Vilka är de olika typerna av ISO 27001 internrevisioner?

Beskrivning

Den här sidan har skapats för att förklara de olika typerna av internrevisioner enligt ISO 27001. Till att börja med lägger vi grunden genom att kortfattat förklara kraven i själva standarden ISO 27001, och sedan pratar vi om ett ISMS, varför det behöver revision och dess mål. Om du är bekant med dessa titlar, scrolla till den andra halvan, som handlar specifikt om internrevisioner och metodik.

Vad är ISO 27001?

ISO 27001 är en standard skapad av International Organization for Standardisation. Det används som ett ramverk för en organisations Information Security Management System (ISMS). Standarden finns i två enkla avsnitt, klausulerna (krav, och därför inte valfria) och bilaga A kontroller (används eventuellt för att minska identifierade informationssäkerhetsrisker).

Managementsystemet för informationssäkerhet (ISMS) måste utformas, underhållas och ständigt förbättras enligt ISO 27001. Det hjälper till att demonstrera bästa praxis inom informationssäkerhet, inklusive delar av EU Allmänna dataskyddsbestämmelser, genom att hjälpa till att etablera starka datasäkerhetsprinciper och resulterande processer, system och infrastruktur genom alla aspekter av din verksamhet.

Vad är ett Information Security Management System (ISMS)?

Ett ledningssystem för informationssäkerhet beskriver och demonstrerar ditt företags eller organisations tillvägagångssätt för att skydda data och upprätthålla integritet. Den beskriver policyer, procedurer, system och andra komponenter som används för att tillämpa informationssäkerhet i hela organisationen. En ISMS tar också hänsyn till intressenter (som leverantörer), omfattningen av din organisation (var och vad din ISMS gäller) och interna och externa frågor. För det senare kan du bestämma dessa frågor för att introducera risker eller möjligheter för din organisation, som du sedan kommer att agera på inom ditt ISMS.

Varför behöver du ett ISMS?

An Information Security Management System hjälper till att identifiera och minska risker kopplade till din mest värdefulla information och tillhörande tillgångar. I slutändan kan ett fungerande ISMS göra det möjligt för en organisation att minimera de störningar som orsakas av säkerhetshot och möjliggöra fortsatt förbättring. Utöver detta internt fokuserade värde har ett framgångsrikt ISMS ofta ett påtagligt kommersiellt värde.

Varför granska ditt ISMS?

An revision av ditt ISMS möjliggör att ledningssystemet granskas av en objektiv och kompetent revisor. Det kommer att testa elementen i ISMS baserat på standardkrav. Det kommer också att ge mer insikt i organisationens nuvarande nivå för att nå sina behov och företagets mål. De skrivna policyerna och procedurernas effektivitet och praktiska funktion mäts också. Slutligen, en revision av ditt ISMS kan också notera de positiva resultaten för att säkerställa att de underhålls på ett adekvat sätt och ge utveckling för ständig förbättring.

Vad är en internrevision?

Under en internrevision, revisorn samlar in och dokumenterar fakta i samarbete med den granskade. En internrevision mäter faktisk praxis (och de resulterande resultaten, såsom register) mot din ISMS, anpassat till ISO 27001 standard. Det säkerställer att du följer bästa praxis och processer för att skydda känsliga uppgifter. En kompetent revisor måste utföra en internrevision inifrån eller (valfritt utifrån, t.ex. en konsult) i nära samarbete med organisationen.

Varför genomför vi internrevisioner?

Klausul 9.2 i ISO 27001 (och många andra moderna ISO-standarder) kräver att internrevisioner utförs med "planerade intervall". Så för det första måste vi göra regelbundna interna revisioner. För övrigt är de andra kraven i paragraf 9.2 ganska enkla – vi måste dokumentera våra revisionsresultat och säkerställa att revisionsprogrammet är planerat men dynamiskt. Denna sista punkt säkerställer att du överväger detta och reagerar därefter när din organisation och den externa affärsmiljön förändras.

Bortsett från ISO-krav bör du drivas att granska för flera kärnorganisationsdrivare:

• Att upptäcka ineffektivitet i processer
• Att upptäcka brister i att uppfylla kraven i standarden
• För att identifiera god praxis som kan replikeras
• Att leta efter potentiella förbättringar
• För att upptäcka efterlevnad

Typer av ISO 27001 internrevisioner

Samtidigt som du uppnår och bibehåller ISO 27001-certifiering, finns det många gånger då du kan behöva en internrevision. Det finns flera sätt att genomföra din internrevisionsstrategi. Det finns tillfällen under din certifieringsresa där en internrevision kan öka ditt förtroende när du genomgår en extern revision. Under uppbyggnaden till förstagångscertifiering finns två stora möjligheter för en internrevision. Dessa kan betecknas som en revision före steg 1 (beredskapsgranskning) och en revision före steg 2.

