Hur man undviker vanliga ISO 27001 internrevisionsmisstag

Internrevisioner av ledningssystemet är ett obligatoriskt krav enligt ISO 27001 och alla andra vanliga ISO-standarder. Kraven är mycket minimala, men när de granskas objektivt och detaljerna i dem är mycket icke-preskriptiva. Detta innebär att det finns ett stort utrymme för att effektivisera revisionsprocesserna och få verkliga affärsnytta av dina interna revisioner. Tyvärr, ibland historiskt, den revisioner ses som en icke-värdeskapande smärta; men vi kommer att förklara varför detta kan hända och hur man undviker det med hjälp av vår checklista för internrevision.

Vanligt misstag: Att inte omfamna interna revisioner som ett verktyg för affärsförbättring

Att ibland ta en objektiv syn på dina processer och system kan frigöra massor av outnyttjat värde.

Vad är en ISO 27001 internrevision?

"Audit" är ett ord som ingen gillar att höra - det har historiskt och generellt negativa och betungande konnotationer. Dessa är i första hand föråldrade; dock – ser upplysta organisationer revisioner som ett förbättringsverktyg för sina ledningssystem och process. När det gäller ett ISO 27001 Information Security Management System (ISMS), är dessa revisioner fokuserade på informationssäkerhetsrelaterade arrangemang.

Vanligt misstag: Att utföra en certifieringsrevision på ett officiellt och överformellt sätt

"tonen" i internrevisionsrapport kan (och vi tror måste) drivas av revisorn att vara vänlig och samarbetsvillig. Så länge som relevanta resultat framkommer i slutet av revisionsprocessen är det ett framgångsrikt resultat.

Smakämnen ISMS består av nödvändiga processer, procedurer, protokoll och personer för att skydda dess informations- och informationssystem mot ISO 27001 standardramverket. En internrevision enligt ISO 27001 är processen för att avgöra om ditt ISMS fungerar som det är designat och letar efter förbättringar (enligt klausul 10.2 - med en slående titel "kontinuerlig förbättring"). Praktiskt taget en intern ISO 27001 revision hjälper organisationer att säkerställa att de följer sina självföreskrivna krav (även definierade i ISMS) och standardkraven.

Vanligt misstag: Att definiera i ditt ISMS att något händer – när det inte händer i verkligheten

Det är oförlåtligt när du definierar ditt ledningssystem som passar din verksamhet. Du har därför konstruerat en revisionsfälla i ditt ledningssystem. Inom paragraf 9.2 anger ledningskraven i ISO 27001 att organisationen ska genomföra interna revisioner med ”planerade intervall” – hur du än väljer att definiera dessa intervall.

Vanligt misstag: Att inte definiera lämpliga "planerade intervall" i revisionsprogrammet

Denna definition är utformad för att ge flexibilitet vid fastställandet av ditt program, men det är ofta så att den lämpliga "sweet-spot" inte hittas, vilket leder till under- eller överrevision.

Alla vi har hjälpt gå för ISO 27001 klarade första gången. Det kunde du också.
Boka din demo

 

Varför är internrevision viktiga?

Revisioner säkerställer att ett ISMS presterar mot de uppsatta målen för det. Utan denna garanti finns det ingen verklig garanti för hur väl den kommer att leverera när det gäller att skydda ditt företags information. Internrevisioner är viktiga eftersom de hjälper organisationer att identifiera och korrigera svagheter i deras ledningssystem för informationssäkerhet. Revisionskriterierna/resultaten används sedan på flera sätt:

  • Att bedöma ledarskap/ledning av ISMS:s prestanda
  • Till förbättra ISMS
  • Att leta efter synergier när det gäller potentiella problem och korrigeringar
  • Att reparera delar av system och processer som inte fungerar för att designa

Vanligt misstag: Att inte varna ledningen tillräckligt snabbt när åtgärder krävs

Ledningen kanske inte direkt implementerar ändringar i ditt ISMS efter en granskning. Ändå måste de vara involverade, medveten av problem, drivmedel och förbättringar.

Vad säger ISO-standarden att vi måste göra?

