Uvod
Šta čini dobar interni audit ISO 27001 standarda? Nije dovoljno samo imati čeklistu po tačkama standarda ili savršeno napisanu dokumentaciju. Ključno je razmišljati kao istraživač, uočavati obrasce, postavljati prava pitanja i, iznad svega, povezati zahtjeve standarda sa stvarnim procesima u vlastitoj organizaciji.
Početkom ovog mjeseca, proveli smo dva puna radna dana sa timom kompanije ZIRA d.o.o., pomažući im da razviju upravo te vještine. Ne kroz suhoparnu teoriju, već kroz praktičan rad. Analizirali smo kako se zahtjevi ISO 27001 primjenjuju u njihovom konkretnom okruženju, izrađivali audit plan prilagođen njihovoj organizaciji, kreirali testne scenarije kroz timske vježbe, te kroz realne role-play situacije uvježbavali vođenje audit intervjua.
Međutim, ovaj blog nije o samoj obuci . Poenta je u lekcijama koje mogu biti korisne i drugim organizacijama.
Šta klauzule standarda zaista traže?
Zajedno smo prošli kroz sve klauzule standarda 27001 standard — ali ne da ih napamet naučimo. Umjesto toga, koristili smo kontekst ZIRA organizacije da analiziramo šta se zapravo traži u praksi.
Kada shvatite šta klauzula „želi“, a ne samo šta „kaže“, postavljate bolja pitanja, tražite pametnije dokaze i izbjegavate pogrešne zaključke.
Prvi dio obuke bio je fokusiran na razumijevanje principa informacione sigurnosti kroz prizmu ISO 27001. Učesnike smo ohrabrili da izađu iz okvira doslovnog teksta i fokusiraju se na namjeru i suštinu svakog zahtjeva.
Dobar audit počinje mnogo prije samog audita
Kada je tim stekao jasno razumijevanje logike standarda, prešli smo na praktičnu primjenu i razmatrali kako se to znanje koristi u pripremi audita. Jer evo činjenice: prije nego što kročite u bilo koji odjel ili postavite prvo pitanje, 80% posla je već treba biti urađeno kroz pripremu. Ali ta priprema nije samo skup dokumenata – radi se i o načinu razmišljanja.
Fokusirali smo se na to kako to znanje pretočiti u kvalitetnu pripremu: od planiranja audita zasnovanog na rizicima (tzv. "Risk based audit approach"), preko izrade ciljane čekliste i testnih scenarija. Cilj je bio pružiti timu alate koji im omogućavaju da prate rizike kroz različite odjele i identifikuju smislene dokaze – ne samo da popune obrasce.
Pravo planiranje
Jedna od najčešćih grešaka koju viđamo jeste da se audit plan tretira kao niz termina u kalendaru. Mi smo promijenili pristup.
Zajedno sa ZIRA timom, napravili smo audit plan oko tematskih oblasti: pristup podacima, upravljanje dobavljačima, odgovori na incidente. Zatim smo mapirali stvarne učesnike, adekvatna pitanja i moguće dokaze u okviru tih tema.
Audit plan ne bi trebao izgledati kao lista organizacijskih jedinica. Planirajte prema rizicima, a ne samo prema odjelima.
"Role-play": Gdje se stiču vještine
Lako je pričati o auditu. Mnogo je teže voditi intervju s kolegom i otkriti nešto što ni on sam nije bio svjestan da je problem.
Simulirali smo stvarne intervjue, podsticali naknadna pitanja, analizirali govor tijela, neodlučnost i nedosljednosti u odgovorima. Mnogi učesnici su upravo ovaj dio istakli kao najkorisniji dio obuke.
Intervjui otkrivaju jaz između dokumentacije i stvarnog stanja – ako naučite analitički slušati.
Od simulacije do stvarnosti
Za par sedmica se vraćamo u ZIRA-u, gdje će njihov tim sprovesti pravi dvodnevni interni audit u svojoj organizaciji. Oni će voditi proces. Naš zadatak biće da ih posmatramo, savjetujemo i usmjerimo kad "zapnu".
Tu obuka prelazi u transformaciju – jer tek kada se ove vještine primijene u stvarnom okruženju, auditori postaju pravi pokretači promjena.
Zaključak
Pravi cilj internog audita nije da se ispuna forma. Njegova svrha je da otkrije istine, izgradi povjerenje i omogući donošenje boljih odluka.
Bilo da ste tek na početku uvođenja ISO 27001 ili želite podići vještine vašeg audit tima na viši nivo – nadamo se da će Vam ovaj kratki članak donijeti nešto korisno - neki “aha” trenutak.
Želite istražiti mogućnost obuke za provedbu audita? Javite nam se.