудитом Етапу 2. Ви можете включити їх у свій процес реагування на невідповідності та вжиття коригувальних дій (що буде корисним доказом для вашого Етапу 2).
У малоймовірному випадку, якщо ми не зможемо рекомендувати вашій компанії перейти до аудиту 2-го етапу, аудитор повідомить причину цього та пояснить наступні кроки. Це може включати перенесення першого етапу на пізнішу дату або може вимагати від вас вирішення деяких виділених проблемних областей (та надання доказів такого вирішення), перш ніж ми зможемо запланувати другий етап. Це може призвести до затримки другого етапу на кілька тижнів, місяць або, можливо, більше. У такому випадку АВС співпрацюватиме з вами, щоб знайти нову дату.
13. Що відбувається на другому етапі аудиту (сертифікаційному)?
Аудит другого етапу є основною частиною сертифікаційного аудиту.
Під час цього аудиту аудитор охопить кожен пункт стандарту та кожен контроль, який ви включили (або мали б включити, якщо були неправильні винятки!) до вашої Заяви про застосовність. Таким чином, ми не надаватимемо тут перелік того, що вам потрібно зробити перед аудитом, оскільки реально стандарт ISO/IEC 27001 робить це за вас. Ваша мета — забезпечити відповідність кожному пункту та засобу контролю.
КОРИСНА ПОРАДА: Для гарної підготовки до аудиту другого етапу поставте себе на місце аудитора – і перегляньте стандартний пункт за пунктом, і контроль за контролем, і подумайте, які докази ви б надали аудитору для підтвердження відповідності, і чи достатньо того, що ви зробили? Фактично, саме так аудитор і буде думати!
Під час аудиту вам потрібно буде переконатися, що у вас є відповідні докази, які ви можете надати аудитору для кожного пункту та контролю. Якщо ви використовуєте платформу GRC, це допоможе.
Потенційні результати
На заключній зустрічі після завершення другого етапу аудитор поділиться негайною рекомендацією на основі результатів аудиту. Ось 3 можливі результати:
Рекомендація щодо сертифікації – це трапляється лише за відсутності невідповідностей. Це трапляється досить рідко, оскільки під час першого сертифікаційного аудиту майже всі мають невідповідності, але це означає, що ми можемо швидко перейти до видачі вашого сертифіката (за умови, що ваш технічний огляд не виявить жодних інших проблем).
Рекомендація щодо сертифікації за умови прийняття плану коригувальних дій для усунення невідповідностей. У цьому випадку були виявлені незначні невідповідності (але не було суттєвих невідповідностей). Це досить ймовірний результат, який не викликає занепокоєння. Вам просто потрібно буде надати прийнятний план коригувальних дій для кожної незначної невідповідності, щоб аудитор мав його затвердити. Після того, як аудитор підпише його (і ми затвердимо його звіт), ми зможемо видати вам сертифікат.
Відсутність рекомендації щодо сертифікації – це випадок, коли є одна або декілька суттєвих невідповідностей. Знову ж таки, це досить поширене явище і зазвичай не викликає занепокоєння. Вам просто потрібно надати у своєму Плані коригувальних дій докази того, як ви усунули суттєві невідповідності. Після того, як це буде надано та аудитор прийняв це, ми можемо перейти до видачі вашого сертифіката.
Після завершення аудиту 2-го етапу, дуже ймовірно, що у вас виникнуть деякі суттєві або незначні невідповідності, які потрібно усунути (варіанти 2 або 3 вище). Аудитор прогнитиме поділитися з вами цими невідповідностями якомога швидше після аудиту (сподіваємося, що це буде на заключній зустрічі, але якщо аудитору потрібно більше часу, щоб зібратися з думками, то принаймні протягом одного-двох днів після завершення аудиту). Після цього ви можете розпочати роботу над їх усуненням (див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001» нижче для отримання додаткової інформації про це).