Revision före steg 1 förklaras

Ett försteg 1 är en revision som valfritt, men mycket vanligt, kan ske för ISO 27001 och som handlar om huruvida nuvarande policyer och rutiner uppfyller de krav som anges i standarden. En revision i försteg 1 kan också kallas en beredskapsgranskning och tittar i allmänhet endast på de dokumenterade komponenterna (policyer, rutiner, etc.) i ditt ISMS som skapats av din organisation och kontrollerar om de uppfyller standarden. Detta revision kommer att hjälpa till att säkerställa att din organisation är mer förberedd för en extern fas 1 dokumentgranskning från ett attesterande organ.

Resultatet av en revision före steg 1 skulle vara ett dokument som innehåller en lista över kontroller och klausuler och om organisationen är kompatibel med varje standardområde. Det kommer också att ha möjligheter till förbättringar (OFI), som lyfter fram de policyer som tar itu med klausulen eller bilagan som kan behöva ses över. Slutligen kan avvikelser listas när revisorn anser att ISMS inte överensstämmer med ISO 27001-standarden.

Revision före steg 2 förklaras

Revisionen före steg 2 omfattar vanligtvis en ISO 27001 kontroll eller klausul av ditt val. Denna revision bevisar effektiviteten av dina revisionsrutiner och policyer i praktiken. Detta bygger på revisionen före steg 1, vilket säkerställer att din organisation implementerar och tillämpar de definierade processerna. Dessa områden testas och undersöks av revisorn för att representera din organisations nuvarande nivå på efterlevnad av informationssäkerhet. Fynden registreras och lagras i ditt ISMS.

Länkar till klausul 10 i ISO 27001, som tar upp förbättringar och korrigerande åtgärder, efter att ha genomfört en internrevision i försteg 2, dokumenterar en organisation sina avvikelser och förbättringsområden inom sitt ISMS. Ett granskningsdatum sätts för varje fynd när ett behov av åtgärder har fastställts.

Revisionsprogram

Smakämnen ISO 27001-standarden kräver en revision program. Ett revisionsprogram definierar vanligtvis en treårsplan mellan externa revisioner för omcertifiering. En robust ISMS ramverk som ISMS.online ger ett projektområde som anger granskningstidsramar, detaljerat vad som behöver åtgärdas och andra relevanta detaljer för den planerade revisionen.

Inom dessa tre år är det vanligt att alla standardområden bör behandlas minst en gång. Revisionsprogram kan och måste vara flexibla för att möta dina organisationens behov och behöver inte passa en fast modell.

Varje revision är planerad och revisionsplanen innehåller vanligtvis detaljer som:

• När revisionen måste göras (stör inte normal affärsverksamhet)
• Vilka områden av standarden som ska täckas
• Vem ska göra revisionen?
• Målet – varför görs revisionen? Detta kan vara en planerad revision eller en ny granskning av ett tidigare identifierat avvikelseområde.
• Revisionens omfattning – vilka delar av verksamheten är tänkt att omfattas inom den tid som står till förfogande?

Det finns subtilt olika revisionsmetoder:

• Revisioner kan utföras klausul för klausul och kontroll genom kontroll. Ett bra exempel på var detta tillvägagångssätt skulle vara till hjälp är för mer allmänt bilaga A kontroller, vilket minskar risken för alla. Detta skulle innebära att välja delar av standarden och granska över en fördefinierad del av eller hela din organisation. Ett exempel på detta skulle vara A.11 Fysisk säkerhet för vart och ett av dina kontor eller platser.
• En annan revisionsmetod innefattar att genomföra avdelningsrevisioner. Denna metod skulle se till att genomföra revisioner baserade på avdelningsstrukturer och arbetsområden. En avdelningsrevision kan vara lämplig om avdelningar verkar i olika regioner. Ett exempel kan vara en revision av din mänskliga resurser (HR)-avdelningen och dess ISMS-komponenter.
• Revisioner kan också göras utifrån produkter/tjänster. Detta skulle titta på de uppgifter och operationer som tas för att leverera en specifik produkt. Ett pragmatiskt sätt detta kan göras är att utgå från slutprodukten och arbeta baklänges till när åtgärderna först påbörjades. Detta är i huvudsak en revision av en process.

