Nie każdy CIO / CEO słysząc słowa „norma”, „ISO” czy „audit” wie, że tak naprawdę chodzi o poprawę jakości zarządzania procesami w organizacji. System audytów ma przede wszystkim wesprzeć osoby kierujące organizacją w jej zarządzaniu.
Audity Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) mają na celu wykazanie nieprawidłowości w systemie oraz w działających w nich procesach. Raporty dają pogląd sytuacji co się dzieje w danej organizacji, gdzie są słabe strony systemu bezpieczeństwa. Żadna organizacja nie może powiedzieć, że jest to jej całkowicie obojętne.
Audit zewnętrzny czy wewnętrzny?
Tak naprawdę nie ma to znaczenia, gdyż kompetencje audytora muszą być w obu przypadkach podobne. Znaczenie ma natomiast podległość służbowa i możliwości wywierania wpływu na audytora wewnętrznego działającego w strukturach organizacji.
Co audytujemy w SZBI organizacji w przypadku normy PN-ISO/IEC 27001?
Audytowi podlegają obowiązkowo rozdziały od 4 do 8 normy oraz fakultatywnie Załącznik A z zabezpieczeniami stosowanymi w SZBI.