Jak zostać audytorem ISO 27001?
Jednym z pierwszych kroków, aby zostać audytorem ISO 27001 jest szkolenie ISO 27001. Forma zatrudnienia audytora ma możliwe dwie ścieżki: jest to osoba na stałe pracująca w danej firmie lub osoba z zewnątrz, która pojawia się w niej każdorazowo w przypadku przeprowadzania przez nią audytów. Coraz większą popularnością cieszy się pierwsza opcja, jako że wiąże się ona z niższymi kosztami ponoszonymi przez przedsiębiorstwa.
Obowiązki audytora ISO 27001
Audytor ISO 27001 zajmuje się weryfikacją systemu ochrony danych poprzez procedury stosowane do manipulowania nimi, a także sprawdzaniem bezpieczeństwa systemów oprogramowania oraz samego sprzętu i wyposażenie, a nawet całego pomieszczenia. Cele w zakresie bezpieczeństwa są w każdej firmie takie same, jednak różnią się one w zależności od wielkości przedsiębiorstwa, liczby pracowników, itd.
Tym samym audytor bezpieczeństwa i ochrony danych osobowych:
1. Weryfikuje zgodność z przepisami obowiązującymi w dziedzinie IT, w zakresie ochrony danych osobowych, poczty elektronicznej, dostawców usług certyfikacyjnych itp.
2. Sprawdza, czy procedury wymagane przez system ochrony danych wymagany przez przepisy zostały przeprowadzone i są prawidłowo stosowane.
3. Sprawdza, czy posiadane akta zostały zgłoszone do Agencji Ochrony Danych Osobowych.
4. Weryfikuje przypisanie poziomu bezpieczeństwa systemu informatycznego w odniesieniu do przechowywanych w nim danych.
5. Sprawdza, czy dokument bezpieczeństwa został sporządzony i wdrożony. Przepisy stanowią, że w tym dokumencie powinny być zawarte zasady bezpieczeństwa takie jak np. wnioski o dostęp, sprostowanie lub usunięcie danych.
6. Sprawdza, czy uzyskano zgodę osoby, która przekazuje dane. Informować i prosić o zgodę osoby, które przekazują dane do firmy.
7. Sprawdza, czy dane nie są przekazywane osobom trzecim oraz w jaki sposób została opracowana strategia przekazywania danym osobom trzecim (fizycznym lub prawnym).
8. Weryfikuje, czy rejestr zdarzeń powstałych w systemie informatycznym firmy jest prowadzony. Na przykład kontroluje, czy dana osoba chce zostać usunięta z bazy danych, czy chce uzyskać wgląd w swoje dane lub czy chce je zmodyfikować.
9. Weryfikuje bezpieczeństwo danych. Audytor sprawdza, czy system informacyjny stworzony przez daną firmę gwarantuje bezpieczeństwo i integralność danych, a w szczególności sprawdza, czy dane nie mogą być zmieniane, tracone, przetwarzane lub udostępniane bez upoważnienia. W tym celu analizuje używany system (sieć, serwery, komputery osobiste, itp.), sprawdza bezpieczeństwo zdalnych połączeń do systemu. Jeżeli odbywa się to za pośrednictwem sieci komunikacyjnej, dostęp do danych musi gwarantować poziom równoważny dostępowi w trybie lokalnym.
10. Sprawdza, czy środki bezpieczeństwa związane z każdym poziomem bezpieczeństwa plików są odpowiednie i spełniają zamierzone funkcje, weryfikując m.in.:
- procedurę przydzielania haseł pracownikom upoważnionym do pracy z systemem.
- dostęp do danych osób w organizacji zgodnie z tym, co zostało zdefiniowane w dokumencie bezpieczeństwa.
- zarządzanie nośnikami komputerowymi, takimi jak dyski, CD, itp., na których informacje są przechowywane ręcznie.
- system tworzenia kopii zapasowych i odzyskiwania danych. Odzyskanie danych musi być zagwarantowane w przypadku jakiegokolwiek incydentu z systemem informatycznym.
Po dokonaniu audytu firma otrzymuje protokół, dzięki któremu może podjąć dalsze kroki mające służyć zapewnieniu bezpieczeństwa informacji w firmie.
Szkolenia ISO 27001
Aby zostać audytorem ISO 27001 konieczne jest zdobycie odpowiedniej wiedzy oraz kompetencji. W tym celu warto wziąć udział w kursach, mających za zadanie przeszkolenie uczestników w zakresie umiejętności niezbędnych do oceny i raportowania skutecznego wdrożenia systemu zarządzania bezpieczeństwem informacji oraz pisania raportów na ten temat w celu ochrony firmy przed zagrożeniami. Tego typu szkolenia ISO 27001 dedykowane są m.in. osobom, które chcą lub już pełnią rolę Inspektora Ochrony Danych, a także pełnomocników ds. SZBI.