Поряд з цим, аудитор та технічні експерти АВС підготують ваш звіт. Ми прагнемо завершити звіт та пройти «технічну перевірку» протягом 10 днів після завершення Етапу 2, а часто й швидше. (До вашої уваги – можливо, що в технічній перевірці будуть виділені деякі додаткові другорядні або суттєві недоліки – у такому разі вам буде повідомлено про них, щоб ви могли включити їх до свого Плану коригувальних дій).
Щойно невідповідності будуть усунені, а звіт успішно перевірено на технічну складову, АВС видасть вам сертифікат, який буде надіслано вам електронною поштою.
Після видачі ваш сертифікат діятиме протягом 3 років з дати видачі.
14. Що відбувається під час наглядового аудиту ISO 27001?
Протягом перших 2 років після видачі вашого сертифіката, АВС проводитиме коротші аудити «нагляду».
Перший має бути зроблений протягом 12 місяців з моменту видачі сертифіката. АВС зазвичай прагне організувати це приблизно через 11 місяців з моменту видачі вашого сертифіката (ваш аудитор або запланує це з вами на аудиті другого етапу, або АВС забронює дати під час видачі сертифіката).
Наглядовий аудит – це коротший «перевірочний» аудит – приблизно ⅓ тривалості сертифікаційного аудиту (і вдвічі коротший за аудит повторної сертифікації) – і не є повносистемним аудитом. Як наслідок, ми не будемо переглядати кожен пункт і кожен елемент контролю , але можемо вибірково вибрати певні пункти або елементи контролю (аудитор застосовує «підхід, заснований на ризиках», тобто перевіряє елементи контролю або пункти, де може бути певний ризик, або де зміни в бізнесі означають, що ці елементи контролю або пункти потребують особливого перегляду).
Основний порядок денний для наглядового аудиту буде таким (і кожен із цих розділів може спонукати аудитора переглянути інші аспекти вашої СУІБ, які можуть бути порушені під час розмови):
· Зміни у вашому бізнесі з моменту попереднього аудиту (наприклад, кількість персоналу, місцезнаходження, обсяг, види діяльності/процеси)
· Перевірка невідповідностей, виявлених під час вашого останнього аудиту (це очевидний момент для підготовки перед наглядовим аудитом!).
· Використання сертифікаційних знаків (огляд того, як ви використовуєте сертифікаційні знаки на своєму веб-сайті та/або інших матеріалах)
· Огляд внутрішніх аудитів та наради з огляду керівництва
· Скарги / Відгуки зацікавлених сторін
· Огляд змін у системі управління
· Хід запланованих заходів, спрямованих на постійне вдосконалення
· Ефективність системи управління щодо досягнення цілей компанії та очікуваних результатів відповідної системи управління
· Перегляд вашої Заяви про застосовність та Оцінка ризиків інформаційної безпеки
Три результати наглядового аудиту ISO 27001 подібні до результатів другого етапу сертифікаційного аудиту, але цього разу це буде стосуватися «продовження реєстрації» вашого сертифіката.
Процес усунення будь-яких виявлених невідповідностей є таким самим, як і на аудиті 2-го етапу. (Див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001» нижче для отримання додаткової інформації про це). Однак, якщо виявлено лише незначні невідповідності, АВС збереже сертифікацію та перегляне план коригувальних дій під час наступної оцінки, щоб переконатися, що незначні невідповідності були вирішені. Якщо виявлено суттєві невідповідності, їх буде усунуто після процесу розробки плану коригувальних дій. У цьому випадку АВС також проведе перевірку суттєвої(их) невідповідності(й), щоб визначити, чи потрібно призупинити дію вашого сертифіката до затвердження плану коригувальних дій, але навіть якщо це станеться, після їх усунення ваш сертифікат буде відновлено.
15. Що відбувається під час ресертифікаційного аудиту ISO 27001?
Ресертифікаційний аудит проводиться на 3-му році вашого сертифікаційного циклу з метою надання доказів відповідності кожному пункту та застосовному контролю стандарту, щоб ми могли видати вам новий 3-річний сертифікат. Зазвичай він становить 2/3 тривалості сертифікаційного аудиту та вдвічі довший за контрольний аудит (хоча зверніть увагу, що якщо ваша компанія тим часом виросла, тривалість аудиту може відповідно збільшитися, виходячи з вимог щодо тривалості аудиту ISO 27006).
