W obecnej chwili coraz więcej firm jest zainteresowanych uzyskaniem certyfikatu na zgodność z określonymi normami. W świecie bezpieczeństwa informacji takim standardem jest norma ISO/IEC 27001. Jest to norma przeznaczona do certyfikacji systemów zarządzania bezpieczeństwem informacji i staje się ona ogólnoświatowym standardem, podobnie jak norma ISO 9001 dla zarządzania jakością.

Do prowadzenia audytów certyfikacyjnych, wydawania certyfikatów uprawnione są (akredytowane) organizacje – jednostki certyfikujące. Akredytację wydają odpowiednie organizacje rządowe. Wybór akredytowanej organizacji może mieć znaczenie. Nie da się ukryć, że mimo iż organizacje zajmujące się certyfikacją dążą do unifikacji i równości certyfikatów na całym świecie, akredytacja wpływa na „prestiż” certyfikatu. Część firm wybiera jednostkę certyfikującą ze względu na jej renomę, by na certyfikacie pojawiło się jego rozpoznawalne na całym świecie logo. Przykładem jest firma TÜV Nord.

Czy sama certyfikacja ma sens?

Co do wdrożenia polityki bezpieczeństwa informacji i potrzeby chronienia określonych informacji przetwarzanych w organizacji, raczej dzisiaj nikt nie ma wątpliwości. Nawet jeśli organizacja nie widzi takiej konieczności z punktu widzenia potrzeb biznesowych, to wymaga tego prawo dla sporej części informacji, np. finansowo-kadrowych, danych osobowych, tajemnicy zawodowej czy służbowej. Pytanie, czy ta ochrona wymaga aż certyfikacji?

Odpowiedź jest prosta: tak, jeżeli się to będzie opłacało, nie, jeżeli certyfikacja się nie opłaca. Podstawowe korzyści, jakie odnoszą certyfikowane organizacje to: 

  • potencjalnie lepsza pozycja na rynku, wzmocnienie pozycji rynkowej (ja mam, a moja konkurencja nie!),
  • spełnienie konkretnych wymagań klienta czy klientów. Coraz częściej certyfikat ISO 27001 jest wymaganiem, jakie firmy stawiają swoim dostawcom i kontrahentom.

Oprócz korzyści zewnętrznych ci, którzy certyfikowali ISO 27001, podkreślają także korzyści wewnętrzne, które czasami są równie ważne:

  • w naszej organizacji pojawił się PROCES, czyli zarządzane i zaplanowane, ciągłe w czasie działanie, mające jakiś konkretny cel i dążące do tego celu. Wcześniej bezpieczeństwo było ważnym, ale abstrakcyjnym bytem;
  • motywacja dla organizacji i pracowników. Jest to „ISO”, o które my, pracownicy mamy dbać, bo inaczej zabiorą nam certyfikat. I lepiej, żeby to nie było przeze mnie;
  • „bat na kierownictwo”. Certyfikacja, certyfikat to ogromne wsparcie dla osób zarządzających bezpieczeństwem. Zupełnie inaczej przebiega rozmowa z najwyższym kierownictwem w sprawie budżetów na nowy sprzęt czy szkolenia, kiedy naszym argumentem jest: „jak szef nie da, to nam certyfikat odbiorą”;
  • dla księgowych i dyrektorów finansowych. Koszty certyfikacji to nowa jednostka budżetowa, którą można uwzględnić w planach budżetowych. Nareszcie bezpieczeństwo informacji ma swoje pieniądze, a nie „wykrada” je np. z inwestycji w informatykę.

Audyt ISO od kuchni

Audyty prowadzone są według ściśle określonych, zatwierdzonych procedur. Ich przestrzeganie jest bardzo wnikliwie sprawdzane przez jednostki akredytujące. Chodzi o pełny obiektywizm, powtarzalność i rzetelność audytu. To dlatego audytorzy są tacy sztywni, a audyty podobne do siebie.

Organizacja, która chce certyfikować system, musi się przygotować na trzy audyty w cyklu trzyletnim: audyt certyfikujący, po którym organizacja otrzymuje certyfikat, oraz dwa powtarzane co roku tzw. audyty nadzoru. Po trzech latach konieczne jest powtórzenie certyfikacji (recertyfikacja) nowym audytem certyfikującym.

