Методология на вътрешния одит по ISO/IEC 27001
Риск-базиран и evidence-led подход: ясни критерии, проследими доказателства и изход, който може да се изпълни (не само да се архивира).
Принципи
Комбинираме системен одит по клаузи с проверка на ключови контроли по Annex A според риска.
Фокус върху критични процеси, активи и контролни точки, които влияят на риска.
Констатациите стъпват на проверими доказателства и ясни одитни критерии.
Даваме препоръки и CAPA насоки, които могат да бъдат изпълнени и проследени.
Процес
Стъпките по-долу покриват целия цикъл: от обхват и sampling до доклад и follow-up.
Цели, граници на ISMS, критерии и очакван изход.
Одитна програма, тестове и избор на извадки спрямо риска.
Интервюта, преглед на документи/записи и тест на контроли.
Класификация на несъответствия и възможности за подобрение.
Доклад, CAPA план и проверка на коригиращите действия.
- Одитна програма/план + checklist според обхвата
- Проследимост на доказателствата (audit trail)
- Доклад: находки, класификация, доказателства и препоръки
- CAPA насоки и follow-up подход за затваряне
Изпрати ISMS обхват, локации/процеси и цел (сертификация или годишна програма) и ще върнем план и оферта.