Dejan Kosutic Već duže vrijeme provodite normu ISO 27001, uložili ste mnogo u obrazovanje, konzultantske usluge i implementaciju raznih mjera. Sada dolazi auditor certifikacijskog tijela – hoćete li dobiti certifikat?
Takav strah je normalan – nikada ne možete znati sadrži li vaš sustav upravljanja informacijskom sigurnošću (ISMS) sve što certifikacijsko tijelo traži. Ali što je to točno što će auditor pregledavati?
Auditor će prvo provesti audit prvog stupnja, tzv. “pregled dokumentacije” – u ovom dijelu audita auditor će provjeravati što je sve obuhvaćeno dokumentacijom, politiku i ciljeve ISMS-a, opis metodologije procjene rizika, Izvješće o procjeni rizika, Izvješće o primjenjivosti, Plan obrade rizika, procedure za upravljanje dokumentacijom, za popravne i preventivne mjere te procedure za interni audit. Također ćete morati dokumentirati neke mjere iz Aneksa A (samo ako ste ih naveli kao primjenjive u Izvješću o primjenjivosti) – popis resursa (A.7.1.1), prihvatljiva uporaba resursa (A.7.1.3), uloge i odgovornosti zaposlenika, dobavljača i trećih korisnika, (A.8.1.1), uvjeti zapošljavanja (A.8.1.3), procedure za rad informacijskih sustava (A.10.1.1), politika kontrole pristupa (A.11.1.1), te ustanovljavanje primjenjivih zakona i regulative (A.15.1.1). Također ćete morati imati zapise s barem jednog internog audita i pregleda od strane menadžmenta.
Ako samo jedan od ovih elemenata nedostaje, znači da niste spremni za audit drugog stupnja. Možete naravno imati još mnogo dokumenata ako to smatrate potrebnim – navedeno je samo popis minimalnih zahtjeva.
Audit drugog stupnja zove se i “Glavni audit” i obično se obavlja nekoliko tjedana nakon audita prvog stupnja. U ovom auditu naglasak nije na pregledu dokumentacije, već na tome provodi li vaša organizacija uistinu sadržaj dokumentacije i zahtjeve norme ISO 27001. Drugim riječima, auditor će provjeriti je li ISMS zaista zaživio u vašoj organizaciji ili je to samo mrtvo slovo na papiru. Auditor će provjeru vršiti promatranjem, razgovorom sa zaposlenicima, ali ponajprije provjerom zapisa. Obavezno moraju postojati zapisi o edukaciji, obučavanju, vještinama, iskustvu i kvalifikacijama (5.2.2), zapisi o internom auditu (6), pregledu od strane menadžmenta (7.1), popravnim (8.2) i preventivnim (8.3) mjerama; auditor će međutim očekivati i mnogo drugih zapisa koji su rezultat provođenja procedura.
Ovdje morate biti oprezni – svaki iskusni auditor odmah će primijetiti ako je bilo koji dio vašeg ISMS-a umjetan i sastavljen samo za potrebe audita.
U redu, sve ovo ste znali, ali se ipak dogodilo – auditor je našao veću nesukladnost i rekao vam da vam ne može izdati certifikat ISO 27001. Je li to kraj svijeta?
Naravno da nije. Postupak je sljedeći – auditor će utvrđenu situaciju zabilježiti u izvješću audita (uključujući i veću nesukladnost) i zadati vam rok u kojem nesukladnost morate otkloniti (obično 90 dana). Vaš je zadatak da poduzmete potrebne popravne mjere. No morate biti oprezni – mjera mora riješiti uzrok nesukladnosti, inače auditor možda neće prihvatiti ono što ste učinili. Kad ste sigurni da ste poduzeli prave mjere, morate obavijestiti auditora i poslati mu dokaz za ono što ste poduzeli. Ako ste posao obavili temeljito, auditor će u većini slučajeva prihvatiti vaše popravne mjere i pokrenuti postupak za izdavanje certifikata.
Eto – trebalo vam je nešto vremena, ali sada ste ponosni vlasnik certifikata ISO/IEC 27001. (Ipak budite oprezni – certifikat vrijedi samo tri godine i može u tom razdoblju biti suspendiran ako tijekom nadzornog posjeta certifikacijsko tijelo uoči neku drugu veću nesukladnost.)
Da biste bili sigurni da su riješene sve nesukladnosti i poduzete korektivne radnje, koristite Conformio softver za sukladnost.
