ISO 27001 :: Σχεδιασμός εσωτερικής επιθεώρησης
Posted by Despina Kamilali on Friday, 9 July 2021
Μία από τις απαιτήσεις του ISO 27001 είναι η περιοδική εκτέλεση εσωτερικών επιθεωρήσεων. Αυτή η απαίτηση περιλαμβάνει και τη διατήρηση εγγράφων ως αποδεικτικά των αποτελεσμάτων αυτών των επιθεωρήσεων, με τη μορφή αναφορών.
Η εσωτερική επιθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ), έχει σαν σκοπό, να διερευνήσει εάν:
- Οι απαιτήσεις του ISO 27001 ικανοποιούνται.
- Οι απαιτήσεις του ίδιου του οργανισμού στην ασφάλεια των πληροφοριών του ικανοποιούνται.
- Ο σκοπός του ΣΔΑΠ επιτυγχάνεται.
- Οι πολιτικές, οι διαδικασίες και οι έλεγχοι είναι αποτελεσματικοί.
Σύμφωνα με την ενότητα 9.2 του ISO 27001, απαιτείται:
- Ο οργανισμός να σχεδιάζει, να καθορίζει και να τηρεί ένα πρόγραμμα εσωτερικών επιθεωρήσων, στο οποίο να περιλαμβάνετονται: η συχνότητα, η μεθοδολογία, οι υπεύθυνοι, τα απαιτούμενα του σχεδιασμού και η αναφορά. Θα πρέπει επίσης να λαμβάνονται υπόψη και οι προηγούμενες εσωτερικές επιθεωρήσεις.
- Να καθορίζει τα κριτήρια και τον σκοπό κάθε επιθεώρησης.
- Να επιλέγει αντικειμενικούς επιθεωρητές έτσι ώστε να εξασφαλίζει την αντικειμενικότητα της διαδικασίας της επιθεώρησης.
- Να φροντίζει ώστε τα αποτελέσματα της επιθεώρησης να κοινοποιούνται στους αρμόδιους διευθυντές.
- Να διατηρεί έγγραφα στα οποία θα αποδεικνύεται το πρόγραμμα και τα αποτελέσματα των επιθεωρήσεων.
Δραστηριότητες που περιλαμβάνονται σε μία εσωτερική επιθεώρηση ISO 27001
- Έλεγχος εγγράφων
- Αποδεικτική δειγματοληψία
- Συνεντεύξεις προσωπικού σε θέσεις κλειδιά για την ασφάλεια των πληροφοριών
- Συνεντεύξεις προσωπικού σε άλλες θέσεις ή εξωτερικούς συνεργάτες
- Αξιολόγηση των ευρυμάτων
- Σύνταξη της αναφοράς
Μοιραστείτε το!