Zadaniem audytu jest ocena, czy wdrożony w organizacji system zarządzania bezpieczeństwem informacji spełnia wymagania zawarte w normie. Kryje się za tym spełnienie następujących wymagań:

  • normy ISO/IEC 27001,
  • własnych zdefiniowanych polityk, procedur, instrukcji,
  • wymagań zawartych w umowach i kontraktach z klientami,
  • wymagań i regulacji prawnych.

Z samymi audytami związanych jest wiele mitów i teorii spiskowych. Poniżej rozprawiamy się z kilkoma najpopularniejszymi.

Audyty są prowadzone według ściśle określonych, zatwierdzonych procedur. Chodzi o pełny obiektywizm, powtarzalność i rzetelność audytu

Certyfikacja, audyty… to za duży wysiłek

Wszystko jest kwestią motywacji. Po prostu policz, ile wydasz, a ile zarobisz.

Jeżeli chcesz mieć gwarancję bezpieczeństwa i ochronę informacji na właściwym poziomie, zrób to dobrze. Firmy z rozwiniętą kulturą organizacyjną, liczące pieniądze, starają się wszystko robić jak najlepiej. Jak robisz coś dobrze, to dlaczego obawiasz się pokazać to komuś z zewnątrz. Prawda jest taka, że tam, gdzie ISO jest żywe i działa, nie trzeba specjalnych przygotowań do audytów.

Jak taki krótki audyt może zbadać bezpieczeństwo?

Niektórzy dosyć kąśliwie wyrażają opinię, że audyty i certyfikacja to marnowanie pieniędzy i czasu. Audytorzy przyjdą na krótko, o coś popytają, coś popiszą – to ma być rzetelna ocena bezpieczeństwa?

Uwagi te wynikają z zupełnego niezrozumienia idei systemów zarządzania i ich certyfikacji.

W trakcie audytów jednostka certyfikująca nie sprawdza bezpieczeństwa informacji, tylko to, czy organizacja zarządza nim we właściwy sposób. To sama organizacja ma sprawdzać i doskonalić ochronę informacji. Zadaniem jednostki jest obiektywny osąd, czy to robi dobrze i w zgodzie z wymaganiami certyfikowanego standardu. A to się da zrobić w ciągu krótkiego przecież audytu.

 

Wdrożenie ISO/IEC 27001 – od czego zacząć?

Wdrożenie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 warto rozpocząć od określenia polityki informacyjnej. Zarząd firmy powinien poinformować pracowników o projekcie wdrożenia normy i jego celu, na spotkaniu lub wydając zarządzanie. Kolejnym etapem jest powołanie Forum Zarządzania Bezpieczeństwem Informacji. W skład tego zespołu wchodzą zwykle liderzy procesów biznesowych, menedżer IT, osoby z działów odpowiedzialnych za audyt i ISO. Zadania FZBI są bardzo szerokie, obejmują m.in. przegląd i zatwierdzenie Polityki Bezpieczeństwa Informacji, ustanawianie jej zasad i celów, monitorowanie naruszeń, analizę standardów bezpieczeństwa teleinformatycznego, wyznaczenie poziomu ryzyka i opracowanie planu postępowania z ryzykiem, regularny przegląd SZBI, kontrolę i nadzór nad pracownikami, a nawet dobór kandydatów do pracy.

Kolejny etapem projektu jest opracowanie Polityki Bezpieczeństwa Informacji, która powinna zostać zatwierdzona przez zarząd, opublikowana i podana do wiadomości wszystkim pracownikom i właściwym stronom zewnętrznym. Polityka Bezpieczeństwa Informacji zawiera ramy ustalania celów polityki oraz wyznacza ogólny kierunek i zasady działania dotyczące bezpieczeństwa informacji. Wdrażając ISO/IEC 27001, FZBI musi określić zakres i granice SZBI (obszar firmy, lokalizacja, aktywa i technologie).

Wszyscy pracownicy firmy, czasem też dostawcy i klienci, powinni zostać odpowiednio przeszkoleni oraz regularnie informowani o uaktualnieniach obowiązujących polityk i procedur związanych z ich pracą.

