ISO 27001:2013 Internrevision: Förenklad
Innehållsförteckning:
- 1) Vad är syftet med internrevisionen för ISO 27001?
- 2) Var och vad ska du granska i ditt ledningssystem för informationssäkerhet?
- 3) Hur man auditerar på 3 pragmatiska och enkla nivåer
- 4) Hur man planerar för ISO 27001 revisionsprogrammet
- 5) Hur mycket detaljer ska du inkludera i en ISO 27001-revisionsövning?
- 6) Vad säger ISO om revision och revision för ISO 27001?
- 7) Ska du gå en ledande revisorskurs för att hjälpa till med ISO 27001?
En fråga som ofta ställs av personer som är nya för informationssäkerhet is ”hur gör jag en internrevision av min ISMS? ".
Med tanke på hur ofta ämnet kommer upp byggde vi in svaret i vår Virtual Coach-tjänst för ISO 27001 . Vi tänkte också att det skulle vara användbart att dela med oss av några av våra vägledningar och idéer om hur du kan ta ett pragmatiskt affärsstyrt tillvägagångssätt för att nå målet.
Vad är syftet med internrevisionen för ISO 27001?
Målet för internrevisionen i 9 § i ledningskraven för ISO 27001: 2013 är prestationsutvärdering. 9.2 säger att organisationen ska genomföra interna revisioner med planerade intervaller för att ge information om huruvida informationssäkerhet ledningssystem:
1) överensstämmer med
1.1) organisationens egna krav på sitt ledningssystem för informationssäkerhet; och
1.2) kraven i denna internationella standard;
2) implementeras och underhålls effektivt
3) planera, genomföra och upprätthålla ett revisionsprogram
4) definiera revisionskriterierna och omfattningen för varje revision
5) välj revisorer som ska vara objektiva och opartiska
6) se till att revisioner redovisas till relevant ledning
7) behålla dokumenterad information som bevis
Sammanfattningsvis är internrevisionen ett av initiativen som visar din ISMS kan lita på och fungerar som förväntat.
ISO 27001-standarden uppmuntrar dig att köra ISMS för att uppfylla dina affärsmål, omfattning, interna och externa frågor, etc. Som sådan vill du också säkerställa att interna revisioner bedrivs i den stil som speglar ditt företag och dess risker, samtidigt som du tar hänsyn till den kultur och de resurser du har på plats.
Var och vad ska du granska i ditt ledningssystem för informationssäkerhet?
För att göra det verkligt bör ditt revisionsprogram och din filosofi härledas från frågorna, omfattningen, t.ex. platser, avdelningar, processer, produkter etc, tillsammans med hänsyn till Förklaring om tillämplighet, risker och så vidare, inte bara en tick box-övning. Du måste dock visa att du har granskat mot hela standarden – ledningskrav och bilaga A kontroller – minst en gång under 3-året ISO 27001-certifiering cykel, och som du kan ge provbevis på kontroller arbetar efter dina krav.
Vi har byggt på det tillvägagångssättet i standardrevisionsprogrammet i ISMS.online för att säkerställa att revisioner representerar vad verksamheten behöver. Enligt vår uppfattning måste revisioner vara affärsledda och "verkliga" för att människor ska kunna köpa sig in i det som en giltig investering och för att göra revisionen meningsfull.
Hur man auditerar på 3 pragmatiska och enkla nivåer
Nivå 1 – Granskning av policyer i linje med A.5.1.2 och A.8.1.2 för oberoende granskningar
Den här nivån är en enkel genomgång av hur du "beskriver" din politik och kontroller, och se till att de förblir relevanta för organisationen enligt 4.1 – 3 och i linje med ovanstående frågor, parter, omfattning, informationstillgångar, risker etc.
I ISMS.online har vi inkluderat policyn för A.5.1.2 och utvecklat plattformen med det i åtanke så att det är lätt för dig att anta vår policy och verkligen "leva" den i praktiken.
