Auditor Wew, 27001 - Prezentacja

System Zarządzania Bezpieczeństwem Informacji (SZBI)): Kurs dla Audytorów Wewnętrznych ( ISO/IEC 27001:2017)
System Zarządzania Bezpieczeństwem

Informacji (SZBI): Kurs dla Audytorów
Wewnętrznych (ISO/IEC 27001)
Copyright © 2020 BSI. Wszelkie prawa zastrzeżone.

v1.0 ISM 03001PL
Slajdy
ISM03001PL v1.0 Copyright © 2020 BSI. Wszelkie prawa zastrzeżone. 1
Szkolenia BSI
Rola Świadomość Wdrożenie Audyt Doskonalenie
Kurs Lean Six-Sigma

Członkowie Konwersatorium Konwersatorium Konwersatorium
Champion
Zarządów
Kwalifikacje ISEB/
BSI Registered Lean Six-Sigma
Konferencje BSI IOSH/ NEBOSH
Auditor/ Lead Pas zielony
Auditor
BSI Lead
Przedstawiciele Implementer
kierownictwa / BSI Lean Six-Sigma
Kurs doskonalący
Kierownicy Webinars Pas czarny
techniki audytu
projektów Zaoczny
kwalifikujący kurs
BSI
Kursy
Kurs audytora Lean Practitioner
pogłębiające
Kurs BSI – wiodącego
zrozumienie
wdrożenie
Audytorzy Kursy Kurs BSI – Kurs audytora Lean Six-Sigma

wewnętrzni i pogłębiające wdrożenie wewnętrznego Pas żółty
zespoły projektów zrozumienie
Wszyscy Sesje lub moduł E- Sesje lub moduł E- Sesje lub moduł E- Lean Six-Sigma
pracownicy Learning Learning Learning Pas żółty
2
Struktura kursów oferowanych przez BSI.
Slajdy
Korzyści dla Państwa!
3
Odpowiednio przeszkoleni audytorzy mogą przyczynić się w poważnym stopniu do powodzenia

i skuteczności procesu audytu wewnętrznego. Norma ISO, nad którą będziemy pracować,
stanowi, że planowane audyty stanowią wymaganie w każdym Systemie Zarządzania
Bezpieczeństwem Informacji, który powołuje się na zgodność z tą normą.
Podczas kursu rozwiną Państwo niezbędne umiejętności pozwalające na przeprowadzanie

audytów wewnętrznych oraz uzyskają Państwo podstawową wiedzę i znajomość wymagań
potrzebne dla zapewnienia, by działalność Państwa organizacji pozostawała zgodna
z wymaganiami najnowszego wydania międzynarodowej normy odnoszącej się do systemów
zarzadzania bezpieczeństwem informacji – ISO/IEC 27001.
Slajdy
Witamy!
4
Dla własnego bezpieczeństwa, prosimy o zapamiętanie wyjść awaryjnych z sali szkoleniowej

i budynku oraz miejsc zbiórki.
Prowadzący wskaże Państwu najbliższe toalety.
Prosimy nie pozostawiać wartościowych przedmiotów bez opieki w sali szkoleniowej. Prosimy
o zabieranie ich ze sobą, lub o zadbanie o ich bezpieczeństwo w innej formie.
Ze względu na komfort innych uczestników, prosimy o unikanie rozpraszania ich poprzez

używanie osobistych urządzeń elektronicznych – prosimy o wyciszenie telefonów
komórkowych.
Prosimy o nie używanie urządzeń do nagrywania dźwięku i obrazu – może to ograniczać

swobodę dyskusji.
Prowadzący poinformuje Państwa o przerwach obiadowych – prosimy o punktualny powrót do

sali szkoleniowej.
Informujemy o zakazie palenia tytoniu w sali szkoleniowej i budynku. Jeśli w budynku

wyznaczono palarnię – prowadzący poinformuje o tym.
Jeśli mają Państwo jakieś specjalne potrzeby (dieta itp.) prosimy o poinformowanie o tym
prowadzącego.
Slajdy
Ćwiczenie 1
• Poznajmy się…
10 minut
Start
5
Prowadzący przedstawią się sami.
Następnie, proszę przeprowadzić wywiad z osobą siedzącą obok – posługując się punktami
poniżej (nie powinien on trwać dłużej niż 5 minut – na ekranie minutnik jest ustawiony na 10
minut):
• Imię uczestnika
• Firma lub branża
• Stanowisko lub tytuł (rola)
• Poziom doświadczenia w audytowaniu systemów zarządzania (jakich) (1-10)
• Poziom znajomości normy ISO 27001 (1-10)
• Wszelkie specyficzne oczekiwania wobec tego kursu
• Coś interesującego o przedstawianej osobie
Przedstaw tę osobę całej grupie!
Slajdy
Cel kursu
Dostarczyć wytyczne i praktyczne

doświadczenia odnoszące się do
planowania i przeprowadzenia audytów
systemów zarządzania bezpieczeństwem
informacji oraz przedstawiania ich
wyników.
6
Kurs łączy zajęcia budujące zarówno wiedze jak i umiejętności. Będziemy się starali wzbogacić
Państwa wiedzę na temat norm ISO 27001, ISO 19011, i ISO 27007, a w niektórych
przypadkach and przekażemy Państwu elementy wcześniej nie znane. Niektóre z powyższych
terminów mogą się wydawać Państwu obce – zostaną omówione w dalszej części kursu.
Slajdy
Cele dydaktyczne
Być zdolnym:
Rozumieć:
•Inicjować audyt
• Zasady audytowania na
•Przygotować działania audytowe
zgodność z ISO/IEC 27001
•Przeprowadzić działania audytowe
• Działania audytowe
•Przygotować sprawozdanie z
audytu
•Zakończyć audyt
•Prowadzić działania
poaudytowe
•
WIEDZA UMIEJĘTNOŚCI
Wyjaśnić rolę audytora w planowa-

niu, prowadzeniu, przedstawianiu
wyników i w działaniach poaudyto-
…w odniesieniu do audytu SZBI,
wych podczas audytu SZBI zgodnie
potwierdzającego zgodność (lub
z wytycznymi ISO 19011
nie) z wymaganiami ISO 27001
7
Cele dydaktyczne opisują w zarysie to, co uczestnicy będą wiedzieli i umieli zrobić po
zakończeniu kursu.
Po ukończeniu kursu, uczestnicy, którzy zaliczyli kurs będą dysponowali wyżej wymienionymi
umiejętnościami i wiedzą.
Slajdy
Struktura kursu
Materiały
• Podręcznik uczestnika
• Czysty egzemplarz normy ISO/IEC 27001
Struktura kursu
• Zadania indywidualne
• Praca w grupach
• Dyskusje zespołowe
8
Kurs składa się ze szczegółowego podręcznika uczestnika, sesji szkoleniowych, ćwiczeń

praktycznych.
Podręcznik uczestnika zawiera plan kursu, slajdy z notatkami, ćwiczenia, materiały

pomocnicze i studium przypadku.
Modelowe odpowiedzi (w części „materiały pomocnicze”) przeznaczone są do wykorzystania

po opracowaniu przez uczestników ćwiczeń – nie należy ich przepisywać w trakcie pracy nad
ćwiczeniami (byłoby to oszukiwanie samego siebie!).
Oczekujemy, że uczestnicy będą aktywnie uczestniczyli, eksperymentowali i zadawali pytania.

