Vad är ISO 27001-revisionsprocessen?
Innehållsförteckning:
- 1) Vad ingår i en ISO 27001-revision?
- 2) Vad är en ISO 27001-revision?
- 3) Varför är ISO 27001-revisioner viktiga?
- 4) Vad ingår i en extern ISO 27001-revision?
- 5) Värdet av en ISO 27001-revision med/utan certifiering
- 6) Vem genomför en ISO 27001-revision?
- 7) Hur gör ISMS.online revisionsprocessen mer effektiv?
- 8) « Hur man undviker vanliga ISO 27001 internrevisionsmisstag
- 9) Hur förklarar jag ett ISMS för mina kollegor? »
Vad ingår i en ISO 27001-revision?
Revisioner används vanligtvis för att säkerställa att en aktivitet uppfyller en uppsättning definierade kriterier. För alla ISO-ledningssystemstandarder används revisioner för att säkerställa att ledningssystemet uppfyller kraven i den relevanta standarden, organisationens egna krav och mål samt förblir effektivt och effektivt. Det kommer att bli nödvändigt att genomföra ett revisionsprogram för att bekräfta detta.
Vad är en ISO 27001-revision?
En ISO 27001-revision innebär att en kompetent och objektiv revisor granskar ISMS eller delar av det och testar att det uppfyller kraven i standarden, organisationens egna informationskrav och mål för ISMS och att policyerna, processerna och andra kontroller är effektiva. och effektiv.
Förutom den övergripande efterlevnaden och effektiviteten av ISMS, en ISO 27001-revision är utformad för att göra det möjligt för en organisation att hantera sina informationssäkerhetsrisker till en acceptabel nivå, kommer det att vara nödvändigt att kontrollera att de implementerade kontrollerna verkligen minskar risken till en punkt där riskägaren gärna tolererar den kvarvarande risken.
Vilka typer av revisioner finns det?
Standarden kräver att en organisation är skyldig att planera och genomföra ett schema för "interna revisioner" för att kunna hävda efterlevnad till standarden. Dessutom, om en organisation vill uppnå certifiering, kommer det att kräva att "externa revisioner" utförs av ett "certifieringsorgan" - en ackrediterad organisation med behöriga resurser för revision mot ISO 27001.
För att säkerställa maximal nytta av ISMS, rekommenderas det starkt att se till att det valda certifieringsorganet är ackrediterat av en erkänd tillsynsmyndighet. Inom Storbritannien är certifieringsorgan ackrediterade av UKAS – United Kingdom Accreditation Service. Detta är det enda statliga ackrediteringsorganet i Storbritannien.
Internrevision
Internrevision, som namnet antyder, är de revisioner som utförs av organisationen på det organisatoriska ISMS. Om organisationen inte har behörig och objektiva revisorer inom den egna personalen kan dessa revisioner utföras av en entreprenör.
Extern granskning
Termen "externa revisioner" gäller oftast de revisioner som utförs av ett certifieringsorgan i syfte att erhålla eller upprätthålla certifiering, men det kan också användas för att hänvisa till de revisioner som utförs av andra intressenter (t.ex. partners eller kunder) som vill få sin egen försäkran om organisationens ISMS. Detta gäller särskilt när en sådan part har krav som går utöver standardens.
Varför är ISO 27001-revisioner viktiga?
Utan att verifiera hur ditt ISMS hanteras och fungerar, det finns ingen verklig garanti för att den levererar mot de mål som den är satt att uppfylla. Revisioner ger en viss garanti för detta.
Varför måste jag granska mitt ISMS?
Det finns ett antal anledningar till att granska ditt ISMS:
- Standarden kräver det – klausul 9.2, Internrevision mandat ett program för internrevisioner.
- För att säkerställa att ditt ISMS är korrekt implementerat och drivs.
- Till se till att ISMS uppfyller kraven av standarden.
- För att säkerställa att ISMS uppfyller organisationens egna krav.
- Till säkerställa att ISMS uppfyller de mål som organisationen har satt upp för informationssäkerhet mot klausul 6.2 Informationssäkerhetsmål och planering för att uppnå dem.
- För att säkerställa att ISMS är effektivt för att minska informationssäkerhetsrisker till en acceptabel nivå.
- För att säkerställa att ev avvikelser och korrigerande åtgärder tas upp i tid.
- För att säkerställa det informationssäkerhet svagheter, händelser och incidenter rapporteras, hanteras och åtgärdas effektivt och effektivt.
Vad är inblandat med ISO 27001 internrevisioner?
Dokumentationsgranskning – Detta är en översyn av organisationens policyer, procedurer, standarder och vägledningsdokumentation för att säkerställa att den är lämplig för ändamålet och granskas och underhålls.
Bevisgranskning (eller fältgranskning) – Det här är en revisionsaktivitet som aktivt tar prover på bevis för att visa att policyer följs, att rutiner och standarder följs och att vägledning övervägs.
Analys – Efter granskning av dokumentation och/eller provtagning av bevis kommer revisorn att bedöma och analysera resultaten för att bekräfta om kraven i standarden uppfylls.
Revisionsrapport – En revisionsrapport måste utarbetas enligt standarden i paragraf 9.2 f) och tillhandahållas ledningen för att säkerställa synlighet.
Ledningsöversyn – Detta är en obligatorisk aktivitet enligt klausul 9.3 Ledningsgranskning som måste beakta resultaten av de utförda revisionerna för att säkerställa att korrigerande åtgärder och förbättringar genomförs vid behov.
Vad ingår i en extern ISO 27001-revision?
Processerna för extern revision är i huvudsak desamma som för internrevisionsprogrammet men utförs vanligtvis i syfte att uppnå och upprätthålla certifiering. Programmet för externa [certifierings]revisioner kommer att fastställas av de externa revisorerna [certifieringsorganet] men kommer att följa ett systematiskt krav.
Den relevanta revisorn kommer att tillhandahålla en plan för revisionen och när detta har bekräftats av organisationen kommer resurser att tilldelas och datum, tider och platser kommer överens om. Revisionen kommer sedan att genomföras enligt revisionsplanen.
Hur ofta görs externa revisioner?
Olika ackrediteringsorgan runt om i världen ställer upp olika krav för certifieringsprogrammet revisioner, men när det gäller UKAS-ackrediterade certifikat, kommer detta att inkludera:
- Inledande certifieringsrevision – genomförd i 2 steg.
- Periodiska övervakningsrevisioner – vanligtvis var sjätte månad eller, med minsta årsintervall.
- Re-certifieringsrevisioner genomförs vart tredje år.
Vilka är typerna och stadierna av externa revisioner?
- Steg 1 revision – "Dokumentationsgranskning" för att fastställa att organisationen har den nödvändiga dokumentationen för ett operativt ISMS.
- Steg 2 revision – ”Certification Audit” – en bevisrevision för att bekräfta att organisationen är det drift av ISMS i enlighet med standarden – det vill säga att de dokumenterade policyerna, rutinerna och standarderna är implementerade, operativa och effektiva. Denna bevisrevision genomförs på stickprovsbasis.
- Övervakningsrevision – Även kända som "Periodic Audits", dessa utförs på schemalagd basis mellan certifierings- och omcertifieringsrevisioner och kommer att fokusera på ett eller flera områden av ISMS.
- Omcertifieringsrevision – Utförs innan certifieringsperioden löper ut (3 år för UKAS-ackrediterade certifikat) och är en mer noggrann granskning än de som utförts under en övervakningsrevision. Den täcker alla områden av standarden.
Utöver programmet för formella certifieringsexternrevisioner ovan kan du behöva genomgå en extern revision av en intresserad tredje part såsom en kund, partner eller tillsynsmyndighet. Den berörda parten kommer normalt att förse dig med en revisionsplan och följa upp med en revisionsrapport som bör matas in i ditt ISMS Ledningsöversyn.
