Hur man förbereder sig för en intern ISO 27001-revision – Reviderades perspektiv

Beskrivning

Alla revisioner involverar minst en revisor (ibland mer än en, med den ansvariga personen allmänt känd som huvudrevisorn) och minst en granskad. Reviderades roll är att samarbeta med revisionsteamet för att:

  • Navigera genom de olika ISMS-dokumenten och systemen
  • Diskutera och komma överens om effektiviteten av delarna av ISMS granskas
  • Ge bevis där det behövs ISMS operationer (vanligtvis poster)
  • Förklara bakgrundstänkandet och affärskontexten till revisionen

Fokus för detta stycke är att titta på förberedelser för internrevisioner ur den granskades perspektiv

 

Vad är en ISO 27001 internrevision

Internrevisioner av ISO 27001 hjälper organisationer att säkerställa att deras krav och de som krävs av standarden uppfylls. ISO 27001 internrevision är för det första processen för att avgöra om ett företag har de nödvändiga procedurerna, processerna, protokollen och människorna för att skydda sin information och sina informationshanteringssystem mot ISO 27001-standarden. För det andra kommer revisionen att testa, genom granskning av dokument och register och med hjälp av den granskade, om olika ISMS-komponenter presterar som designat och följer kraven (leta efter ordet "skall") i ISO-standarden.

Vad behöver vi ISO 27001 internrevisioner?

Flera förare gör genomföra internrevisioner obligatorisk. Klausul 9.2 i ISO 27001 föreskriver att revisioner görs med "planerade intervall". De flesta företag drivs att frigöra verkligt värde från sina ISMS, och högsta ledningen leder denna strategiska avsikt. Internrevisioner ses och används därför som ett viktigt verktyg för affärsförbättring.

Genom att genomföra en internrevision säkerställs att ett företags rutiner genomförs enligt plan. Positiv och negativ feedback från ett projekts internrevision är ovärderlig för att förbättra din organisations informationshanteringsprocesser.

Alla vi har hjälpt gå för ISO 27001 klarade första gången. Det kunde du också.
Boka din demo

 

Skillnaden mellan externa och interna ISO 27001-revisioner

Smakämnen extern revisionsprocess är i huvudsak samma som internrevisionsprocesserna, men vad de i slutändan har gemensamt är målet att uppnå och upprätthålla ISO 27001-certifiering. Vanligtvis utför certifierade organ externa revisioner med hjälp av professionella revisorer. Medan revisionsprocesserna i huvudsak är desamma, externa revisioner tenderar att vara mer formella och strukturerade än internrevisioner.

För referens, här är en snabb sammanfattning av olika revisionstyper

Tredjepartsrevisioner

Det är när en annan organisation granskar din organisation – det uppenbara exemplet är att ditt ISMS granskas av ditt valda certifieringsorgan – allmänt känd som en "extern revision".

Andrapartsrevisioner

Detta kan vara inåt till din organisation (en kund granskar dig) eller utåt från din organisation (till exempel granskar du en presumtiv eller nuvarande leverantör).

Förstapartsrevisioner

Förstapartsrevision är när en organisation reviderar sig själv – det vill säga en internrevision.

 

Definiera revisionen

För att få maximalt värde av din granskning måste du fördefiniera granskningsparametrarna. Detta inkluderar granskningens omfattning, kriterier och syfte. Revisionsmålet är syftet eller syftet med revisionen. Revisionsomfattningen identifierar vilka aktiviteter och register som är föremål för revision. Revisionskriterierna består av policyer, rutiner och krav som revisionen granskas mot, i detta fall ISO 27001:2013-standarden.

 

Vikten av ISO 27001 revisionsförberedelser

Om det finns en vara som vi alla skulle vilja ha mer av är det dags. Som Benjamin Franklin en gång sa: "Att misslyckas med att förbereda sig är att förbereda sig för att misslyckas." Jag är säker på att han inte refererade till ISO 27001-revisioner vid den tiden, men relevansen finns fortfarande. En granskning av hela ditt hanteringssystem för informationssäkerhet, inklusive dess teknologier, processer och procedurer och människor, kommer nästan säkert att visa sig vara utmanande.