Klausul 9.2 i ISO 27001 kräver bara några få saker av dina interna revisioner

  • Att de är ”planerade” – det vill säga ett revisionsprogram definieras och dokumenteras
  • Revisionsprogrammet är dynamiskt och lämpligt för din organisation
  • Revisionsresultat dokumenteras
  • Ledningen bedöms på lämpligt sätt av revisionsresultaten

Processen bör därför inte vara alltför krävande, och det allmänna tillvägagångssättet kräver tillämpning av sunt förnuft. Till exempel kommer delar av ditt företag som har haft dåliga revisionsresultat tidigare att granskas mer ingående, kanske oftare och möjligen av din högsta revisor i framtiden. Omvänt kan de områden som har gått igenom tidigare revisioner få revisionsdjupet, frekvensen eller bådadera, på lämpligt sätt reducerade i det framåtriktade programmet.

De flesta organisationer tar fram ett revisionsprogram för verksamheten för det kommande året, ibland längre, till exempel för den treåriga livscykeln för deras certifiering.

Vanligt misstag: Att inte följa revisionsprogrammet

Att hamna efter med dina interna revisioner är ett av de enklaste sätten att sätta din ISMS-certifiering i riskzonen. Om detta händer, åtgärda det så snabbt som möjligt är alltid det bästa rådet.

Vanligt misstag: Under- eller överrevision av delar av ditt ledningssystem

Frekvensen måste övervägas och en balans skapas. ISO-standarden kräver övervägande av "vikten av processer", vilket innebär att vissa delar av ditt ISMS kommer att granskas mer än andra, när så är lämpligt.

Vanligt misstag: Att störa normal affärsverksamhet med ett olämpligt revisionsprogram

Om ditt företag har hektiska perioder, skulle det vara dumt att planera för mycket revision vid denna tidpunkt. På samma sätt avvecklar många organisationer verksamheten vid till exempel påsk eller jul, och detta kan, eller kanske inte, vara ett bra tillfälle att göra några interna revisioner. Du bestämmer.

 

Vad säger ISO-standarden INTE att vi måste göra?

Det är fascinerande att notera vad ISO klausul 9.2 säger INTE krävs. Var mycket tydlig, om det inte är ett absolut krav i ISO-standarden (leta efter ordet "ska"), sedan kan du, med lämplig hänsyn, definiera dina arrangemang i ditt ISMS för att passa din organisation. Som exempel finns det inget krav på oplanerade eller slumpmässiga internrevisioner i ISO-standarden. Du kan, om du väljer att, göra några av dessa.

Ett annat exempel är djupet och varaktigheten av din internrevision. Du kan i teorin utföra en revision av en process på några minuter, eller så kan den dra ut på tiden i timmar. Hur som helst, eftersom det inte är ett krav i standarden har du valmöjligheter. Vi rekommenderar att dela upp långa revisioner i mindre delar (säg en timme) för att ge både revisorn och den granskade lite betänketid och en chans att uppdatera.

Glöm inte – de flesta internrevisorer drivs av te, kaffe, vatten och mycket ofta kex och kakor...

Vanligt misstag: Att försöka "köpa" eller överdrivet påverka din internrevisor

Revisorer måste förbli opartiska och objektiva – ingen mängd kakor och vänlighet kommer att påverka objektiviteten i revisionsresultatet.

Vanligt misstag: Att inte investera tillräckligt med (eller lämplig) tid och resurser

Att försöka göra minsta möjliga revision eller göra överflödiga revisioner kommer inte att frigöra något värde och visa något engagemang för ISMS (vilket är ett krav enligt ISO 27001).

Vanligt misstag: Revisorn överskrider sitt välkomnande

Om en internrevision planeras för, säg en timme, bör den inte ta mer än den timmen. Ett överskridande kan allvarligt störa andra planerade affärsaktiviteter med alla negativa effekter som detta scenario kommer att medföra. De lösning är att dokumentera de ofullbordade delarna som ska tas upp i framtiden i revisionsberättelsen.

cta-bild

Se hur enkelt det är med ISMS.online

Boka din demo

Vem genomför en ISO 27001 internrevision?

