Jak zostać audytorem wewnętrznym ISO 27001?

Liczba czytelników - 1 086

Norma ISO 27001, wyznaczająca najważniejsze standardy i wymagania dotyczące systemów zarządzania bezpieczeństwem informacji w firmie stała się w ostatnich latach jedną z najczęściej wybieranych certyfikacji międzynarodowych.

Potwierdzenie zgodności własnych działań i systemu zarządzania z wytycznymi uznanymi przez Międzynarodową Organizację Normalizującą za najlepsze praktyki biznesowe to doskonały sposób na podniesienie własnego statusu na tle konkurencji, ale też dobra droga do ustabilizowania i zrównoważenia rozwoju własnej firmy. Jednym z podstawowych elementów prowadzących do uzyskania certyfikacji ISO 27001 jest przeprowadzenie wstępnego audytu wewnętrznego, a w późniejszych etapach pracy nad jej zachowaniem, audytów wewnętrznych kontrolnych. Osobą odpowiedzialną za ich przeprowadzanie jest audytor wewnętrzny ISO 27001, będący najczęściej osobą zatrudnioną w firmie i znającą doskonale metody jej działania. Jak zostać audytorem wewnętrznym ISO 27001 i jakie kompetencje należy mieć, by sprawdzić się w tej roli?

Bezpieczeństwo informacji w firmie

Czym zajmuje się audytor wewnętrzny ISO 27001?

Pozycję audytora wewnętrznego w firmie, która posiada już certyfikat ISO 27001 lub dopiero chce go uzyskać obejmuje zwykle jeden z jej pracowników, który doskonale zna specyfikę i dynamikę działania firmy. Najczęściej audytorami zostają osoby, które są odpowiedzialne za planowanie strategii firmy, pełnią role managerskie lub po prostu orientują się w kwestiach norm, praw, przepisów i regulacji i to one pilnują ich przestrzegania.

Audytor wewnętrzny ISO 27001 ma za zadanie przede wszystkim sprawdzać i analizować wszelkie działania i procesy zachodzące w firmie pod kątem zgodności z normą ISO 27001, wyszukiwać luk i niedociągnięć i tworzyć raporty z przeprowadzonych audytów.

Z tego też powodu jego rola często kojarzona jest z przesadną kontrolą i wnikliwością, a czasem nawet próbą znalezienia na siłę jakiegokolwiek problemu. W rzeczywistości jednak audytor wewnętrzny ISO 27001 to przede wszystkim pomoc w ocenie i przygotowaniu systemu zarządzania pod kątem wdrożenia i utrzymania normy ISO 27001, doradztwo w sprawie planowanych udoskonaleń i usprawnień oraz pomoc w analizie i interpretacji wymogów normy w celu najlepszego podejścia do ich wdrażania.

Kompetencje audytora wewnętrznego ISO 27001

Audytorem wewnętrznym ISO 27001 zostają zwykle osoby, które z natury swojej pozycji w firmie zajmują się kwestiami audytów i kontroli działań w poszczególnych obszarach organizacji. W rzeczywistości jednak zadania tego może podjąć się każdy, kto wyraża zainteresowanie kwestiami systemów zarządzania, rozumie założenia poszczególnych norm ISO i chce wspomagać firmy w osiąganiu i utrzymywaniu certyfikacji.

Do roli audytora potrzeba jednak czegoś więcej, niż tylko znajomości normy ISO 27001. Osoby, które chcą podjąć się tej roli powinny być przede wszystkim osobami dobrze zorganizowanymi, sumiennymi, rzetelnym, elastycznymi, umiejącymi pracować w zespole ale i samodzielnie, zdyscyplinowanymi, zaufanymi i bezstronnymi.

Audytor wewnętrzny jest pracownikiem firmy, jednak podczas audytu musi zachować pełną wiarygodność swojej oceny i nie może celowo pomijać pewnych błędów i niedociągnięć. W rzeczywistości, im więcej błędów znajdzie i wyszczególni w swoim raporcie, tym lepiej dla firmy, gdyż analiza ta pozwoli na poprawę w określonych obszarach działania i zmniejszy szansę porażki podczas audytu zewnętrznego.

Szkolenie dla audytora wewnętrznego ISO 27001

Aby zostać pełnoprawnym audytorem wewnętrznym ISO 27001 należy ukończyć odpowiednie szkolenie, po którego zakończeniu można otrzymać certyfikat audytora wewnętrznego ISO 27001. Jaki program obejmuje takie szkolenie i dlaczego jest najlepszym sposobem przygotowania audytora do jego roli?

Pierwszym punktem skupienia podczas szkolenia jest oczywiście sama norma ISO 27001. Kandydaci na audytorów wewnętrznych muszą sprawnie poruszać się w wymogach i standardach określonych przez normę nie tylko na poziomie zrozumienia – do ich zadań będzie należało też często wytłumaczenie innym pracownikom i osobom zaangażowanym we wdrażanie systemu konkretnego wymogu i tego jak należy go zrealizować.

Szkolenia ISO 27001 skupiają się także na znajomości i zrozumieniu cyklu PDCA (Plan, Do, Check Act – planuj, wykonaj, sprawdź, działaj), będącego podstawą prowadzenia systemu zarządzania bezpieczeństwem informacji opartego o ISO 27001. Ponadto, szkolenie dla audytora wewnętrznego ISO 27001 musi skupiać się na kompetencjach i roli samego audytora, pokazując jak prowadzić analizę wyników oceny ryzyka, opracowywać raporty z audytu czy doradzać firmie na drodze do uzyskania certyfikacji.