ISMSi siseauditi läbiviimine
Juhtimissüsteemi mõjususe ja soovi korral ka tõhususe kohta teabe saamiseks on üks enamlevinud võimalustest juhtimissüsteemi siseauditi läbiviimine. Auditi läbiviimist nõutakse muuhulgas ka juhtimissüsteemile nõudeid esitavas standardis (infoturbe juhtimissüsteemi puhul nt ISO 27001, samuti teistes alustandardites).
Ehkki siseauditi läbiviimise protsess ei ole iseenesest keeruline, on siiski auditi tellijat täielikult rahuldavat tulemust raske saavutada. Väiksemates organisatsioonides on samuti probleemiks sobiva audiitori leidmine, kellel oleks vajalik väljaõpe ja ühtlasi ka kes oleks objektiivne (ei auditeeriks enda vastutusvaldkonda). Sageli on auditid formaalsed ja parimal juhul tuuakse välja mittevastavused dokumentides esitatud nõuete ja tegeliku olukorra (tegevuse) vahel.
Tänapäeval aina enam fokusseeritud ärimaailmas on oluline kaaluda, milliste juhtimissüstemi tugiprotsessidega peaks organisatsioon ise tegelema ning milliseid protsesse oleks otstarbekam osta sisse teenusena selleks spetsialiseerunud professionaalidelt. Üheks sisseostetvaks valdkonnaks on teatud juhtudel kindlasti ka infoturbe juhtimissüsteemi siseauditi teenus. Professionaalsed audiitorid, kes igapäevaselt erinevate juhtimissüsteemidega kokku puutuvad ja selles valdkonnas suurt praktikat omavad, suudavad auditi läbi viia tulemuslikumalt, objektiivsemalt ning oluliselt väiksema ressursi- ja ajakuluga, kui organisatsiooni enda töötajad.
Seetõttu pakubki TJO Konsultatsioonid oma klientidele võimalust tellida infoturube juhtimissüsteemi (või infoturbe halduse süsteemi, lühendina ISMSi) siseauditite läbiviimist teenustööna sõltumatutele audiitoritelt. See annab võimaluse auditeeritava organisatsiooni juhtkonnale saada objektiivset tagasisidet juhtimissüsteemi toimivuse, tulemuslikkuse ja kehtestatud nõuetele vastavuse kohta ning tuua välja organstatsiooni kitsaskohad ja parendusvõimalused.
ISMSi siseauditi eesmärk
Infoturbe juhtimissüsteemi siseauditi teenuse eesmärgiks on anda kliendile (auditeeritava organisatsiooni juhtkonnale) tagasisidet juhtimissüsteemi toimivuse, tulemuslikkuse ja kehtestatud nõuetele vastavuse kohta ning tuua välja organstatsiooni kitsaskohad ja parendusvõimalused.
ISMSi siseauditi teenuse sisu
ISMSi siseauditi ettevalmistamiseks ning läbiviimiseks vajavad audiitorid protseduuriliste dokumentide (erinevad juhtpõhimõtted, protseduurid, juhendid, eeskirjad, korrad jms) koopiaid (paberkandjal või elektroonilisel kujul). Pärast dokumentatsiooni auditi läbiviimist kooskõlastatatakse kliendiga auditi kava ning lepitakse kokku auditeeritavatega vestluste, tegevuste vaatluste, rakendatavate ohjemeetmete toimimise hindamise ja tõendusdokumentidega tutvumise ajad.
Kliendi poolt peab olema audiitorile tagatud võimalus intervjueerida erinevate protsesside eest vastavaid isikuid, tutvuda tõendusdokumentatsiooniga. Auditi läbiviimisel on kindlasti oluline meeles pidada, et auditi eesmärgiks ei ole süüdlaste või vidade otsimine, vaid kinnituse saamine süsteemi toimimise ja ühtlasi ka rakendatud meetmete sobivuse kohta. Auditite abil saab objektiivse hinnangu organisatsiooni töökorraldusele ja meetmetele. Loomulikult, kui audit toob välja parendusvõimalused, siis viidatakse ka neile ja arutatakse need auditi kokkuvõtte tegemisel läbi.
Auditi käigus tuvastatud leiud (mittevastavused, võrrelds kehtestatud nõuetega, parendusvõimalused ja -ettepanekud) dokumenteeritakse selleks ettenähtud korras ning arutatakse auditis osalenud isikutega läbi auditi lõppkoosolekul. Leidude korrigeerimiseks määratakse vajalikud meetmed ning vastutajad.
Ajagraafik
Siseauditi läbiviimise maht ja ajakava sõltub auditi määratud käsitlusalast, sh organisatsiooni tegevusvaldkonnast, töötajate arvust ning organisatsiooni tegevusasukohtade (nt osakondade, filiaalide) arvust.