Oplanerade/ytterligare revisioner

Ibland kan du känna att du behöver utföra revisioner utanför ditt första revisionsprogram inom din organisation. Detta kan bero på flera skäl relaterade till effektiviteten av ditt ISMS. Planerade revisioner är ett sätt att visa att din organisation är proaktiv och strävar efter ständiga förbättringar. Det kan dock vara lika viktigt att vara reaktiv mot omständigheterna i din organisation – detta är ditt val eftersom det inte är en krav enligt ISO 27001.

En annan anledning till att en organisation kan behöva utföra en oplanerad revision är att reagera på en säkerhetsincident eller en katastrofhändelse. Om ett säkerhetsintrång skulle ske genom ett nätfiske-e-postmeddelande, kan en organisation se det lämpligt att granska bilaga A kontroll A.7.2.2, som tittar på personalens medvetenhet och utbildning. Detta skulle vara för att säkerställa att den här typen av kompromisser i säkerheten inte upprepas.

Ett exempel på varför du kanske vill genomföra ytterligare revisioner är på grund av resultaten av dina planerade revisioner. Anta till exempel att du skulle hitta avvikelser inom ett visst revisionsområde, kan det vara bäst att granska den specifika kontrollen eller klausulen med mer regelbundna intervall tills problemet uppstår mindre eller risken blir mer acceptabel. Detta skulle bero på din riskaptit, den potentiella skadan och frekvensen av avvikelser. Det kan också vara till hjälp och lämpligt att göra en internrevision av eventuella korrigerande åtgärder för att säkerställa framgång.

Revisionsresultat

När du genomför en revision är det avgörande att dokumentera dina upptäckter och säkerställa fortsatt förbättring. Positiva resultat noteras också för att hjälpa till att bygga idéer och säkerställa att god praxis upprätthålls. Avvikelser registreras för att säkerställa att korrigerande åtgärder vidtas och problem tilldelas en ansvarig ägare. Ett vanligt strukturerat sätt på vilket revisionsresultat dokumenteras är följande:

• Överensstämmelse – Arrangemangen bedöms tillfredsställa kraven i tillämplig klausul(er) eller kontroll(er)
• Möjligheter för förbättring – Noterade områden där ISMS kan eventuellt förbättras, efter organisationens gottfinnande. Organisationen bör noggrant överväga upptäckten och dokumentera ändringarna i ISMS vid behov.
• Nonkonformism – En fråga som strider mot kravet i ISO 27001. Detta kommer att kräva fullständig och korrekt lösning omgående innan nästa externa revision.
• Stora avvikelser – Om man inte följer standarden på systemnivå kommer det sannolikt att krävas uppmärksamhet från ledningen och omstrukturering av informationssäkerhetspraxis.

Observera att ovanstående tillvägagångssätt inte är ett krav enligt ISO 27001 så du kan använda helt andra tillvägagångssätt om de fungerar för din organisation.

Hur ISMS.online hjälper till med interna revisioner

Med ISMS.online tillåter vår mjukvarutjänst att ditt hanteringssystem för informationssäkerhet är en allt-i-ett tillgänglig plats. Detta inkluderar ett flexibelt revisionsprogramområde som kan dokumentera revisionsrapporter mellan certifieringsperioderna. För det andra, ISMS.online hjälper organisationer att hantera sina granskningsresultat och åtgärda dem därefter. Inom vår mjukvarutjänst tillhandahåller den också ett område för att uppfylla klausul 10 (Förbättring) genom att tillhandahålla ett spår för korrigerande åtgärder och förbättringar. Detta gör att din organisation kan vara mer proaktiv när det gäller att ta itu med avvikelser och förbättringar. Den gör detta genom att se dess status, tilldela en ansvarig ägare och datum för slutförande och granskning. Alla dessa funktioner gör att en organisation kan känna sig bättre organiserad för en extern revision, eftersom alla arbetsområden och rapporter är lättillgängliga att visa, vilket gör att processen kan löpa smidigare.

ISMS.online erbjuder även internrevisionstjänster som utförs av informationssäkerhetsspecialister. Detta säkerställer att organisationer har en kompetent revisor för att utföra sina interna revisioner i enlighet med bilaga A.18.2.1, som nämner att processer och rutiner ska granskas oberoende. Detta gör att dina granskningsresultat blir objektiva, korrekta och värdefulla för din organisation.

För att ge ytterligare support har ISMS.online också en virtuell coach tillägg, som inkluderar videor, guider och checklistor som ger information om hur man hanterar ISO 27001-standarden. Det finns ett avsnitt relaterat till 9.2 (Internrevisioner) och andra relevanta områden. Detta ger vägledning till din organisation och hjälper till att spara tid som kan användas för att fokusera på mer generell verksamhet. Att använda Virtual Coach hjälper din organisation att bli pragmatisk och öka din informationssäkerhet förtroende.