Detta är uppenbarligen inte internrevision för Sekt. 9.2 i sig, men är en viktig del av ditt ISMS förvaltning tillsammans med andra aspekter som ledningsrecensioner, incidentspårning etc. och kommer att bidra till att säkerställa att när du kommer att genomföra din formella internrevision gör du det mot en solid uppsättning policyer och kontroller som är lämpliga för din organisation.
Nivå 2 – internrevisionsplan som täcker kraven och kontrollerna
Detta är det nödvändiga, mer traditionella tillvägagångssättet och kommer att behöva genomföras under loppet av certifieringscykeln åtminstone och det kan vara värt att överväga att täcka detta årligen.
Vårt revisionsprojekt kan användas för att fastställa målen och omfattningen av varje revision och registrera dina resultat. Eventuella avvikelser som identifieras kan sedan åtgärdas i Förbättringsspår.
För de organisationer som vill följa ett treårigt revisionsprogram av alla kontroller har vi inkluderat ett ramverk att följa i ISMS.online också.
Nivå 3 – ett helhetsgrepp för att visa effektiviteten
Vi uppmuntrar också ett mer holistiskt förhållningssätt till internrevisioner och har byggt ett program i plattformen som fokuserar en revision kring att "visa" en specifik del av din ISMS omfattning är kompatibel, t.ex. en avdelning, en plats, en produkt, ett system eller en process.
Detta ger dig möjlighet att titta på hur verksamheten fungerar i praktiken, bortom InfoSec i sig och ser möjligheter till förbättringar eller, faktiskt, avslöja risker som kanske inte är lätta att se genom att titta genom en kontrolllins.
Detta gör det också möjligt för en organisation att granska ett större antal kontroller i ett svep, på ett sammanfogat sätt.
I vår ISO 27001 Virtual Coach inkluderar vi ett exempel för att ge en smak av vad du kan göra som skulle illustrera en del av din ISMS scope fungerar bra och uppfyller sina mål, med kontrollerna fungerar (eller inte).
Hur man planerar för ISO 27001 revisionsprogrammet
Det är inte lätt att ta fram en revisionsplan 3 år i förväg för hela certifieringsperioden om man är en organisation i snabb förändring. Om så är fallet bör du överväga de omfattningsområden som behöver granskas och skapa en 12-månadersplan för att möta förväntningarna från en extern revisor.
Var då tydlig med att du kommer att vara det genomföra ledningsgranskningar i linje med sekt. 9.3 som kan leda till förändringar i det schemat. Det är en del av vad 9.3 handlar om – att vara proaktiv och även reagera på nya information som påverkar ISMS.
Om du bestämmer dig för att ändra revisionsschemat, till exempel på grund av en triggerhändelse som motiverar det, flyttar du helt enkelt runt revisionsschemat och lägger till en anteckning i din relevanta ledningsöversyn för att motivera varför du gjorde ändringarna.
Vilken revisionsmetod du än väljer att använda, var beredd att motivera, demonstrera och försvara dess effektivitet inför en extern revisor.
Hur mycket detaljer ska du inkludera i en ISO 27001-revisionsövning?
När du bestämmer hur djupt du ska gå med din revisionsövning, överväg detta – Har du tillräckligt med information för att kunna visa att du har gjort revisionen, lärt dig av övningen, dokumenterat den och vidtagit några efterföljande åtgärder?
Ur vårt eget kulturella perspektiv handlar detta också om att vara snäll, papperslös och digital, och fokuserar på att se till att vi får jobbet gjort väl – fira framgångar, lära och förbättra och minska risken utan att fastna i byråkrati eller formulärfyllning för den skull. av det.
Alla vi pratade med (innan vi byggde ISMS.online) hade sitt eget sätt att granska. Vi har sett några mycket långa revisionsrapporter som sällan läses av rätt publik, som i själva verket bara vill ha en sammanfattning. Så för oss handlar det om att bevisa, lära, vidta åtgärder och omsätta eventuella förbättringar i praktiken, i enlighet med hur allvarliga hotet eller möjligheten är i förhållande till de andra affärsprioriteringarna.
