Audit ISO 27001: ce verifică Etapa 1 și Etapa 2
Auditul ISO 27001 are 2 etape: Etapa 1 verifică documentația ISMS (domeniu, SoA, evaluarea riscului), iar Etapa 2 verifică implementarea reală prin dovezi.
Ce verifică auditul de certificare ISO 27001 la Etapa 1 și la Etapa 2? Etapa 1 verifică documentația sistemului de management al securității informației: domeniul, Declarația de Aplicabilitate și evaluarea riscului. Etapa 2 verifică dacă pui în practică ce ai scris, prin dovezi reale și interviuri cu angajații.
Regula celor două etape e aceeași pentru orice standard ISO și vine din ISO/IEC 17021-1, după care lucrează orice organism de certificare acreditat RENAR. Am descris-o pe larg în ghidul despre auditul de certificare în două etape. Aici ne uităm strict la ce înseamnă fiecare etapă pentru un sistem de management al securității informației ISO 27001, unde auditorul nu verifică procese de calitate, ci controale de securitate, riscuri și dovezi tehnice.
Cum se împart cele două etape la ISO 27001?
| Criteriu | Etapa 1 | Etapa 2 |
|---|---|---|
| Întrebarea de bază | Ai scris ce cere standardul? | Faci în realitate ce ai scris? |
| Ce verifică | Documentația ISMS și gradul de pregătire | Implementarea și eficacitatea controalelor |
| Unde se face | De regulă de la distanță | La sediu, uneori parțial online |
| Dovezi căutate | Domeniu, SoA, evaluare și tratare risc, politici, audit intern | Loguri, jurnale de acces, scanări, rapoarte de incidente, interviuri |
| Durată tipică (firmă mică) | 1-2 zile | de la câteva zile, crește cu numărul de angajați |
| Rezultat | Arii de îngrijorare | Decizie de certificare |
Durata fiecărei etape se calculează după ISO/IEC 27006, în funcție de numărul de angajați și de complexitatea sistemului. Rezultatul Etapei 1 nu este o listă de neconformități, ci o listă de arii de îngrijorare pe care le repari înainte de Etapa 2.
Ce verifică Etapa 1 la ISO 27001?
Etapa 1 este analiza documentației ISMS. Auditorul confirmă că documentele obligatorii există și se leagă între ele, înainte să vină la fața locului.
La Etapa 1, auditorul se uită la:
- domeniul ISMS (clauza 4.3): ce sisteme, locații, procese și persoane intră în certificare și ce este exclus
- Declarația de Aplicabilitate (SoA): toate cele 93 de controale din Anexa A, fiecare marcat aplicabil sau exclus, cu justificare
- evaluarea riscurilor de securitate și planul de tratare a riscului, care trebuie să se potrivească cu deciziile din SoA
- politica de securitate a informației și obiectivele de securitate
- dovada că ai făcut deja un audit intern și o analiză de management, amândouă obligatorii înainte de Etapa 2
Tot aici intră informațiile documentate cerute de ISO 27001:2022: rezultatele evaluării și ale tratării riscului, dovezile de competență, înregistrările de monitorizare și măsurare. SoA este primul document pe care îl cere auditorul și îl folosește ca hartă pentru tot restul. Dacă SoA spune că un control e aplicabil, dar evaluarea de risc nu menționează riscul respectiv, ai o incoerență pe care auditorul o notează imediat.
Ce verifică Etapa 2 la ISO 27001?
Etapa 2 verifică dacă ISMS funcționează cu adevărat. Aici contează dovezile, nu declarațiile. Auditorul ia controalele marcate „implementat” în SoA și cere să vadă că lucrează în practică.
Tipuri de dovezi pe care le cere la fața locului:
- jurnale și loguri ale sistemelor: acces, autentificări, modificări de configurație
- înregistrări ale reviziilor periodice de acces și ale gestionării drepturilor
- scanări de vulnerabilități și rapoarte de remediere
- rapoarte de incidente și modul concret în care au fost tratate
- înregistrări de instruire și de conștientizare a angajaților
Pe lângă documente, auditorul intervievează administratori, ingineri și conducere, ca să vadă dacă oamenii cunosc politicile și le aplică. Greșeala tipică: scrii în SoA că A.8.16 (monitorizarea activităților) este implementat, dar nu poți arăta loguri colectate. Auditorul ridică o neconformitate. Remediul e simplu: pornește colectarea logurilor cu câteva luni înainte de Etapa 2, ca să existe istoric real la momentul auditului.
Cum arată cele două etape pentru o firmă reală?
Ai o firmă de software cu 40 de angajați care operează o platformă SaaS și vrei certificarea ISO 27001 pentru un client mare care o cere prin contract.
La Etapa 1, făcută de la distanță, auditorul citește SoA și observă că ai exclus controlul de criptare A.8.24, deși prelucrezi date personale ale clienților. Îți semnalează două arii de îngrijorare: justificarea de excludere intră în conflict cu evaluarea de risc, iar planul de tratare a riscului nu acoperă scenariul de pierdere a datelor din baza de producție. Le rezolvi în patru săptămâni.
La Etapa 2, auditorul vine trei zile la sediu. Intervievează doi ingineri, verifică logurile de acces la platformă, cere ultimul raport de scanare a vulnerabilităților și dovezile de instruire. Nu găsește neconformități majore, iar organismul acreditat emite certificatul, valabil 3 ani.
Ce urmează după Etapa 2?
Decizia de certificare se ia la finalul Etapei 2, în funcție de neconformitățile găsite. La o neconformitate minoră, trimiți un plan de acțiuni corective și dovezi într-un termen scurt, iar certificatul se poate emite. La o neconformitate majoră, certificatul nu se emite până nu repari problema și auditorul verifică corecția.
Dacă firma ta intră sub incidența NIS2, transpusă în România prin OUG 155/2024, auditorul se uită cu atenție la controalele de gestionare a incidentelor, pentru că ești obligat să raportezi incidentele de securitate către DNSC.
Certificatul ISO 27001 este valabil 3 ani, cu audituri de supraveghere anuale și recertificare la final. Etapa 1 și Etapa 2 descrise aici se aplică doar la certificarea inițială.
Întrebări frecvente
Pot pica la Etapa 1 a auditului ISO 27001?
Nu pici propriu-zis, pentru că Etapa 1 nu dă neconformități, ci arii de îngrijorare. Dacă însă documentația ISMS lipsește aproape complet, organismul poate amâna Etapa 2 până ești pregătit.
Ce documente cere auditorul la Etapa 1?
Domeniul ISMS, Declarația de Aplicabilitate, evaluarea și planul de tratare a riscului, politica de securitate a informației, obiectivele de securitate, plus dovada unui audit intern și a unei analize de management.
Cât durează între Etapa 1 și Etapa 2?
De obicei câteva săptămâni, între 2 și 8, în funcție de câte arii de îngrijorare ai de rezolvat după Etapa 1. Organismul stabilește data Etapei 2 după ce vede rezultatul primei etape.
Etapa 1 se face online sau la sediu?
De regulă Etapa 1 se face de la distanță, ca analiză a documentației. Etapa 2 se face la sediu, pentru că acolo auditorul verifică dovezile reale și discută cu angajații.
Cele două etape se aplică și la recertificarea ISO 27001?
Nu. Etapa 1 și Etapa 2 sunt specifice certificării inițiale. La recertificarea de la 3 ani se face de obicei un singur audit, dacă ISMS a funcționat constant între timp.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele