Šta tačno proveravaju na ISO 27001 auditu — i kako da budete spremni

Nervoza pred certifikacionim auditom je normalna. Svi smo je imali, i iskusni CISO-ovi i firme na prvoj sertifikaciji. Ali veći deo te nervoze dolazi od neizvesnosti — šta će revizor stvarno da pita, gde će krenuti, šta je ona stvar koja može 'potopiti' audit. Odgovor je jasniji nego što izgleda.

Certifikacioni audit ima dve faze. Stage 1 (dokumentacioni pregled, obično 1–2 dana) — revizor gleda da li imate svu obaveznu dokumentaciju, da li je konzistentna i da li ISMS scope i SoA imaju logiku. Stage 2 (audit na licu mesta, 2–5 dana zavisno od veličine) — revizor intervjuiše ljude, traži evidencije da kontrole rade u praksi i prati nit od rizika do kontrole do dokaza.

Šta revizori najčešće nađu kao major non-conformity: neaktuelni risk register (procena stara dve godine, firma promenila tri sistema od tada), SoA koji ne prati stvarno stanje kontrola, odsustvo evidencija o obukama i svesti o bezbednosti (zna menadžment, ne zna operativno osoblje), management review koji nije održan ili nema formalne zapisnike, i otvorene korektivne mere bez progresa.

Šta revizori NE kažnjavaju kao non-conformity: savršena implementacija svake tehničke kontrole, dokumentacija bez greška u formatiranju, 100% skor u svim security alatima. Audit je audit sistema upravljanja, ne penetracioni test.

Priprema nedelju dana pre audita: prođite kroz risk register i ažurirajte sve što se promenilo, proverite da li su obuke za sve zaposlene evidentirane, prođite kroz otvorene korektivne mere i zatvorite šta možete, i uradite interni mock interview s ključnim osobama — menadžerom, IT-om, HR-om — da proverite da li odgovaraju konzistentno na pitanja o politici.

Naš vCISO ostaje s klijentom kroz ceo audit proces — od mock audita do finalnog certifikacionog intervjua. Pogledajte vCISO i ISO 27001 stranicu za detalje.