Може ли вътрешният одит да се прави от наш служител?

Да, стандартът го позволява, стига одиторът да не одитира собствената си работа (клауза 9.2). На практика обаче външен одитор вижда неща, които вътрешният човек пропуска - няма вътрешна политика и слепи петна. Затова повечето организации предпочитат външен вътрешен одит.

Колко време отнема вътрешният одит?

За организация с 20-50 служители - обикновено 3 до 5 работни дни, включително планиране, провеждане и доклад. За по-голяма организация или при първи одит може да отнеме 5 до 10 дни. Съгласуваме графика с вашия екип предварително.

Какво се случва, ако одитът открие несъответствия?

Това е нормално и дори полезно - целта на вътрешния одит е точно да хване проблемите преди сертификационния одитор. Получавате конкретен план за действие с приоритети и срокове. Можем да помогнем и с отстраняването на несъответствията.

Колко често трябва да се провежда вътрешен одит?

ISO 27001 изисква вътрешни одити на планирани интервали (клауза 9.2) - обикновено веднъж годишно за цялата система. При значителни промени - нова инфраструктура, придобиване или промяна в обхвата - препоръчваме допълнителен одит.

Вътрешен одит по ISO 27001

Провеждаме вътрешен одит по ISO 27001 - идентифицираме несъответствия и подготвяме организацията ви за успешен сертификационен одит.

Какво предлагаме

Вътрешният одит по ISO 27001 е задължителен елемент от вашата система за управление на информационната сигурност - и точно затова заслужава повече от формално отбиване на номера. Провеждаме одити, които реално показват къде стоите, какво работи и какво се нуждае от подобрение.

Не идваме с готов чекбокс, а с разбиране за вашия бизнес и опит от десетки одити на организации с различен мащаб и сложност.

Нашият подход

Планиране на вътрешния одит

Всеки одит започва с план. Определяме обхвата, критериите и графика, съобразени с вашата организация:

Преглед на текущата Декларация за приложимост (SoA) и одитната история
Определяне на приоритетни области на базата на оценката на риска
Съгласуване на графика с вашия екип - без излишно напрежение
Изготвяне на одитна програма, покриваща всички клаузи от 4 до 10 и приложимите контроли от Приложение А

Провеждане на одита

Работим на място или дистанционно - което е по-удобно за вас. Одитът включва:

Интервюта с ключови служители - от IT екипа до ръководството
Преглед на документация: политики, процедури, записи и доказателства
Проверка на техническите контроли - достъп, мониторинг, криптиране, бекъпи
Оценка на ефективността на процесите, не само на тяхното съществуване

Целта не е да ви „хванем” в нарушение. Целта е да видим реалната картина преди сертификационният одитор да я види.

Доклад и план за действие

След одита получавате ясен, структуриран доклад:

Списък на несъответствията - основни и допълнителни
Наблюдения и препоръки за подобрение
Конкретен план за действие с приоритети и срокове
Оценка на готовността ви за сертификационен или надзорен одит

Не ви оставяме с 50 страници документ и „Успех!”. Обсъждаме всичко, което сме открили с вас и ви помагаме да разберете какво е спешно, какво може да почака и какво вече правите добре.

Кога имате нужда от вътрешен одит

Преди сертификационен одит - за да сте сигурни, че сте готови и няма да има неприятни изненади
Ежегодно - ISO 27001 изисква вътрешни одити на планирани интервали (клауза 9.2)
Преди надзорен одит - за да проверите дали поддържате стандарта след първоначалната сертификация
След значителни промени - нова инфраструктура, придобиване, промяна в обхвата

Ако вече имате внедрена СУИС по ISO 27001, вътрешният одит е естествената следваща стъпка. А ако тепърва планирате, вижте нашето ръководство за ISO 27001 сертификация стъпка по стъпка - одитът на готовността ще ви спести време и нерви.

Защо да изберете нас

Практически опит - провели сме десетки вътрешни одити в организации от 10 до 500+ служители
Независимост - като (външни) вътрешни одитори нямаме конфликт на интереси и даваме обективна оценка
Познаваме стандарта в дълбочина - работим с ISO 27001:2022 ежедневно и следим промените в одиторската практика
Разбираме бизнеса ви - одитираме не само документация, а реални процеси

Следваща стъпка

Не сте сигурни дали вътрешният ви одит е наистина ефективен? Нека поговорим - ще разгледаме конкретната ви ситуация и ще ви кажем какво бихме направили по различен начин.

Вътрешен одит по ISO 27001

Често задавани въпроси