Värdet av en ISO 27001-revision med/utan certifiering
Organisationens beslut att uppnå överensstämmelse och eventuellt certifiering enligt ISO 27001 kommer att bero på skälen för att implementera och driva ett formellt, dokumenterat ISMS och detta kommer ofta att dokumenteras inom ett affärscase som kommer att identifiera de förväntade målen och avkastningen på investeringen.
Utan certifiering kan organisationen endast göra anspråk på "efterlevnad" av standarden, och denna överensstämmelse garanteras inte av någon ackrediterad tredje part. Om anledningen till att implementera ISMS endast är för förbättrad säkerhetshantering och intern säkerhet, kan detta vara tillräckligt.
För maximal nytta och avkastning på investeringen som kan uppnås från ISMS när det gäller att tillhandahålla säkerhet till organisationens externa intressenter och intressenter kommer ett oberoende, externt, ackrediterat certifieringsrevisionsprogram att krävas.
Kom ihåg att den enda skillnaden i form av ansträngning mellan "efterlevnad" och "certifiering" är programmet för externa certifieringsrevisioner. Detta beror på att organisationen för att verkligen göra anspråk på "efterlevnad" av standarden fortfarande måste göra allt som krävs av standarden - självtestad "efterlevnad" minskar inte de resurser som krävs och ansträngningen för att implementera och driva ett ISMS.
Förbereder för en ISO 27001 certifieringsrevision
När du förbereder en certifieringsrevision bör följande nyckelpunkter beaktas:
Är nyckelprocesserna för ISMS implementerade och operativa?
- Organisatoriskt sammanhang – Förstå och dokumentera det organisatoriska sammanhanget och kraven på informationssäkerhet inklusive intressenter. Detta kommer också att omfatta dokumentera omfattningen av ISMS
- Risk & möjlighetshantering – Har organisationen identifierat och bedömt informationssäkerhet risker och möjligheter och dokumenterat en behandlingsplan?
- Ledarskap – Kan ett starkt ledarskap på toppnivå visas – t.ex. genom tillhandahållande av resurser och ett dokumenterat engagemang inom organisationen säkerhetspolicy.
- Internrevision – Har ett program för internrevision dokumenterats, överenskommits och påbörjats i enlighet med punkt 9.2?
- Ledningsöversyn – Har ISMS genomgått en formell ledningsgranskning i enlighet med punkt 9.3
- Korrigerande åtgärder – Kan organisationen visa att korrigerande åtgärder och förbättringar hanteras och implementeras på ett effektivt och effektivt sätt?
Är de nödvändiga dokumenten på plats och godkända?
- ISMS omfattning uttalande (Klausul 4.3)
- organisations~~POS=TRUNC informationssäkerhetspolicy (Klausul 5.2)
- Riskhantering metod (klausul 6.1.2 och 6.1.3)
- Riskregister & behandlingsplan (6.1.3 e)
- Förklaring om tillämplighet (Klausul 6.1.3 d)
- Policyer och processer krävs enligt bilaga A där kontroller är tillämpliga
Är bevismaterial lätt att hitta och komma åt?
Har all personal och relevanta entreprenörer tagit emot utbildning, utbildning och medvetenhet om informationssäkerhet?
Det är också god praxis att se till att de som kommer att intervjuas har fått information om vad de kan förvänta sig under revisionen och hur de ska svara. Se också till att de enkelt kan få tillgång till dokument och bevis som kan begäras av revisorn.
Vem genomför en ISO 27001-revision?
Alla revisioner mot ISO 27001 måste utföras av kompetenta och objektiva revisorer.