Zachęcamy do tego i uczynimy wszystko, by atmosfera kursu sprzyjała takim postawom.
Slajdy
Bezpieczeństwo Informacji
• Co to jest SZBI?
9
Copyright © 2013 BSI. All rights reserved.
Aby być kompetentnym audytorem systemu zarządzania niezbędne jest zrozumienie, czym ten
system zarządza.
System zarządzania jest ramową strukturą procesów i procedur, wykorzystywaną do

zapewnienia, że organizacja jest w stanie zrealizować wszystkie zadania niezbędne dla
osiągnięcia swoich celów, bez względu na ich charakter.
W naszym przypadku, mówimy o Systemie Zarządzania Bezpieczeństwem Informacji,

w skrócie SZBI.
Slajdy
Informacja?
Aktywa informacyjne
• Wiedza lub dane, które mają wartość dla organizacji
10
Czym jest więc informacja? Co to są aktywa informacyjne?
Informacja to wiedza lub dane, które maja wartość dla organizacji. Informacja ta może być
przechowywana w każdej postaci.
A jakie mogą być przykłady postaci (formatu) w jakiej informacja daje się przechowywać?
Slajdy
Przechowywanie i komunikowanie informacji
11
Mimo, że w tytule normy jest sformułowanie “Technika informatyczna”, norma odnosi się do
Systemu Zarządzania Bezpieczeństwem Informacji.
Informacja może być:
• Wydrukowana lub napisana na papierze

• Przechowywana w postaci elektronicznej
• Przesyłana pocztą lub przy pomocy środków elektronicznych
• Pokazywana na firmowych filmach video
• Ustna – przekazywana w rozmowach
‘… Bez względu na to, jaka formę przybiera informacja, lub za pomocą jakich środków jest
współdzielona bądź przechowywana – winna być zawsze odpowiednio chroniona.’ (ISO
27002)
Informacja zarządzamy pod wszelkimi jej postaciami. Bardzo łatwo jest przeoczyć zasoby
informacyjne istniejące w formie pisanej.
Informacją należy zarządzać przez cały jej cykl życia – od pierwszych projektów, przez kolejne
wersje projektów, aż do jej wykorzystywania w postaci ostatecznej i (bezpiecznego) jej
niszczenia.
Slajdy
Co to jest bezpieczeństwo informacji?
Norma ISO 27001 określa bezpieczeństwo informacji jako zachowanie:
• Poufności [Confidentiality]
• Integralności [Integrity]
• Dostępności [Availability]
Uwaga: Dodatkowo, można mówić także o innych właściwościach, takich

jak autentyczność, niezaprzeczalność, wiarygodność czy
odpowiedzialność.
12
Poufność: właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, podmiotom lub procesom.
Integralność: właściwość polegająca na zapewnieniu dokładności i kompletności aktywów.
Dostępność: właściwość bycia dostępnym i użytecznym na żądanie upoważnionego

podmiotu
Są to trzy główne zasady, do których odwołuje się norma ISO 27001 gdy chodzi o
bezpieczeństwo informacji.
Wśród specjalistów od bezpieczeństwa IT, zasady te nazywane są triadą CIA.
Co to jest „niezaprzeczalność”?
Slajdy
Potrzeba audytów wewnętrznych
ISO/IEC 27001 Punkt 9.2
13
• Planowane odstępy czasu – cele stosowania zabezpieczeń

/zabezpieczenia/procesy/procedury SZBI
• Program audytów– status i znaczenie
• Wyniki poprzednich audytów
• Kryteria audytu, zakres audytu i częstotliwość
• Metoda
• Audytorzy nie powinni audytować własnej pracy
• Odpowiedzialność kadry kierowniczej – zapewnić, że działania będą podejmowane bez
zbędnej zwłoki
• Działania poaudytowe – weryfikacja podjętych działań i raportowanie wyników
• Utrzymanie udokumentowanej informacji jako dowodów wyników audytów
Punkt 9.2 normy ISO 27001 mówi, że „Organizacja powinna przeprowadzać wewnętrzne
audyty SZBI w zaplanowanych odstępach czasu”. Kluczowym słowem jest tu „powinna”. Jego
użycie oznacza, że mowa jest o bezwzględnym wymaganiu, nie zaś o sugestii czy wytycznych
Norma nie określa czasu, jaki ma rozdzielać audyty wewnętrzne, ale mówi, że program
audytów powinien brać pod uwagę znaczenie procesów i wyniki poprzednich audytów.
Slajdy
ISO 27007
Norma ISO 27007 zawiera

wytyczne dotyczące:
• Zarządzania SZBI
• Zarządzania programem audytów
• Prowadzenia wewnętrznych i
zewnętrznych audytów SZBI
• Kompetencji audytorów SZBI
14
Norma ISO 27007 zawiera wytyczne odnoszące się do audytowania Systemów Zarządzania
Bezpieczeństwem Informacji.
Norma ISO 27007 nie powiela żadnych z ogólnych wytycznych dotyczących audytowania
zawartych w normie ISO 19011. W sytuacji, w której wytyczne normy ISO 27007 odnoszą się
do informacji zawartej w normie ISO 19011 czytelnik znajdzie odpowiednie odesłanie do
konkretnego punktu normy ISO 19011.
Uwaga: Audytorzy BSI, audytując systemy zarządzania Klientów, stosują normę ISO 17021 –
Wymagania dla jednostek prowadzących audity i certyfikację systemów zarządzania.
ISO 27007 zawiera specyficzne wytyczne, w odróżnieniu od wytycznych dla audytów trzeciej
strony (ISO 17021).
Slajdy
Ćwiczenie 2
• Terminy i definicje dot. audytu
10 minut
Start
15
Ćwiczenie 2: Terminy i definicje
Cel:
Zrozumienie terminologii powszechnie stosowanej w audycie oraz definicji z normy
ISO 27001.
Czas:
10 minut praca indywidualna
5 minut podsumowanie
Polecenie:
Polecenie:
Pracując indywidualnie, proszę, posługując się tabelką na następnej stronie, dostosować
termin do jego prawidłowej definicji. (Proszę wstawić literę odpowiadająca definicji obok
terminu, który opisuje). Po skończeniu ćwiczenia, proszę przedyskutować wyniki
z sąsiadem(ką) i zanotować ewentualne rozbieżności.
Prowadzący przedstawi prawidłowe odpowiedzi.
Slajdy
TERMIN DEFINICJA
Kryteria audytu A Ustalony zestaw audytów, jednego lub większej ich liczby, zaplanowanych w
określonych ramach czasowych i mających określony cel
Dowód z audytu B Obszar i granice audytu
Ustalenia audytu C Organizacja, która jest audytowana
Audytowany D Zestaw polityk, procedur lub wymagań używanych jako odniesienie, do

których porównuje się dowody z audytu
Audytor E Cel główny audytu
Niezgodność F Zapisy, stwierdzenia faktu lub inne informacje, które są istotne ze względu na
kryteria audytu i możliwe do zweryfikowania
Zespół audytowy G Wyniki oceny zebranych dowodów z audytu w stosunku do kryteriów audytu
Program audytów H Opis działań oraz ustaleń organizacyjnych związanych z audytem
Plan audytu I Niespełnienie wymagania
Zakres audytu J Osoba, która przeprowadza audyt
Cel audytu K Jeden lub więcej audytorów przeprowadzających audyt, wspieranych przez
ekspertów technicznych, jeżeli jest to wymagane
Slajdy
Audytowanie systemów zarządzania
Czym jest audyt?
Systematyczny, niezależny
i udokumentowany proces
uzyskiwania dowodów z
audytu oraz ich
obiektywnej oceny w celu
określenia stopnia spełnienia
kryteriów audytu
(Punkt 3.1, PN-EN ISO 19011)
17
Czym jest audyt?
Po odpowiedzi na to pytanie i dyskusji, można odwołać się do definicji audytu w normie.
Slajdy
Ćwiczenie 3
• Definicja audytu
10 minut
Start
18
Ćwiczenie 3: Definicja audytu
Cel:
Zrozumienie definicji audytu
Czas:
10 minut praca w grupach
Polecenie:
Pracując w grupach, wskazanych przez prowadzącego, proszę przyjrzeć się definicji audytu
w normie ISO 19011. Proszę zastanowić się nad znaczeniem każdego z podkreślonych
wyrazów i zapisać ustalenia na papierowej tablicy. Proszę być gotowym do przedstawienia
swego zdania innym uczestnikom.
Audyt:
Systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz
jego obiektywnej oceny w celu określenia stopnia spełniania kryteriów audytu .
(Punkt 3.1, PN-EN ISO 19011)
Termin Definicja
Systematyczny
Niezależny
Obiektywny
Kryteria audytu
Slajdy
Planuj, Wykonaj, Raportuj, Zamknij

PLAN
Pellentesque mollis felis
dolor, quis aliquet sapien
dapibus tempus lectus.

