Norma pro bezpečnost informací
Přínosy a význam integrovaných auditů s ISO 27001
Témata, jako je ochrana důvěrnosti, integrity a dostupnosti informací, se stala nevyhnutelnými prioritami pro externí i interní audity.
V tomto textu se náš kolega z qualityaustria, DI Vincent Callède, MBA CISA, zaměřuje na přínosy interních auditů. Tento přístup však může být využit i pro audity externí.
Integrované audity - proč jsou vždy užitečné
Integrované audity slouží nejen k posouzení výkonnosti, ale umožňují také přezkoumání konkrétních témat.
Kromě požadavků na systém řízení vyžaduje ISO 27001 - mezinárodní norma pro bezpečnost informací - specifická opatření v oblasti bezpečnosti informací ve své normativní příloze A. Ta jsou rozčleněna do čtyř kategorií:
- Organizační opatření
- Personální opatření
- Fyzická opatření
- Technologická opatření
Cílem je v průběhu (interního) auditu tyto požadavky na ochranu důvěrnosti, dostupnosti a integrity posoudit uceleným způsobem.
Několik konkrétních návrhů integrovaných auditů v souvislosti s hlavními normami ISO (např. ISO 9001, ISO 14001, ISO 45001) najdete v níže uvedených příkladech: Na obecné úrovni normy ISO vyžadují "zdokumentované informace". Jak zajistíte přístup k nejnovějším, dostupným a z hlediska integrity nenarušeným informacím? Přesně tyto požadavky jsou uvedeny v opatřeních pro zabezpečení informací podle normy ISO 27001.
- Během interního auditu založeného na ISO 9001 se podrobněji kontrolují zdroje potřebné pro základní procesy. Jak lze zaručit důvěrnost, integritu a dostupnost informací (např. znalostí organizace) u zdrojů?
- Při interním auditu podle normy ISO 14001 (environmentální management) se mimo jiné přezkoumávají požadavky z kapitoly "Připravenost na mimořádné události a prevence rizik". Jaká opatření zajišťují, že nebezpečí mohou být odvrácena "plánováním opatření k prevenci nebo minimalizaci nepříznivých dopadů na životní prostředí v důsledku havarijních situací"? Klíčovou roli zde hrají informační a komunikační technologie (ICT). Tento požadavek se odráží právě v opatřeních týkajících se bezpečnosti informací "Bezpečnost informací v případě narušení" a "Připravenost ICT pro zajištění kontinuity provozu".
- Cílem interního auditu založeného na normě ISO 37301 (řízení shody) je mimo jiné zkontrolovat, jak jsou zavedeny postupy prošetřování za účelem "posouzení, vyhodnocení, prověření a uzavření hlášení o podezření na neshodu nebo o skutečných případech neshody". Co by to bylo za procesy bez zabezpečení informací? Důvěrnost, dostupnost a integrita předávaných informací jsou klíčovými faktory pro zajištění řádného provádění těchto vyšetřovacích procesů.
Při interních auditech a ve všech procesech a postupech proto myslete komplexně a zohledňujte i témata související s bezpečností informací! Bezpečnost informací zajišťuje jejich důvěrnost, dostupnost a integritu!
Další nápady pro integraci bezpečnosti informací do vašeho systému řízení najdete v našem nedávno publikovaném článku "ISO 27001 jako součást rodiny IMS". Pokud máte nějaké další konkrétní dotazy, kontaktujte nás prosím - naši odborníci vám kdykoli rádi poskytnou podporu! qualityaustria = Spolehlivost a důvěra
Související informace: