Balogh Zoltán RSM szakértői fotó
Balogh Zoltán 2026.01.23
10 perc
Könyvvizsgálat

Az ISO 27001 projekt harmadik szakasza a felkészítés lezárását, az érett működés bemutatását és a tanúsító auditorok fogadását jelenti. Ez az időszak már nem a kialakításról, hanem a bizonyíthatóságról és a folyamatos fejlesztés demonstrálásáról szól. Ebben a részben bemutatjuk az ISO/IEC 27001 tanúsító audit folyamatát: a vezetőségi átvizsgálást (Management Review), a Stage 1 (dokumentációs) auditot és a Stage 2 (működésellenőrző) auditot, külön kitérve a tipikus nemmegfelelőségekre és a bizonyítékokra (evidence), amiket a tanúsító kérni fog.

Amennyiben az ISO  27001 minősítés első két szakasz jól felépült, a tanúsító audit nem stresszforrás, hanem formalitás: a szervezet bizonyítani tudja, hogy a kontrollok nemcsak léteznek, hanem működnek, mérhetők és irányítottak. Az ISO/IEC 27001 tanúsítás sikeres előkészítése és lefolytatása több, egymásra épülő szakaszból áll: a stratégiai alapozástól (scope és kockázatkezelés) az implementáción és a bizonyítékgyűjtésen (evidence management) át a tanúsító auditig (Stage 1 / Stage 2). 

Vezetőségi átvizsgálás az ISO27001-ben – a tanúsítás előtti „üzleti checkpoint”

A vezetőségi átvizsgálás (Management Review, MR) az ISO 27001 egyik legfontosabb követelménye. Nem adminisztratív feladat, hanem stratégiai eszköz: összefoglalja az IBIR, vagy másik nevén ISMS (Information Security Management System) teljesítményét, kockázatait és üzleti hatásait.

Mit kell tartalmaznia a vezetőségi átvizsgálásnak?  – kötelező elemek

A szabvány elvárásai alapján az MR kimenete többek között az alábbi területekre terjed ki:

  • Kockázati állapot és kockázatkezelési intézkedések státusza
  • Biztonsági események, incidensek összefoglalása
  • Mérőszámok (KPI/KRI) eredményei és trendjei
  • Belső audit megállapításai
  • Beszállítói teljesítmény és kockázatok
  • Változások a szervezeti környezetben (technológia, folyamatok, szabályozás)
  • Fejlesztési lehetőségek és erőforrásigények

Jó gyakorlat: készítsünk MR „dashboardot”

Az MR akkor működik igazán hatékonyan, ha vizuális, adatvezérelt és tömör formában mutatja be az IBIR/ISMS aktuális teljesítményét és kockázati helyzetét. Ennek része lehet például az incidensstatisztikák grafikonos megjelenítése, az SLA-teljesülések alakulása, a hibajavítási idők (pl. reakcióidő, megoldási idő) trendje, az audit-trendek (megállapítások és intézkedések változása időben), valamint a kitettségek áttekintését segítő kockázati hőtérképek.

A vezetőségi átvizsgálás (MR) kimenetei nemcsak belső irányítási szempontból lényegesek, hanem a tanúsító auditor is tipikusan kéri őket: ide tartoznak a jóváhagyott IBIR/ISMS-célok és a kapcsolódó vezetői döntések, az ezekhez rendelt erőforrás-határozatok (például új eszközök beszerzése, képzések indítása vagy IT-fejlesztések jóváhagyása), valamint egy konkrét feladatlista felelősökkel és határidőkkel, amely bizonyítja a döntések következetes végrehajtását és nyomon követését.

Eredmény: A vezetőség igazolhatóan áttekintette és támogatja az IBIR működését – ez kritikus Stage 2 követelmény.

Stage 1 audit (dokumentációsellenőrzés) – Mit vizsgál a tanúsító?

A tanúsító testület (jellemzően akkreditált tanúsító) a Stage 1 audit során azt is értékeli, hogy a dokumentált rendszer és a szervezeti érettség alapján a szervezet készen áll-e a a (Stage 2) ellenőrzésre.

Mit vizsgál a Stage 1 auditor?

A Stage 1 audit előtt a tanúsító elkészíti az audit tervet (agenda, időpontok, interjúk, mintavételezés), amely a teljes tanúsítási ciklus audit programjába illeszkedik.