Nulla sed posuere v elit,
ut grav ida nibh.
RAPORT
Pellentesque mollis felis dolor, quis aliquet
sapien
dapibus tempus lectus. Nulla sed posuere

v elit, ut grav ida nibh.
am interdum v elit sed lacus tristique
lorem. Praesent sollicitudin non odio eget

leo.
19
Audyt opiera się na cyklu: PLANUJ – WYKONAJ – RAPORTUJ – ZAMKNIJ.
Od słów angielskich pochodzi akronim P.E.R.C. – Plan, Execute, Report, Close out/down.
Podczas kursu omówimy każdy z tych obszarów.
Cykl układa się w proces, jeden obszar przechodzi w drugi.
Cykl ten wiąże się także z cyklem PDCA – ciągłym doskonaleniem.
Audyt nie jest ani kompletny ani skuteczny, jeśli te cztery etapy nie zostaną wykonane.
Mogą Państwo wykorzystywać te slajdy do własnych i służbowych potrzeb.
Slajdy
Niezależny i udokumentowany?
• Niezależny?
• Czy można audytować własną
pracę?
• Udokumentowany?
• Czym jest dokument lub
„udokumentowana
informacja”?
• Co to jest zapis?
20
Uwaga: nowa architektura wysokiego poziomu dla norm systemów zarządzania traktuje zapis
jako rodzaj dokumentu, nie ma więc obowiązku stosowania terminu „zapis”.
Jakie dokumenty/zapisy mogą pojawiać się jako wynik audytu?
Slajdy
Proces?
PROCEDURA
(Ustalony sposób bezpiecznego przeprowadzenia działania
lub procesu – może być udokumentowana lub nie)
Wejście PROCES Wyjście

(zestaw wzajemnie powiązanych
lub oddziałujących działań które
przekształcają wejścia
w wyjścia)
Zasoby
(pozwalające na zrealizowanie zmiany)
Monitorowanie i pomiary
(przed, podczas i po procesie)
21
Na system zarządzania można spojrzeć z punktu widzenia podejścia procesowego i cyklu

PDCA.
Proces jest zestawem wzajemnie powiązanych lub wzajemnie oddziałujących na siebie działań,
które wykorzystują zasoby w celu przekształcenia wejść w wyjścia.
Podejście procesowe pozwala na systematyczne identyfikowanie i zarządzanie powiazaniami,

kombinacjami i wzajemnym oddziaływaniem na siebie pojedynczych procesów wewnątrz
systemu procesów w organizacji.
Podejście procesowe kładzie nacisk na znaczenie:

• Zrozumienie i spełnianie wymagań
• Ujmowanie procesów w kategoriach ryzyka
• Uzyskiwanie wyników procesu i jego skuteczność
• Ciągłe doskonalenie procesów na podstawie obiektywnych pomiarów.
Slajdy
Ćwiczenie 4
• Proces
10 minut
Start
22
Ćwiczenie 4: Podejście procesowe
Cel:
Ukazanie uczestnikom, w jaki sposób podejście procesowe może być stosowane do różnych
działań.
Czas:
Polecenie:
Pracując w grupach, ustalonych przez prowadzącego, proszę zastosować schemat pokazany
na poprzednim slajdzie do procesu wskazanego przez prowadzącego. Proszę przedstawić ten
proces na papierowej tablicy, ujmując: zarządzanie, zasoby, wejścia, wyjścia i działania.
Proszę przygotować się do omówienia wyników ćwiczenia z wszystkimi uczestnikami.
Slajdy
Proces audytu
DZIAŁANIA
WEJŚCIA AUDYTOWE WYJŚCIA
Kryteria audytu
(Wymagania) Ustalenia audytu
OCENA
Dowody z audytu
(Obiektywne)
23
Proces składa się z serii kroków, podejmowanych w celu przekształcenia wejść w wyjścia.
Ogólnie mówiąc, w odniesieniu do wszelkich audytów i bez względu na przyjęte kryteria,

audytor zbiera obiektywne dowody (które muszą być weryfikowalne) i porównuje je
z kryteriami audytu. Następnie, audytor podejmuje decyzję o tym, jaki będą wyglądały
wyjścia (opierając się na tych ustaleniach). Wyjścia zostają ujęte w sprawozdaniu z audytu,
o czym będziemy mówić później.
Slajdy
Cele audytu
• Ustalić
• Ocenić
• Ocenić
• Zidentyfikować
24
Cele audytu, wynikające z norm ISO 19011 i ISO 17021:
Cele audytu wskazują, co ma osiągnąć audyt i mogą obejmować:
• Ustalenie zakresu zgodności systemu zarządzania audytowanego, lub jego części,

z kryteriami audytu,
• Ocena zdolności systemu zarządzania do zapewnienia zgodności z wymaganiami prawnymi,
regulacyjnymi i umownymi,
• Ocena skuteczności wdrożonego systemu zarządzania w realizacji określonych celów,
• Zidentyfikowanie obszarów możliwego doskonalenia systemu zarządzania.
Slajdy
Ćwiczenie 5
• Zasady audytowania
10 minut
Start
25
Ćwiczenie 5: Zasady audytowania
Cel:
Zapoznanie uczestników z zasadami audytowania ujętymi w normie ISO 19001 – wytyczne
audytowania systemów zarządzania.
Czas:
Polecenie:
Prowadzący wręczy uczestnikom karty w dwóch kolorach. Proszę ułożyć karty pasującymi do
siebie parami (każda para to karty w dwóch kolorach): zasada – opis.
Proszę przygotować się do omówienia wyników z wszystkimi uczestnikami.
Slajdy
Ćwiczenie 6
• Kompetencje i cechy audytora
15 minut
Start
26
Ćwiczenie 6: Cechy audytora
Cel:
Wzmocnić wiedzę uczestników w odniesieniu do wymaganych kompetencji audytora i jego
cech osobowości.
Czas:
Polecenie:
Pracując w grupach, wskazanych przez prowadzącego, proszę zastanowić się, jakie cechy
powinien posiadać dobry audytor. Proszę zapisać ustalenia na papierowej tablicy
i przygotować się do przedstawienia ich wszystkim uczestnikom.
Slajdy
Obowiązki audytora
1. Stawiać się punktualnie na spotkania

2. Zachowywać poufność
3. Być obiektywnym i postępować etycznie
4. Wspierać zespół audytowy i audytora wiodącego
5. Planować i przygotowywać dokumenty robocze
6. Informować audytowanego o procesie audytu
7. Dokumentować wszelkie ustalenia
8. Zapewnić audytowanemu komfort informacyjny
9. Chronić wszelkie dokumenty
10.Przygotować sprawozdanie z audytu
27
Stawiać się punktualnie na spotkania:

Zapewnić, że audytowany wie kiedy rozpocznie się audyt i kto powinien w nim uczestniczyć,
przybywać przygotowanym oraz brać pod uwagę potrzeby audytowanego (to są ludzie
zajęci!).
Zachować poufność :
Wymieniane podczas audytu informacje na temat działalności organizacji mogą mieć poufny
charakter i powinny takimi pozostać. Mimo, że audytor pracuje na rzecz tej samej organizacji
co audytowani, jest bardzo istotne, by ustalenia audytu nie były ujawniane lub wymieniane
poza obszarem audytu. Ujawnianie tych informacji poza uzgodnionym obszarem może źle
wpływać na wiarygodność audytorów i procesu audytu.
Być obiektywnym i postępować etycznie:
Wspierać audytora wiodącego (jeśli jest):

Jeśli jesteś członkiem zespołu, podejmuj zadania wskazane przez lidera zespołu. Staraj się nie
podważać autorytetu lidera. Jeśli chcesz zwrócić audytorowi wiodącemu uwagę na jakieś
zagadnienia, rób to w odpowiednim miejscu i czasie.
Planować i przygotowywać dokumenty robocze:

Upewnij się, że plan audytu jest kompletny i zakomunikowany. Przygotuj potrzebne listy
kontrolne w odniesieniu do poszczególnych działań. Poinformuj audytowanego o planie
i listach kontrolnych.
Slajdy
Informuj audytowanego o procesie audytu:

Proces audytu ma charakter otwarty i będzie bardziej skuteczny w sytuacji, w której
audytowany wie, czego się spodziewać. Przedstaw podejście audytowe na każdym etapie;
upewnij się, że audytowany rozumie co ma się wydarzyć. Podejmij działania audytowe.
Zakończ zadania ujęte w planie, a jeśli to konieczne – zmień plan. Trzymaj się
harmonogramu. W przypadku zmiany planu, upewnij się, że audytowany jest o tym
poinformowany
Dokumentuj wszelkie ustalenia:

Odnotowuj dokładnie zapisy; Upewnij się, że pobrałeś prawidłowe próbki; Sprawdź czy notatki
są kompletne oraz zrozumiałe i czytelne dla innych.
Zapewnij audytowanemu komfort informacyjny:

Informuj audytowanego, co będziesz robił i co zrobiłeś. Omów z nim ustalenia. Żadnych
niespodzianek dla audytowanego!
Chroń wszelkie dokumenty:

Upewnij się, że próbki i dokumenty zostały zwrócone audytowanemu. Upewnij się, że
sprawozdanie z audytu zostało dostarczone właściwym osobom i nie zostało ujawnione poza
obszarem audytu.
Przygotuj sprawozdanie z audytu:

Upewnij się, że sam rozumiesz sprawozdanie. Upewnij się, że audytowany rozumie
sprawozdanie. Upewnij się, że sprawozdanie będzie gotowe na czas oraz że jest wyważone
i zawiera zarówno ustalenia pozytywne jak i negatywne.
Slajdy
Trójkąt dowodów audytowych
Zaobserwowane Usłyszane
Obiektywne
dowody
Dokumenty
i zapisy
29
W jaki sposób możemy pozyskać obiektywne dowody?
Istnieją trzy metody:
1. Możemy obserwować realizowany proces.
2. Możemy przyjąć, w trakcie wywiadu, stwierdzenie faktu, o ile stwierdzenie to słyszymy

z ust osoby odpowiedzialnej uczestniczącej w działaniach w audytowanym obszarze.
3. Możemy sprawdzać odpowiednie dokumenty.
Slajdy
Ćwiczenie 7
• Proces audytu
15 minut
Start
30
Ćwiczenie 7: Proces audytu
Cel:
Wytłumaczenie procesu audytu.
Czas:
Polecenie:
Prowadzący wręczy każdej z grup zestaw kart. Proszę ułożyć je w logiczny proces ukazujący
następstwo działań w audycie systemu zarządzania.
Slajdy
Audyty Pierwszej, Drugiej i Trzeciej Strony

1ej Strony: 2ej Strony: 3ej Strony:
Wewnętrzny Klient u Dostawcy Certyfikujący lub
Niezależny
31
Audyt Pierwszej Strony - Wewnętrzny

Audyt pierwszej strony jest audytem prowadzonym przez zainteresowaną organizację w niej
samej, w celu określenia czy jej systemy i procedury systematycznie doskonalą zdolność tej
organizacji do zapewnienia bezpieczeństwa informacji (BI) jej samej oraz jej zainteresowanym
stronom, oraz jako środek do oceny zgodności z własnymi procedurami i normą. Audyty
wewnętrzne stanowią wymaganie normy ISO 27001 punkt 9.2.
Audyt Drugiej Strony– Klient u Dostawcy

Audyt drugiej strony prowadzony jest u istniejącego lub potencjalnego dostawcy przez
organizację zainteresowaną zakupem; wyniki audytu mogą być wykorzystywane w procesie
zakupowym. d Kupujący powinien ustalić, jaką wagę przypisuje poszczególnym wymaganiom
bezpieczeństwa informacji. Należy także ocenić znaczenie faktu, że dostawca dysponuje
systemem zarządzania bezpieczeństwem informacji w pełni zgodnym z wymaganiami normy
ISO 27001.. Oznacza to, że nawet gdy dostawca oferuje atrakcyjne ceny i warunki dostawy,
może nie otrzymać zamówienia w sytuacji, gdy pojawi się ryzyko wynikające ze słabości jego
systemu zarządzania bezpieczeństwem informacji.
Audyt Trzeciej Strony– Certyfikujący lub Niezależny

Certyfikacja ISO 27001 trzeciej strony została pomyślana jako środek ograniczający, a może
nawet eliminujący, potrzebę wielu audytów drugiej strony. Dzieje się tak dzięki rejestrowi firm,
których systemy zarządzania zostały poddane ocenie i wykazują zgodność z wymaganiami
ISO 27001. Komunikowane potencjalnym klientom zapewnienie oznacza, że mogą oni
zrezygnować z samodzielnego audytowania dostawców, o ile uznają, że ocena trzeciej strony
zaspokaja ich potrzeby. Coraz bardziej popularna staje się sytuacja, gdy organizacja
zainteresowana zakupami nie dopuszcza do przetargu dostawcy nie posiadającego
certyfikacji na zgodność z ISO 27001.
Organizacje mogą także poprosić niezależne jednostki (np. firmy doradcze) o audytowanie ich
systemów zarządzania w celach innych niż certyfikacja, takich jak np. ocena spełniania
wymagań prawnych czy regulacyjnych, lub ocena skuteczności konkretnego planu
postępowania z ryzykiem, itp. Audyt taki można traktować jako audyt trzeciej strony
z perspektywy firmy doradczej.
Slajdy
Proces audytu
• Podobieństwa
• Audyt 1ej, 2ej i 3ej strony
PowerPoint
32
Prowadzący omówi teraz szczegółowo poszczególne kroki zidentyfikowanego wcześniej

procesu.
Proszę zadawać pytania w odniesieniu do poszczególnych kroków.
Główne podobieństwa obejmują:
Przygotowanie – przed audytem

Komunikacją – w trakcie audytu
Zbieranie i weryfikacja ustaleń
Wnioski – na podstawie ustaleń
Raport– przygotowanie i rozesłanie
Zapamiętanie tych kroków procesu może ułatwić akronim P.E.R.C:
Planning - Planowanie
Execute - Wykonanie
Reporting - Raportowanie
Close out/down findings – Zakończenie/Zamknięcie ustaleń
Slajdy
ISO 19011 – Rys 2: Typowe Działania Audytowe

6.2 Inicjowanie audytu
6.2.1 Postanowienia ogólne
6.2.2 Ustalenie początkowego kontaktu z audytowanym
6.2.3 Określenie wykonalności audytu
6.3 Przygotowanie działań audytowych

6.3.1 Przeprowadzenie przeglądu dokumentacji jako przygotowanie audytu
6.3.2 Przygotowanie planu audytu
6.3.3 Wyznaczenie zadań zespołowi audytowemu
6.3.4 Przygotowanie dokumentów roboczych
6.4 Prowadzenie działań audytowych

6.4.1 Postanowienia ogólne
6.4.2 Przeprowadzenie spotkania otwierającego
6.4.3 Przeprowadzenie przeglądu dokumentacji podczas czynności audytowych
6.4.4 Komunikowanie w trakcie audytu
6.4.5 Ustalenie ról i odpowiedzialności przewodników i obserwatorów
6.4.6 Zbieranie i weryfikowanie informacji
6.4.7 Generowanie ustaleń audytu
6.4.8 Przygotowanie wniosków z audytu
6.4.9 Przeprowadzenie spotkania zamykającego
6.5 Przygotowanie i rozesłanie raportu z audytu

