التدقيق الداخلي ضمن معايير ISO 27001
إذا كنت تخطط لتطبيق ISO 27001 لأول مرة ، فربما تشعر بالحيرة من تعقيد المعيار وما يجب عليك التحقق منه أثناء المراجعة. لذلك ، ربما تبحث عن نوع من قائمة التحقق لمساعدتك في هذه المهمة. تشرح هذه المقالة جميع الخطو...
إذا كنت تخطط لتطبيق ISO 27001 لأول مرة ، فربما تشعر بالحيرة من تعقيد المعيار وما يجب عليك التحقق منه أثناء المراجعة. لذلك ، ربما تبحث عن نوع من قائمة التحقق لمساعدتك في هذه المهمة. تشرح هذه المقالة جميع الخطوات التي تحتاج إلى اتخاذها أثناء التدقيق الداخلي ، والوثائق التي تحتاج إلى إعدادها.
خطوات التدقيق الداخلي ISO 27001:
مراجعة الوثائق
إنشاء قائمة التحقق
تخطيط التدقيق الرئيسي
إجراء التدقيق الرئيسي
التقرير و الإبلاغ
المتابعة
الأساسيات
ما هو التدقيق الداخلي ISO 27001؟
يعد التدقيق الداخلي ISO 27001 نشاطًا لتحسين طريقة إدارة نظام إدارة أمن المعلومات (ISMS) في شركتك. يمكن أن يمكّنك من اكتشاف المشكلات (على سبيل المثال ، عدم المطابقة ISO 27001) التي من شأنها أن تظل مخفية وبالتالي ستضر بعملك ، وهي المصدر الرئيسي للمعلومات لمراجعة الإدارة. من خلال التدقيق الداخلي ISO 27001 ، يتم زيادة وعي الموظفين فيما يتعلق بقضايا ISMS الخاصة بك ، بالإضافة إلى مشاركتهم في تحسين نظام الإدارة.
من يمكنه إجراء التدقيق الداخلي ISO 27001؟
هناك بعض الخيارات عند تحديد من سيقوم بإجراء التدقيق الداخلي:
تعيين مدقق داخلي بدوام كامل. هذا مناسب فقط للمنظمات الأكبر حجمًا التي سيكون لديها عمل كافٍ لمثل هذا الشخص (بعض أنواع المنظمات - على سبيل المثال ، البنوك - مطلوبة بموجب القانون للحصول على مثل هذه الوظائف).
توظيف مدققين داخليين بدوام جزئي. هذا هو الموقف الأكثر شيوعًا - تستخدم المنظمة موظفيها لإجراء عمليات تدقيق داخلية ، والذين يقومون بذلك عند الحاجة (على سبيل المثال ، بضع مرات في السنة) جنبًا إلى جنب مع عملهم المعتاد. أحد الأشياء المهمة التي يجب الانتباه إليها هو هذا: من أجل تجنب أي تضارب في المصالح (لا يستطيع المدققون تدقيق عملهم الخاص) ، يجب أن يكون هناك مدققان داخليان على الأقل حتى يتمكن كل منهما من تدقيق الوظيفة العادية للآخر. راجع أيضًا: مؤهلات المدقق الداخلي ISO 27001.
تعيين مدقق داخلي من خارج المنظمة. على الرغم من أن هذا ليس شخصًا يعمل في المؤسسة ، إلا أنه لا يزال يعتبر تدقيقًا داخليًا لأن التدقيق يتم من قبل المنظمة نفسها ، وفقًا لقواعدها الخاصة. عادة ، يتم ذلك من قبل شخص مطلع في هذا المجال (مستشار مستقل أو ما شابه).
كم مرة بالإمكان إجراء التدقيق الداخلي
لا يحدد معيار ISO 27001 عدد المرات التي تحتاج فيها شركتك إلى إجراء تدقيق داخلي ، ولكن يجب إجراؤه مرة واحدة على الأقل سنويًا.
كيف تستعد للتدقيق الداخلي ISO 27001
يسارع العديد من الأشخاص ببساطة لإعداد قائمة مرجعية وإجراء التدقيق الداخلي ISO 27001 ، معتقدين أنه كلما تم الانتهاء من هذه المهمة "غير الضرورية" ، كان ذلك أفضل. لكن مثل هذا الاندفاع لن يؤدي إلا إلى خلق مشاكل وجعل التدقيق الداخلي أطول من اللازم.
يجب عليك دراسة التشريع ، لأن بعض الصناعات (مثل التمويل) لديها قواعد خاصة فيما يتعلق بالتدقيق الداخلي. اعتمادًا على ما إذا كنت قد نفذت بالفعل ISO 9001 (أو بعض معايير إدارة ISO الأخرى) ، ونوع المدقق الداخلي لديك ، لديك بعض الخيارات:
قم بإجراء تدقيق واحد أو سلسلة من عمليات التدقيق على مدار العام. إذا كانت شركتك صغيرة ، فسيكون إجراء تدقيق واحد خلال فترة عام واحد كافياً ؛ ومع ذلك ، إذا كانت شركتك كبيرة ، فقد ترغب في التخطيط لإجراء تدقيق في قسم واحد في يناير ، أو في قسم آخر في فبراير ، وما إلى ذلك.
استخدم نفس القواعد ونفس المراجع للمعايير الأخرى أيضًا. إذا كنت قد نفذت بالفعل ISO 9001 ، فيمكنك بالفعل استخدام نفس إجراء التدقيق الداخلي - لست بحاجة إلى إنشاء مستند جديد فقط لـ ISO 27001. علاوة على ذلك ، يمكن لنفس المدقق إجراء عمليات تدقيق داخلية لجميع هذه الأنظمة في نفس الوقت - إذا كان هذا الشخص لديه معرفة بجميع هذه المعايير ، ولديه معرفة متوسطة بتكنولوجيا المعلومات ، فسيكون قادرًا تمامًا على القيام بما يسمى التدقيق الداخلي المتكامل ، وبالتالي توفير الوقت للجميع.
اكتب إجراء تدقيق داخلي وقائمة مراجعة أم لا. إجراء مكتوب يحدد كيفية إجراء التدقيق الداخلي ليس إلزاميًا ؛ ومع ذلك ، فمن المستحسن بالتأكيد. عادة ، لا يكون الموظفون على دراية كبيرة بالتدقيق الداخلي ، لذلك من الجيد أن يكون لديك بعض القواعد الأساسية مكتوبة - ما لم يكن التدقيق ، بالطبع ، شيئًا تفعله يوميًا. الأمر نفسه ينطبق على قائمة التدقيق الداخلي - فهي ليست إلزامية ولكنها مفيدة بالتأكيد للمبتدئين.
الوثائق
وثائق التدقيق الداخلي المطلوبة
يجب أن يكون لديك المستندات التالية للتدقيق الداخلي الخاص بك:
إجراء التدقيق الداخلي (غير إلزامي) - يحدد هذا الإجراء القواعد الأساسية لأداء التدقيق: كيفية اختيار المدققين ، وكيف يتم التخطيط لعمليات التدقيق ، وعناصر إجراء التدقيق ، وأنشطة المتابعة ، وكيفية الإبلاغ من التدقيق.
برنامج التدقيق الداخلي السنوي (إلزامي) - هذا هو المكان الذي يتم فيه التخطيط لعمليات التدقيق على المستوى السنوي ، بما في ذلك معاييرها ونطاقها.
قائمة مراجعة التدقيق الداخلي (ليست إلزامية) - هذه قائمة مرجعية تساعد على منع المدقق الداخلي من نسيان أي شيء أثناء التدقيق الداخلي.
تقرير التدقيق الداخلي (إلزامي) - هذا هو المكان الذي يقدم فيه المدقق الداخلي تقريرًا عن حالات عدم المطابقة والنتائج الأخرى.
