Våra bästa tips för första gången ISO 27001 steg 2 revisionsframgång

Om du ska ISO 27001-certifiering, kommer din Steg 2-revision att vara en av de stora krispunkterna. Du måste visa att ditt ISMS är mer än bara välskrivna dokument och allmänna goda avsikter. Det måste fungera lika bra i praktiken som det gör på papper.

Under åren har vi hjälpt många kunder att uppnå framgång för första gången steg 2-revision. Och några av våra ISO 27001 experter har själva varit certifieringsorgansrevisorer, så vi känner processen mycket väl från båda sidor. Vi har dragit nytta av det för att dela våra:

  • Steg 2 revision topp tips
  • ISO 27001 checklista för starter-för-tio

Se till att täcka bort alla nödvändigheter

Din revisor kommer att titta på varje del av ditt ISMS. De kommer att fokusera särskilt på dess kärnkomponenter. Om de inte är upp till noll kommer de inte att rekommendera dig för certifiering. Så när du förbereder din revision, var särskilt noga med att täcka av:

Riskhantering

För att ditt infosec-försvar ska fungera måste du förstå vad du skyddar dig från. Så gå igenom din riskhanterings innehåll och processer med en fin tandkam.

Se till att du har:

Kapitalförvaltning

Ditt ISMS ser inåt såväl som utåt. Din revisor måste se att du förstår exakt vad du skyddar. Så dubbelkolla att du har spelat in och förstått allt informationstillgångar.

Tänk på att din organisations informationstillgångar är mer än bara dess IT-programvara och hårdvara. Listan kan innehålla allt från kund och leverantör till kontrakt till immateriella tillgångar som ditt varumärke och rykte. Se till att du har tagit med allt!

Incident management

Din revisor kontrollerar att ditt ISMS fungerar i praktiken. Så de måste se att du och dina kollegor vet exakt vad de ska göra när det värsta händer och – eh – sockret slår i fläkten.

Du måste vara helt säker på att din incidenthantering processer är upp till noll. Det betyder att fästa:

  • När och hur de utlöses
  • Vem gör vad, när, när en ny incident inträffar
  • Hur du registrerar och lär dig av ditt svar på varje incident, så att du kan:
    • Förbättra ditt ISMS
    • Se till att eventuella upprepningar har mindre eller till och med ingen inverkan

Säng ordentligt i din ISMS

Din revisor måste se att ditt ISMS fungerar i praktiken. För att vara säker på att så är fallet, låt det köra en stund. Ge dig själv lite tid och utrymme att bygga upp förtroendet för ditt ISMS innan du visar det för din revisor.

Du bygger självförtroende på två sätt. Delvis kommer det att komma naturligt när du övervakar ditt ISMS, ser vad som fungerar och korrigerar det som inte fungerar. Men du bör också kryssa i några mer formella rutor. Se till att du har utfört:

  • En eller flera interna revisioner och granskningar av ledningssystem
  • Lämplig personalutbildning och engagemang

Den andra kulan är särskilt viktig. Ett ISMS är bara effektivt när människor förstår och följer det. Så se till att ditt folk vet:

  • Vad det är till för
  • Varför det spelar så stor roll
  • Vilka policyer och kontroller de behöver följa
  • Exakt hur man följer dem

Se till att ditt ISMS gör verkliga förändringar

Organisationer skapar ISMS eftersom de inte är tillräckligt säkra utan dem. Att bli säker innebär att man ändrar sin inställning till säkerhet. Det skapar ett mycket enkelt sätt att kontrollera om ditt ISMS är redo för revision. Fråga dig själv:

Har något faktiskt förändrats?

En effektiv ISMS kommer att skapa synliga, praktiska förändringar i hur din organisation fungerar. Dessa förändringar kommer att påverka både dess interna och externa processer och relationer. De borde vara väldigt uppenbara för dig.

Om ditt ISMS har skapat praktiska, positiva, uppenbara förändringar så är det ett steg närmare att vara redo för revision. Men om det bara är ommärkt din befintliga säkerhetssystem, du har förmodligen mer att göra.

Oroa dig inte för att låsningar påverkar din revision

Steg 2-revisioner har alltid varit djupgående och på plats. Det är svårt i vår moderna, Covid-infekterade värld. Men låt det inte oroa dig.

Certifieringsorgan är mycket tydliga med att revisionsprocessen ska fortsätta som vanligt oavsett en organisations lockdown-status. De granskar gärna din organisation på distans och arbetar med dig för att göra det övervinna alla utmaningar.

Fjärrevision gör det ännu viktigare att ha ett helt transparent, lättillgängligt, allt-i-ett-plats-ISMS, som (vi tycker att vi borde nämna) det ena vår plattform kan hjälpa dig att skapa. Och om du redan är med oss, är det vad du redan har.

