این چک لیست حسابرسی داخلی یک راهنمای جامع برای ارزیابی سیستم مدیریت امنیت اطلاعات (ISMS) سازمان شما بر اساس الزامات استاندارد ISO/IEC 27001 است. استفاده از این چک لیست به حسابرسان داخلی کمک میکند تا اطمینان حاصل کنند که تمامی جنبههای کلیدی از زمینه سازمان و رهبری گرفته تا عملیات، ارزیابی عملکرد و بهبود مستمر، به طور کامل پوشش داده شدهاند. پیروی از این ساختار به شناسایی عدم انطباقها و فرصتهای بهبود کمک شایانی میکند.
بخش ۴: زمینه سازمان
۴.۱ درک سازمان و زمینه آن
- مسائل داخلی و خارجی مرتبط با ISMS کدامند؟
- این مسائل چگونه بر توانایی سیستم برای دستیابی به نتایج مورد نظر تأثیر میگذارند؟
۴.۲ درک نیازها و انتظارات طرفهای ذینفع
- طرفهای ذینفع چه کسانی هستند؟
- الزامات آنها چیست؟
- الزامات آنها چگونه مشخص شده است؟
۴.۳ تعیین دامنه ISMS
- دامنه ISMS چیست؟
- چگونه تعریف شده است؟
- آیا منطقی است؟
- آیا مسائل و الزامات مرتبط را در نظر میگیرد؟
- آیا نحوه تعامل سازمان با سایر سازمانها را در نظر میگیرد؟
- آیا دامنه مستند شده است؟
بخش ۵: رهبری
۵.۱ رهبری و تعهد
- چه کسی به عنوان مدیریت ارشد در دامنه ISMS تعریف شده است؟
- مدیریت ارشد چگونه رهبری و تعهد خود را نشان میدهد؟
- آیا خطمشیها و اهداف امنیت اطلاعات ایجاد شدهاند؟
- آیا منابع کافی به ISMS اختصاص داده شده است؟
- مدیریت ارشد چگونه با همه افراد درگیر در ISMS ارتباط برقرار میکند؟
۵.۲ خطمشی (Policy)
- آیا میتوانم خطمشی امنیت اطلاعات را بررسی کنم؟
- آیا مناسب است و حوزههای مورد نیاز را پوشش میدهد؟
- آیا شامل تعهدات مورد نیاز است؟
- چگونه و به چه کسانی ابلاغ و توزیع شده است؟
۵.۳ نقشها، مسئولیتها و اختیارات سازمانی
- نقشها در ISMS کدامند؟
- آیا همه مسئولیتها و اختیارات خود را درک میکنند؟
- چه کسی مسئولیت و اختیار انطباق و گزارشدهی را بر عهده دارد؟
بخش ۶: برنامهریزی
۶.۱ اقدامات برای رسیدگی به ریسکها و فرصتها
- آیا فرآیند ارزیابی ریسک مستندی وجود دارد؟
- آیا به معیارهای پذیرش ریسک و زمان انجام ارزیابیها میپردازد؟
- آخرین ارزیابی ریسک چیست؟
- آیا مجموعه معقولی از ریسکها را شناسایی کرده و مالکان را مشخص میکند؟
- آیا احتمال و تأثیر ریسکها به درستی ارزیابی شده و سطوح ریسک تعیین شده است؟
- ریسکها چگونه ارزیابی و اولویتبندی میشوند؟
- آیا فرآیند مدیریت ریسک مستندی وجود دارد؟
- آخرین طرح مدیریت ریسک را بررسی کنید.
- آیا گزینههای معقولی برای مدیریت ریسک انتخاب شده است؟
- آیا کنترلهای انتخاب شده برای مدیریت ریسکها به وضوح بیان شدهاند؟
- آیا بیانیه کاربردپذیری (SoA) تهیه شده و موارد لحاظ شده و مستثنی شده منطقی هستند؟
- آیا طرح مدیریت ریسک توسط مالکان ریسک امضا شده است؟
۶.۲ اهداف امنیت اطلاعات و برنامهریزی برای دستیابی به آنها
- آیا اهداف امنیت اطلاعات مستند شدهاند؟
- آیا اهداف با بخش ۶.۲ (a) تا (e) مطابقت دارند؟
- آیا برنامهای برای دستیابی به اهداف وجود دارد؟
- آیا تمام عناصر در ۶.۲ (f) تا (j) گنجانده شدهاند؟
بخش ۷: پشتیبانی
- منابع: منابع مورد نیاز برای ISMS چگونه تعیین میشوند و آیا فراهم شدهاند؟
- شایستگی: شایستگیهای لازم چگونه تعیین شده و شایستگی افراد درگیر چگونه اثبات میشود؟
- آگاهی: چه رویکردی برای آگاهیبخشی در مورد خطمشی امنیت اطلاعات و پیامدهای عدم انطباق اتخاذ شده است؟
- ارتباطات: نیاز به ارتباطات چگونه مشخص شده و آیا رویکرد مستندی برای آن وجود دارد؟
- اطلاعات مستند: آیا تمام اطلاعات مستند مورد نیاز استاندارد وجود دارد و آیا کنترلهای مناسبی برای مدیریت آنها اعمال میشود؟
بخش ۸: عملیات
- برنامهریزی و کنترل عملیاتی: چه طرحهایی برای پوشش الزامات، اهداف و مدیریت ریسکها وجود دارد؟
- ارزیابی ریسک امنیت اطلاعات: فواصل زمانی برنامهریزی شده برای ارزیابی ریسک چیست؟
- مدیریت ریسک امنیت اطلاعات: وضعیت طرح(های) مدیریت ریسک چگونه است و موفقیت آن چگونه سنجیده میشود؟
بخش ۹: ارزیابی عملکرد
- نظارت، اندازهگیری، تحلیل و ارزیابی: چه چیزی باید نظارت و اندازهگیری شود و شواهد آن چیست؟
- حسابرسی داخلی: حسابرسیهای داخلی چند وقت یکبار انجام میشود؟ آیا حسابرسان بیطرف هستند؟
- بازنگری مدیریت: بازنگریهای مدیریت چند وقت یکبار انجام میشود و چه کسانی در آن شرکت میکنند؟ آیا تمام حوزهها پوشش داده میشوند؟
بخش ۱۰: بهبود
- عدم انطباق و اقدام اصلاحی: عدم انطباقها چگونه شناسایی و ثبت میشوند؟ آیا اقدامات مناسب برای رفع علل ریشهای انجام شده است؟
- بهبود مستمر: بهبودها چگونه شناسایی میشوند و چه شواهدی از بهبود مستمر وجود دارد؟
این چک لیست تنها بخشی از فرآیند حسابرسی است و باید با دانش و تجربه حسابرس تکمیل گردد. برای مشاهده جزئیات کنترلهای ضمیمه A و سایر بخشها، به مستندات کامل استاندارد مراجعه کنید.
منبع: lSMS-FORM-09-4