Ресертифікаційний аудит дуже схожий на сертифікаційний аудит другого етапу в тому сенсі, що це повносистемний аудит, тому ми розглянемо кожен пункт стандарту та кожен застосовний контроль. Хоча до моменту проведення ресертифікаційного аудиту ви вже маєте бути знайомі з процесом аудиту, тож, сподіваємося, він буде для вас менш складним!
Знову ж таки, немає сенсу надавати вам тут список того, що потрібно зробити перед ресертифікаційним аудитом, оскільки реально стандарт ISO 27001 робить це за вас. Ваша мета — забезпечити відповідність кожному пункту та контролю.
Три результати аудиту такі ж, як і на другому етапі сертифікаційного аудиту – цього разу стосуються рішення про видачу нового сертифіката на наступні 3 роки. Див. розділ 13 «Що відбувається на другому етапі (сертифікаційного) аудиту », щоб отримати додаткову інформацію про ці 3 варіанти.
Процес усунення будь-яких виявлених невідповідностей є таким самим, як і під час аудиту 2-го етапу. Аудитор прагнутиме поділитися з вами цими невідповідностями якомога швидше після аудиту (сподіваємося, що це буде на заключній зустрічі, але якщо аудитору потрібно більше часу, щоб зібратися з думками, то принаймні протягом одного-двох днів після завершення аудиту). Після цього ви можете розпочати роботу над їх усуненням (див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001» нижче для отримання додаткової інформації про це). Після того, як вони будуть усунені, а звіт буде завершено та технічно перевірено, ми зможемо видати вам поновлений сертифікат на наступні 3 роки.
16. Як мені дізнатися, чи я склав іспит та отримав сертифікат ISO 27001?
Після сертифікаційного або ресертифікаційного аудиту ви отримаєте свій сертифікат, щойно АВС збере докази відповідності кожному пункту та контролю.
Перш за все, під час аудиту аудитор інформуватиме вас про хід виконання (з точки зору кількості виявлених невідповідностей). Потім, на заключній нараді після завершення аудиту, аудитор надасть рекомендацію.
Фактично, для цієї рекомендації є 3 варіанти:
- Якщо немає невідповідностей, чудова робота, і аудитор рекомендуватиме сертифікувати
- Якщо виявлено незначні невідповідності (але не суттєві), аудитор надасть рекомендацію щодо сертифікації за умови створення прийнятного плану для усунення цих незначних невідповідностей (див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001 »).
- Якщо є суттєві невідповідності, рекомендацію можна надати лише після їх прийнятного усунення (див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001»).
Однак важливо зазначити , що рекомендація не є остаточним рішенням, оскільки це просто знімок ситуації наприкінці аудиту, який аудитор повинен зробити. Навіть якщо рекомендація аудитора після аудиту полягає в тому, щоб не сертифікувати, вам просто потрібно усунути виявлені невідповідності, дотримуючись процедури, описаної нижче, і АВС зможе перейти до видачі сертифіката.
Отже, відповідь на це питання така: щойно ми отримаємо докази того, що вся ваша Система управління відповідає кожному пункту та засобу контролю, ми перейдемо до сертифікації. З огляду на це, не зациклюйтеся на результаті та зосередьтеся на швидкому виконанні Плану коригувальних дій!
Щоб дізнатися більше про терміни отримання сертифіката, див. розділ 19 «Коли ми отримаємо наш сертифікат ISO 27001».
17. Невідповідності були виявлені під час нашого аудиту ISO 27001. Чи є це проблемою?
Майже кожен сертифікаційний аудит призводить до виявлення принаймні кількох суттєвих або незначних невідповідностей, тому не хвилюйтеся, якщо у вас є такі (можливо, навіть понад 10). Це не велика проблема, і найважливіше, щоб ви зосередилися на тому, щоб навчитися на них та швидко їх виправити.
