Curs auditor intern ISO 27001: ghid pentru CISO si HR
Curs auditor intern ISO 27001: 2-3 zile, 1.000-2.000 lei + TVA, ce contine diploma si diferenta fata de CISA si ISO 27001 Lead Auditor.
93 de controale din Anexa A ISO 27001 si 7 clauze de management sunt subiectul auditului intern al sistemului de securitate a informatiei. Cursul de auditor intern ISO 27001 dureaza 2 sau 3 zile (16-24 ore) si costa intre 1.000 si 2.000 lei + TVA per persoana in Romania. Diploma trebuie sa includa referinta la SR EN ISO/IEC 27001:2023, ISO 19011:2018 si ISO/IEC 27007:2020 pentru a fi acceptata la auditul de certificare.
Cursul nu te face auditor extern si nu inlocuieste calificari internationale precum CISA (ISACA) sau ISO 27001 Lead Auditor. Te pregateste pentru auditul intern al propriei firme, cerut de clauza 9.2 din standard. Pentru cursul de auditor intern echivalent pe calitate, vezi curs auditor intern ISO 9001, care e mai scurt si mai ieftin pentru ca nu cere fundament de securitate IT.
Califica un coleg ca auditor intern al SMSI
Clauza 9.2 din ISO/IEC 27001:2022 cere ca firma sa faca audit intern la intervale planificate, iar clauza 7.2 cere ca persoana desemnata sa aiba competenta dovedita prin instruire, experienta sau ambele. In practica, auditorul extern de certificare cere o diploma de curs de auditor intern, plus o lista cu auditurile interne facute si rapoartele lor.
Auditorul intern al SMSI are sarcini concrete: verifica metodologia de evaluare a riscurilor, lista activelor informationale, Declaratia de Aplicabilitate cu cele 93 de controale Anexa A, jurnalele de incidente, dovezile de instruire pe securitate, planurile de continuitate si testele de penetrare. Pentru o firma de hosting cu 25 de angajati, un auditor intern parcurge intr-o zi 5-7 procese si genereaza un raport cu 3-8 neconformitati minore tipice.
Profilul potrivit e cineva cu fundament tehnic (administrator IT, DevOps, dezvoltator senior, ofiter GDPR cu experienta IT) sau un manager de calitate cu interes pentru securitate. Persoana fara nicio expunere la IT si securitate va avea dificultati sa interpreteze controalele tehnice din Anexa A 8 (criptografie, log-uri, separarea retelelor, gestiunea vulnerabilitatilor).
Cati auditori interni sa califici
Decizia depinde de marimea firmei si de complexitatea SMSI:
- Firma sub 20 de angajati cu 1 birou si infrastructura cloud: 1 auditor intern e suficient, dar califici si un suplinitor
- Firma 20-100 de angajati cu echipa IT proprie: 2 auditori interni, unul cu profil tehnic si unul cu profil de proces
- Firma peste 100 de angajati sau cu mai multe locatii: 3-4 auditori interni, din care minim 2 cu fundament tehnic IT
Independenta cere ca persoana sa nu auditeze procesul pe care il opereaza. Dezvoltatorul senior nu auditeaza propria infrastructura, dar poate audita procesul de incidente sau de furnizori.
Verifica ce trebuie sa contina diploma
Auditorul extern verifica diplomele auditorilor interni la auditul de etapa 1. Pentru ISO 27001 verificarea e mai stricta decat la ISO 9001, pentru ca standardul are referinte tehnice (Anexa A) care cer cunostinte specifice. O diploma fara elementele de mai jos genereaza observatie sau neconformitate minora la 7.2.
- Numele complet al cursantului
- Numarul de ore de instruire (minim 16 ore pentru auditor intern SMSI)
- Referinta explicita la SR EN ISO/IEC 27001:2023 (versiunea 2022 adoptata in Romania)
- Referinta la SR EN ISO 19011:2018 (ghidul general de auditare)
- Referinta la SR EN ISO/IEC 27007:2020 (ghidul specific de auditare a SMSI)
- Tematica acoperita pe scurt sau in anexa la diploma
- Data si locul cursului, formatul (online, sala, in-house)
- Numele si semnatura formatorului
- Datele furnizorului de instruire
Lipsa referintei la ISO/IEC 27007:2020 e cel mai des intalnit motiv de respingere partiala. Daca diploma nu o include, cere furnizorului o adeverinta separata in care sa o adauge. Standardul ISO/IEC 27007 e ghidul de audit specific SMSI si demonstreaza ca persoana a fost instruita pentru auditul securitatii informatiei, nu doar pentru audit de calitate aplicat la 27001.
