Często zadawanym pytaniem jakie trafia do CeCert Sp. z o. o. jest to czy osoba po ukończeniu szkolenia można być audytorem wiodącym wg ISO/IEC 27001 (ISMS). Na tak postawione pytanie jedyną odpowiedzią jest “to zależy”.
Generalnie po ukończonym szkoleniu kandydat może złożyć swoje dokumenty (CV, zaświadczenia ukończenia szkolenia, referencje itp) do jednostki certyfikującej systemy zarządzania, takiej jak CeCert Sp. z o. o. , która przeprowadzi proces ich oceny. Jednostki działające pod akredytacją (np. PCA) muszą spełniać wymagania norm z rodziny PN-EN ISO/IEC 1702X, a w przypadku ISMS również PN-EN ISO/IEC 27006‼️ stąd też kandydat na audytora musi posiadać nie tylko ukończone 40 godzinne szkolenie (godziny tu są bardzo ważne) na audytora wiodącego ale także doświadczenie zawodowe, i udokumentowane obserwacje. Stąd też nie każda osoba z ukończonym szkoleniem może prowadzić audyty dla jednostek certyfikujących wg programu 27001.
Jeżeli jednostka certyfikująca nie posiada akredytacji, wówczas sama decyduje o kryteriach powoływania audytorów, które mogą być niższe, równe lub wyższe niż zaprezentowane w PN-EN ISO/IEC 27006. Jeżeli jednak w przyszłości będzie starać się o akredytację, wówczas “niższe” kryteria odpadają.
Innymi słowy, na zadane pytanie, czy po szkoleniu można być audytorem… można o ile jednostka certyfikująca systemy zarządzania pozytywnie oceni i powoła taką osobę.
Inaczej sytuacja wygląda w przypadku osoby która uzyskała Certyfikat Audytora Wiodącego wg ISO/IEC 27001, szczególnie w świetle zapisów ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Cyberbezpieczeństwo ostatnio odmieniane jest przez wszystkie przypadki m.in. dlatego, że żyjemy w bardzo turbulentnym otoczeniu. Tu pojawia się Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która określa m.in. wymagania i wytyczne dla operatorów usług kluczowych. Aby mogli oni spełnić nałożone obowiązki, muszą nie rzadziej niż raz na 2 lata przeprowadzać audyty bezpieczeństwa swojego systemu informacyjnego.
Czy każdy może przeprowadzić taki audyt? Oczywiście nie.
Ustawa daje operatorom możliwość wyboru: albo korzystają z usług jednostek certyfikujących – akredytowanych w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych – patrz akredytacja PCA na ISMS, albo korzystają z usług co najmniej dwóch audytorów, którzy muszą spełniać wymogi kompetencyjne. Nie chodzi zatem tylko o ukończenie szkolenia z zakresu ISO/IEC 27001 ale przede wszystkim o potwierdzenie m.in. tej wiedzy przez niezależną stronę trzecią. Ustawodawca dookreślił wymagania kompetencyjne dla audytorów, publikując w rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. wykaz certyfikatów uprawniających do przeprowadzenia audytu w rozumieniu ww. ustawy. Obok certyfikatów takich jak CIA, CISM czy CISA pojawił się Certyfikat audytora wiodącego SZBI wg normy PN-EN ISO/IEC 27001 wydany pod akredytacją – w Polsce PCA.
Każda funkcjonująca w Polsce akredytowana jednostka certyfikująca osoby posiada swój program certyfikacji (w tym CeCert Sp. z o. o. ), który określa wymagania dla kandydatów – w tym przypadku audytorów wiodących SZBI wg 27001. Mimo, iż wszystkie programy różnią się między sobą, to nad spójnością systemu czuwa PCA. Zatem, niezależnie od jednostki do której kandydat przesyła swój wniosek, aby zostać certyfikowanym audytorem należy wykazać się odpowiednim wykształceniem, wiedzą i doświadczeniem, które weryfikowane są przez jednostkę w procesie oceny.
To jest zatem najważniejsza różnica między samym ukończeniem szkolenia, a certyfikatem audytora. Ukończone szkolenie jest to najczęściej tylko jedno z wymagań niezbędnych do uzyskania certyfikatu – i najczęściej nie najważniejsze. Dużo ważniejsze może okazać się doświadczenie zawodowe audytora. Ale to już temat na kolejny wpis.
Jeżeli macie Państwo pytania do tego wpisu zapraszam do kontaktu. Zachęcam również do odwiedzenia mojego profilu na Linkedin, gdzie również publikuje swoje wpisy.