Get 4 FREE months of Conformio to implement ISO 27001

Nedoumice oko internih auditora po normama ISO 27001 i BS 25999-2

Ako se po prvi put susrećete s pojmom internog auditora vjerojatno ste zbunjeni – Zašto mi je potrebna još jedna provjera? Tko će to platiti? Koga da angažiram da to napravi? To je toliki gubitak vremena …

Sve ipak ne mora biti tako loše – osim što ih propisuju norme ISO 27001 i BS 25999-2, interni auditi mogu biti korisni i za druge vidove poslovanja (bili oni povezani s informacijskom sigurnošću i kontinuitetom poslovanja ili ne).

Smisao internog audita otkrivanje je problema koji bi inače ostali skriveni i koji bi kao takvi mogli naštetiti poslovanju. Budimo realni – ljudski je griješiti, pa je samim time nemoguće uspostaviti sustav bez grešaka. Moguće je, međutim, imati sustav koji ima sposobnost usavršavanja i učenja iz vlastitih pogrešaka. Interni auditi presudan su dio takvog sustava.

Interni audit može se provoditi na nekoliko načina:

a) Angažiranjem internog auditora na puno radno vrijeme – to odgovara samo većim organizacijama koje imaju dovoljno posla za takvu osobu (neke vrste organizacija, npr. banke, imaju zakonsku obvezu zaposliti nekoga na toj funkciji)

b) Angažiranjem internog auditora na dio radnog vremena – to je najčešći oblik angažiranja auditora – organizacije koriste vlastite zaposlenike da uz svoje redovne zadatke obavljaju i interne audite. Valja pripaziti na sljedeće: kako bi se izbjegao sukob interesa (auditori ne mogu kontrolirati vlastiti rad), trebala bi postojati barem dva interna auditora kako bi jedan mogao provjeravati redovni posao drugoga.

c) Angažiranjem internih auditora izvan organizacije – iako ta osoba nije zaposlena u organizaciji, svejedno se to smatra internim auditom jer audit provodi sama organizacija, prema vlastitim pravilima. Audit obično provodi osoba koja je upućena u tu vrstu posla (neovisni konzultant i sl.)

Ipak, iz iskustva kao auditor znam da većina organizacija interne audite nažalost provodi samo kako bi zadovoljila certifikacijsko tijelo. Na takvim se auditima obično ustanovi nekoliko nesukladnosti, ali se ne zalazi duboko u stvarne nedostatke sustava upravljanja informacijskom sigurnošću (ISMS) ili sustava upravljanja kontinuitetom poslovanja (BCMS). To je gubitak vremena – kad je tvrtka već uložila vrijeme svojih internih auditora u obavljanje takvog posla, trebala bi od toga imati i koristi.

Kako onda pravilno pristupiti internom auditu – evo nekih razmišljanja:

  1. Menadžment bi interne audite trebao smatrati najboljim alatom za poboljšanje sustava, a ne samo sredstvom za dobivanje certifikata.
  2. Interni audit trebala bi provoditi kvalificirana osoba – to znači da mora imati iskustvo vezano za informacijsku sigurnost, informacijsku tehnologiju i tehnike auditiranja. To ne znači da auditor mora biti stručnjak za ta područja.
  3. Interni audit trebao bi se provoditi s pozitivnim predznakom – cilj bi trebao biti poboljšati vaš sustav, a ne predbacivati zaposlenicima njihove pogreške.

Dobro je ipak što sam kao certifikacijski auditor vidio i organizacije koje interni audit provode na pravilan način. Iako je zaposlenicima bilo pomalo nelagodno da netko provjerava njihove aktivnosti, vrlo su brzo uvidjeli korist takvog pristupa – problemi su jasno uočeni i ubrzo riješeni.

Saznajte kako provesti interni audit pomoću ovog besplatnog ISO 27001 Internal Auditor Online Course.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.