Mając określony zakres SZBI, możemy zidentyfikować kluczowe aktywa firmy. Inwentaryzacja aktywów oraz przypisanie do nich gestorów to ważna część procesu zarządzania ryzykiem. FZBI powinno wskazać metodykę szacowania ryzyka, która określi kryteria i akceptowalne poziomy ryzyka. Metodyka zapewnia, że szacowanie daje porównywalne i powtarzalne rezultaty. Proces zarządzania ryzykiem powinna być realizowany przez FZBI. Zarządzanie ryzykiem obejmuje aktywa będące w zakresie SZBI związane z nimi zagrożenia oraz gestorów, podatności związane z zagrożeniami, skutki utraty poufności, szacowane ryzyka i straty biznesowe, szacowane realne prawdopodobieństwo zagrożeń oraz wyznaczone poziomy ryzyk.

Wynikiem analizy ryzyka powinien być plan postępowania z nim, zawierający listę odpowiednich zabezpieczeń. Plan taki opracowuje się na podstawie załącznika A do normy, który definiuje aż 11 obszarów bezpieczeństwa.

Utrzymywanie ISO/IEC 27001 to codzienna praca, która należy do menedżera ds. bezpieczeństwa informacji. Taka funkcja powinna zostać zdefiniowana w strukturze organizacyjnej firmy. Jego praca polega na cyklicznym przeprowadzaniu audytów wewnętrznych w firmie. Odpowiada on również za przygotowanie raportu dla zarządu oraz przeglądu SZBI. Przegląd zawiera wyniki poprzednich przeglądów oraz audytów wewnętrznych i zewnętrznych, informacje zwrotne od pracowników, klientów i dostawców, rozwiązania organizacyjne, produkty lub dokumenty, które mogłyby być wykorzystane w celu podniesienia efektywności SZBI, status działań korygujących i zapobiegawczych oraz planu postępowania z ryzykiem, a także zalecenia dotyczące doskonalenia.

Witold Perłowski, Konsultant ds. Zarządzania Procesami, Pełnomocnik Zarządu ds. Zintegrowanego Systemu Zarządzania, BCC (aktualnie All for One Poland)

Czemu oni się ciągle grzebią w dokumentacji?

Audytor nie jest, a nawet nie wolno mu być pracownikiem lub współpracownikiem audytowanej organizacji. Skąd zatem ma czerpać pewną, rzetelną informację o audytowanym procesie, działaniu, sytuacji? W wielu przypadkach to właśnie w dokumentach audytor znajduje odpowiedź, czy jest tak pięknie, jak opowiada rozmówca. Konfrontacja różnie wypada. Jest to też dowód na to, że te irytujące wymagania dokumentacyjne, „mnożenie papierów”, mogą mieć sens. Jest to sztandarowy zarzut przeciwników ISO, bo ISO to papiery i papiery. Ale jak ocenić coś, co zrobiłeś w przeszłości, bez namacalnych, udokumentowanych dowodów?

Audyt jest nudny, ciągle pytają o to samo

Proces przeprowadzania audytów w całej certyfikacji jest bardzo mocno sformalizowany. Wymagają tego organizacje akredytujące. Wynika to zapewne z dążenia do zapewnienia powtarzalności, obiektywizmu oceny organizacji. Dwie różne jednostki przeprowadzające audyt ISO 27001 powinny robić to niemal identycznie: na pewno audyt powinien trwać tyle samo (z dużą dokładnością), powinien być przygotowany plan audytu, konieczny jest audyt na miejscu u klienta, po audycie jego wyniki powinny być udokumentowane w raporcie. Również to, o co audytorzy pytają, to często „stałe fragmenty gry”, obowiązkowe do zbadania, np. działania korygujące, audyty wewnętrzne, szkolenia. Są to ważne z punktu widzenia oceny systemu aspekty i muszą być badane.

Warto jednak podkreślić, że ta rutyna to tylko część audytu. W pozostałych audytor powinien się wykazać inwencją i wręcz oczekuje się losowości i każdorazowych zmian w doborze procesów do oceny. Jeżeli audytor ciągle odwiedza tylko wybrane fragmenty organizacji, to być może nadszedł czas na jego zmianę…

Co oni tak ciągle notują?

Audyt to udokumentowany proces pozyskiwania dowodów z audytu. To udokumentowanie jest ważne do zapewnienia możliwości oceny, czy audyt przebiegał zgodnie z procedurami, czy był rzetelny. Audytor nie ma więc innego wyjścia, jak zanotować istotne fakty, dowody, jakie pozyskuje w trakcie audytu. Potrzebuje ich do uzasadnienia wyników audytu opisanych w raporcie, potrzebne są dla weryfikujących audyt, czy był on poprawnie przeprowadzony.