Ju mer omfattande och mer komplex organisationen är, desto mer sannolikt kommer granskningsresultat att försena certifieringen. Det finns dock åtgärder du kan vidta i förväg för att göra din granskning mer effektiv och mindre besvärlig. Se till att du samlar in alla nödvändiga dokument innan revisionen för att visa dina ansträngningar för att följa efterlevnaden. Se dessutom till att du förstår kraven för de relevanta standardområdena som är föremål för revision. Slutligen, se till att du är uppdaterad med alla kontinuerliga arbetsområden som t.ex korrigerande åtgärder, ledningsgranskningar och revisionsprogrammet; Dessa kommer med stor sannolikhet att kontrolleras som en del av internrevisionen.

Hur man praktiskt förbereder sig inför internrevisionen

Både revisorn och organisationen måste vara väl förberedda för revisionen. Det är lätt att glömma bort samtidigt som man betonar sin dokumentation att det finns många praktiska saker som man kan behöva vara redo för. Innan revisionen (säg två veckor innan) är det vanligtvis en bra idé att se till att alla relevanta policyer/procedurer/system/register/kontroller är så uppdaterade som möjligt med lämpliga revisionsspår för godkännande på plats. Om du anser att det är lämpligt kan du läsa igenom dina relevanta policyer, processer och rutiner igen för att bekanta dig med och kanske granska före revisionen om du finner det lämpligt. Efter att ha läst detta dokument kommer det inte att förvåna dig att du kan behöva ta fram dokumentation i revisionen. Som ett resultat av detta är det förmodligen en bra idé att se till att du har dokumentationen lättillgänglig innan revisionen, eller åtminstone bör du veta hur du kommer åt den. Att springa runt och leta efter saker i sista minuten kommer bara att slösa bort din tid och revisorerna; tillträde och tillträde bör redas ut i förväg. Du bör säkerställa alla nödvändiga säkerhetsbehörigheter, såsom tillgång till serverrummet eller ett nyckelkort till lagret. På samma sätt kan du behöva göra särskilda arrangemang i förväg, som att stänga av ett larm eller tillfälligt stoppa produktionen.

Dessutom kan du behöva PPE för revisorn vid exponering för en farlig miljö, såsom en skyddshjälm eller till och med overall. Detta är särskilt viktigt eftersom underlåtenhet att ordna detta sannolikt leder till att revisorn inte fullgör sina uppgifter. Likaså kan det finnas en specifik avdelning eller person som kommer att granskas, som t.ex Human Resources. Det måste du se till specialiserad personal känner till av revisionen och är tillgängliga för revisorn att tala med. Se till att du ger dina kollegor/anställda mycket besked. Revisionsplanen hjälper dig att utarbeta dessa arrangemang.

Slutligen kan det finnas några logistiska förberedelser som du behöver göra – till exempel att ordna en lämplig arbetsplats för revisorn. Detta skulle kunna användas för att arbeta med granskningsresultaten och uppskrivningen. På samma sätt kan revisorn behöva en internetanslutning för att utföra vissa aspekter av revisionen. Därför måste du instruera dem att ta med sig en hotspot om din policy inte tillåter gäster att gå med i nätverket. Å andra sidan, att ha ett gäst-Wi-Fi och lösenord till hands hjälper till att göra saker enklare för revisorn.

