Hur man skriver en internrevisionsrapport för ISO 27001

Som en del av ledningssystemkraven, Klausul 9.2 detaljer vad som måste göras angående internrevisioner. Detta inkluderar ett krav på att behålla dokumenterade bevis för revisionen resultat, och detta görs i form av en revisionsberättelse.

Hur fungerar ISO 27001 internrevisioner?

Internrevisioner för ISO 27001 fungerar genom att följa ett revisionsprogram som identifierar de revisioner som ska utföras före certifiering och under varje certifieringsperiod.

De kräva att en kompetent och objektiv revisor väljs för varje internrevision verifiera överensstämmelse med kraven i standarden, organisationens egna informationskrav och mål för ISMS, och att policyer, processer och andra kontroller är effektiva och effektiva.

Aktiviteter som ingår i en internrevision:

• Dokumentationsgranskning
• Bevisprovtagning
• Intervjua personal med nyckel informationssäkerhetsansvar
• Intervjua annan personal (och eventuellt entreprenörer)
• Bedömer fynden
• Att skriva revisionsberättelsen.

Hur ofta behöver jag göra en revision?

Även om det inte är klart inom ISO 27001 själv hur ofta du måste utföra interna revisioner. Det förväntas att revisionsprogrammet följer samma krav som de som ställs på certifieringsorganen för att genomföra sina revisioner enligt ISO/IEC 27006:2015 – Krav för organ som tillhandahåller revision och certifiering av ISMS.

Inom ISO 27006 krav 9.1.5.2 e, anger att revisionsprogrammet "täcker representativa urval av ISMS-certifieringens omfattning inom treårsperioden."

Därför måste du genomföra interna revisioner som täcker hela standarden, åtminstone under certifieringsperioden (3 år för UKAS-ackrediterade certifikat).

Du kan göra detta som en enda revision, men det är mer vanligt att delas upp i mindre revisioner under treårsperioden.

Det är också viktigt att granska vissa områden oftare om risknivåerna är höga eller området är föremål för frekventa förändringar.

Det rekommenderas att du granska ledningssystemet krav (Klausuler 4-10) årligen. Detta kan kopplas till din ISMS-ledningsgranskning, som också måste genomföras årligen.

Inom ISMS.online tillhandahåller vi ett förbyggt revisionsprograms arbetsområde som inkluderar:

• Aktiviteter för 2 rekommenderade revisioner före certifiering
• En plan för internrevisioner för den första 3-åriga certifieringsperioden
• Platshållare för din externa certifiering och periodiska revisioner

Varför behöver jag skapa en rapport för en internrevision?

Standarden kräver att du dokumenterar revisionsresultaten – klausul 9.2 i ISO 27001 innehåller kravet att ”behålla dokumenterad information som bevis för … revisionsresultaten”.

Detta görs i en revisionsberättelse.

Vad behöver göras när rapporten upprättas?

Innan du kan dokumentera revisionsberättelsen måste du självklart planera och genomföra revisionen. Du kan sedan dokumentera fynden i rapporten.

Kom igång med din ISO 27001-revisionsplan

För varje revision måste du planera:

• Vad revisionen kommer att omfatta – vilka delar av standarden, platser, affärsprocesser etc
• Vem revisorn blir – måste vara kompetent och objektiv.
• När revisionen genomförs får den inte ha en betydande negativ inverkan på organisationens verksamhet.
• Metoden/metoderna för revision – dokumentationsgranskning, urval, intervjuer etc
• Vem kommer att behöva involveras i revisionen?

Dokumentationsgranskning

Varje revision kommer att kräva granskning av relevant dokumentation, inklusive policyer, procedurer, standarder och vägledning som är relevanta för de områden av standarden som granskas. Det är god praxis att informera de som granskas om de områden som ska täckas för att säkerställa enkel och snabb tillgång till relevant dokumentation.

I ISMS.online görs detta enkelt genom att antingen ha dokumentationen i systemet eller länka den inom standardens relevanta avsnitt.

Bevisprov och intervjuer

De flesta revisioner kommer att kräva provtagning av bevis i mindre eller högre grad. Detta kan innefatta intervjuer av relevant nyckelpersonal, slutanvändare och ibland även tillfällig personal och entreprenörer.