ISO 27001-revisioner kräver kompetenta (enligt klausul 7.2) och objektiva revisorer, som har visat kunskap om standarden och erfarenhet av att genomföra en ISO 27001-revision. Ofta kommer internrevisorer redan att arbeta i din organisation och kommer därför att veta hur din verksamhet fungerar.

Om man ser objektivt på detta kan detta vara en styrka eller en svaghet, beroende på situationen. En internrevisor kan visa kompetens genom att delta i en ISO 27001 ledande revisorskurs eller praktisk erfarenhet genom att visa sin kunskap om standarden och framgångsrikt genomföra revisioner.

Vanligt misstag: Utföra interna revisioner med inkompetenta revisorer

Du kan inte bara använda vem som helst. Du skulle inte använda receptionisten för att kontrollera din kärnreaktor. Samma princip gäller för dina interna revisioner.

Med de höga kostnaderna för träningskurser i åtanke kan det vara att föredra för en revisor att visa sin kompetensnivå genom praktisk erfarenhet av att implementera ett ISMS. ISMS.online kan hjälpa till att öka ditt självförtroende och din kompetens när det gäller att granska ditt ISMS mot ISO 27001 genom flera värdefulla funktioner som vår virtuella coach. Den här funktionen är en "alltid-på" uppsättning videor, checklistor och guider, med fokus på revisorns perspektiv för många klausuler och kontroller.

Det kan vara mer praktiskt för mindre organisationer med begränsad kapacitet eller företag som söker större objektivitet att använda en extern (tredje part) revisor för att utföra internrevisioner. Observera att detta är helt acceptabelt när det gäller ISO-krav. Revisorn kan vara en konsult eller ISMS.online kan hjälpa till; detta tillvägagångssätt ger oberoende och kan ge mer objektivitet och fördelarna med mer omfattande erfarenhet i andra liknande organisationer.

Vanligt misstag: Att granska ditt eget arbete

Gör aldrig detta eftersom opartiskhet och oberoende är kraftigt försämrad.

Vad letar revisorerna efter?

Målet med en ISO-revisor är att förstå målet för ditt ledningssystem för informationssäkerhet och skaffa bevis som stöder dess överensstämmelse med ISO 27001-standarden. I motsats till vad många tror, ​​letar revisorer efter (och bör rapportera) positiva och negativa resultat.

ISO 27001-revisorer letar också efter eventuella luckor eller brister i ditt informationssäkerhetssystem. I huvudsak kommer din revisor att söka bevis för ISO 27001-standardkraven i hela din verksamhet. Du kan visa detta genom att proaktivt anta policyer och kontroller som minskar riskerna för ditt företags information. Slutligen kommer alla potentiella förbättringar av ISMS som överenskommits i samarbete mellan revisorn och den granskade att utgöra en del av revisionsrapporten.

Vanligt misstag: Att hålla igång revisionen tills avvikelser upptäcks

En balanserad revision kommer att rapportera vad som hittas. Om inga avvikelser är uppenbara, är detta INTE en indikation på en dålig revision. Objektiva (det vill säga majoriteten av) revisorer får inte en varm luddig känsla när de kan fästa en avvikelse mot ditt ISMS...

Vanligt misstag: Att inte rapportera efterlevnad

Är lika viktigt för organisationer att vara medvetna om som bristande efterlevnad och potentiella förbättringar. Varför lägga ner tid och besvär för att planera och utföra revisionen men inte rapportera ett positivt resultat?

Internrevisioner är inte subjektiva

Som revisor kanske du vill överdrivet föreslå implementeringar på din organisations ISMS eller allmänna förbättringsområden som kallas möjligheter för förbättringar (OFI). Det är dock viktigt att komma ihåg att även om det finns utrymme för tolkning inom standarden, är åtgärder utanför standardkravet inte obligatoriska. Detta innebär att din organisations unika situation kan anse att vissa förslag är överflödiga ur en revisors perspektiv, särskilt om det ligger utanför ISO 27001-kraven.