Ingen förberedelse är den bästa förberedelsen

Det kan komma som en överraskning för dig, men det ideala ISMS skulle inte behöva förbereda sig för en revision. En framgångsrik ISMS är uppdaterad med ständiga standardkrav såsom ledningsgenomgångar, revisioner, korrigerande åtgärder etc. Att hålla sig uppdaterad med dessa arbetsområden kommer endast att tjäna som ett stöd för dina affärspraxis på grund av ständiga förbättringar av ditt ISMS. Före din granskning kan viss städning vara på sin plats. Men ett system som påminner dig om att göra, kommande uppgifter, policyrecensioner och andra kontinuerliga uppgifter ger dig den bästa chansen att undvika ISO-panik. Det är här vi kommer in. Vi tillhandahåller en komplett plattform för dig att hantera och bygga ditt ISMS. Tack vare våra lösningar, din organisation, kunder och andra intressenter kan ha efterlevnadsförtroende och certifieringssäkerhet. Från nybörjare inom informationssäkerhet till erfarna veteraner, vi är vana vid att arbeta med kunder med alla bakgrunder. När din organisation växer och förändras, dyker det ständigt upp nya infosec-hot. Vi designade vår plattform för att hjälpa dig att anpassa den till allt detta och mer i takt med att världen fortsätter att utvecklas.

 

Tidigare granskningsresultat och korrigerande åtgärder – kommer de att granskas?

Målet är att granska ISMS internt mot ISO 27001 som inte kommer att ta upp några nya avvikelser. Därför måste du gå in i revisionen med förtroende för överensstämmelse. Därför är en granskning av dokumentationen väsentlig. Vi måste kontrollera att alla policyer är inlämnade och godkända av min ledning. Annars kan en överensstämmelse för Cl.5.2 äventyras.

Dessutom skulle det hjälpa om du tittade på de korrigerande åtgärderna i ISMS; dessa data kan användas för att förbereda din kommande internrevision. Informationen som tillhandahålls av CA (korrigerande åtgärder) kommer att visa dig tidigare identifierade områden som behöver förbättras. Ibland kan de korrigerande åtgärderna vara från en ledningsgranskning eller ett svar på en säkerhetsincident. Vi kommer dock att fokusera på korrigerande åtgärder som härrör från en revision. Dessa certifikatutfärdare är viktiga att granska eftersom de nästan säkert kommer att kontrolleras i din granskning. Följande granskning måste ta itu med förbättringsmöjligheterna och eventuella avvikelser som dykt upp från din tidigare granskning. Detta är för att visa ditt pågående engagemang för ständiga ISMS-förbättringar. Termen "adresserad" är vag, så vi finns till hands för att reda ut saker. För att uppnå efterlevnad på detta område måste du visa för revisorn att du har agerat på de rekommenderade ändringarna. Sättet detta görs på är att använda vår spårning av korrigerande åtgärder och länkad arbetsfunktion för att visa de ändringar du har gjort som svar på upptäckten. Om du inte har agerat efter utbildningen, få inte panik, efterlevnad är fortfarande möjlig. Det måste finnas bevis för att fyndet övervägs och åtgärdas. I allmänhet räcker det att bara dokumentera fyndet i CA-spåraren och ställa in ett förfallodatum/mottagare; det visar att ditt företag överväger förslaget och är i färd med att besluta om nästa åtgärd. Dessutom måste alla förfallna CA:er åtgärdas före varje revision för att visa engagemanget för ständig förbättring av ISMS.

 

Varför välja oss?

Alliantist, företaget bakom ISMS.online, är certifierat enligt ISO 27001 av ett UKAS-ackrediterat certifieringsorgan. Vi förser våra kunder med omfattande ISO- och ISMS-stöd. Baserat på vilket paket de väljer kommer nivån på stöd de får att variera, men riktiga människor kommer alltid att vara inblandade. För mer information, kolla in vår supportpolicy eller kontakta gärna vår supportavdelning. Efterlevnadssäkerhet och certifieringssäkerhet är lätt att uppnå med våra tjänster för din organisation, kunder och andra intressenter. Vi är vana vid att arbeta med kunder på alla nivåer, från nykomlingar till veteraner.

Redo att vidta åtgärder?

Boka din demo

cta-bild

 

« Hur man skriver en internrevisionsrapport för ISO 27001

Vilka är de olika typerna av ISO 27001 internrevisioner? »

Senast redigerad: 20 juni 2022
Författare

Sami Derfoufi

Sami gick med i ISMS.online Academy och arbetade sig igenom en rad utbildningar över ISO 27001 och efterlevnad.

Visa alla inlägg av Sami Derfoufi

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer