Hur man skriver en internrevisionsrapport för ISO 27001

En internrevisionsrapportstruktur för ISO 27001 är något du behöver veta.

Att skapa en effektiv och professionell internrevisionsrapport är avgörande för varje framgångsrik implementering av ISO 27001.

En internrevisionsrapport av god kvalitet är en ögonblicksbild av den övergripande implementeringsprocessen och registrerar statusen för din ISO 27001-implementering i certifieringsupptakten, tillsammans med detaljer om områden som fortfarande behöver åtgärdas.

Som en del av den krav på ledningssystem, Punkt 9.2 beskriver vad som måste göras angående internrevisioner. Detta inkluderar ett krav på att bevara dokumenterade bevis på det hela revisionsprocessen och revisionsresultaten, och detta görs i form av en revisionsberättelse.

Vad är en ISO 27001 internrevision?

En internrevision enligt ISO 27001 innebär att en kompetent och objektiv revisor granskar ISMS eller delar av det och testar att det uppfyller kraven i standarden, organisationens egna informationskrav och mål för ISMS och att policyer, processer och andra kontroller är effektiv och effektiv.

Utöver övergripande efterlevnad och effektivitet hos ISMS, eftersom ISO 27001 är utformad för att göra det möjligt för en organisation att hantera sina informationssäkerhetsrisker till en acceptabel nivå, kommer det att vara nödvändigt att kontrollera att de implementerade kontrollerna verkligen minskar risken till en punkt där riskägaren (ägarna) gärna tolererar kvarstående risk.

Internrevision för ISO 27001 krav 9.2

Klausul 9.2 internrevisionsmandat:

Organisationen ska genomföra interna revisioner med planerade intervaller för att ge information om huruvida ledningssystemet för informationssäkerhet:

• Överensstämmer med organisationens egna krav på sin informationssäkerhet ledningssystem och kraven i denna internationella standard.
• Implementeras och underhålls effektivt.

Organisationen ska:

• Planera, upprätta, implementera och underhålla ett eller flera revisionsprogram, inklusive frekvens, metoder, ansvar, planeringskrav och rapportering. Revisionsprogrammet/-programmen ska ta hänsyn till vikten av de berörda processerna och resultaten av tidigare revisioner.
• Definiera revisionskriterierna och omfattningen för varje revision.
• Välj revisorer och genomför revisioner som säkerställer objektivitet och opartiskhet i revisionsprocessen.
• Se till att resultatet av revisionerna rapporteras till relevant ledning och behålls dokumenterad information som bevis för revisionsprogrammen och revisionsresultaten.

Målet med en internrevision är att bekräfta att organisationen har vidtagit alla rimliga försiktighetsåtgärder för att garantera att dess ledningssystem för informationssäkerhet (ISMS) följer standarderna i ISO 27001 och organisationens egna ISMS-standarder.

Internrevisioner måste utföras av en oberoende och opartisk revisor för att åstadkomma detta, enligt standarden.

Hur fungerar ISO 27001 internrevisioner?

Internrevisioner för ISO 27001 fungerar genom att följa ett revisionsprogram som identifierar de revisioner som ska utföras före certifieringen och under varje certifieringsperiod.

De kräver valet av en kompetent och objektiv revisorn att utföra varje internrevision för att verifiera efterlevnaden av kraven i standarden, organisationens egna informationskrav och mål för ISMS, och att policyer, processer och andra kontroller är effektiva och effektiva.

Aktiviteter som ingår i en internrevision:

• Dokumentationsgranskning
• Bevisprovtagning
• Intervjua personal med nyckel informationssäkerhetsansvar
• Intervjua annan personal (och eventuellt entreprenörer)
• Bedömer fynden
• Att skriva revisionsberättelsen

Hur ofta behöver jag göra en revision

Även om det inte är klart inom ISO 27001 i sig hur ofta internrevisioner ska utföras, förväntas det att revisionsprogrammet följer samma krav som de som ställs på certifieringsorganen för att genomföra sina revisioner i enlighet med ISO / IEC 27006: 2015 – Krav på organ som tillhandahåller revision och certifiering av ISMS.

Inom ISO 27006 anger krav 9.1.5.2e att revisionsprogrammet "täcker representativa urval av ISMS-certifieringens omfattning inom treårsperioden."

Därför måste du uppträda internrevisioner som täcker hela standarden, åtminstone under certifieringsperioden (3 år för UKAS-ackrediterade certifikat).

Du kan göra detta som en enda revision, men det är mer vanligt att delas upp i mindre revisioner under treårsperioden. Det är också viktigt att granska vissa områden oftare om risknivåerna är höga eller området är föremål för frekventa förändringar.

