المراحل الخمس لمراجعة ISO 27001 ناجحة

على الرغم من أن التدقيق الداخلي أمر حاسم للامتثال للمعيار ISO 27001، إلا أن عملية التدقيق قد تكون محيرة بعض الشيء بالنسبة لبعض المؤسسات.

إذا كنت تتطلع إلى تخطيط أو قيادة أو تنفيذ مراجعة لنظام إدارة أمن المعلومات (ISMS) المتوافق مع المعيار ISO27001، فيجب عليك اتباع هذه المراحل الخمس:

  • تحديد نطاق التدقيق واستقصاء ما قبل المراجعة

كمدقق لنظام أمن المعلومات، سوف تحتاج إلى إﺟراء “ﺗﻘﯾﯾم اﻟﻣﺧﺎطر” لكي تتمكن من تحديد نطاق التدقيق الذي سيتم التركيز عليه أثناء عملية المراجعة، وكذلك تحديد كل ما سوف يكون خارج نطاق التدقيق بشكل صريح، ويمكنك الحصول على المعلومات اللازمة من الأبحاث أو تقارير ISMS سابقة أو مستندات أخرى مثل سياسة ISMS.

تأكد من أن نطاق التدقيق له علاقة بالمؤسسة – يجب أن يتطابق بالتأكيد مع نظام ISMS المعتمد – وفي حالة المؤسسات الكبيرة، قد يحتاج المراجعون إلى مراجعة نظام ISMS في جميع مواقع العمل (أو على الأقل عينة تمثيلية).

أثناء الاستقصاء السابق للمراجعة، يجب على المدققين أيضًا تحديد أصحاب المصلحة الرئيسيين في ISMS والاتصال بهم لطلب أي وثائق سيتم مراجعتها أثناء عملية التدقيق.

  • التخطيط والتحضير

 بعد الموافقة على نطاق التدقيق، سيحتاج المدققون إلى تقسيمه إلى مزيد من التفاصيل عن طريق إنشاء خطة عمل لمراجعة نظام إدارة أمن المعلومات (ISMS)، يتم فيها الاتفاق مع الإدارة على الجدول الزمني والموارد اللازمة لإجراء عملية المراجعة. قد تكون مخططات المشاريع التقليدية، مثل Gantt ، مفيدة.

تتضمن خطة عمل المراجعة جميع مراحل التدقيق وتضع الحدود حول كل منها، وغالباً ما تتضمن أيضا “نقاط التفتيش” التي تعطي للمراجعين فرصة جيدة لتقديم تحديثات مؤقتة غير رسمية للمديرين. تسمح هذه التحديثات للمراجعين بتحديد المخاوف المتعلقة بالوصول إلى المعلومات أو الأشخاص، وتسمح للإدارة أيضا بتحديد المخاوف التي تتعلق بعملية التدقيق.

يجب تحديد توقيت أعمال التدقيق المهمة لتحديد أي جوانب سيكون لها الأولوية ويُعتقد أنها تمثل الخطر الأكبر على المؤسسة.

  • العمل الميداني

بمجرد إنشاء خطة عمل لمراجعة نظام إدارة أمن المعلومات (ISMS)، يجب على المدققين جمع الأدلة من خلال إجراء مقابلات مع الموظفين والمديرين وأصحاب المصلحة الآخرين المرتبطين بـنظام ISMS، وكذلك مراجعة الوثائق والمطبوعات والبيانات ومراقبة عمليات ISMS أثناء العمل، كما يجب إجراء اختبارات التدقيق للتحقق من صحة الأدلة عند جمعها، مع الاحتفاظ بأوراق عملية التدقيق التي توثق تلك الاختبارات.

تتضمن المرحلة الأولية من العمل الميداني عادةً مراجعة المدققين للوثائق والمستندات المتعلقة بـ ISMS، قد تشير النتائج التي توصلوا إليها إلى الحاجة إلى اختبارات تدقيق محددة لتحديد مدى التزام ISMS بالتوثيق فيما يتعلق بـ ISO 27001.

  • تحليل

يجب فرز أدلة التدقيق والاحتفاظ بها ومراجعتها فيما يتعلق بالمخاطر وأهداف المراقبة. من حين لآخر، قد يحدد التحليل الثغرات الموجودة في الأدلة أو يشير إلى الحاجة لمزيد من اختبارات المراجعة، والتي ستشمل المزيد من الاختبارات الميدانية.

  • التقارير

تتكون العناصر الأساسية لعملية التدقيق عادة من:

  • مقدمة توضح نطاق وأهداف وتوقيت ومدى العمل المنجز.
  • ملخص تنفيذي يبين النتائج الرئيسية، تحليل موجز واستنتاج.
  • المستلمون المستهدفين للتقارير، وعند الاقتضاء ، ارشادات بشأن التصنيف والتعميم.
  • النتائج والتحليلات التفصيلية.
  • الاستنتاجات والتوصيات.
  • بيان من المدقق يشرح بالتفصيل التوصيات أو حدود نطاق المراجعة.

ينبغي تقديم مشروع تقرير المراجعة ومناقشته مع الإدارة. قد يكون من الضروري إجراء المزيد من المراجعة لأن التقرير النهائي يتضمن عادةً التزام الإدارة بخطة عمل.

تواصل مع خبراء ISO 27001 من خلال سلسلة ندوات مجانية عبر الإنترنت

تعد هذه السلسلة من الندوات المجانية عبر الإنترنت فرصة رائعة لجميع المهتمين والمختصين بمجال أمن المعلومات بالمؤسسات الخليجية، حيث سيتمكن المشاركين من مناقشة العديد من النقاط الهامة حول نظام إدارة أمن المعلومات المتوافق مع المعيار ISO 27001 ، بالإضافة إلى مناقشة مواضيع أخرى تتعلق بتحديات وحلول أمن المعلومات وحماية البيانات في منطقة الخليج بشكل خاص والشرق الأوسط بشكل عام.

الندوات تدار باللغة الإنجليزية ويقدمها خبراء شركة “آي تي غفرننس” – المزود العالمي الرائد لحوكمة تكنولوجيا المعلومات وإدارة المخاطر وحلول الامتثال –  الذين قاموا بقيادة أول مشروع في العالم لتطبيق المعيار ISO 27001.

سجل الآن:

10 October 2018: How to overcome data security compliance challenges in the GCC countries

17 October 2018: How to implement an information security management system

24 October 2018: Conducting a cyber security risk assessment