ISO 27001 :: Σχεδιασμός εσωτερικής επιθεώρησης

Μία από τις απαιτήσεις του ISO 27001 είναι η περιοδική εκτέλεση εσωτερικών επιθεωρήσεων. Αυτή η απαίτηση περιλαμβάνει και τη διατήρηση εγγράφων ως αποδεικτικά των αποτελεσμάτων αυτών των επιθεωρήσεων, με τη μορφή αναφορών.

Η εσωτερική επιθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ), έχει σαν σκοπό, να διερευνήσει εάν:

  • Οι απαιτήσεις του ISO 27001 ικανοποιούνται.
  • Οι απαιτήσεις του ίδιου του οργανισμού στην ασφάλεια των πληροφοριών του ικανοποιούνται.
  • Ο σκοπός του ΣΔΑΠ επιτυγχάνεται.
  • Οι πολιτικές, οι διαδικασίες και οι έλεγχοι είναι αποτελεσματικοί.

Σύμφωνα με την ενότητα 9.2 του ISO 27001, απαιτείται:

  • Ο οργανισμός να σχεδιάζει, να καθορίζει και να τηρεί ένα πρόγραμμα εσωτερικών επιθεωρήσων, στο οποίο να περιλαμβάνετονται: η συχνότητα, η μεθοδολογία, οι υπεύθυνοι, τα απαιτούμενα του σχεδιασμού και η αναφορά. Θα πρέπει επίσης να λαμβάνονται υπόψη και οι προηγούμενες εσωτερικές επιθεωρήσεις.
  • Να καθορίζει τα κριτήρια και τον σκοπό κάθε επιθεώρησης.
  • Να επιλέγει αντικειμενικούς επιθεωρητές έτσι ώστε να εξασφαλίζει την αντικειμενικότητα της διαδικασίας της επιθεώρησης.
  • Να φροντίζει ώστε τα αποτελέσματα της επιθεώρησης να κοινοποιούνται στους αρμόδιους διευθυντές.
  • Να διατηρεί έγγραφα στα οποία θα αποδεικνύεται το πρόγραμμα και τα αποτελέσματα των επιθεωρήσεων.

Δραστηριότητες που περιλαμβάνονται σε μία εσωτερική επιθεώρηση ISO 27001

  • Έλεγχος εγγράφων
  • Αποδεικτική δειγματοληψία
  • Συνεντεύξεις προσωπικού σε θέσεις κλειδιά για την ασφάλεια των πληροφοριών
  • Συνεντεύξεις προσωπικού σε άλλες θέσεις ή εξωτερικούς συνεργάτες
  • Αξιολόγηση των ευρυμάτων
  • Σύνταξη της αναφοράς