جعل قائمة مراجعة تدقيق ISO 27001 قابلة للاستخدام للمبتدئين
سيعتمد تطوير قائمة المراجعة الخاصة بك بشكل أساسي على المتطلبات المحددة في سياساتك وإجراءاتك.
ولكن إذا كنت جديدًا في عالم ISO ، فيمكنك أيضًا أن تضيف إلى قائمة التحقق الخاصة بك بعض المتطلبات الأساسية لـ ISO 27001 حتى تشعر براحة أكبر عند بدء تدقيقك الأول:
أولاً ، عليك الحصول على المعيار نفسه.
بعد ذلك ، تكون التقنية بسيطة إلى حد ما - عليك قراءة الجملة القياسية بفقرة وكتابة الملاحظات في قائمة التحقق الخاصة بك حول ما تبحث عنه.
بالمناسبة ، من الصعب قراءة معايير ISO - لذلك ، سيكون من المفيد للغاية أن تحضر نوعًا من التدريب ، لأنك بهذه الطريقة ستتعرف على المعيار بأكثر الطرق فعالية.
ما يجب تضمينه في قائمة المراجعة الخاصة بك
عادةً ما تحتوي قائمة التدقيق الداخلي وفقًا لمعيار ISO 27001 على أربعة أعمدة:
المرجع - على سبيل المثال ، رقم البند في المعيار ، أو رقم قسم السياسة ، إلخ.
ما الذي تبحث عنه - هذا هو المكان الذي تكتب فيه ما تبحث عنه أثناء التدقيق الرئيسي - إلى من تتحدث ، وما هي الأسئلة التي يجب طرحها ، وما هي السجلات التي تبحث عنها ، والمرافق التي يجب زيارتها ، وما هي المعدات التي يجب فحصها ، إلخ. .
الامتثال - تقوم بملء هذا العمود أثناء التدقيق الرئيسي ، وهنا تستنتج ما إذا كانت الشركة قد امتثلت للمتطلبات أم لا. في معظم الحالات ، سيكون هذا نعم أو لا ، ولكن في بعض الأحيان قد لا يكون قابلاً للتطبيق.
النتائج - هذا هو العمود الذي تكتب فيه ما وجدته أثناء المراجعة الرئيسية - أسماء الأشخاص الذين تحدثت إليهم ، واقتباسات لما قالوه ، ومعرفات ومحتوى السجلات التي فحصتها ، ووصف المرافق التي قمت بزيارتها ، والملاحظات حول المعدات قمت بالتحقق ، إلخ.
إجراءات التدقيق الداخلي
خطوات تدقيق ISO 27001
دعنا نرى الخطوات التي يتعين عليك اتخاذها أثناء التدقيق الداخلي ISO 27001. بالمناسبة ، هذه الخطوات قابلة للتطبيق على التدقيق الداخلي لأي معيار إداري ، على سبيل المثال ISO 9001 ، ISO 14001 ، إلخ.
مراجعة ملف. في هذه الخطوة ، يجب عليك قراءة جميع الوثائق الموجودة في نظام إدارة أمن المعلومات أو نظام إدارة استمرارية الأعمال (أو جزء من ISMS / BCMS الذي أنت على وشك تدقيقه) من أجل: (أ) التعرف على العمليات في نظام الإدارة ، و (ب) لمعرفة ما إذا كانت هناك حالات عدم توافق في الوثائق فيما يتعلق بمعيار ISO 27001.
إنشاء قائمة التحقق. بشكل أساسي ، تقوم بعمل قائمة مراجعة بالتوازي مع مراجعة المستند - تقرأ عن المتطلبات المحددة المكتوبة في الوثائق (السياسات والإجراءات والخطط) ، وتدوينها حتى تتمكن من التحقق منها أثناء التدقيق الرئيسي. على سبيل المثال ، إذا كانت سياسة النسخ الاحتياطي تتطلب إجراء النسخ الاحتياطي كل ست ساعات ، فعليك تدوين ذلك في قائمة التحقق الخاصة بك حتى تتذكر لاحقًا للتحقق مما إذا كان هذا قد تم بالفعل.