Källor för provtagning kan till exempel vara:

• Intervjuer med anställda och andra personer
• Observationer av aktiviteter och omgivande arbetsmiljö och förhållanden
• Dokument, såsom policyer, mål, planer, procedurer, standarder, instruktioner, licenser och tillstånd, specifikationer, ritningar, kontrakt och beställningar
• Dokumentation, såsom inspektionsprotokoll, mötesprotokoll, revisionsrapporter, protokoll över övervakningsprogrammet och mätresultat
• Datasammanfattningar, analyser och resultatindikatorer
• Information om den granskades provtagningsplaner och rutinerna för kontroll av provtagnings- och mätprocesser
• Rapporter från andra källor, t.ex. kundfeedback, externa undersökningar och mätningar, ytterligare relevant information från externa parter och leverantör betyg
• Databaser och webbplatser
• Simulering och modellering

Analys

När datainsamlingen för revisionen har gjorts kommer det att vara nödvändigt för revisorn att bedöma och analysera resultaten för att fastställa eventuella avvikelser eller möjligheter till förbättringar.

Fynden kategoriseras normalt som något av följande:

• Stor avvikelse
• Mindre avvikelse
• Möjlighet till förbättring

Vissa certifieringsorgan använder också:

• Observation – där det finns tidiga indikationer kan en mindre avvikelse förekomma eller kan utvecklas om inga åtgärder vidtas.
• Positiv poäng – tilldelas antingen när en organisation har gått utöver erkänd god praxis eller där det har skett betydande förbättringar inom ett område sedan föregående revision.

Rapport

Efter att ha analyserat resultaten kan revisionsrapporten nu förberedas och presenteras för personen eller teamet ansvarig för ISMS för granskning och uppföljning.

Hur upprättas en internrevisionsrapport?

Revisionsberättelsen ska upprättas som dokumenterad information, men det betyder inte att det måste vara ett separat Word- eller PDF-dokument. Inom ISMS.online-plattform, försöker vi uppmuntra att undvika att skapa sådana dokument men tillhandahåller istället ett arbetsområde där rapporten kan dokumenteras direkt. Detta område erbjuder ytterligare funktionalitet inklusive möjligheten att enkelt länka till andra arbetsområden, policyer, kontroller, risker, korrigerande åtgärder och förbättrings-"biljetter" med mera.

Skapa en sammanfattning

Sammanfattningen är användbar så att den högsta ledningen snabbt och enkelt kan se en översikt över resultaten, inklusive eventuella kritiska frågor, trender och möjligheter till förbättringar. Detta kan sedan enkelt kopplas till ISMS-ledningsgranskning enligt paragraf 9.3.

Detta inkluderar vanligtvis:

• En allmän översikt över driften av de områden av ISMS som omfattas av revisionen.
• En numerisk sammanfattning av kategorierna av fynd.
• Framhävning av brådskande/kritiska fynd.
• En kort beskrivning av nästa steg som ska tas för att ta itu med eventuella fynd.

Introducera använd terminologi

För att säkerställa en gemensam förståelse av rapportens resultat är det nödvändigt att inkludera definitioner av viss terminologi som används som antingen är specifik för organisationen, revisionsprocessen eller standarden. Kom ihåg att inte alla som behöver läsa, bedöma och förstå rapporten nödvändigtvis kommer att förstå all terminologi som används.

Beskriv revisionsplanen

Detta inkluderar:

• Revisionens omfattning – område/områden som ska täckas, platser, personal, affärsprocesser etc
• Namnet på revisorn(erna)
• Datum, tider och platser för revisionen

Beskriv hittade fakta

För varje avsnitt av revisionen bör du dokumentera resultaten, inklusive anteckningar om eventuella bevisprover som tagits.*

Det är god praxis att registrera efterlevnad och positiva punkter och dokumentera eventuella avvikelser eller möjligheter till förbättringar.

Resultaten bör registrera de fakta som befunnits vara relevanta för ISMS och standarden och bör inte inkludera åsikter eller gissningar utöver rimlig extrapolering.

*Obs – om bevisprover innehålla personligt identifierbar information, är det vanligt att pseudonymisera eller anonymisera uppgifterna i enlighet med integritetslagstiftningens krav såsom GDPR.

Dokumentera avvikelser och förbättringsmöjligheter

Där avvikelser och möjligheter till förbättringar identifieras måste dessa vara tydligt dokumenterade så att korrigerande åtgärder och förbättringspunkter kan registreras och hanteras genom organisationens erkända processer som dokumenterats i enlighet med paragraf 10.1 Avvikelse och korrigerande åtgärder; och 10.2 Ständiga förbättringar.

Beskriv rekommendationer

Eftersom detta är en internrevisionsrapport är det tillåtet för en revisor att ge rekommendationer om hur en organisation kan ta itu med resultaten. I slutändan måste besluten om korrigerande åtgärder och förbättringar fattas av de relevanta personerna eller teamen som ansvarar för ISMS och informationssäkerhet.