6.5.1 Przygotowanie raportu z audytu
6.5.2 Rozesłanie raportu z audytu
UWAGA:
6.6 Zakończenie audytu Numeracja
podpunktów
6.7 Przeprowadzenie działań poaudytowych odpowiada numeracji
(jeśli ujęte w planie audytu) w normie
międzynarodowej ISO
19011:2011
33
Prowadzący przedstawi Rysunek 2 z normy ISO 19011 i omówi przebieg tego

procesu.
Proszę pamiętać, że w przypadku audytu wewnętrznego, nie wszystkie z tych działań

muszą być wymagane.
Slajdy
Ćwiczenie 8
• Plan audytu
20 minut
Start
34
Ćwiczenie 8: Plan audytu.
Cel:
Wyćwiczenie umiejętności przygotowania struktury planu audytu.
Czas:
10 minut dyskusja
Polecenie:
Pracując indywidualnie, proszę przeczytać studium przypadku. Następnie, pracując w grupach,

proszę przygotować plan audytu. Proszę zapisać wynik pracy na papierowej tablicy i
przygotować się do przedstawienia go wszystkim uczestnikom.
Wykorzystując dostarczone informacje, proszę ustalić:
1. Z kim będą Państwo prowadzić wywiady i jakie działania / punkty oceniać

2. Ile czasu może zając każdy z wywiadów
3. Czas potrzebny na spotkania otwierające i zamykające
Cel audytu: Ocenić wdrożenie i skuteczność kryteriów audytu jako części zaplanowanego
audytu wewnętrznego.
Kryteria audytu: Plan postępowania z ryzykiem LDCC
Zakres audytu: Centrum obsługi telefonicznej LDCC w Mumbai
Przedstawiciel audytowanego: przedstawiciele działu według wyboru audytora.
Slajdy
Cel audytu :
Zakres
audytu:
Kryteria
audytu:
Data:
Audytor:
Audytowany:
CZAS AUDYTOWANY OCENIANE DZIAŁANIE/PUNKT NORMY
Slajdy
Listy kontrolne
• Co to jest lista kontrolna?
36
Listy kontrolne
Lista kontrolna jest dokumentem przygotowywanym w fazie planowani audytu. Często listy
kontrolne nazywa się Aide Memoire, co lepiej opisuje ich przeznaczenie. Przygotowana na
podstawie planu audytu, zasadniczo jest listą otwartych pytań, jakie audytor chce zadać
audytowanemu.
Główne funkcje list kontrolnych to:
• Pozwala trzymać się wyraźnie celów audytu

• Stanowi dowód planowania audytu.
• Pomaga utrzymać tempo i ciągłość audytu
• Ogranicza nakład pracy audytora podczas audytowania
Jeśli jest wykorzystywana jako wykaz do mechanicznego odhaczania, lista kontrolna traci
sens.
Slajdy
Ćwiczenie 9
• Listy kontrolne
30 minut
Start
37
Ćwiczenie 9: Listy kontrolne
Cel:
Umożliwienie uczestnikom przygotowania, na podstawie studium przypadku, list kontrolnych,
które będą wykorzystane w późniejszych pracach podczas kursu.
Czas:
30 minut praca grupowa
Polecenie:
Pracując w grupach, wykorzystując notatki z analizy studium przypadku i plan audytu, proszę
opracować 5 „otwartych” pytań, jakie chcieliby Państwo zadać podczas wywiadów z
personelem wybranym z planu audytu.
Proszę unikać pytań zamkniętych.
Proszę zapisać wyniki na papierowej tablicy i przygotować się do przedstawienia ich wszystkim
uczestnikom.
Slajdy
Skuteczna komunikacja
Mowa ciała: 55%
Ton głosu: 38%
Słowa: 7%
Źródło: Oklahoma State University

http://www.oces.okstate.edu/washita/uploaded_files/4h_Learning_Styles.doc
38
Być może największym wyzwaniem dla audytora jest fakt, że pozyskiwanie informacji zależy,
między innymi, od jego zdolności komunikacyjnych. Prawie natychmiast po spotkaniu
kogoś, audytor musi nawiązać wystarczający poziom relacji z ta osobą, by uzyskać fakty
o zasadniczym znaczeniu dla badania, a przy tym zachować obiektywizm. W przypadku gdy
te fakty okażą się potwierdzeniem braku nadzoru nad danym obszarem, audytor musi
zachować się taktownie podczas prezentowania ustaleń.
Główną metodą pozyskiwania informacji jest zadawanie pytań poprzez serię wywiadów.
Aczkolwiek nie jest to zawsze doceniane, najlepszymi wywiadami są te, podczas których
pytający mówi jak najmniej i dokładnie słucha i słyszy odpowiedzi. Łącząc to z odpowiednią
postawą i tonem, audytor tworzy atmosferę, w której można spodziewać się dobrej
komunikacji.
Osoba pytana przez audytora (audytowany) nie może czuć się zagrożona. Wiele osób łatwo
czuje się onieśmielonych przez audytorów. Aby tego uniknąć, audytor powinien być grzeczny,
cierpliwy, nieco nieformalny i nie bać się uśmiechać. Zasadniczą jednak sprawą jest
okazywanie zainteresowania tym, co ludzie mówią – poprzez utrzymywanie pewnego stopnia
kontaktu wzrokowego, krótkie słowne skwitowanie (, ‘Rozumiem’, ‘Aha’, ‘Tak’), co wskazuje,
że ‘przekaz został odebrany’. Można to wzmocnić odpowiednim wyrazem twarzy i ruchem
głowy. Nie ma żadnych standardowych reguł mimicznych czy ruchów głowy zalecanych dla
pozyskania informacji – każdy audytor powinien wypracować swój własny styl.
Często zdarza się, że audytowany (przecież to ludzie!) opacznie rozumie pytanie, czy nawet
zamierza opowiedzieć audytorowi o czymś zupełnie innym. Może się nawet zdarzyć, że ludzie
mówią coś, o czym audytor wie, że to nieprawda. Jeśli w takiej sytuacji audytor gwałtownie
przerywa czy bezpośrednio zaprzecza – nie ma szans na dalszą dobra komunikację.
Slajdy
Ćwiczenie 10
• Spotkanie otwierające
15 minut
Start
39
Ćwiczenie 10: Spotkanie otwierające
Cel:
Zidentyfikowanie punktów porządku dziennego spotkania otwierającego i ich celu.
Czas:
15 minus cała grupa
Polecenie:
Pracując jako jedna grupa, proszę wymienić możliwe punkty porządku dziennego spotkania
otwierającego. Prowadzący zapisze proponowane punkty na planszy i zada pytania
odnoszące się do celu każdego z proponowanych punktów.
Slajdy
Spotkanie otwierające
• Przedstawienie uczestników – lista • Potwierdzić:

• Nadaje ton całemu audytowi o Metody raportowania
• Potwierdzić cel i zakres audytu o Fakt, że audyt opiera się na
• Potwierdzić plan audytu próbkowaniu
• Przydział przewodnika dla zespołu o Poufność
audytowego o Termin spotkania zamykającego
• Poinformować o stosowanych metodach o Kwestie logistyczne
• Ustalić ewentualne ograniczenia
• Wyjaśnić kwestie niejasne
40
Przedstawienie uczestników przed rozpoczęciem spotkania otwierającego – możliwe, że tylko

audytor wiodący i przedstawiciel organizacji mieli okazję poznać się wcześniej, przy okazji 1
etapu audytu. Stąd spotkanie otwierające może być okazją do przedstawienia osób
reprezentujących obie strony.
Podczas audytów trzeciej strony często podczas spotkania otwierającego wyczuwalne jest
pewne napięcie. Mimo, że spotkanie ma charakter formalny, audytor wiodący powinien podjąć
próbę zmniejszenia obaw napięcia.
Należy wyjaśnić podstawowe zasady prowadzenia audytu; należy także potwierdzić cel
i zakres audytu oraz status wydania dokumentów SZBI.
Jako że plan audytu był wcześniej przesłany do audytowanego, podczas spotkania trzeba
potwierdzić jego aktualność oraz ustalenia logistyczne.
Ważne jest także, by organizacja przydzieliła audytorom przewodnika, jako że audytor nie
powinien poruszać się samodzielnie po pomieszczeniach audytowanego.
Należy wyjaśnić sposoby raportowania, a także przypomnieć co znaczą takie pojęcia jak:
uwaga czy niezgodność i jakie są ich implikacje.
Do dobrych i stosowanych praktyk należy ustalenie, kto ma prawo podpisywać, ze strony

organizacji, ewentualne raporty niezgodności. Audytor powinien zwrócić uwagę, by nie
sugerować, że jedynym celem audytu jest ujawnianie niezgodności.
Slajdy
Ćwiczenie 11
• Przeprowadzanie audytu
60 minut
Start
41
Ćwiczenie 11: Przeprowadzanie audytu
Cel: Umożliwienie uczestnikom przeprowadzenia audytu w wolnych od stresu warunkach,

poprzez symulację sytuacji audytu wewnętrznego, z wykorzystaniem planu audytu, list
kontrolnych i studium przypadku.
Czas:
60 minut
Polecenie:
W tym ćwiczeniu wykorzystują Państwo studium przypadku (wraz z notatkami z jego analizy)
oraz cele audytu, kryteria audytu, zakres audytu i wcześniej przygotowane listy kontrolne.
Kiedy nie prowadzą Państwo czynności audytowych, proszę prowadzić notatki, zwracając
szczególną uwagę na ujawnione niezgodności i aspekty pozytywne. Proszę dokładnie słuchać
pytań zadawanych przez osobę audytująca oraz odpowiedzi audytowanych.
Uwaga: Niezgodności ujawnione podczas tego ćwiczenia będą wykorzystywane w kolejnych

ćwiczeniach. Proszę więc zadbać o jakość Państwa notatek!
Prowadzący wcieli się w rolę audytowanego; powinni Państwo określić z kim pragną prowadzić
wywiad przed rozpoczęciem zdawania pytań.
W trakcie audytowania mogą Państwo prosić o przedstawienie zapisów.
Slajdy
Praca domowa
- Proszę przejrzeć notatki z dzisiejszego dnia

– jutro będzie quiz
- Proszę przejrzeć normę ISO 27001
- Proszę przejrzeć notatki z analizy studium
przypadku
42
Praca domowa
Notatki: Jeśli przeglądając notatki zauważą Państwo jakiekolwiek niejasne lub niezrozumiałe
kwestie, proszę poinformować o tym prowadzącego na początku drugiego dnia kursu.
Norma ISO 27001: Nie należy uczyć się normy na pamięć. Proszę przejrzeć poszczególne
punkty i zabezpieczenia i spróbować odnieść je do codziennych praktyk
w Państwa organizacji.
Notatki z analizy studium przypadku: Jutro będziemy prowadzić kolejny audyt,

wykorzystując studium przypadku. Będą Państwo przygotowywali dokumenty robocze audytu
wykorzystując studium przypadku.
Slajdy
Audytor wewnętrzny SZBI

(ISO 27001)
Dzień 2
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Slajdy
Ćwiczenie 12
• Quiz
30 minut
Start
44
Ćwiczenie 12: Quiz
Cel:
Przetestowanie wiedzy uczestników i przyswojenia materiału omawianego podczas pierwszego
dnia kursu.
Czas:
Polecenie:
Pracują indywidualnie, i nie korzystając z notatek, proszę odpowiedzieć na poniższe pytania.
Po 30 minutach, prowadzący omówi quiz, wskazując prawidłowe odpowiedzi.
1) Jaka publikacja zawiera wytyczne odnoszące się specyficznie do audytowania SZBI?

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
2) Jak brzmi definicja aktywów informacyjnych?

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
3) Wskaż 3 zasady bezpieczeństwa informacji

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
Slajdy
4) Czym jest audyt?

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
5) Co oznacza skrót PERC?

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
6) Co to jest zapis?
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
7) Co to jest proces?
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
8) Podaj dwa przykłady celu audytu.

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
9) Wymień 3 zasady audytowania.

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
10) Wymień 5 obowiązków audytora.

…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………
Slajdy
Ćwiczenie 13
• Dokumenty robocze
30 minut
Start
46
Ćwiczenie 13: Dokumenty robocze
Cel:
Sprawdzenie w praktyce umiejętności przygotowania niezbędnych dokumentów roboczych: planu
audytu i list kontrolnych.
Czas:
(Dokumenty te wykorzystywane będą podczas audytowania ‘Dostępu fizycznego’ i ‘Plan

Postępowania z ryzykiem – kopie zapasowe)
Polecenie:
Pracując w grupach, wskazanych przez prowadzącego, wykorzystując studium przypadku
i normy, proszę przygotować dokumenty robocze dla wskazanego obszaru.
Cel audytu – Ocenić wdrożenie i skuteczność kryteriów audytu jako części planowanego audytu
wewnętrznego.
Kryteria audytu – Dostęp fizyczny lub Procedura sporządzania kopii zapasowych (zależnie od
wskazania prowadzącego).
Zakres audytu – Centrum obsługi telefonicznej LDCC w Mumbai
Przedstawiciel audytowanego – pracownicy działów wskazani przez audytora.
Slajdy
Ćwiczenie 14
• Przeprowadzanie audytu
60 minut
Start
47
Ćwiczenie 14: Przeprowadzanie audytu
Cel: Umożliwienie uczestnikom przeprowadzenia audytu w wolnych od stresu warunkach,

poprzez symulację sytuacji audytu wewnętrznego, z wykorzystaniem planu audytu, list
kontrolnych i studium przypadku.
Czas:
Polecenie:
W tym ćwiczeniu wykorzystują Państwo studium przypadku (wraz z notatkami z jego analizy)
oraz cele audytu, kryteria audytu, zakres audytu i wcześniej przygotowane listy kontrolne.
Kiedy nie prowadzą Państwo czynności audytowych, proszę prowadzić notatki, zwracając
szczególną uwagę na ujawnione niezgodności i aspekty pozytywne. Proszę dokładnie słuchać
pytań zadawanych przez osobę audytująca oraz odpowiedzi audytowanych.
Uwaga: Niezgodności ujawnione podczas tego ćwiczenia będą wykorzystywane w kolejnych

ćwiczeniach. Proszę więc zadbać o jakość Państwa notatek!
Prowadzący wcieli się w rolę audytowanego; powinni Państwo określić z kim pragną prowadzić
wywiad przed rozpoczęciem zdawania pytań.
W trakcie audytowania mogą Państwo prosić o przedstawienie zapisów.
Slajdy
Niezgodności
v1.0 October 2013

Copyright © 2013 BSI. All rights reserved. ISM03001ENGX
Slajdy
Niezgodność
“Niespełnienie wymagania”
• Niespełnienie wymagania ujętego w…

• Polityka bezpieczeństwa informacji
• Norma ISO 27001 – system zarzadzania bezpieczeństwem
informacji
management standard
• Proces lub procedura SZBI
• Cele procesów lub zabezpieczenia (skuteczność)
• Wymagania prawne lub regulacyjne
49
Slajdy
Niezgodność (wiedza)
• Mała
• Duża
50
Mała niezgodność: Pojedyncze zaobserwowane uchybienie, które samo przez się nie
prowadzi do dostarczenia niezgodnego wyrobu lub usługi, lub nie budzi znaczących
zastrzeżeń co do zdolności systemu zarządzania do realizacji polityki jakości i celów
organizacji.
Przykład -
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Duża niezgodność: Niespełnienie jednego lub więcej wymagań normy systemu zarzadzania
lub sytuacja wywołująca znaczące obawy co do zdolności systemu zarządzania do osiągania
założonych wyników. Obejmuje to również uchybienie systemu zarządzania odnoszące się do
identyfikowania lub spełniania odpowiednich wymagań prawnych dla wyrobu.
Przykład -
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Slajdy
Ćwiczenie 15
• Niezgodności
40 minut
Start
51
Ćwiczenie 15: Niezgodności
Cel:
Wyćwiczenie umiejętności pozwalających audytorowi stosować normę ISO 27001
w sytuacjach audytowych jak też rozpoznać niezgodność oraz prawidłowo przygotować opis
tej niezgodności oraz jej klasyfikację.
Czas:
Polecenie:
Pracując w grupach, proszę przeczytać scenariusze zamieszczone na kolejnych stronach
i – posługując się własnym rozumowaniem oraz czystym egzemplarzem normy ISO 27001 –
zdecydować, czy uznają Państwo, że scenariusz zawiera przesłanki do podniesienia
niezgodności przy zastosowaniu wymagań normy ISO 27001 jako kryterium.
Jeśli uważają Państwo, że istnieją wystarczające obiektywne dowody dla podniesienia

niezgodności, proszę wskazać odpowiedni punkt normy lub zabezpieczenie.
Jeśli zaś uznają Państwo, że nie ma wystarczających dowodów dla podniesienia niezgodności
– proszę wskazać wątki audytowe, które chudliby Państwo zbadać, by uzyskać obiektywne
dowody zgodności (lub odwrotnie).
Slajdy
Scenariusz 1:
Podczas planowanego audytu wewnętrznego w LDCC, audytor prowadzi wywiad

z Kierownikiem ds. SZBI, Timem, na temat procesu szacowania ryzyka w organizacji.
Audytor: “W jaki sposób decydujecie, które ryzyko akceptować, a które nadzorować?”

