Qualificações para um auditor interno da ISO 27001

Qualificações para um auditor interno da ISO 27001

Um dos requisitos da ISO 27001:2013 é a realização de uma auditoria interna, como definido na Seção 9.2 da norma. Mas, a questão é: Quem pode realizar esta auditoria interna? Nós identificaremos quem nos próximos tópicos.

A norma ISO 27001:2013 não define requisitos que um auditor interno deve atender ao realizar uma auditoria, mas a norma requer claramente que a organização deve selecionar auditores.

Como uma organização seleciona um auditor? Ao estabelecer requisitos. Se estes requisitos não são estabelecidos, qualquer pessoa poderia auditor um SGSI. O que aconteceria se uma pessoa sem experiência ou treinamento relacionado a segurança da informação auditasse um SGSI? A resposta simples e enfática é: O auditor não agregaria valor.

Fundamentos para ser um auditor produtivo

Assim, se um auditor irá agregar valor para uma organização ao realizar uma auditoria interna, é muito importante e altamente recomendado que ele ou ela tenha experiência adequada e conhecimento comprovado em segurança da informação.

Qual experiência? Você deve estar ciente de que a ISO 27001 é relativamente nova, então é difícil encontrar auditores internos que tenham mais de cinco anos de experiência comprovada. Assim, neste caso, requisitos poderiam ser baseados no número de dias gastos realizando auditorias internas da ISO 27001: por exemplo, um mínimo de 5-10 dias para ser um auditor líder. Também é recomendado que um auditor interno tenha experiência como consultor na implementação da norma ISO 27001. Neste último caso, um requisito poderia ser estabelecido que eles tenham participado em no mínimo 2-3 projetos de implementação.

Qual conhecimento? Obviamente, conhecimento sobre a ISO 27001 e segurança da informação é necessário. Este conhecimento pode ser obtido através de treinamentos e cursos. Assim, neste caso, é altamente recomendado que o auditor complete um curso de auditor líder do SGSI, embora também seria desejável que eles completassem um curso de implementador de SGSI.

Se você quer saber quais opções você tem para aprender mais sobre a ISO 27001, você pode ler este artigo: Como aprender sobre a ISO 27001 e a BS 25999-2.

Selecionando um auditor

Em resumo, nós precisamos estabelecer requisitos que nos permitam verificar que o auditor interno possui experiência comprovada na ISO 27001, a qual é basicamente composta do ciclo PDCA (o Ciclo de Deming: Plan, Do, Check, Act), gestão de risco, e uma séria de controles de segurança. Existem algumas organizações que estabelecem um processo de seleção para auditores internos, e neste caso a organização pede ao auditor em potencial para se submeter a um pequeno teste consistindo de uma série de questões. Adicionalmente ao teste, a organização também conduz uma entrevista com o candidato para verificar a veracidade de seu histórico profissional (experiência e treinamento), a apenas se o candidato atende a todos os requisitos e completa todas as etapas ele será elegível para conduzir uma auditoria interna.

E … no mundo real?

Adicionalmente ao treinamento e experiência, geralmente é um diferencial para um auditor possuir uma certificação (e.g., IRCA, CISA, etc.) ou ser qualificado por um organismo de certificação (e.g., BSI, AENOR, Applus, SGS, Bureau Veritas, etc.). Mas, pessoalmente, não me preocupo muito com estas certificações porque existem profissionais que são certificados e qualificados, mas auditam apenas uma vez ao mês, e existem profissionais que não são certificados ou qualificados que tem mais experiência porque realizam auditorias todos os dias. Assim, a coisa importante para mim seria definir a experiência, o treinamento e o conhecimento comprovado que o auditor interno possui.

Assim, de acordo com a ISO 27001 você precise de um auditor interno, e você precisa estabelecer requisitos para selecionar um. Um auditor menos experiente pode realizar o trabalho, mas se você quer agregar valor através da auditoria interna, um auditor interno experiente é crucial.

Nós agradecemos a Rhand Leal pela tradução para o português.

Fonte: ISO 27001 & ISO 22301 Blog