تخطيط التدقيق الرئيسي. نظرًا لوجود العديد من الأشياء التي تحتاج إلى التحقق منها ، يجب عليك التخطيط للأقسام و / أو المواقع التي يجب زيارتها ، ومتى - وستعطيك قائمة التحقق الخاصة بك فكرة عن المكان الذي يجب التركيز فيه أكثر.
إجراء التدقيق الرئيسي. المراجعة الرئيسية ، على عكس مراجعة المستند ، عملية للغاية - عليك التجول في الشركة والتحدث إلى الموظفين ، والتحقق من أجهزة الكمبيوتر والمعدات الأخرى ، ومراقبة الأمن المادي ، وما إلى ذلك. تعد قائمة المراجعة أمرًا بالغ الأهمية في هذه العملية - إذا ليس لديك ما تعتمد عليه ، يمكنك التأكد من أنك ستنسى التحقق من العديد من الأشياء المهمة ؛ أيضًا ، تحتاج إلى تدوين ملاحظات مفصلة حول ما تجده.
الإبلاغ. بمجرد الانتهاء من تدقيقك الرئيسي ، يجب عليك تلخيص جميع حالات عدم المطابقة التي وجدتها وكتابة تقرير تدقيق داخلي - بالطبع ، بدون قائمة المراجعة والملاحظات التفصيلية ، لن تتمكن من كتابة تقرير دقيق. بناءً على هذا التقرير ، سيتعين عليك أنت أو أي شخص آخر فتح الإجراءات التصحيحية وفقًا لإجراءات الإجراءات التصحيحية.
متابعة. في معظم الحالات ، سيكون المدقق الداخلي هو الشخص الذي يتحقق مما إذا كانت جميع الإجراءات التصحيحية التي أثيرت أثناء التدقيق الداخلي مغلقة - مرة أخرى ، يمكن أن تكون قائمة المراجعة والملاحظات الخاصة بك مفيدة جدًا هنا لتذكيرك بالأسباب التي دفعتك إلى إبداء عدم المطابقة في المركز الأول. فقط بعد إغلاق حالات عدم المطابقة تنتهي مهمة المدقق الداخلي.
دور الإدارة العليا
يجب أن تشارك الإدارة العليا أيضًا في عمليات التدقيق الداخلي - من الموافقة على الإجراء وتعيين المدقق الداخلي ، إلى قبول برنامج التدقيق وقراءة تقرير التدقيق الداخلي. لا ينبغي تفويض هذه الأنشطة إلى المستويات الأدنى في التسلسل الهرمي ، لأن هذا قد يؤدي إلى تضارب مصالح المدقق الداخلي ، وإلى جانب ذلك ، قد لا تجد بعض المعلومات المهمة طريقها إلى القمة.
والأهم من ذلك كله ، يجب أن تتخذ الإدارة العليا قرارًا واعيًا بقبول ودعم التدقيق الداخلي كشيء مفيد للأعمال.
سبع طرق لتحسين عمليات التدقيق الداخلية لنظام ISO 27001 ISMS الخاص بك
فيما يلي سبع نصائح يمكنك تنفيذها لتدقيق نظام إدارة أمن المعلومات بشكل فعال:
1) إنه ماراثون وليس عدو سريع. هناك 93 عنصر تحكم في الملحق أ ، لذلك لا تتوقع إجراء تدقيق سريع إذا كنت تريد القيام بذلك بشكل صحيح. خصص وقتًا كافيًا لمراجعة النظام بالكامل. لا توجد قاعدة للوقت الذي تخصصه ، وهي تعتمد على عدة عوامل مختلفة بما في ذلك مدى نضج ISMS ، وحجم مؤسستك ، وعدد النتائج المحددة في التدقيق السابق.