I ISMS.online kan du göra det i själva revisionsaktiviteten eller koppla förbättringsarbetet till vårt Spår för korrigerande åtgärder och förbättringar för att anpassa sig till alla korrigerande åtgärder och förbättringar, inte bara de som kommer från en revision.
Vad säger ISO om revision och revision för ISO 27001?
Utöver kraven i ISO 27001 9.2 Internationella organisationen för standardisering (ISO) tillhandahåller följande standarder som är relevanta för revision:
- ISO 27007 – Ger vägledning om hur man granskar ledningssystemens (krav)elementen i ditt ISMS och bygger mycket på ISO 19011 (se nedan) med den extra linsen av detaljer som rör revision av ett ISMS.
- ISO TR 27008 – En teknisk rapport (snarare än standard) som ger vägledning om granskning av informationssäkerhetskontroller hanteras av ditt ISMS.
- ISO 19011 – ger vägledning om revision Ledningssystem, inklusive principerna för revision, ledning av ett revisionsprogram och genomförande ledningssystem revisioner, samt vägledning om utvärdering av kompetensen hos personer som är involverade i revisionsprocessen, inklusive den person som leder revisionsprogrammet, revisorer och revisionsteam.
- ISO 27006 & ISO 17021 – Dessa är till för de certifieringsorgan som utför de externa revisionerna. Även om de kan ge en användbar referens för att förstå vad certifieringsorganen letar efter internrevision kommer att vara väldigt olika, med ett annat syfte och du bör inte leta efter att granska på exakt samma sätt.
Ett genomgående tema vi hör om är att revisorer vill se att organisationen lever och andas ISMS och det inkluderar ledarskapsengagemang, proaktiv visning av saker du har i ISMS.online och att mycket snabbt kunna svara på sina specifika frågor med bevis.
Att ha en struktur som följer ISO 27001 : 2013 års metoder och märkning, som i ISMS.online, gör det också enkelt för revisorer att följa på sitt eget "språk", och de kan se versionsändringar, tidsstämplade arbeten, samarbeten, godkännanden av oberoende gruppmedlemmar etc, så det är en fantastisk hjälp till uppsättningen av tester ovan.
Uppenbarligen måste du fortfarande visa att policyer tillämpas i praktiken utanför ISMS.online, t.ex. säkerhetskopieras information från dina system, kund- och leverantörssekretessavtal hålls etc (och naturligtvis kan du använda ISMS.online för att visa leverantören avtal också!)
Ska du gå en ledande revisorskurs för att hjälpa till med ISO 27001?
Om du funderar på att gå en ledande revisorskurs är det värt att tänka på att när du utbildas av någon vars heltidsjobb är revision, fokuserar de på utbildning för att granska ur ett externt perspektiv. Detta kan vara utanför din organisations krav för att följa 9.2 och potentiellt leda till att du förlorar ur sikte vad de bredare affärsmålen är.
Du måste kunna granska tillräckligt bra för att visa ditt ledarskap och ditt intressenter (t.ex. revisorer) att internrevisionen 9.2 är effektiv som en del av din prestationsutvärdering och fungerar i praktiken.
I ISMS.online har vi föreslagit en process för revision i Sect. 9.2, och ges utrymme för att leverera det som är lätt nog att anta eller anpassa till din stil och behov, och med interna resursbegränsningar i åtanke. Vi har också inkluderat ett pragmatiskt exempel i ISO 27001 Virtual Coach.
Däremot definierar många kunder sitt tillvägagångssätt enkelt med hjälp av ISMS.online och får sedan en enkel virtuell hälsokontroll tillsammans med råd, och till och med pragmatiskt pågående revisionsstöd, med vår kvalificerade Lead Auditor.
ISMS.online gör det enkelt att upprätta rätt revisionsprogram för dig, antingen genom att använda våra förbyggda program eller snabbt och enkelt skapa ditt eget.
Vi hjälper dig att hantera dina revisioner mer effektivt och integrera dem med en helhetssyn på det bredare ISMS.