Аудитор повідомить вас, коли це станеться, і ви зможете вирішити їх після аудиту у вашому Плані коригувальних дій, щоб АВС могла продовжити видачу вам сертифіката. Див. розділ 18 «Усунення невідповідностей, виявлених під час аудиту ISO 27001» нижче для отримання додаткової інформації про цей процес.
18. Усунення невідповідностей, виявлених під час аудиту ISO 27001
Якщо у вас виникнуть будь-які невідповідності, АВС надасть вам План коригувальних дій (у форматі Excel, який ми зазвичай використовуємо).
Ми закликаємо наших аудиторів поділитися цим з вами якомога швидше після аудиту (бажано того ж дня), щоб ви могли працювати над цим разом із АВС, яка завершує ваш звіт.
Ми надамо інструкції щодо виконання плану коригувальних дій, але фактично для кожної невідповідності вам потрібно буде надати наступні 3 речі:
Аналіз першопричин: Тут ви досліджуєте, що спричинило невідповідність, щоб переконатися, що основна причина проблеми усунена, а не просто лікується симптом. Тут ви розглядаєте ширші процеси СУІБ, які могли сприяти невідповідності. Наприклад, відсутність контролю може свідчити про прогалини в оцінці ризиків, навчанні або нагляді керівництва, тому ви маєте підсумувати причини тут.
Виправлення: Виправлення – це негайне виправлення невідповідності, яке по суті вирішує проблему. Наприклад, якщо інцидент безпеки спричинений неправильним контролем доступу, виправлення полягатиме в обмеженні або оновленні дозволів користувача.
Коригувальні дії: Коригувальні дії – це довгострокове рішення, спрямоване на усунення першопричини невідповідності, гарантуючи, що вона не повториться. Вони включають визначення основних причин невідповідності, внесення системних змін та, можливо, оновлення процесів або політик. Наприклад, у випадку неналежного контролю доступу, коригувальні дії можуть включати перегляд політики контролю доступу та навчання співробітників новим процедурам.
Для незначних невідповідностей вам просто потрібно скласти план, надавши 3 пункти вище, і вам не потрібно виконувати заплановані дії до того, як аудитор їх завершить (вам просто потрібно розробити план). Потім АВС перегляне їх та перевірить, чи ви виконали план під час наступного аудиту.
Однак, для суттєвих невідповідностей вам потрібно усунути невідповідність, перш ніж ми зможемо видавати сертифікат, тому в цьому випадку АВС/наш аудитор повинен буде побачити докази (знімки екрана, PDF-файли, документи тощо), щоб довести, що суттєва невідповідність прийнятно усунена.
19. Коли ми отримаємо сертифікат ISO 27001?
Якщо все пройде гладко, ви можете очікувати свій сертифікат протягом 2 тижнів після завершення аудиту 2-го етапу.
Однак, АВС може видати ваш сертифікат лише після того, як відбудуться всі ці умови:
1. (Якщо є невідповідності) ви завершили розробку Плану коригувальних дій для усунення цих невідповідностей.
2. Ваш аудитор схвалив ваш План коригувальних дій (якщо в аудитора є коментарі/запитання щодо вашого Плану коригувальних дій, він надішле їх вам, тому вам потрібно буде відповісти на них, перш ніж ми зможемо їх усунути).
3. Аудитор завершив роботу над вашим звітом (зазвичай протягом 1 тижня після аудиту).
4. АВС завершив технічний огляд звіту (зазвичай протягом кількох днів після подання звіту аудитором).
Найбільшою потенційною затримкою у вищезазначеному сценарії є те, що план коригувальних дій буде узгоджено з вами самостійно, тому, якщо ви поспішаєте отримати свій сертифікат, будь ласка, переконайтеся, що ви швидко його виконали!
А якщо вам терміново потрібен сертифікат, обов’язково повідомте про це АВС. Ми завжди докладемо всіх зусиль, щоб пришвидшити обробку ваших запитів, хоча зазначаємо, що нам завжди потрібно дотримуватися вищезазначених кроків.
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков,
Мій номер телефону: +380 50 384-21-76, stas@abcgroup.com.ua