2) تقاسم مسؤوليات التدقيق بين المراجعين. قد يكون من الفعال تقسيم الضوابط بين المراجعين ذوي المهارات المختلفة ونقاط القوة. على سبيل المثال ، قد يكون المدقق الأول مسؤولاً عن تدقيق العمليات الموجهة نحو تكنولوجيا المعلومات:
A.8.1 أجهزة نقطة نهاية المستخدم
أ / 8/2 حقوق الوصول ذات الامتياز
A.8.19 تركيب برمجيات على أنظمة التشغيل
A.8.20 أمن الشبكة
A.8.24 استخدام التشفير
أ / 8.25 دورة حياة التطوير الآمنة
وقد يكون المدقق الثاني مسؤولاً عن المزيد من المتطلبات العامة:
أ / / 5/1 سياسات أمن المعلومات
أ / 5/2 أدوار ومسؤوليات أمن المعلومات
A.5.4 مسؤوليات الإدارة
أ / 5/10 الاستخدام المقبول للمعلومات والأصول الأخرى المرتبطة بها
أ / 5/19 أمن المعلومات في العلاقات مع الموردين
A.5.24 تخطيط وإعداد إدارة حوادث أمن المعلومات
A.5.29 أمن المعلومات أثناء التعطيل
A.5.36 الامتثال للسياسات والقواعد والمعايير لأمن المعلومات
3) عدم الاستعداد هو الاستعداد للفشل. كما هو الحال مع جميع عمليات التدقيق ، فإن الإعداد هو المفتاح. قبل المراجعة ، يجب عليك:
تأكد من أن لديك حق الوصول إلى جميع المعلومات المطلوبة ، مثل نتائج التدقيق السابقة والإجراءات والسياسات. يعد بيان قابلية التطبيق (SOA) أمرًا حيويًا لهذا التدقيق المحدد.
قم بإعداد قائمة تدقيق. سيتم استخدام هذا لإجراء التدقيق وسيتم مواءمته مع الإجراءات والسياسات.
قم بإعداد خطة تدقيق. وسيشمل ذلك الأوقات والإدارات والمواقع ويجب توفيره للمدققين قبل المراجعة).
حدد وقتًا مع المدققين ، ووقتًا لتجميع تقريرك ، واجتماع متابعة مع ممثلي القسم.
الأهم من ذلك ، أن يكون لديك فهم متعمق لما هو مطلوب من قبل المعيار والمنظمة.
من الأهمية بمكان أن تقوم بالإبلاغ عن خطة التدقيق وأهداف الجلسة مسبقًا. لا أحد يحب المفاجأة ، وهي ليست طريقة جيدة لبدء التدقيق.
4) إشراك جميع الإدارات. يتحمل جميع أعضاء مؤسستك مسؤولية الحفاظ على أمن المعلومات ، لذا قم بتغطية أكبر عدد ممكن من الإدارات في نطاقك. يجب أن يتبع جميع الموظفين بعض متطلبات الأمان (على سبيل المثال ، العمل عن بعد ، والسرية ، والمكتب الواضح وسياسة الشاشة الواضحة) ، في حين أن الأقسام الأخرى لها أدوار محددة داخل نظام إدارة أمن المعلومات. على سبيل المثال:
الموارد البشرية - للموارد البشرية مسؤولية محددة في ضمان الحفاظ على سرية الموظف. (هل قاموا بدمج نصيحة مدير أمن المعلومات في عقود الموظفين؟) وهذا ينطبق أيضًا على العملية التأديبية. قد يكون فريق أمن المعلومات مسؤولاً عن تحديد المبادئ التوجيهية ، ولكن من مسؤولية الموارد البشرية إنفاذها.