  • a scope és a szervezeti környezet helyes meghatározását
  • az információbiztonsági politika és a célok megfelelőségét
  • a kockázatértékelés és -kezelés módszertanát és eredményeit
  • az Annex A kontrollok és a Statement of Applicability (SoA), azaz alkalmazhatósági nyilatkozat tartalmát
  • a dokumentált eljárásokat
  • a bizonyítékgyűjtés rendszerét
  • a vezetőségi átvizsgálás és a belső audit meglétét

A Stage 1 tipikus kimenetei

A Stage 1 audit tipikus kimenetei közé tartoznak azok a megállapítások, amelyek elsősorban a dokumentáció pontosítását és finomhangolását szolgálják, jellemzően observation vagy minor jelleggel. A tanúsító ezen felül gyakran ad javítási javaslatokat is, amelyek a működési érettség növelését célozzák, és segítenek abban, hogy a szervezet a Stage 2-re stabilabb, auditbiztosabb állapotban érkezzen.

A Stage 1 végén auditjelentés készül, amely rögzíti a megállapításokat (observation / minor), és ezek alapján születik meg a Go/No-go döntés a Stage 2-re lépésről.

Jó felkészülés esetén a Stage 1 nagyon kontrollált, gyors és kiszámítható folyamat.

Stage 2 audit (helyszíni működésellenőrzés) – a működés valódi vizsgálata

A Stage 2 audit során az auditorok azt ellenőrzik, hogy a folyamatok ténylegesen működnek és bizonyíthatóak.

Fókuszterületek a Stage 2 auditon

  • hozzáférés-kezelési workflow-k
  • incidenskezelés ticketjei és RCA-k
  • változáskezelés nyomvonala
  • vendor-értékelések és SLA-k
  • dolgozói tudatosság és oktatási eredmények
  • asset- és naplókezelés
  • fizikai biztonság
  • backup/restoration tesztek

Az auditor interjúkat tart kulcsszereplőkkel (IT,  HR, vezetőség, fejlesztés, compliance), dokumentumokat vizsgál, bizonyítékokat kér be és helyszíni ellenőrzéseket is végezhet.

A Stage 2 audit során a tanúsító auditor a működés tényleges megfelelőségét értékeli, ennek megfelelően a megállapítások jellemzően három kategóriába sorolhatók. 

Minor nonconformity esetén kisebb, jellemzően dokumentációs vagy korlátozott hatású működési hiányosságról van szó, amely nem kérdőjelezi meg a rendszer egészének működőképességét, de rendezést igényel. 

Major nonconformity esetén már olyan, a működést érdemben érintő kontrollhiány tárható fel, amely a tanúsítás feltételeként helyesbítő intézkedést és bizonyítható javítást tesz szükségessé a tanúsítvány kiadása előtt. 

Emellett gyakran jelennek meg observations jellegű megjegyzések is, amelyek nem nemmegfelelőségek, hanem fejlesztési javaslatok: az IBIR/ISMS érettségének növelését és a kontrollkörnyezet finomítását támogatják.


Fontos: A Stage 2 eredményeit a tanúsító auditjelentésben összegzi.
 

Ez tartalmazza a bizonyítékokra (evidence) való hivatkozásokat, a nemmegfelelőségek besorolását és a szükséges intézkedéseket. A kisebb megállapítások teljesen normálisak, gyakorlatilag minden auditon előfordulnak.

ISO27001 audit megállapítások és gyakori hibák

Tapasztalataink  alapján a tanúsító auditok legtöbbször az alábbi területeken találnak hiányosságot:

  1. Jogosultságok visszavonásának hiányos dokumentálása
    Ha a kilépők hozzáféréseinek megszüntetése nem dokumentált és nem visszakövethető, az auditor számára nem bizonyítható a kontroll működése.
  2. Incidensek nem megfelelő kategorizálása
    Amennyiben valódi biztonsági események „service request”-ként kerülnek rögzítésre, az incidenskezelés, kivizsgálás és intézkedési nyomvonal hiányos lesz.
  3. Változáskezelés megkerülése
    A dokumentálatlan urgent változásoknál hiányzik a jóváhagyás, tesztelés és visszaállítási nyomvonal, ami kontrollhiányként értékelhető.
  4. Vendor felülvizsgálatok hiánya
    Ha a kritikus beszállítók éves (vagy kockázatarányos) értékelése elmarad, a harmadik feles kockázatkezelés bizonyíthatósága sérül.
  5. Mérőszámok nem relevánsak vagy nem mérhetők
    A KPI-k önmagukban nem elegendők: tényleges adatgyűjtés és rendszeres riportálás nélkül a monitoring csak formális.
  6. MR túl formális vagy hiányos
    Ha az MR nem tartalmaz érdemi döntéseket és konkrét action itemeket felelőssel és határidővel, a vezetői irányítás és a folyamatos fejlesztés nem igazolható.