Compara cu CISA si ISO 27001 Lead Auditor
Confuzia tipica a HR si CISO incepe cand cineva sugereaza calificarile internationale ca alternativa la cursul intern. Sunt trasee diferite, cu costuri si scopuri diferite.
| Calificare | Durata | Pret total | La ce te face apt | Recunoastere |
|---|---|---|---|---|
| Curs auditor intern ISO 27001 | 16-24 ore (2-3 zile) | 1.000-2.000 lei + TVA | Audit intern in propria firma | Diploma de la furnizor de instruire |
| ISO/IEC 27001 Lead Auditor | 40 ore (5 zile) + examen | 4.500-7.000 lei + TVA | Audit extern de certificare in echipa unui organism | Schema de certificare personala (PECB, IRCA, alte scheme) |
| CISA (Certified Information Systems Auditor) | Pregatire 3-6 luni + examen ISACA 4 ore | 3.000-6.000 lei pregatire + 575 USD examen | Audit IT general (nu specific ISO 27001) | Calificare ISACA, internationala, cere 5 ani experienta verificabila |
| Curs ANC pe securitatea informatiei | Variabil, de obicei 80-180 ore | 1.500-3.500 lei + TVA | Calificare profesionala romaneasca | Recunoastere ANC (Ministerul Muncii) |
Pentru auditul intern obisnuit cerut de clauza 9.2, primul rand din tabel e suficient. Daca persoana vrea sa lucreze ca auditor extern (in echipa unui organism de certificare), are nevoie de Lead Auditor. CISA e o calificare paralela, mai larga, utila daca firma are si nevoi de audit IT separate de SMSI.
Alege formatul: online, sala sau in-house
Toate variantele sunt acceptate de auditorul extern, daca diploma respecta cerintele de mai sus. Decizia tine de buget, de numarul de colegi pe care ii califici si de cat de mult vrei ca exercitiile sa lucreze pe procesele firmei tale.
| Format | Durata tipica | Avantaje | Dezavantaje |
|---|---|---|---|
| E-learning asincron | 16 ore in 30 de zile | Flexibil, se face in pauze, ieftin | Fara interactiune live, exercitii limitate |
| Webinar live | 2-3 zile, 6-8 ore/zi | Formator live, intrebari pe loc, fara deplasare | Nu lucrezi pe documentele firmei tale |
| In sala | 2-3 zile, 6-8 ore/zi | Networking cu CISO din alte firme, exercitii in echipa | Pret mai mare, deplasare, cazare |
| In-house la sediul firmei | 2-3 zile | Lucrezi pe SoA si registrul de riscuri reale, califici 5-10 colegi | Pret total mai mare, dar cost per persoana mai mic |
Pentru o firma IT cu 25 de angajati care califica 2 auditori interni, varianta cea mai des aleasa e webinar live. Daca pregatesti tot departamentul de securitate (5-10 persoane) pentru rotatia de auditori interni intre echipe, cursul in-house e mai economic per persoana si exercitiile lucreaza pe SoA-ul propriu.
Calculeaza pretul cursului in 2026
Pretul depinde de format, de furnizor si de numarul de zile. Cursul de auditor intern ISO 27001 e mai scump decat cel echivalent pe ISO 9001, pentru ca formatorul are nevoie de fundament tehnic in securitate (administrator de retea, ofiter de securitate, lead auditor cu portofoliu de audituri SMSI).
| Tip curs | Durata | Pret per persoana | Cui se adreseaza |
|---|---|---|---|
| E-learning auditor intern ISO 27001 | 16 ore | 900-1.300 lei + TVA | Persoane care vor flexibilitate maxima |
| Webinar live auditor intern ISO 27001 | 2-3 zile | 1.200-1.700 lei + TVA | Majoritatea firmelor IT mici si medii |
| In sala auditor intern ISO 27001 | 2-3 zile | 1.500-2.000 lei + TVA | CISO care vor exercitii in echipa |
| In-house la sediul firmei | 2-3 zile | 8.000-15.000 lei + TVA total pentru 5-10 persoane | Echipa de securitate completa |
| ISO/IEC 27001 Lead Auditor | 5 zile + examen | 4.500-7.000 lei + TVA | Cei care vor sa auditeze extern |
Scenariu concret. Ai un SRL de hosting cu 25 de angajati. Pregatesti certificarea ISO 27001 in paralel cu transpunerea NIS2. Califici 2 auditori interni: un sysadmin senior (webinar live, 1.500 lei + TVA) si un manager de proiect cu fundament IT (acelasi curs, 1.500 lei + TVA). Buget total instruire: 3.000 lei + TVA. Dupa certificare, mentii 1 audit intern complet pe an si poti rota auditorii intre procese ca sa preintampini conflictele de independenta.