الفرق الفنية / فرق تقنية المعلومات - تمتلك الفرق الفنية وفرق تقنية المعلومات أكبر مساهمة في نظام أمن المعلومات. تأكد من قيامهم بأنشطة مثل أداء واختبار النسخ الاحتياطية للبيانات ، وتنفيذ تدابير أمان الشبكة ، وتنفيذ تصحيح النظام.
الفريق الذي يواجه العملاء - يحتاج الموظفون الذين يواجهون العملاء إلى الحفاظ على سرية العميل في جميع الأوقات.
5) فهم مدققي التدقيق للغرض من ISMS ، وكذلك الامتثال. إذا لم يتم القيام بشيء ما ، فهل يرجع ذلك إلى تفويض المهام غير الواضح ، أو عدم فهم العمليات والسياسات؟ يجب أن يكون التحقق من فهم المدققين لأهمية أمن المعلومات جزءًا أساسيًا من تدقيقك. غالبًا ما تقدم عمليات التدقيق فرصًا للتدريب والتوعية.
6) تقديم ملاحظات بناءة. المراجعة ليست مطاردة الساحرات. لذلك ، من المهم أن تكون جميع النتائج بناءة في تحسين نظام إدارة أمن المعلومات و يمكن تقديم الملاحظات في نقاط مختلفة خلال عملية التدقيق ، مثل مباشرة إلى الجهة الخاضعة للتدقيق أثناء التدقيق ، وفي الاجتماع الختامي. من الطرق الحاسمة لتقديم التغذية الراجعة بعد الانتهاء من تدقيقك إعداد التقرير. بمجرد إعداد تقريرك ، من الضروري مشاركة النتائج مع ممثلي القسم والإجابة على أي استفسارات قد تكون لديهم.
7) التصرف بناءً على نتائجك. أخيرًا ، لن يكون التدقيق فعالاً دون التصرف بناءً على النتائج التي توصلت إليها. بمجرد الاتفاق على النتائج مع ممثلي القسم ، تأكد من تسجيلهم لاتخاذ إجراء تصحيحي ، ومن جدولة متابعة فعالية الإجراء المنجز.
الفرق بين التدقيق الداخلي والخارجي
ISO 19011 هو معيار يصف كيفية إجراء عمليات التدقيق - يعرّف هذا المعيار التدقيق الداخلي بأنه "يتم إجراؤه بواسطة ، أو نيابة عن ، المؤسسة نفسها لمراجعة الإدارة والأغراض الداخلية الأخرى." هذا يعني بشكل أساسي أن التدقيق الداخلي يتم إجراؤه بواسطة موظفيك ، أو يمكنك تعيين شخص من خارج شركتك لإجراء التدقيق نيابة عن شركتك.
من ناحية أخرى ، يتم إجراء التدقيق الخارجي من قبل طرف ثالث نيابة عنهم - في عالم ISO ، يعد تدقيق الشهادات هو النوع الأكثر شيوعًا للتدقيق الخارجي الذي تقوم به هيئة إصدار الشهادات. يمكنك أيضًا فهم الفرق بين عمليات التدقيق الداخلي والخارجي بالطريقة التالية: سيتم استخدام نتائج التدقيق الداخلي داخليًا فقط في شركتك ، بينما سيتم استخدام نتائج التدقيق الخارجي خارجيًا أيضًا - على سبيل المثال ، إذا كنت اجتياز تدقيق الشهادة ، سوف تحصل على شهادة ، والتي سيتم استخدامها للجمهور.
لذا ، فإن إجراء التدقيق الداخلي وفقًا لمعيار ISO 27001 ليس بهذه الصعوبة - إنه بسيط نوعًا ما: تحتاج إلى اتباع ما هو مطلوب في المعيار وما هو مطلوب في وثائق ISMS / BCMS ، ومعرفة ما إذا كان الموظفون يلتزمون بها. تلك القواعد.
إذا كنت قد أعددت قائمة التدقيق الداخلي الخاصة بك بشكل صحيح ، فستكون مهمتك بالتأكيد أسهل كثيرًا.