Недавно у нас прошел ежегодный надзорный аудит по ISO 27001, и в этой заметке я хочу зафиксировать важные наблюдения и рекомендации.
1. Надзорный аудит проходит ежегодно, т.е. за время действия сертификата (3 года) к вам приедут 2 раза.
2. Надзорный аудит проводится для проверки того, что процессы СУИБ работают, несоответствия устраняются и СУИБ непрерывно совершенствуется.
3. Область действия надзорного аудита совпадает с областью сертификационного аудита, но аудиторы закладывают чуть меньше часов на работу.
4. Обратите внимание, что область действия сертификата привязывается к адресу площадки, и если вы переезжаете, то об этом надо своевременно уведомить сертифицирующий орган. Аудиторы заложат дополнительные трудозатраты на аудит новой площадки и выпуск обновленного сертификата. Это, в свою очередь, выльется в дополнительное соглашение и дополнительные затраты... Будьте к этому готовы и/или проговорите и заложите в договор заранее.
5. Для аудируемой стороны (для нас) трудозатраты на подготовку и прохождение надзорного аудита сопоставимости с сертификационным аудитом, не сильно проще... Кстати, посмотрите и мою прошлую заметку " СУИБ: Рекомендации по подготовке и прохождению сертификационного аудита ".
6. До аудита нас попросили прислать аудиторам схему орг.структуры, отчеты по внутренним аудитам и отчеты для руководства (процесс management review), а также уточнили (перепроверили) адреса площадок, попавших в область действия.
7. Примерно за 3 месяца до аудита мы неспешно начали к нему готовиться: посмотрели замечания и комментарии аудиторов с прошлого аудита, обсудили наши слабые стороны и возможные несоответствия, распределили задачи. Стоит отметить, что СУИБ у нас функционирует нормально (цикл PDCA - 6 месяцев), записи о процессах обираются и хранятся.
8. Идеальный вариант - если приезжает тот же аудитор, что и в прошлый раз. Ему будет легче ориентироваться в процессах организации, а вы будете готовы к его любимым вопросам и фокусу внимания (это забавно, но для каждого аудитора он свой: кто-то старается закопаться в рисках, кто-то предпочитает ИТ-контроли, кто-то любит пообщаться с отделом персонала...).
9. Перед аудитом мы сделали большую вводную презентацию про наш СУИБ (процессы, документы, роли и все такое), отдельно отметив результаты прошедших за год аудитов и анализа со стороны руководства, изменение контекста и перечень нового в нашем СУИБ. Ее мы показывали в ходе аудита.
10. Для удобства аудитора мы подготовили список документов СУИБ с указанием даты принятия документа и актуальной версии. Пригодилось.
11. Перед аудитом мы, ожидаемо, пересмотрели наши реестр активов, реестр рисков, RTP и SoA.
12. До аудита и утром в день аудита на площадке я пользовался вот таким чек-листом, удобно! В pdf и doc его могут скачать подписчики моего Патреона - https://www.patreon.com/posts/isms-audit-short-31763395