AUDIT 27001: COME SI SVOLGE?

Quando si parla di certificazione 27001 non si può non parlare di audit, ovvero quel “processo sistematico, indipendente e documentato per ottenere evidenze e valutarle con obbiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti”. (ISO 19011:2018)

Sostanzialmente gli elementi che determinano l’audit sono:

• Processo: insieme di attività che devono apportare valore (misura dell’efficacia dei processi);
• Sistematico: utilizzare criteri predefiniti;
• Indipendente: condotto da personale non direttamente coinvolto nelle attività oggetto di verifica;
• Documentato: i risultati devono essere documentati e basati su evidenze oggettive;

Bene, una volta definito cosa si intende per audit, bisogna fare una distinzione; gli audit possono essere rispettivamente interni, ad esempio riunioni periodiche della Direzione; esterni di seconda parte ad esempio effettuati dai clienti e in generale da chi ha un interesse nell’organizzazione; infine esterni di terza parte, effettuati da organismi di audit esterni indipendenti, che rilasciano certificazioni di conformità.

Gli audit 27001 sono rivolti a controllare e verificare lo stato della sicurezza delle informazioni; per condurre un audit in maniera efficace è necessario rispettare una serie di principi inderogabili: gli stessi si fondano su una serie di principi che devono essere rispettati:

1. Principio di integrità: rappresenta il fondamento della professionalità, gli auditor dovrebbero svolgere il lavoro in modo etico, onesto, responsabile, devono essere competenti e svolgere il loro lavoro con equità e senza pregiudizi;
2. Presentazione imparziale: obbligo di riflettere in modo veritiero e accurato;
3. Dovuta professionalità: l’applicazione di diligenza e giudizio nel corso dell’attività di audit;
4. Riservatezza: gli auditor dovrebbero agire con discrezione nell’utilizzo e nella protezione delle informazioni acquisite nel corso dei loro compiti;
5. Indipendenza: gli auditor dovrebbero essere indipendenti dall’attività sottoposta ad audit, rappresenta la base per l’imparzialità e l’obbiettività delle conclusioni dell’audit;
6. Approccio basato sull’evidenza: deve essere applicato un metodo razionale per raggiungere conclusioni affidabili e riproducibili;
7. Approccio basato sul rischio: l’approccio basato sul rischio dovrebbe influenzare in modo sostanziale la pianificazione, la conduzione e il reporting degli audit;

Un aspetto fondamentale per effettuare un audit 27001 è sicuramente la pianificazione dello stesso. A questo scopo la UNI 19011 ci aiuta spiegandoci che per effettuare una buona pianificazione dell’attività sarà opportuno, preventivamente, definire un programma di audit (pianificazione di uno/ più audit in un arco di tempo definito) e inoltre, definire un piano di audit (descrizione delle attività che verranno affrontate in fase di audit).

Qual è il campo dell’audit?

Il campo dell’audit generalmente comprende localizzazioni fisiche, unità organizzative, attività / processi. Nell’audit 27001 Il campo di applicazione deve essere riportato nella documentazione di sistema e inoltre deve essere presente sul certificato rilasciato dall’OdC (Organismo di Certificazione).

Ruolo della Direzione

Altro aspetto da tenere in considerazione nell’audit 27001 è sicuramente il coinvolgimento della Direzione in ottica del così detto “Ciclo di Deaming” (PLAN – DO – CHECK – ACT); sarebbe opportuno dunque incontrare l’alta Direzione almeno due volte, all’inizio dell’audit, per condividere le basi del sistema, gli obbiettivi strategici e a spinta al miglioramento; dopo l’audit bisognerebbe incontrare la Direzione per condividere con essa i risultati dell’audit.

Risultati dell’audit

Nella sostanza i risultati dell’audit 27001 permettono di rispondere a una serie di questioni fondamentali:

• Il sistema di gestione delle informazioni implementato è adeguato?
• Funziona correttamente?
• È efficace?

Anche in questo caso le attività vanno valutate in ottica del ciclo di Deaming (PLAN – DO – CHECK – ACT). In generale le risultanze dell’attività di audit possono suddividersi in conformità e non conformità al sistema di gestione delle informazioni. Rispetto alle risultanze dell’attività di audit è fondamentale raccogliere le registrazioni come evidenze dell’attività effettuata.

Grazie alle attività di audit è possibile delineare rispettivamente sia i punti di forza, che i punti di debolezza, in questo modo la realtà soggetta ad audit sarà cosciente e potrà sempre adottare piani di miglioramento, per raggiungere un livello più alto di sicurezza delle informazioni.