Dupa ce echipa interna e instruita si SMSI e implementat, urmatorul pas e auditul de certificare cu un organism acreditat. Daca bugetul e prioritar, certificarea online costa intre 1.500 si 2.500 lei + TVA cu proces de la 3 zile lucratoare (certificarestandarde.com).
Alege furnizorul de curs in cinci pasi
Diferenta intre un curs util si unul facut doar pentru diploma se vede in agenda si in profilul formatorului. Cinci criterii practice:
- Cere CV-ul formatorului si verifica daca a auditat efectiv SMSI in ultimii 3 ani (nu doar QMS la firme IT)
- Verifica daca agenda contine cel putin 30% din timp dedicat exercitiilor pe Anexa A si pe evaluarea riscurilor
- Confirma ca diploma include referintele SR EN ISO/IEC 27001:2023, SR EN ISO 19011:2018 si SR EN ISO/IEC 27007:2020
- Cere modele de checklist de audit pe Anexa A si exemple de raport de neconformitate
- Solicita suport post-curs (intrebari prin email pe primele audituri reale, modele de program de audit anual)
Cursul ideal include un exercitiu de audit pe un proces tehnic real (de exemplu controlul A.8.16 monitorizare activitati sau A.5.24 planificare raspuns la incidente). Daca formatorul refuza sa dea agenda detaliata sau CV-ul, e un semnal sa cauti alta varianta.
Pentru pregatirea cursantului inainte de prima zi, recomanda-i sa citeasca ghidul Anexa A cu cele 93 de controale si sa se familiarizeze cu cerintele Directivei NIS2, pentru ca multe firme din Romania pregatesc auditul intern ca raspuns combinat la ISO 27001 si la cerintele DNSC.
Intrebari frecvente
Trebuie auditorul intern sa aiba experienta IT?
Standardul nu o cere explicit, dar in practica e necesara. Auditorul intern fara fundament IT nu poate evalua controalele tehnice din Anexa A 8 (criptografie, jurnalizare, separarea retelelor). Pentru aceste zone, optiunea e fie sa califici un coleg cu profil tehnic, fie sa folosesti un auditor intern extern contractat punctual.
Cursul ANC de Manager Securitatea Informatiei e acelasi lucru?
Nu. Cursul ANC pe securitatea informatiei e o calificare profesionala recunoscuta de Ministerul Muncii, utila pentru CV si pentru rolul de CISO sau ofiter de securitate. Cursul de auditor intern e o instruire scurta, focalizata pe tehnici de auditare. Sunt complementare.
Pot folosi diploma CISA sau Lead Auditor in locul cursului intern?
Da, ambele acopera cerinta de competenta din clauza 7.2 si sunt acceptate de auditorul de certificare. Lead Auditor e mai relevant pentru ISO 27001 (e specific SMSI). CISA acopera audit IT general. In ambele cazuri, persoana ramane auditor intern al firmei tale, nu poate audita extern in numele unui organism de certificare fara contract cu acel organism.
Cat de des reciclez cursul?
Standardul nu cere recurs periodic. In practica, daca auditorul intern face 1-2 audituri pe an si participa la trainingurile de awareness pe NIS2, competenta se mentine. Reciclarea e utila la o tranzitie de versiune (de exemplu cand apare ISO/IEC 27001:2026) sau dupa 3-5 ani fara audit activ.
Cursul online e acceptat de auditorul de certificare?
Da, daca diploma include numarul de ore si referintele standardelor (27001:2023, 19011:2018, 27007:2020). Auditorul extern verifica continutul diplomei si rapoartele de audit intern produse, nu formatul livrarii cursului. Pentru ce verifica concret la auditul de certificare, citeste despre evaluarea riscurilor de securitate si despre Declaratia de Aplicabilitate.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele