Som en del av ledningssystemkraven, Klausul 9.2 detaljer vad som måste göras angående internrevisioner. Detta inkluderar ett krav på att behålla dokumenterade bevis för revisionen resultat, och detta görs i form av en revisionsberättelse.
An ISO 27001 internrevision innebär att en kompetent och objektiv revisor granskar ISMS eller delar av det och testa att:
Förutom den övergripande efterlevnaden och effektiviteten av ISMS, som ISO 27001 är utformad för att göra det möjligt för en organisation att hantera sin informationssäkerhet risker till en acceptabel nivå, kommer det att vara nödvändigt att kontrollera att de genomförda kontrollerna verkligen minskar risken till en punkt där riskägaren/ägarna gärna tolererar den kvarvarande risken.
Klausul 9.2 Internrevisionsmandat:
”Organisationen ska genomföra interna revisioner med planerade intervaller för att ge information om huruvida ledningssystemet för informationssäkerhet:
a) överensstämmer med
b) implementeras och underhålls effektivt.
Organisationen ska:
c) planera, upprätta, implementera och underhålla ett eller flera revisionsprogram, inklusive frekvens, metoder, ansvar, planeringskrav och rapportering. Revisionsprogrammet/-programmen ska ta hänsyn till vikten av de berörda processerna och resultaten av tidigare revisioner.
d) definiera revisionskriterierna och omfattningen för varje revision;
e) välja revisorer och genomföra revisioner som säkerställer objektivitet och opartiskhet i revisionsprocessen;
f) säkerställa att resultaten av revisionerna rapporteras till relevant ledning; och
g) behålla dokumenterad information som bevis för revisionsprogrammen och revisionsresultaten."
Ladda ner din gratis guide till snabb och hållbar certifiering
Vi behöver bara några detaljer så att vi kan maila dig din guide för att uppnå ISO 27001 första gången
Ladda ner din gratis guide nu och om du har några frågor alls då Boka en demo or Kontakta oss. Vi hjälper gärna till.
Internrevisioner för ISO 27001 fungerar genom att följa ett revisionsprogram som identifierar de revisioner som ska utföras före certifiering och under varje certifieringsperiod.
De kräva att en kompetent och objektiv revisor väljs för varje internrevision verifiera överensstämmelse med kraven i standarden, organisationens egna informationskrav och mål för ISMS, och att policyer, processer och andra kontroller är effektiva och effektiva.
Aktiviteter som ingår i en internrevision:
Även om det inte är klart inom ISO 27001 själv hur ofta du måste utföra interna revisioner. Det förväntas att revisionsprogrammet följer samma krav som de som ställs på certifieringsorganen för att genomföra sina revisioner enligt ISO/IEC 27006:2015 – Krav för organ som tillhandahåller revision och certifiering av ISMS.
Inom ISO 27006 krav 9.1.5.2 e, anger att revisionsprogrammet "täcker representativa urval av ISMS-certifieringens omfattning inom treårsperioden."
Därför måste du genomföra interna revisioner som täcker hela standarden, åtminstone under certifieringsperioden (3 år för UKAS-ackrediterade certifikat).
Du kan göra detta som en enda revision, men det är mer vanligt att delas upp i mindre revisioner under treårsperioden.
Det är också viktigt att granska vissa områden oftare om risknivåerna är höga eller området är föremål för frekventa förändringar.
Det rekommenderas att du granska ledningssystemet krav (Klausuler 4-10) årligen. Detta kan kopplas till din ISMS-ledningsgranskning, som också måste genomföras årligen.
Inom ISMS.online tillhandahåller vi ett förbyggt revisionsprograms arbetsområde som inkluderar:
Vårt ISMS kommer förkonfigurerat med verktyg, ramverk och dokumentation som du kan adoptera, anpassa eller lägga till. Enkel.
Vår metod för garanterade resultat är utformad för att du ska bli certifierad vid ditt första försök. 100 % framgång.
Glöm tidskrävande och kostsam träning. Vår virtuella coach-videoserie är tillgänglig 24/7 för att guida dig igenom.
Standarden kräver att du dokumenterar revisionsresultaten – klausul 9.2 i ISO 27001 innehåller kravet att ”behålla dokumenterad information som bevis för … revisionsresultaten”.
Detta görs i en revisionsberättelse.
Innan du kan dokumentera revisionsberättelsen måste du självklart planera och genomföra revisionen. Du kan sedan dokumentera fynden i rapporten.
För varje revision måste du planera:
Varje revision kommer att kräva granskning av relevant dokumentation, inklusive policyer, procedurer, standarder och vägledning som är relevanta för de områden av standarden som granskas. Det är god praxis att informera de som granskas om de områden som ska täckas för att säkerställa enkel och snabb tillgång till relevant dokumentation.
I ISMS.online görs detta enkelt genom att antingen ha dokumentationen i systemet eller länka den inom standardens relevanta avsnitt.
De flesta revisioner kommer att kräva provtagning av bevis i mindre eller högre grad. Detta kan innefatta intervjuer av relevant nyckelpersonal, slutanvändare och ibland även tillfällig personal och entreprenörer.
Källor för provtagning kan till exempel vara:
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
När datainsamlingen för revisionen har gjorts kommer det att vara nödvändigt för revisorn att bedöma och analysera resultaten för att fastställa eventuella avvikelser eller möjligheter till förbättringar.