För att visa kompetens för ISO 27001-revision krävs vanligtvis att revisorn har påvisbar kunskap om standarden och hur man genomför en revision. Detta kan vara genom att gå en ISO 27001 Lead Auditor-kurs eller genom att ha en annan erkänd revisionskvalifikation och sedan bevisbar kunskap om standarden. Det kan vara möjligt att visa att en revisor är kompetent utan formell utbildning, dock kommer detta sannolikt att bli ett svårare samtal med ditt certifieringsorgan.
För att visa objektivitet måste det visas att revisorn inte granskar sitt eget arbete och att de inte påverkas i onödan via sina rapporteringslinjer. För mindre organisationer eller de som vill ha tydligare objektivitet kan det vara mer praktiskt att ta in en anlitad revisor.
Certifieringsorgan kommer att ha kontrollerat sina revisorer för kompetens och bör vara beredda att visa det för dig på begäran.
Hur fungerar
ISMS.online göra revisionsprocessen mer effektiv?
ISMS.online inkluderar ett förbyggt revisionsprogramprojekt som täcker både interna och externa revisioner och kan även innefatta revisioner mot GDPR om du har valt det här alternativet.
Det förbyggda revisionsprogrammet inkluderar:
- Aktiviteter för 2 rekommenderade revisioner före certifiering
- A plan för internrevisioner för den första 3-åriga certifieringsperioden
- Platshållare för din externa certifiering och periodiska revisioner
Förutom att tillhandahålla revisionsprogramprojektet, möjligheten att snabbt länka till andra arbetsområden inom allt-i-ett-platsen ISMS.online-plattform innebär att det blir enkelt och tillgängligt att koppla revisionsresultat till kontroller, till korrigerande åtgärder och förbättringar och till och med till risker. Detta gör det möjligt för dig att enkelt visa för din externa revisor den samlade hanteringen av identifierade fynd.
Behöver du mer information? Vänligen kontakta prata med en av våra experter idag.
Hur ofta behöver jag genomföra en internrevision?
Du måste genomföra interna revisioner som täcker hela standarden, åtminstone under certifieringsperioden (3 år för UKAS-ackrediterade certifikat).
Du kan göra detta som en enda revision, men det är mer vanligt att delas upp i mindre revisioner under treårsperioden.
Det är också viktigt att granska vissa områden oftare om risknivåerna är höga eller området är föremål för frekventa förändringar.
Det rekommenderas att du granskar ledningssystemkraven (klausuler 4-10) på årsbasis och detta kan kopplas till din ISMS-ledningsgenomgång som också måste genomföras årligen.
Hur mycket detaljer ska du inkludera i en internrevision enligt ISO 27001?
Det minsta som krävs är att du dokumenterar de områden som granskats, alla bevis som provats och eventuella avvikelser och möjligheter till förbättringar som identifierats, men det är god praxis och ger betydligt mer nytta om du dokumenterar alla fynd, inklusive var något fungerar korrekt – och det kommer att ge en mer positiv känsla till revisionsberättelsen.
Vad innebär en ISO 27001-certifieringsrevision?
En första ISO 27001-certifieringsrevision innefattar:
Steg 1 revision - "Dokumentationsgranskning" för att fastställa att organisationen har den nödvändiga dokumentationen för ett operativt ISMS.
Steg 2 revision - "Certifieringsrevision" – en bevisrevision för att bekräfta att organisationen driver ISMS i enlighet med standarden – dvs. att de dokumenterade policyerna, procedurerna och standarderna är implementerade, operativa och effektiva. Denna bevisrevision genomförs på stickprovsbasis.
För att behålla din certifiering framåt, innebär detta:
Övervakningsrevisioner - Även kända som "Periodic Audits" dessa utförs på schemalagd basis mellan certifierings- och omcertifieringsrevisioner och kommer att fokusera på ett eller flera områden av ISMS.
Re-certifieringsrevision - Utförs innan certifieringsperioden löper ut (3 år för UKAS ackrediterade certifikat) och är en mer noggrann granskning än de som utförts under en övervakningsrevision. Den täcker alla områden av standarden.
