Certyfikacja ISO/IEC 27001 przebiega w dwóch etapach. Etap pierwszy to przegląd dokumentacji i gotowości. Etap drugi to audyt właściwy, na którym audytor szuka dowodów, że system naprawdę działa. Najczęstszy powód niepowodzeń nie leży w braku wiedzy, tylko w braku dowodów. Poniżej ścieżka, którą prowadzę klientów przed audytem.

Zrozum, co audytor będzie sprawdzał

Audytor nie ocenia tego, co potrafisz opowiedzieć. Ocenia trzy rzeczy: czy system jest opisany, czy jest wdrożony i czy jest utrzymywany. Każdą z nich trzeba umieć pokazać na przykładach.

  • Opisany: masz zakres, politykę, analizę ryzyka i wymagane procedury.
  • Wdrożony: zabezpieczenia faktycznie działają, a ludzie wiedzą, co robić.
  • Utrzymywany: są przeglądy, zapisy, korekty i uczenie się z incydentów.

Najczęstsze niezgodności, które widuję, nie dotyczą wielkich luk technicznych. Dotyczą braku zapisów. Coś się działo, ale nikt tego nie odnotował, więc dla audytora to się nie wydarzyło.

Ustal zakres i kontekst

Zacznij od jasnego określenia zakresu Systemu Zarządzania Bezpieczeństwem Informacji. Zakres wyznacza, które lokalizacje, procesy i systemy podlegają certyfikacji.

  • Opisz kontekst organizacji i strony zainteresowane.
  • Zdefiniuj granice zakresu i uzasadnij ewentualne wyłączenia.
  • Powiąż zakres z realnymi procesami biznesowymi, nie z życzeniami.

Zbyt szeroki zakres podnosi koszt i ryzyko niezgodności. Zbyt wąski budzi podejrzenia audytora. Chodzi o zakres uczciwy.

Przeprowadź analizę ryzyka i przygotuj Deklarację Stosowania

To serce ISO 27001. Analiza ryzyka pokazuje, dlaczego wybrałeś takie a nie inne zabezpieczenia z Załącznika A.

  1. Zinwentaryzuj aktywa i procesy.
  2. Zidentyfikuj zagrożenia i podatności.
  3. Oszacuj ryzyko według spójnej metody.
  4. Zaplanuj postępowanie z ryzykiem.
  5. Uzasadnij dobór lub wyłączenie zabezpieczeń w Deklaracji Stosowania.

Deklaracja Stosowania musi się zgadzać z analizą ryzyka i ze stanem faktycznym. Rozjazd między papierem a rzeczywistością to prosta droga do niezgodności.

Zbierz dowody, zanim przyjdzie audytor

To etap, który firmy najczęściej lekceważą. System może działać, ale bez zapisów nie da się tego udowodnić.

Przygotuj między innymi:

  • rejestr ryzyk i plan postępowania,
  • zapisy z nadawania i odbierania uprawnień,
  • logi z przeglądów kopii zapasowych i testów odtwarzania,
  • rejestr incydentów wraz z działaniami,
  • listy obecności ze szkoleń security awareness,
  • zapisy przeglądów u dostawców.

Uporządkuj dokumentację

Audytor musi szybko znaleźć aktualne wersje dokumentów. Zadbaj o nadzór nad dokumentacją: wersjonowanie, właścicieli i daty przeglądów. Chaos w wersjach potrafi zepsuć dobre wrażenie z dobrze działającego systemu.

Wykonaj audyt wewnętrzny i przegląd zarządzania

To wymagania obowiązkowe, a jednocześnie najlepsza próba generalna.

  • Audyt wewnętrzny przeprowadzony przez osobę niezależną od audytowanego obszaru wychwyci luki, zanim zrobi to audytor zewnętrzny.
  • Przegląd zarządzania angażuje kierownictwo i dokumentuje decyzje o celach, zasobach i doskonaleniu.

Z obu powstają zapisy, których audytor będzie wprost oczekiwał. Traktuj je poważnie, a nie jak formalność do odhaczenia.

Domknij niezgodności i przećwicz rozmowy

Na koniec zamień wykryte braki w działania korygujące z terminami i osobami odpowiedzialnymi. Następnie przygotuj zespół.

  • Uprzedź pracowników, że audytor może zadawać pytania.
  • Naucz ich prostej zasady: mów prawdę i pokazuj, jak robisz swoją pracę.
  • Nie ucz gotowych formułek. Audytor wyczuwa recytowanie na kilometr.

Podsumowanie

Dobrze przygotowany audyt ISO 27001 to nie stres, tylko potwierdzenie porządku, który i tak Ci się opłaca. Klucz to trzy elementy: uczciwa analiza ryzyka, zabezpieczenia dobrane do tego ryzyka i dowody, że wszystko naprawdę działa.

Jeśli chcesz przejść przez to z kimś, kto siedział po obu stronach stołu audytowego, sprawdź nasz audyt ISO 27001 oraz kompleksowe wdrożenie ISO 27001. Zaczynamy od próbnego audytu, żeby dzień certyfikacji był już tylko formalnością.