Практически ресурси за ISO стандарти, вътрешни одити и GAP анализи

Вътрешният одит е независима и обективна оценка, извършвана с цел да се установи дали ISMS:

• съответства на изискванията на ISO/IEC 27001:2022
• е ефективно внедрена и поддържана
• се прилага последователно в рамките на обхвата

Вътрешният одит се извършва:

• преди сертификационен одит
• периодично (обикновено поне веднъж годишно)
• при значителни промени в организацията, процесите или риска
• Той е задължително изискване на ISO/IEC 27001.

1. Ясно дефиниран обхват

Уверете се, че обхватът на ISMS е: документиран, разбран от ключовите роли и съобразен с реалната дейност на организацията. Неясният или твърде широк обхват е честа причина за констатации.

2. Актуална оценка на риска

Проверете дали: оценката на риска е актуална, методологията е документирана и рисковете са третирани с подходящи мерки. Одиторите често откриват несъответствия именно в управлението на риска.

3. Политики и процедури – не само „на хартия“

Наличието на документи не е достатъчно. Важно е да може да се покаже, че: политиките са комуникирани, процедурите се прилагат на практика и служителите познават своите отговорности.

4. Приложимост на Annex A

Annex A съдържа контролни мерки, които трябва да бъдат: оценени спрямо риска, ясно обосновани в Statement of Applicability (SoA) и реално приложени или аргументирано изключени.

5. Вътрешни записи и доказателства

Подгответе доказателства като: записи от обучения, логове и отчети, протоколи от прегледи и срещи, записи от предишни одити и коригиращи действия.

Най-често срещаните проблеми при вътрешни одити са:

• формално внедрена ISMS без реално прилагане
• липса на проследимост между риск и контрол
• остарели политики и процедури
• липса на последващи действия след одит

Един качествен вътрешен одит:

• открива реални слабости
• подпомага управлението при вземане на решения
• подготвя организацията за сертификационен одит
• подобрява цялостното ниво на информационна сигурност

Climate Change Amendment изисква организацията да разгледа климатичните промени като потенциален външен фактор, който може да повлияе върху системата за управление.

Изменението е приложимо към:

• клауза 4.1 – Контекст на организацията
• клауза 4.2 – Заинтересовани страни

Прилага се към всички ISO стандарти за системи за управление, включително, но не само:

• ISO/IEC 27001:2022
• ISO 9001:2015

Организацията трябва да:

• определи дали климатичните промени са релевантен външен фактор
• документира това разглеждане в рамките на анализа на контекста
• при необходимост да отчете въздействието върху рисковете, ресурсите и заинтересованите страни

Важно е да се подчертае, че допълнението:

• не въвежда нови контролни мерки
• не изисква екологична или ESG стратегия
• не изисква ISO 14001 сертификация
• не изисква количествени климатични показатели

В практиката прилагането на Climate Change Amendment обикновено включва: добавяне на климатичните промени като точка в анализа на външните фактори, документирано заключение дали факторът е релевантен или не, и при релевантност – отразяване в управлението на риска.

В много организации е напълно допустимо заключението, че климатичните промени не оказват пряко влияние върху системата за управление, при условие че това е аргументирано.

При одит се проверява дали:

• климатичните промени са разгледани като външен фактор
• има ясно документирано решение
• има логическа връзка между анализа на контекста и управлението на риска

Най-често срещаните констатации, свързани с Climate Change Amendment, са:

• липса на каквото и да е разглеждане на климатичните промени
• формално добавен текст без реална оценка
• липса на документирано решение
• объркване между изискванията на ISO 14001 и ISO 27001 / ISO 9001