Fynden kategoriseras normalt som något av följande:
Vissa certifieringsorgan använder också:
Efter att ha analyserat resultaten kan revisionsrapporten nu förberedas och presenteras för personen eller teamet ansvarig för ISMS för granskning och uppföljning.
Revisionsberättelsen ska upprättas som dokumenterad information, men det betyder inte att det måste vara ett separat Word- eller PDF-dokument. Inom ISMS.online-plattform, försöker vi uppmuntra att undvika att skapa sådana dokument men tillhandahåller istället ett arbetsområde där rapporten kan dokumenteras direkt. Detta område erbjuder ytterligare funktionalitet inklusive möjligheten att enkelt länka till andra arbetsområden, policyer, kontroller, risker, korrigerande åtgärder och förbättrings-"biljetter" med mera.
Sammanfattningen är användbar så att den högsta ledningen snabbt och enkelt kan se en översikt över resultaten, inklusive eventuella kritiska frågor, trender och möjligheter till förbättringar. Detta kan sedan enkelt kopplas till ISMS-ledningsgranskning enligt paragraf 9.3.
Detta inkluderar vanligtvis:
För att säkerställa en gemensam förståelse av rapportens resultat är det nödvändigt att inkludera definitioner av viss terminologi som används som antingen är specifik för organisationen, revisionsprocessen eller standarden. Kom ihåg att inte alla som behöver läsa, bedöma och förstå rapporten nödvändigtvis kommer att förstå all terminologi som används.
Detta inkluderar:
För varje avsnitt av revisionen bör du dokumentera resultaten, inklusive anteckningar om eventuella bevisprover som tagits.*
Det är god praxis att registrera efterlevnad och positiva punkter och dokumentera eventuella avvikelser eller möjligheter till förbättringar.
Resultaten bör registrera de fakta som befunnits vara relevanta för ISMS och standarden och bör inte inkludera åsikter eller gissningar utöver rimlig extrapolering.
*Obs – om bevisprover innehålla personligt identifierbar information, är det vanligt att pseudonymisera eller anonymisera uppgifterna i enlighet med integritetslagstiftningens krav såsom GDPR.
Där avvikelser och möjligheter till förbättringar identifieras måste dessa vara tydligt dokumenterade så att korrigerande åtgärder och förbättringspunkter kan registreras och hanteras genom organisationens erkända processer som dokumenterats i enlighet med paragraf 10.1 Avvikelse och korrigerande åtgärder; och 10.2 Ständiga förbättringar.
Eftersom detta är en internrevisionsrapport är det tillåtet för en revisor att ge rekommendationer om hur en organisation kan ta itu med resultaten. I slutändan måste besluten om korrigerande åtgärder och förbättringar fattas av de relevanta personerna eller teamen som ansvarar för ISMS och informationssäkerhet.
En skräddarsydd praktisk session utifrån dina behov och mål
ISMS.online-plattformen undviker behovet av att skapa Word-dokument, PDF-filer och kalkylblad genom att tillhandahålla en allt-i-ett-plats-lösning för att enkelt dokumentera och länka alla aspekter av ISMS, inklusive dokumentation av revisionsrapporter.
ISMS.online inkluderar ett förbyggt revisionsprogramprojekt som täcker både interna och externa revisioner.
Det förbyggda revisionsprogrammet inkluderar:
Varje internrevisionsaktivitet innehåller en mall för en kombinerad revisionsplan och rapport.
Innan granskningen genomförs fungerar mallen som revisionsplan – inklusive vilka områden som ska granskas och ger uppmaningar om när revisionen ska genomföras och av vem.
Under eller efter genomförandet av revisionen kan revisorn skriva anteckningar direkt i den mallade revisionsaktiviteten.
Förutom att helt enkelt tillhandahålla revisionsaktivitetsmallarna, ger ISMS.online möjligheten att snabbt länka till andra arbetsområden inom plattformen, vilket innebär att länkningen av revisionsresultat till kontroller, korrigerande åtgärder och förbättringar, och även till risker, görs enkelt och tillgängligt. Detta gör det möjligt för dig att enkelt visa för din externa revisor den samlade hanteringen av identifierade fynd.
Kontakta oss, och vi kan ge support.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Samarbeta, skapa och visa att du alltid har koll på din dokumentation
Läs merTa itu med hot och möjligheter utan ansträngning och rapportera dynamiskt om prestanda
Läs merTa bättre beslut och visa att du har kontroll med instrumentpaneler, KPI:er och relaterad rapportering
Läs merGör lätt arbete med korrigerande åtgärder, förbättringar, revisioner och ledningsgranskningar
Läs merBelys kritiska relationer och länka elegant samman områden som tillgångar, risker, kontroller och leverantörer
Läs merVälj tillgångar från Asset Bank och skapa din Asset Inventory med lätthet
Läs merIntegrationer direkt med dina andra viktiga affärssystem för att förenkla din efterlevnad
Läs merLägg prydligt till andra områden av efterlevnad som påverkar din organisation för att uppnå ännu mer
Läs merEngagera personal, leverantörer och andra med dynamisk end-to-end-efterlevnad hela tiden
Läs merHantera due diligence, kontrakt, kontakter och relationer under deras livscykel
Läs merKartlägg och hantera intresserade parter visuellt för att säkerställa att deras behov tydligt tillgodoses
Läs merStark integritet genom design och säkerhetskontroller för att matcha dina behov och förväntningar
Läs mer