Notatki są nieocenione w przypadku wątpliwości, pozwalają precyzyjnie wskazać obszary, gdzie coś ciekawego się wydarzyło. Na podchwytliwe pytanie „a gdzie pan/pani audytor to widział?”, dobry audytor sięgnie z uśmiechem do notatek i udzieli precyzyjnej odpowiedzi.

Nocne drukowanie dokumentacji, czyli jak oszukać audytora

Trzeba na audyt wyprodukować kwity, bo będą się czepiać. Znacie to? Jeżeli są to dokumenty potwierdzające wykonanie, realizowanie działań, to pewnie ma to jakiś sens. W przypadku jednak, jeżeli to tylko papierowe działania, to raczej marne szanse na obronę.

Dobry audyt nie opiera się tylko na weryfikacji dokumentacji, ale jeżeli jest taka możliwość, na sprawdzeniu w praktyce realizacji określonego działania czy spełnienia wymagania. W wypadku dokumentacji bez pokrycia w działaniu, bardzo szybko wyjdzie na jaw jej „papierowość”. Poza tym doświadczony audytor szybko zorientuje się, że ma do czynienia ze spreparowaną dokumentacją. Kto z nas jest w stanie podpisywać się na generowanych comiesięcznie dokumentach zawsze w tym samym miejscu, z dokładnością do milimetra? Jest to możliwe tylko wtedy, kiedy weźmiemy plik dokumentów i po kolei będziemy je podpisywać. Audytor zwróci na to uwagę. A dokumenty elektroniczne, co z nimi? Te mają wewnątrz zaszyte informacje, kiedy został utworzone. W przypadku wątpliwości audytor na pewno tam zajrzy. Na koniec warto zauważyć nieco cynicznie, że to ty płacisz audytorowi i jego firmie za dobry raport z audytu. Oszukując audytora, oszukujesz siebie i tylko ty na tym tracisz.

Bo audytor kazał…

Z pewnością oczekiwania klienta są takie, że audytor to specjalista, kompetentny w swoim fachu. To prawda, jest jednak człowiekiem i jak każdy może się mylić, czegoś nie zrozumieć.

Pamiętajmy, że jeżeli audytor ma jakiś zarzuty wobec nas, szczególnie te bolesne, zwane niezgodnościami, powinien opierać się na twardych dowodach w postaci zaistniałych faktów skonfrontowanych z wymaganiami normy, wymaganiami organizacji, przepisami i regulacjami.

Jeżeli taka konfrontacja mu się nie uda… nie ma niezgodności. Gdy audytor zaczyna uzasadnienie od: „bo ja tak uważam”, z pewnością nie będzie ono dobre.

Brońmy się przed dodatkowymi działaniami narzucanymi przez audytorów. Nie ma jakiegoś wymagania w normie, czasami to co robimy jest zupełnie bez sensu, a ciągniemy to, bo audytor kazał. To audytor ma wykazać zasadność danej niezgodności lub rekomendacji.

Jako podsumowanie chciałbym wystosować apel do rozważających certyfikację. Nie taki diabeł straszny. Ale to wasza decyzja, przemyślcie ją dobrze. Dla nas, jednostki certyfikującej, dobrze jest mieć jak najwięcej klientów, audytować i certyfikować. Jednak to żadna satysfakcja, uszczęśliwiać kogoś na siłę i wspólnie męczyć się z pochopnie wdrożonym systemem ISO.

TÜV NordPolska zajmuje się certyfikacją systemów zarządzania oraz odbiorami technicznymi. W swojej ofercie ma także szkolenia systemowe i biznesowe. Jest częścią niemieckiego koncernu TÜV NORD International, obecnego w ponad 70 krajach świata. Polski oddział posiada dziewięć biur regionalnych, w których zatrudnia ponad 100 pracowników. Jednostka jest akredytowana m.in. przez niemiecką TGA oraz Polskie Centrum Akredytacji. Specjalizuje się w certyfikacji systemów zarządzania jakością (ISO 9001), systemów zarządzania bezpieczeństwem informacji (ISO 27001), zarządzania usługami IT (ISO 20000), a także systemami zarządzania środowiskowego, BHP, oraz w branży spożywczej, medycznej i dla przemysłu lotniczego. Więcej informacji: www.tuv-nord.pl