Tim: “ Aktywa są sklasyfikowane pod względem ich znaczenia dla organizacji: mogą mieć
znaczenie Niskie, Średnie, Wysokie lub Bardzo wysokie.”
Audytor: “Czy macie definicję, określającą co znaczy np. oznaczenie ‘Wysokie’?”
Tim: “Nie, nie ma takiej potrzeby. Jeśli właściciel aktywów nie wie, to ja mu to mówię.”
Audytor: “Czy przy szacowaniu ryzyk bierzecie pod uwagę prawdopodobieństwo?”
Tim: “No, tak. Z tym, że niektórzy ludzie próbują stosować zabezpieczenia wobec ryzyk, które
praktycznie nie mogą się zdarzyć i wtedy, znowu, ja im mówię co maja robić.”
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Scenariusz 2
Podczas wywiadu z Kierownikiem IT, Johnem Bishopem, audytor pyta o ryzyka związane
z głównym serwerem.
Audytor: “Co zrobi organizacja, gdy główny serwer padnie?”

John: “Dobre pytanie. W sytuacji idealnej mielibyśmy zapasowy serwer, ale to zbyt kosztowna
sprawa. Mój zespól techniczny jest wystarczająco kompetentny, by przywrócić serwer do
użytku przy zachowaniu maksymalnego dopuszczalnego czasu przestoju, ustalonego przez
kierownictwo.”
Audytor: “A co w sytuacji, gdy dane okażą się nieodzyskiwalne??”
John: “ Wiedziałem, że Pan o to zapyta. Wszystkie nasze dane, w tym obrazy systemu, maja
tworzone kopie zapasowe, zgodnie z PPR. Personel techniczny odtwarza je z nośników
magazynowanych poza siedzibą i wszystko gra!”
Audytor: “A co robicie, gdy zespól techniczny nie jest w stanie naprawić serwera
w maksymalnym dopuszczalnym czasie przestoju?”
John: “Nigdy nam się to nie zdarzyło. Nigdy nie mieliśmy awarii serwera.”
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Slajdy
Scenariusz 3
Podczas audytu wewnętrznego w LDCC audytor prosi by go zaprowadzono do miejsca,

w którym przetwarza się dane klientów.
Przewodnik: “Oczywiście, przetwarza się je w obszarze bezpiecznym.”
(Przewodnik prowadzi audytora, staje przed drzwiami zabezpieczonymi czytnikiem kart

i naciska guzik dzwonka. Sarah podchodzi do drzwi.)
Sarah: “Dzień dobry, nazywam się Sarah i jestem tutaj kierowniczką.”

Audytor: “Dzień dobry, nie zajmę Pani dużo czasu, chciałbym zadać parę pytań, jeśli można?”
Sarah: “Ależ tak, proszę pytać!”
Audytor: “Czy mam się wpisać do rejestru gości?”
Sarah: “Ha ha! Nie, to zbędne. Wiemy, kim Pan jest i skąd Pan jest, ale dziękuję, że Pan
o tym pomyślał.”
Slajdy
Przykład niezgodności – dobry opis
• Punkt 4.1.3.d normy ISO 27001 wymaga, by wyłączenia

zabezpieczeń ujętych w Załączniku A były uzasadniane.
• Organizacja zleca na zewnątrz prace rozwojowe dot.

oprogramowania lecz w DS (dokument nr ABC 99 wersja
1.5) brakuje uzasadnienia wyłączenia zabezpieczenia
A.14.2.7 “Prace rozwojowe zlecane na zewnątrz”
54
To jest przykład dobrego opisu niezgodności – zawiera on 3 główne wymagane informacje.
R requirement [ WYMAGANIE ] – W tym przypadku, jako kryterium, posługujemy się normą

ISO 27001, zaś wymaganiem jest to, o czym mówi punkt
normy.
E evidence [ DOWÓD ] – Dowodem jest tutaj Deklaracja Stosowania.
D discrepancy [ ROZBIEŻNOŚĆ ] – Brak uzasadnienia dla wyłączenia zabezpieczenia

A.14.2.7.
Slajdy
Niezgodność
(przykład dobrego raportu)
Audyt SZBI KARTA Kod niezgodności:

NIEZGODNOŚCI
Audytowana firma: Lake Dale Call Center
Audytowany obszar: Prace rozwojowe Punkt ISO 27001:
- oprogramowanie 6.3.1.d
Wymaganie: PUNKT 6.3.1.d normy ISO 27001 wymaga, by
każde wyłączenie stosowania zabezpieczeń
było
uzasadnione
Dowód: Organizacja zleca na zewnątrz stronie trzeciej
(outsourcing) prace rozwojowe nad oprogramowaniem, a w
Deklaracji Stosowania (dokument ABC 99 wersja 1.5 brakuje
uzasadnienia dla wyłączenia stosowania zabezpieczenia
A.14.2.7 „Prace rozwojowe zlecane na zewnątrz”
55
Slajdy
Spotkanie zamykające
• 1. Uczestnicy • 7. Sprawozdanie
• 2. Podziękowania podsumowujące audyt
• 3. Cel/zakres audytu • 8. Uzgodnienie wniosków
• 4. System raportowania • 9. Zalecenia
• 5. Ograniczenia • 10. Wyjaśnienia
• 6. Poufność • 11. Pożegnanie
56
Spotkanie zamykające prowadzi audytor wiodący, a jego celem jest przedstawienie wyników
i wniosków z audytu. Przykładowy porządek dzienny pokazany jest na slajdzie.
W spotkaniu powinni uczestniczyć kierownicy audytowanych obszarów. Należy przypomnieć

cel i zakres audytu, by uniknąć nieporozumień.
Należy podkreślić, że audyt opiera się na próbkowaniu, a stąd nie badano wszystkich
obszarów, tak zgodnych jak i niezgodnych. Możliwe jest więc, że istnieją niezgodności
w obszarach, których audyt nie badał.
Ustalenia i wnioski z audytu powinny być przedstawione w taki sposób, by były zrozumiałe
i potwierdzone przez kierownictwo audytowanego. Zalec się, by najpierw przedstawiać
aspekty pozytywne (dobre praktyki, itp.), a dopiero następnie niezgodności (jeśli będą).
Należy przedyskutować wszelkie rozbieżne opinie pomiędzy zespołem audytowym

a audytowanym i – o ile to możliwe – rozwiązać te rozbieżności. Jeśli to się nie uda, należy
rozbieżności zapisać.
Obowiązkiem audytora wiodącego jest przedstawienie wniosków, do jakich doszedł zespól

audytujący na podstawie ustaleń audytu. Musi to być przemyślana ocena. Bierze ona pod
uwagę wagę stwierdzonych niezgodności oraz to, czy oznaczają one załamanie systemów
w skali działu, czy też w skali całej organizacji. Ocena powinna wyważać niezgodności
z ustaleniami pozytywnymi, poczynionymi w trakcie audytu.
Slajdy
Sprawozdanie z audytu
• Zawartość
57
Sprawozdanie z audytu powinno przedstawiać kompletny, dokładny, zwięzły i jasny zapis

przebiegu audytu oraz zawierać (lub odwoływać się do):
• cele, zakres i kryteria audytu;

• wskazanie klienta audytu;
• skład zespołu audytorów i uczestników ze strony audytowanego;
• daty i miejsca prowadzenia działań audytowych;
• ustalenia audytu i dowody;
• Wnioski z audytu;
• stwierdzenie, że kryteria audytu zostały spełnione.
Patrz przykład sprawozdania z audytu w materiałach pomocniczych.
Slajdy
Ćwiczenie 16
• Sprawozdanie z audytu
60 minut
Start
58
Ćwiczenie 16: Sprawozdanie z audytu
Cel:
Umożliwienie uczestnikom nabycia umiejętności opracowania sprawozdania z audytu.
Czas:
60 minut
Polecenie:
Pracując w grupach, proszę przygotować podsumowanie audytu, wykorzystując dostarczony
wzór. Jako podstawę podsumowania, proszę przyjąć audyt prowadzony drugiego dnia.
Sprawozdanie może być w formie roboczej.
Slajdy
Sprawozdanie z audytu
SPRAWOZDANIE z AUDYTU
DATA:
SPRAWDZIŁ:
ZATWIERDZIŁ:
59
Sprawozdanie z audytu powinno być dostarczone w uzgodnionym czasie. W przypadku

opóźnienia, należy poinformować audytowanego oraz osobę zarządzającą programem
audytów, podając przyczynę.
Sprawozdanie z audytu powinno być opatrzone datą, sprawdzone i zatwierdzone, zgodnie

z procedurami regulującymi zarzadzanie programem audytów.
Wreszcie, sprawozdanie z audytu powinno zostać dostarczone do odbiorców, zgodnie

z procedurami, planem audytu lub ustaleniami ze spotkania zamykającego.
Slajdy
Ćwiczenie 17
• Działania poaudytowe
10 minut
Start
60
Ćwiczenie 17: Działania poaudytowe
Cel:
Zrozumienie celu działań poaudytowych i związanych z tym czynności.
Czas:
Polecenie:
Pracując indywidualnie, proszę odwołać się do punktu 6.7 normy ISO 19011 i określić, co jest
celem tej fazy oraz co zrobiliby Państwo (sprawdzili?) jako audytorzy wiodący.
Slajdy
Podsumowanie kursu i pytania końcowe
• wiedza
• umiejętności
61
PODSUMOWANIE KURSU
Cele dydaktyczne opisują w zarysie, co uczestnicy będą wiedzieli i co będą potrafili po

zakończeniu kursu.
Uczestnicy, po ukończeniu kursu, będą mieli wiedze i umiejętności, obejmujące:
Wiedza:
• Ogólne zasady audytowania i zasady audytowania na zgodność z wymaganiami normy

ISO/IEC 27001
• Działania audytowe
Umiejętności:
• Inicjowanie audytu
• Przygotowanie działań audytowych
• Przeprowadzanie działań audytowych
• Przygotowanie i dystrybucja sprawozdania z audytu
• Zakończenie audytu
• Działania poaudytowe
Slajdy
Dane kontaktowe
BSI Group Polska Sp. z o.o.
Al. Solidarności 171

Adres: 00-877 Warszawa
Telefon: 22 209 0101
Email: infopoland@bsigroup. com

Witryna: www.bsigroup.pl
http://www.bsigroup.pl
62
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………
Slajdy

Auditor Wew, 27001 - Prezentacja

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditor Wew, 27001 - Prezentacja

Uploaded by

Copyright:

Available Formats

System Zarządzania Bezpieczeństwem Informacji (SZBI)): Kurs dla Audytorów Wewnętrznych ( ISO/IEC 27001:2017)

System Zarządzania Bezpieczeństwem

Copyright © 2020 BSI. Wszelkie prawa zastrzeżone.

Kurs Lean Six-Sigma

Audytorzy Kursy Kurs BSI – Kurs audytora Lean Six-Sigma

Struktura kursów oferowanych przez BSI.

Korzyści dla Państwa!

Odpowiednio przeszkoleni audytorzy mogą przyczynić się w poważnym stopniu do powodzenia

Podczas kursu rozwiną Państwo niezbędne umiejętności pozwalające na przeprowadzanie

Dla własnego bezpieczeństwa, prosimy o zapamiętanie wyjść awaryjnych z sali szkoleniowej

Prowadzący wskaże Państwu najbliższe toalety.

Ze względu na komfort innych uczestników, prosimy o unikanie rozpraszania ich poprzez

Prosimy o nie używanie urządzeń do nagrywania dźwięku i obrazu – może to ograniczać

Prowadzący poinformuje Państwa o przerwach obiadowych – prosimy o punktualny powrót do

Informujemy o zakazie palenia tytoniu w sali szkoleniowej i budynku. Jeśli w budynku

Prowadzący przedstawią się sami.

Przedstaw tę osobę całej grupie!

Dostarczyć wytyczne i praktyczne

Wyjaśnić rolę audytora w planowa-

Kurs składa się ze szczegółowego podręcznika uczestnika, sesji szkoleniowych, ćwiczeń

Podręcznik uczestnika zawiera plan kursu, slajdy z notatkami, ćwiczenia, materiały

Modelowe odpowiedzi (w części „materiały pomocnicze”) przeznaczone są do wykorzystania

Oczekujemy, że uczestnicy będą aktywnie uczestniczyli, eksperymentowali i zadawali pytania.

System zarządzania jest ramową strukturą procesów i procedur, wykorzystywaną do

W naszym przypadku, mówimy o Systemie Zarządzania Bezpieczeństwem Informacji,

• Wiedza lub dane, które mają wartość dla organizacji

Czym jest więc informacja? Co to są aktywa informacyjne?

Przechowywanie i komunikowanie informacji

Informacja może być:

• Wydrukowana lub napisana na papierze

Co to jest bezpieczeństwo informacji?

Norma ISO 27001 określa bezpieczeństwo informacji jako zachowanie:

Uwaga: Dodatkowo, można mówić także o innych właściwościach, takich

Integralność: właściwość polegająca na zapewnieniu dokładności i kompletności aktywów.

Dostępność: właściwość bycia dostępnym i użytecznym na żądanie upoważnionego

Wśród specjalistów od bezpieczeństwa IT, zasady te nazywane są triadą CIA.

Potrzeba audytów wewnętrznych

ISO/IEC 27001 Punkt 9.2

• Planowane odstępy czasu – cele stosowania zabezpieczeń

Norma ISO 27007 zawiera

• Terminy i definicje dot. audytu

Ćwiczenie 2: Terminy i definicje

Prowadzący przedstawi prawidłowe odpowiedzi.

Dowód z audytu B Obszar i granice audytu

Ustalenia audytu C Organizacja, która jest audytowana

Audytowany D Zestaw polityk, procedur lub wymagań używanych jako odniesienie, do

Audytor E Cel główny audytu

Program audytów H Opis działań oraz ustaleń organizacyjnych związanych z audytem

Plan audytu I Niespełnienie wymagania

Zakres audytu J Osoba, która przeprowadza audyt

Audytowanie systemów zarządzania

Czym jest audyt?

Czym jest audyt?

Po odpowiedzi na to pytanie i dyskusji, można odwołać się do definicji audytu w normie.

Ćwiczenie 3: Definicja audytu

(Punkt 3.1, PN-EN ISO 19011)

Planuj, Wykonaj, Raportuj, Zamknij

dapibus tempus lectus.

dapibus tempus lectus. Nulla sed posuere

lorem. Praesent sollicitudin non odio eget

Audyt opiera się na cyklu: PLANUJ – WYKONAJ – RAPORTUJ – ZAMKNIJ.

Podczas kursu omówimy każdy z tych obszarów.

Cykl układa się w proces, jeden obszar przechodzi w drugi.