Vanligt misstag: Du "Godkänd" eller "Underkänd" inte en revision

Revisionsrapporter är påståenden om fakta och bör betraktas obevekligt och inte känslomässigt. Alla resulterande ändringar som krävs av ditt ISMS bör fastställas och implementeras (och vid behov revideras). Bevis spelar en viktig roll för att uppnå ISO 27001-certifiering; klausul 10.1 kräver uttryckligen organisationer att behålla bevis angående avvikelser och åtgärder som vidtagits till följd av detta. Som revisor innebär detta att dina resultat för avvikelser bör baseras på bevis som tydligt beskriver de områden som behöver förbättras eller systematiskt korrigeras.

Vanligt misstag: Att inte använda fakta för att fastställa revisionsresultat

revisorers åsikter och övertygelser kan påverka revisionsresultatet negativt. Objektiva och opartiska revisionsresultat bestäms endast av faktiska bevis och erfarenhet.

Varför välja ISMS.online för att hjälpa dig?

För att bli ISO 27001-kompatibel eller certifierad för första gången, vår ISMS.online Metod med säkrade resultat (ARM) erbjuder enkel, tidseffektiv och praktisk tillämpning. ARM hjälper dig att avgöra vilka tillgångar, system, personer, platser etc. som passar in inom ramen för ditt säkerhetssystem för informationshantering. Som ett resultat kommer ARM att låta dig tänka på de risker de står inför.

Smakämnen Använd Adapt Add (AAA) filosofi för klausul 9.2 ger en beprövad process att följa för interna revisioner. Med hjälp av vårt förkonfigurerade ISMS kan du snabbt och enkelt bevisa kraven i paragraf 9.2. Du får även ett revisionsprogram för att genomföra internrevisioner. Du kan använda vårt revisionsprojekt för att ställa in målen och omfattningen för varje revision, sedan registrera resultaten och åtgärda eventuella avvikelser som upptäcks under revisionen i plattformens förbättringsspår.

Klausul 10.1 täcker kravet på bristande överensstämmelse och korrigerande åtgärder för ISO IEC 27001. Du måste tillhandahålla bevis till revisorn om hur din organisation identifierar, reagerar på, utvärderar, granskar och dokumenterar avvikelser. Genom att använda vår ISMS.online-plattform kan du använda Adopt Adapt Add-filosofin med vår på förhand föreslagna policy för klausul 10.1. ISMS.online-plattformen tillhandahåller ett praktiskt spår för korrigerande åtgärder och förbättringar för att visa hur din organisation enkelt hanterar korrigerande åtgärder och förbättringar. Du kan också länka korrigerande åtgärder och förbättringar till andra områden inom plattformen, till exempel policyer, samtidigt som du tilldelar att göra till kollegor och lägger till förfallodatum.

Vår ISMS.online-plattform tillhandahåller också ett ramverk som tillåter organisationer som avser att följa ett treårigt revisionsprogram för alla kontroller under sin certifieringsperiod att göra det.
Bevisning görs enkelt med vår ISMS.online-plattform; du kan registrera data, policyer, kontroller, procedurer, riskbedömningar, identifierade risker, åtgärder, projekt, relaterad dokumentation och rapporter inom plattformen, vilket skapar en enkel bedömning för revisorer.

Extra hjälp tillgänglig från Service Development and Delivery (SDD) team

Anställda som ansvarar för att implementera ditt informationssäkerhetssystem kan ha svårigheter och frågor kring standarden; det är här som våra supportteam kan guida dig genom processen. Inom vår organisation har Service Development and Delivery Team stor erfarenhet och expertis inom informationssäkerhet. De kan stödja den initiala implementeringen av ditt hanteringssystem för informationssäkerhet och vägledning om eventuella betydande standardsvårigheter.

Redo att vidta åtgärder?

Boka din demo

cta-bild

« Vilka är de olika typerna av ISO 27001 internrevisioner?

Vad är ISO 27001-revisionsprocessen? »

Senast redigerad: 7 februari 2022
Författare

Micah Mutsani

Som en del av Services Delivery and Development (SDD)-teamet kretsar Micahs roll kring ISO 27001 kunskap, expertis och implementering. Att hjälpa kunder att uppnå certifiering så snabbt och enkelt som möjligt med ISMS.online är hans mål.

Visa alla inlägg av Micah Mutsani

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer