BusinessKey Consult logo
BusinessKey Consult
ISO/IEC 27001
ENЗапитване
Услуги / ISO 27001 вътрешен одит

ISO/IEC 27001 вътрешен одит

Независима оценка на ISMS и ефективността на контролите, с ясни доказателства и практичен план за подобрение.

Evidence-led находкиRisk-based samplingПроследими доказателстваCAPA + follow-up
Запитване за офертаВиж методологията

Какво включва

Планиране по риск

Определяне на обхват, критерии, ключови процеси и контроли за тест.

Sampling и тестове

Извадки и тестови процедури спрямо риска и критичността на контролните точки.

Нахoдки и класификация

Несъответствия и възможности за подобрение с ясна логика и доказателства.

Доклад и CAPA насоки

Препоръки, приоритизация и план за коригиращи действия + follow-up проверка.

Какво е полезно да подготвиш (inputs)

За да направим одита бърз и точен, обичайно събираме следните входни материали:

  • ISMS обхват: граници, локации, процеси, ключови системи
  • Risk assessment / risk treatment (актуални версии)
  • Statement of Applicability (SoA) + статус на контролите
  • Списък ключови доставчици и критични зависимости
  • Вътрешни политики/процедури и примерни записи (evidence samples)
Примерен таймлайн

Срокът зависи от обхвата и броя локации/процеси. Ето типичен цикъл:

  1. 01
    Kick-off (0.5–1ч)
    Цели, обхват, критерии, график, точки за контакт.
  2. 02
    Планиране и sampling (1–2 дни)
    Избор на тестове и извадки спрямо риск/критичност.
  3. 03
    Fieldwork (2–5 дни)
    Интервюта, преглед на записи, тест на контроли, проследимост.
  4. 04
    Доклад (1–2 дни)
    Находки, доказателства, класификация, препоръки и next steps.
  5. 05
    Follow-up (по план)
    CAPA насоки и проверка на корекциите (при договорка).
Класификация на находки (примерна схема)
Major nonconformity

Съществен пропуск/липса на ефективен контрол или системен проблем, който може да застраши постигането на целите на ISMS.

Minor nonconformity

Ограничен пропуск или единично отклонение, което не изглежда системно, но изисква коригиращо действие.

OFI (Opportunity for improvement)

Няма формално несъответствие, но има възможност за подобрение (ясно обоснована).

Deliverables
  • Одитна програма/план + checklist според обхвата
  • Audit trail (проследимост на доказателствата)
  • Доклад: находки, класификация, доказателства и препоръки
  • CAPA насоки + подход за follow-up/затваряне
Често задавани въпроси
Може ли одитът да е remote?

Да — в повечето случаи fieldwork може да е дистанционно, ако имаме достъп до записи/системи и хора за интервюта.

Колко време ангажира екипа ни?

Обичайно 2–6 интервюта по 30–60 мин + предоставяне на примерни записи. При по-голям обхват — повече точки по процеси.

Покривате ли Annex A контроли?

Да — комбинираме клаузи (система) и тестове на ключови Annex A контроли според риска.

Какво получаваме накрая?

Доклад с класификация, доказателства, препоръки и CAPA насоки (и follow-up при нужда).

Искаш ли да започнем с обхват и план?

Изпрати ISMS обхват, локации/процеси и цел (сертификация или годишна програма).

Свържи се с нас