Sluta inte när din Steg 2-revision är klar

"Många organisationer klarar sin revision, firar allt sitt hårda arbete och... glömmer i princip allt om sitt ISMS. Alla går tillbaka till sitt dagliga jobb. Sedan, tio månader senare, blir det stor panik när de ska göra sig redo för sin första underhållsrevision.

Ett ISMS är inte ett eld-och-glöm-system. För att behålla ISO 27001-certifieringen måste den:

  • Lär dig av eventuella infosec-incidenter
  • Utvecklas i takt med att moderorganisationen växer och förändras
  • Ta hänsyn till alla nya infosec-hot och utvecklingar

Vi säger ofta att det är lika mycket av en utmaning att underhålla ditt ISMS som att få det igång. Se till att det är en utmaning du är redo för!

Följ vår checklista för starter-för-tio ISO 27001

Vi har gett dig några allmänna tips om hur du förbereder dig för din Steg 2-revision. Vi kommer att avsluta med lite specifik vägledning. Den här tabellen är en start-för-tio-guide för att kontrollera ditt ISMS mot ISO 27001-standard. Det hjälper dig att fokusera när du tänker igenom varje del av den.

 

ISO 27001 Ref & Beskrivning

Klausul 10.1

Har alla resultat från din steg 1-revision loggats, hanterats och spårats?

Har alla större avvikelser åtgärdats till slut?

Är mindre avvikelser antingen stängda eller på väg enligt deras korrigerande åtgärder planen?

Klausul 5

Fungerar alla schemalagda processer i rätt tid för att visa tillräckliga resursnivåer?

Klausulerna 6.1, 8.2 och 8.3

Visar ditt riskregister en korrekt aktuell bild av risknivåer (dvs uppdatering av risker mot förändring och förbättringar av riskbehandling)?

Klausul 6.2

Är du uppnå dina informationssäkerhetsmål?

Klausul 7.2

Stänger du någon informationssäkerhet kompetensluckor?

Klausul 7.3

Bedriver du informationssäkerheten medvetenhet program du har beskrivit?

Klausul 9.1

Har du tagit och bedömt din ISMS prestationsmätningar?

Klausulerna 9.2, 10.1 och 10.2

Har du genomfört minst två interna revisioner från revisionsschemat?

Loggade, spårade och hanterade du alla dina fynd?

Du behöver inte nödvändigtvis slutföra resultat som kräver betydande förbättringar, men du behöver visa att åtgärden är planerad eller pågår.

Klausulerna 9.3, 10.1 och 10.2

Har minst en formell ISMS Ledningsöversyn skett i enlighet med standardens krav?

Har du loggat, spårat och hanterat alla fynd?

Bilaga A Kontroller

Kan du visa bevis på att du driver varje kontroll och relevant process effektivt?

Där du behöver göra förbättringar, kan du visa att du spårar och hanterar dem?

A.16. Informationssäkerhet Incidenthantering

Kan du visa att när incidenter inträffar loggar, spårar, hanterar och svarar på dem över tid?

Avslutning... och lycka till!

Vi har tänkt mycket på steg 2-revisionen eftersom vi har byggt vår plattform att hjälpa våra kunder genom det. Faktum är att varje kund som har följt vår Metod med säkrade resultat har klarat certifieringen på sitt första försök.

Och du behöver inte börja om på nytt. Det är enkelt att migrera ditt befintliga arbete till vår plattform. Du kan flytta över när det passar dig, även om du har slutfört din Steg 1-revision eller faktiskt har gjort det uppnått ISO 27001 certifiering.

Och det är det. Om det här blogginlägget hjälper dig genom din steg 2-revision, låt oss veta det – vi älskar att höra hur organisationer går vidare med det. Allt som återstår är att vi önskar dig lycka till! Vi är säkra på att allt ditt hårda arbete kommer att löna sig.

 

Är du redo att se hur vi kan hjälpa dig till första gången steg 2-framgång?

Boka en demo utan strängar för att se vår plattform i aktion. Och vi är förvånansvärt prisvärda. Du kan få din offert här.

« Hur du genomför din ISO 27001 Management Review

5 bästa tips för att uppnå ISO 27001-certifiering »

Senast redigerad: 7 februari 2022
Författare

Al Robertson

Al är en professionell författare och publicerad författare som täcker en rad ämnen. Han har skrivit en rad artiklar om efterlevnad och särskilt om informationssäkerhet och hur ISO 27001-certifiering kan hjälpa organisationer att växa.

Visa alla inlägg av Al Robertson

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer