logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

Como fazer a auditoria interna de um SGSI com base na ISO 27001

GlobalSuite Solutions
🕑 5 minutes read

Table of contents

Como parte do ciclo do Sistema de Gestão de Segurança da Informação (SGSI) desta norma internacional, as organizações devem realizar auditorias internas em intervalos planejados, para fornecer informações sobre se o sistema de gestão de segurança da informação está em conformidade com os requisitos estabelecidos pela organização e os requisitos da norma internacional ISO 27001. bem como verificar se o sistema é implementado e mantido de forma eficaz.

A organização deve seguir os seguintes passos para a realização da auditoria interna:

Gestão de Auditoria Interna

Deve ser definido um plano de auditoria que inclua a frequência e as datas de execução, o escopo, a metodologia da própria auditoria e a designação de interlocutores para o planejamento, preparação e apresentação dos relatórios de resultados. Esse plano deve incluir uma descrição dos locais físicos, unidades organizacionais, atividades e processos, bem como as datas de início e término.

É importante ressaltar que as auditorias internas devem ser realizadas por pessoal que não tenha participado da implementação do SGSI, para garantir a objetividade e imparcialidade da auditoria e a independência dos auditores.

As auditorias serão realizadas pelo menos uma vez por ano, e sempre antes da certificação ou auditoria de acompanhamento.

O escopo da auditoria deve incluir uma revisão de todo o sistema de gestão, com base na ISO/IEC 27001, bem como uma revisão de uma seleção de controles implementados na entidade. Essa seleção de controles será feita de comum acordo entre o Auditor Chefe e o Diretor do SGSI, com as informações contidas na Declaração de Aplicabilidade (SoA). Além disso, deve-se garantir que todos os controles no Anexo A (objetivos de controle e controles de referência) da ISO 27001 tenham sido auditados em um ciclo de 3 anos

Execução de Auditoria Interna

Para garantir a correta execução da auditoria, o auditor informará previamente aos responsáveis pelas áreas auditadas que elas serão submetidas a um processo de auditoria interna e solicitará previamente à auditoria, assim que julgar apropriado, a documentação necessária para analisá-la e realizar o desenvolvimento subsequente da auditoria.

A Auditoria Interna do SGSI consiste na revisão de duas partes distintas:

  • Sistema de Gestão: revisão da documentação, revisão da estrutura de gerenciamento do SGSI, contexto, escopo, análise e gerenciamento de riscos, declaração de aplicabilidade (SOA), política de segurança, funções de segurança, gerenciamento de não conformidades, scorecard, etc.
  • Testes de conformidade: nesta fase, é verificado o grau e a eficácia da implementação dos controles de segurança na entidade. Serão realizadas entrevistas com proprietários de ativos, responsáveis pelos processos de negócios, usuários diretos ou indiretos do SGSI, áreas de risco serão revisadas, objetivos e metas estabelecidos serão verificados, documentação in loco do sistema, etc.

Relatório sobre os resultados da auditoria

Uma vez coletadas as evidências necessárias para verificar o cumprimento das diferentes seções e controles da norma, é gerado o relatório de auditoria interna, cujos resultados devem ser levados ao conhecimento da Direção da organização, das áreas auditadas e do Comitê de Segurança para avaliação e tratamento no nível corporativo.

O responsável pelo SGSI será responsável por reportar os resultados obtidos, bem como por manter os registros derivados da realização de auditorias internas.

O relatório deve conter, pelo menos, os seguintes elementos:

  • Áreas e escopo auditados, bem como a data da auditoria.
  • Não conformidades e observações encontradas, acordadas com as entidades auditadas.
  • Avaliação dos pontos fortes e áreas de melhoria do SGSI.
  • Propostas de ações corretivas para as ressalvas ou não conformidades identificadas, destinadas a garantir o cumprimento de um determinado desvio atualmente existente.
  • Recomendações, que não são ações corretivas de uma determinada exceção, mas sim oportunidades de melhoria ou ações que possam implicar uma evolução ou maior maturidade do processo auditado em questão, mas que atualmente não constituem uma ressalva ou não conformidade.
  • Documentação auditada.
  • Assinatura do(s) auditor(es).

Planos de ação

Após a conclusão do relatório de auditoria interna, o oficial do SGSI deve estabelecer ações de acompanhamento para verificar a eficácia das ações corretivas decorrentes da auditoria interna. Esses planos de ação devem ser aprovados no mais alto nível possível na organização, de modo a garantir a correção daqueles problemas ou processos que não estão sendo totalmente cumpridos.

Contratar um serviço de auditoria externa com conhecimento específico no assunto a ser auditado é fundamental para garantir que sua empresa tenha um relatório de auditoria objetivo. A equipe de consultoria da GlobalSuite Solutions garante o sucesso do trabalho de auditoria interna, bem como a implementação dos planos de ação propostos para a correção de desvios.

Share:

GlobalSuite Solutions
. GlobalSuite Solutions es una innovadora plataforma GRC que automatiza la gestión de riesgos, garantiza el cumplimiento de las normativas y optimiza los procesos.

More articles