Det rekommenderas att du granska ledningssystemet krav (Klausuler 4-10) på årsbasis och detta kan kopplas till din ISMS-ledningsgranskning som också måste genomföras årligen. Vissa organisationer med sofistikerade och väletablerade ledningssystem kanske vill arrangera revisioner på en treårscykel snarare än årligen.

Däremot måste varje företag noggrant undersöka sina processer, ledningssystem och andra relevanta kriterier för att utveckla en vettig tidsplan som möter deras krav och är lämplig för dem. På ISMS.online är vår molnbaserade plattform utformad för att hjälpa till med revisionsprocessen.

Vi tillhandahåller ett förbyggt revisionsprograms arbetsområde som inkluderar:

• Aktiviteter för 2 rekommenderade revisioner före certifiering
• En plan för internrevisioner för den första 3-åriga certifieringsperioden
• Platshållare för din externa certifiering och periodiska revisioner

Begär en demo idag för att se hur vår lösning kan hjälpa din organisation att visa överensstämmelse med ISO 27001.

Varför behöver jag skapa en rapport för en internrevision?

Standarden kräver att du dokumenterar revisionsresultaten – klausul 9.2 i ISO 27001 innehåller kravet att ”behålla dokumenterad information som bevis för … revisionsresultaten”. Detta görs i en revisionsberättelse.

Vad behöver göras när rapporten upprättas

För varje revision måste du planera:

• Vad revisionen kommer att omfatta – vilka delar av standarden, platser, affärsprocesser etc
• Vem revisorn blir – måste vara kompetent och objektiv.
• När revisionen kommer att genomföras – får inte ha en betydande, negativ inverkan på verksamheten i organisationen.
• Metoden/metoderna för revision – dokumentationsgranskning, urval, intervjuer etc
• Vem kommer att behöva involveras i revisionen?

Dokumentationsgranskning

Varje revision kommer att kräva granskning av relevant dokumentation, inklusive policyer, procedurer, standarder och vägledning som är relevanta för de områden av standarden som granskas. Det är god praxis att ge råd till de som granskas om de områden som ska täckas så att de kan säkerställa enkel och snabb tillgång till relevant dokumentation

I ISMS.online görs detta enkelt genom att antingen ha dokumentationen i systemet eller länka till den inom relevant avsnitt av standarden.

Bevisprov och intervjuer

De flesta revisioner kommer att kräva provtagning av bevis i mindre eller högre grad och detta kan innefatta intervjuer av relevant nyckelpersonal, slutanvändare och ibland även tillfällig personal och entreprenörer.

Källor för provtagning kan till exempel vara:

• Intervjuer med anställda och andra personer.
• Observationer av aktiviteter och omgivande arbetsmiljö och förhållanden.
• Dokument, såsom policyer, mål, planer, procedurer, standarder, instruktioner, licenser och tillstånd, specifikationer, ritningar, kontrakt och beställningar.
• Dokumentation, såsom inspektionsprotokoll, mötesprotokoll, revisionsrapporter, protokoll över övervakningsprogram och resultaten av mätningar.
• Datasammanfattningar, analyser och resultatindikatorer.
• Information om den granskades provtagningsplaner och om rutinerna för kontroll av provtagnings- och mätprocesser.
• Rapporter från andra källor, t.ex. kundfeedback, externa undersökningar och mätningar, annat relevant information från externa parter och leverantör betyg.
• Databaser och webbplatser.
• Simulering och modellering.

Analys

När datainsamlingen för revisionen har gjorts kommer det att vara nödvändigt för revisorn att bedöma och analysera resultaten för att avgöra om det finns några avvikelser eller möjligheter till förbättringar.

Fynden kategoriseras normalt som något av följande:

• Stor avvikelse
• Mindre avvikelse
• Möjlighet till förbättring

Vissa certifieringsorgan använder också:

• Observation – det är där det finns tidiga indikationer på att en mindre avvikelse kan finnas eller kan utvecklas om inga åtgärder vidtas.
• Positiv poäng – tilldelas antingen när en organisation har gått utöver erkänd god praxis eller där det har skett betydande förbättringar på ett område sedan den tidigare revisionen.

Rapport

Efter att ha analyserat resultaten kan revisionsrapporten nu förberedas och presenteras för den person eller team som ansvarar för ISMS för granskning och uppföljning.

Hur upprättas en internrevisionsrapport?

Revisionsberättelsen måste upprättas som dokumenterad information, men det betyder inte att det måste vara ett separat Word- eller PDF-dokument. Inom ISMS.online-plattform vi försöker uppmuntra att undvika att skapa sådana dokument, men tillhandahåller istället ett arbetsområde där rapporten kan dokumenteras direkt och detta område ger ytterligare funktionalitet inklusive möjligheten att enkelt länka till andra arbetsområden, policyer, kontroller, risker, korrigerande åtgärder och förbättring "biljetter" och mer.

