DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Como se prepara para uma auditoria interna da ISO 27001

Advisera Dejan Kosutic Dejan Kosutic
julho 12, 2016

Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário.

Assim, vejamos o que você tem que preparar para tornar este trabalho mais eficiente. E, este trabalho é realmente uma perda de tempo?

Que tipo de auditor interno você deveria empregar?

Existem algumas formas de se realizar uma auditoria interna:

  1. Empregar um auditor interno de tempo integral. Isto é adequado apenas para organizações de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organização – ex.: bancos – são obrigados por lei a ter tais funções).
  2. Empregar auditores internos de tempo parcial. Esta é a situação mais comum – as organizações usam seus próprios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar atenção: de forma a se evitar qualquer conflito de interesses (auditores não podem auditor seu próprio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja também: Qualificações para um auditor interno da ISO 27001.
  3. Empregar um auditor interno de for a da organização. Embora esta não seja uma pessoa empregada da organização, ela ainda é considerada um auditor interno porque a auditoria é realizada pela própria organização, de acordo com suas próprias regras. Geralmente, isto é feito por uma pessoa que possui conhecimento nesta área (consultor independente ou similar). Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

Opções a considerar

Dependendo se você já implementou a ISO 9001 (ou alguma outra norma de gestão ISO), e de qual perfil de auditor interno você tem, você tem algumas opções listadas abaixo. Você deveria também estudar a legislação, porque alguns setores (ex.: financeiro) tem regras especiais com relação a auditorias internas .

  • Realizar uma auditoria ou uma série de auditorias durante o ano. Se você é uma organização de pequeno porte, uma única auditoria durante o período de um ano será o suficiente; contudo, se você é uma organização de grande porte, você pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.
  • Usar as mesmas regras e auditor para outras normas. Se você já implementou a ISO 9001, você pode de fato usar o mesmo procedimento de auditoria interna – você não precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo – se tal pessoa tem conhecimento de todas estas normas, e um conhecimento médio sobre TI, ele ou ela será perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.
  • Escrever um procedimento de auditoria interna e uma lista de verificação, ou não. Um procedimento escrito que definiria como a auditoria interna é realizada não é obrigatório; contudo, é certamente recomendado. Normalmente, os empregados não estão muito familiarizados com auditorias internas,assim é uma boa coisa ter algumas regras básicas por escrito – a menos, é claro, que auditoria seja uma coisa que você faça diariamente. É o mesmo com a lista de verificação de auditoria interna – não é obrigatório, mas é certamente útil para iniciantes. Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

Documentação requerida

Você deveria ter os seguintes documentos com relação a sua auditoria interna :

  • Procedimento de auditoria interna (não obrigatório) – este procedimento define as regras básicas para realizar a auditoria: como selecionar os auditores, como as auditorias são planejadas, os elementos da condução da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.
  • Programa de auditoria interna (obrigatório) – este é onde as auditorias são planejadas no nível anual, incluindo seus critérios e escopo.
  • Checklist de auditoria interna (não obrigatório) – esta é uma lista de verificação que ajuda o auditor interno a não esquecer algo durante a auditoria interna.
  • Relatório de auditoria interna (obrigatório) – este é onde o auditor interno reportará as não conformidades e outras descobertas.

O papel da alta administração

A alta administração também se envolve nas auditorias internas – desde a aprovação do procedimento e indicação do auditor interno, até a aceitação do programa de auditoria e leitura do relatório de auditoria interna. Estas atividades não deveriam ser delegadas para níveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a além disso, algumas informações importantes podem não encontrar seu caminho até a alta administração.

E, mais importante de tudo, a alta administração deveria tomar uma decisão consciente de que eles aceitarão e apoiarão a auditoria interna como algo que é útil para o negócio.

O propósito da auditoria interna

À primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a você descobrir problemas (i.e., não conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu negócio. Sejamos realistas – é da natureza humana cometer erros, assim é impossível ter um sistema sem erros; contudo, é possível ter um sistema que melhora a si mesmo e aprende com seus erros.

Auditorias internas são uma parte crucial de tal sistema – elas serão aquelas a dizer a você se o seu sistema realmente funciona ou não.

Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior Resolvendo preocupações de segurança em nuvem pela definição clara de responsabilidades de acordo com a ISO 27017
Próximo post Usando Sistemas de Detecção de Intrusão e Honeypots para atender controles de rede da cláusula A.13.1.1 da ISO 27001

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Qual é o custo da implementação da ISO 27001?
by Dejan Kosutic