Megoldás: erős evidence management, rendszeres belső audit, és az érintett területek tudatos bevonása.

A tanúsítás utáni időszak: fenntarthatóság és folyamatos fejlesztés

Az ISO 27001 tanúsítvány megszerzése nem a projekt vége - az IBIR, avagy ISMS működtetése hosszú távú feladat.

Tanúsítás utáni kötelező aktivitások:

  • Éves belső audit
  • Éves vezetőségi átvizsgálás
  • Éves kockázatfelülvizsgálat
  • Legalább éves vendor-értékelések
  • Folyamatos monitoring és KPI riportálás

Felügyeleti auditok és újratanúsítás (Surveillance audit)

A tanúsító évente visszatér, és ellenőrzi:

  • a kontrollok fenntarthatóságát
  • a nemmegfelelőségek kezelését
  • az IBIR fejlesztését.

A felügyeleti audit kevesebb területet vizsgál, de a működést ugyanolyan szigorúan ellenőrzi.

Major nemmegfelelőség kezelése esetén a tanúsítás feltétele tipikusan az, hogy a szervezet bizonyíthatóan végrehajtsa a helyesbítő intézkedést (corrective action), és benyújtson egy részletes javítóintézkedési tervet (CAPA: okok feltárása, intézkedések, határidők, felelősök, hatékonyság-ellenőrzés).

Újratanúsítás (Recertification) – 3 évente. Ez gyakorlatilag egy teljes Stage 2 audit – újraértékeli az egész rendszert.

Mit eredményez az ISO 27001 projekt harmadik szakasza?

A záró fázis végére a szervezet dokumentáltan lezárja a vezetőségi átvizsgálást, amelyben a vezetőség áttekinti az IBIR/ISMS teljesítményét és kockázatait, valamint dönt a szükséges intézkedésekről és erőforrásokról. A tanúsító auditor a Stage 1 dokumentációs felülvizsgálaton igazolja, hogy a scope, a kockázatkezelési megközelítés, a SoA és a kapcsolódó dokumentumok megfelelőek. 

A Stage 2 működésellenőrzés során pedig bizonyíthatóvá válik, hogy a kontrollok ténylegesen működnek és auditálhatók. A megállapítások kezelése után a szervezet megszerzi az ISO/IEC 27001 tanúsítványt, miközben kialakul a hosszú távú IBIR működési ciklus (monitoring, KPI-riportálás, belső audit, éves MR és kockázatfelülvizsgálat).

Más szóval: nemcsak tanúsított, hanem működőképes, auditbiztos és üzletileg is értéket teremtő információbiztonsági rendszert épített fel.

Hogyan válik az ISO 27001 valódi üzleti előnnyé?

A megfelelően bevezetett és fenntartott IBIR/ISMS (ISO/IEC 27001) nem csupán megfelelési keretrendszer, hanem közvetlen üzleti előny: gyorsítja a szerződéskötéseket és a vendor-auditok teljesítését, csökkenti a biztonsági incidensek számát és hatását, valamint transzparens, bizonyítható működést teremt a partnerek és auditorok felé. 

A tanúsítás emellett erősíti az ügyfélbizalmat és a piaci pozíciót, és stabil alapot ad a kapcsolódó megfelelési elvárásokhoz, különösen a NIS2, DORA és GDPR követelmények teljesítéséhez.

Az RSM gyakorlati, auditbiztos megközelítéssel támogatja az ISO 27001 felkészítést, a belső auditot, valamint a tanúsító auditokra (Stage 1 / Stage 2) történő felkészülést.

Támogatásra van szüksége a tanúsítás előkészítésében vagy a belső auditban?

Az RSM auditbiztos, gyakorlati megközelítéssel támogatja az ISO 27001 bevezetését és működtetését.

ISO 27001  felkészítés és belső audit érdekel

Kapcsolódó cikkek az ISO 27001 tanúsítás témájában

portfolioblogger
könyvvizsgálat

Érdeklik az adó, számviteli és jogi változások?

Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

Feliratkozom