Skapa en sammanfattning

Sammanfattningen är användbar så att den högsta ledningen snabbt och enkelt kan se en översikt över resultaten inklusive eventuella kritiska frågor, trender och möjligheter till förbättringar. Detta kan sedan enkelt kopplas till ISMS-ledningsgranskningen i enlighet med paragraf 9.3.

Detta inkluderar vanligtvis:

• En allmän översikt över driften av de områden av ISMS som omfattas av revisionen.
• En numerisk sammanfattning av kategorierna av fynd.
• Framhävning av brådskande/kritiska fynd.
• En kort beskrivning av nästa steg som ska tas för att ta itu med eventuella fynd.

Introducera använd terminologi

För att säkerställa att det finns en gemensam förståelse av resultaten i rapporten är det nödvändigt att inkludera definitioner av viss terminologi som används som antingen är specifik för organisationen, revisionsprocessen eller standarden. Kom ihåg att inte alla som behöver läsa, bedöma och förstå rapporten nödvändigtvis kommer att förstå all terminologi som används.

Beskriv revisionsplan

Detta inkluderar:

• Revisionens omfattning – område/områden som ska täckas, platser, personal, affärsprocesser etc.
• Namnet på revisorn(erna)
• Datum, tider och platser för revisionen

Beskriv hittade fakta

För varje avsnitt av revisionen bör resultaten dokumenteras inklusive anteckningar om eventuella bevisprover som tagits.*

Det är god praxis att registrera efterlevnad och positiva poäng samt att dokumentera eventuella avvikelser eller möjligheter till förbättringar. Resultaten bör registrera de fakta som befunnits vara relevanta för ISMS och standarden och bör inte inkludera åsikter eller gissningar utöver rimlig extrapolering.

 

*Obs – om bevisprover innehåller personligt identifierbar information är det vanligt att pseudonymisera eller anonymisera uppgifterna i enlighet med kraven i integritetslagstiftningen som t.ex. GDPR.

 

Dokumentera avvikelser och möjligheter till förbättringar

Där avvikelser och möjligheter till förbättringar identifieras måste dessa vara tydligt dokumenterade så att korrigerande åtgärder och förbättringspunkter kan registreras och hanteras genom organisationens erkända processer som dokumenterats i enlighet med paragraf 10.1 Avvikelse och korrigerande åtgärder; och 10.2 Kontinuerlig förbättring.

Beskriv rekommendationer

Eftersom detta är en internrevisionsrapport är det tillåtet för en revisor att ge rekommendationer om hur upptäckter kan hanteras, men i slutändan måste besluten som rör korrigerande åtgärder och förbättringar fattas av de relevanta personerna eller teamen som är ansvariga för ISMS och informationssäkerhet. .

Hur ISMS.online gör rapportering enkel

ISMS.online-plattformen eliminerar behovet av att skapa Word-dokument, PDF-filer och kalkylblad genom att tillhandahålla en allt-i-ett-plats-lösning för att enkelt dokumentera och länka alla aspekter av ISMS inklusive dokumentation av revisionsrapporter.

ISMS.online inkluderar ett förbyggt revisionsprogramprojekt som täcker både interna och externa revisioner.

Det förbyggda revisionsprogrammet inkluderar:

• Aktiviteter för 2 rekommenderade revisioner före certifiering
• En plan för internrevisioner för den första 3-åriga certifieringsperioden
• Platshållare för din externa certifiering och periodiska revisioner

Varje internrevisionsaktivitet innehåller en mall för en kombinerad revisionsplan och rapport.

Innan revisionen genomförs fungerar mallen som revisionsplan – inklusive vilka områden som ska granskas och ger uppmaningar om när revisionen ska genomföras och av vem.

Under eller efter genomförandet av revisionen kan revisorn skriva anteckningar direkt i den mallade revisionsaktiviteten.

Förutom att helt enkelt tillhandahålla revisionsaktivitetsmallarna, ger ISMS.online möjligheten att snabbt länka till andra arbetsområden inom plattformen, vilket innebär att länkningen av revisionsresultat till kontroller, korrigerande åtgärder och förbättringar, och även till risker, görs enkelt och tillgängligt. Detta gör det möjligt för dig att enkelt visa för din externa revisor den samlade hanteringen av identifierade fynd.

Behöver du hjälp med din ISO 27001-revision?

Startar du snart en ISO 27001-revision och känner dig stressad över det? Det är naturligt att känna så, eftersom att genomföra en ISO 27001-revision är ett mycket allvarligt steg.

Experterna här på ISMS.online kan erbjuda dig bästa möjliga service. Vi kan stödja revision och rapportering av ditt ledningssystem, ge dig råd angående informationssäkerhet och riskreduceringsstrategier, tillhandahålla utbildning av din personal eller hjälpa dig med en gapanalys av dina befintliga kontroller.

Begär en demo idag.