Vad ingår i en ISO 27001-revision?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

casual,man,,frilans,arbetar,på,bärbar dator,dator,och,klickning,trådlös

casual,man,,freelance,working,on,laptop,computer,and,clicking,wireless

Revisioner används vanligtvis för att säkerställa att en aktivitet uppfyller en uppsättning definierade kriterier. För alla ISO-ledningssystemstandarder används revisioner för att säkerställa att ledningssystemet uppfyller den relevanta standardens krav, organisationens egna krav och mål samt förblir effektivt och effektivt. Det kommer att bli nödvändigt att genomföra ett revisionsprogram för att bekräfta detta.

Vad är en ISO 27001-revision?

An ISO 27001 revision innebär att en kompetent och objektiv revisor granskar:

Smakämnen ISMS eller delar av den och testa att den uppfyller standardens krav,
Organisationens egna informationskrav, mål för ISMS,
Att policyer, processer och andra kontroller är praktiska och effektiva.

Förutom den övergripande efterlevnaden och effektiviteten av ISMS, som ISO 27001 är utformad för att göra det möjligt för en organisation att hantera sina informationssäkerhetsrisker till en acceptabel nivå kommer det att vara nödvändigt att kontrollera att de genomförda kontrollerna verkligen minskar risken till en punkt där riskägaren gärna tolererar den kvarvarande risken.

Vilka typer av revisioner finns det?

Standarden kräver att en organisation är skyldig att planera och genomföra ett schema för "interna revisioner" för att kunna hävda efterlevnad av standarden. Dessutom, om en organisation vill uppnå certifiering, kommer det att kräva att "externa revisioner" utförs av ett "certifieringsorgan" - en organisation med kompetenta revisionsresurser mot ISO 27001.

För att säkerställa maximal nytta av ISMS, rekommenderas det starkt att se till att det valda certifieringsorganet är ackrediterat av en erkänd tillsynsmyndighet. Inom Storbritannien är certifieringsorgan ackrediterade av UKAS – United Kingdom Accreditation Service.

Internrevision

Internrevisioner, som namnet antyder, är de revisioner som utförs av organisationens egna resurser. Om organisationen inte har kompetenta och objektiva revisorer inom sin egen personal kan dessa revisioner utföras av en kontrakterad leverantör. Dessa kallas ofta för "2nd parts revisioner" eftersom leverantören fungerar som en "intern resurs".

Extern granskning

Termen "externa revisioner" gäller oftast de revisioner som utförs av ett certifieringsorgan för att få eller behålla certifiering. Termen kan dock också användas för att hänvisa till de revisioner som utförs av andra intresserade parter (t.ex. partners eller kunder) som önskar få sin egen försäkran om organisationens ISMS. Detta gäller särskilt när en sådan part har krav som går utöver standardens.

Vi har gjort fler ISO 27001-framsteg under de senaste två veckorna med ISMS.online än vad vi har gjort under det senaste året.

Tom Woolrych

Service & Support Manager, Arbetskraften
Utvecklingsförtroende

Boka din demo

Alla vi hjälpte gå på en ISO 27001-revision klarade första gången. Det kunde du också.

Boka din demo

Varför är ISO 27001-revisioner viktiga?

Utan att verifiera hur ditt ISMS hanteras och presterar, finns det ingen verklig garanti för att den levererar mot de mål som den är satt att uppfylla.

Revisioner ger en viss garanti för detta.

Varför måste jag granska mitt ISMS?

Det finns många anledningar till att granska ditt ISMS:

Standarden kräver det – Punkt 9.2 Internrevision mandat ett program för internrevisioner.
För att säkerställa att ditt ISMS är korrekt implementerat och drivs.
För att säkerställa att ISMS uppfyller kraven i standarden.
För att säkerställa att ISMS uppfyller organisationens egna krav.
För att säkerställa att ISMS uppfyller de mål som organisationen ställt upp för informationssäkerhet mot Punkt 6.2 Informationssäkerhetsmål och planering att uppnå dem.
För att säkerställa att ISMS är effektivt för att minska informationssäkerhetsrisker till en acceptabel nivå.
För att säkerställa att ev avvikelser och korrigerande åtgärder tas upp i tid.
För att säkerställa att svagheter, händelser och incidenter i informationssäkerheten rapporteras, hanteras och åtgärdas effektivt och effektivt.

Vad är inblandat med ISO 27001 internrevisioner?

Dokumentationsgranskning – Detta är en översyn av organisationens policyer, procedurer, standarder och vägledningsdokumentation för att säkerställa att den är lämplig för ändamålet och granskas och underhålls.
Bevisgranskning (eller fältgranskning) – Det här är en revisionsaktivitet som aktivt tar prover på bevis för att visa att policyer följs, att rutiner och standarder följs och att vägledning övervägs.
Analys – Efter granskning av dokumentation och/eller provtagning av bevis kommer revisorn att bedöma och analysera resultaten för att bekräfta om standardkraven uppfylls.
Revisionsrapport – En revisionsrapport måste utarbetas enligt standarden i paragraf 9.2 f) och tillhandahållas ledningen för att säkerställa synlighet.
Ledningsöversyn – är en obligatorisk aktivitet enligt klausul 9.3 Ledningsgranskning, som måste beakta resultaten av de utförda revisionerna för att säkerställa att korrigerande åtgärder och förbättringar genomförs vid behov.

Uppnå din första ISO 27001

Ladda ner din gratis guide till snabb och hållbar certifiering

Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!

Mark Wightman

Teknisk chef Aluma

100 % av våra användare klarar certifieringen första gången

Boka din demo

Vad ingår i en extern ISO 27001-revision?

Processerna för extern revision är i huvudsak desamma som för internrevisionsprogrammet men utförs vanligtvis för att uppnå och upprätthålla certifiering.

Programmet för externa [certifierings]revisioner kommer att fastställas av de externa revisorerna [certifieringsorganet] men kommer att följa ett systematiskt krav (se nedan).

Den relevanta revisorn kommer att tillhandahålla en plan för revisionen, och när organisationen bekräftar detta kommer resurser att tilldelas och datum, tider och platser kommer överens om.

Revisionen kommer sedan att genomföras enligt revisionsplanen.

Hur ofta görs externa revisioner?

Olika ackrediteringsorgan runt om i världen ställer upp olika krav för programmet för certifieringsrevisioner; Men i fallet med UKAS-ackrediterade certifikat kommer detta att inkludera:

Inledande certifieringsrevision – genomförd i 2 steg.
Periodiska övervakningsrevisioner – vanligtvis var sjätte månad eller, med minsta årsintervall.
Omcertifieringsrevisioner genomförs vart tredje år.

Vilka är typerna och stadierna av externa revisioner?

Steg 1 revision – "Dokumentationsgranskning" fastställer att organisationen har den nödvändiga dokumentationen för ett operativt ISMS.
Steg 2 revision – “Certification Audit” – en bevisrevision för att bekräfta att organisationen driver ISMS i enlighet med standarden – dvs. att de dokumenterade policyerna, procedurerna och standarderna är implementerade, operativa och effektiva. Denna bevisrevision genomförs på stickprovsbasis.
Övervakningsrevision – även känd som "Periodic Audits", utförs på schemalagd basis mellan certifierings- och omcertifieringsrevisioner och kommer att fokusera på ett eller flera ISMS-områden.
Omcertifieringsrevision – Utförs innan certifieringsperioden löper ut (3 år för UKAS-ackrediterade certifikat) och är en mer noggrann granskning än de som utförts under en övervakningsrevision. Den täcker alla områden av standarden.

Utöver det formella certifieringsprogrammet för externa revisioner ovan, kan du behöva genomgå en extern revision av en intresserad tredje part såsom en kund, partner eller tillsynsmyndighet. Den berörda parten kommer normalt att förse dig med en revisionsplan och följa upp med en revisionsrapport som bör matas in i din ISMS Management Review.

Se våra plattformsfunktioner i aktion

En skräddarsydd praktisk session utifrån dina behov och mål

Boka din demo

Tycker du att ISO 27001 är förvirrande?

Prata med en specialist

Värdet av en ISO 27001-revision med/utan certifiering

Organisationens beslut att uppnå överensstämmelse och eventuellt certifiering enligt ISO 27001 kommer att bero på implementering och drift av ett formellt, dokumenterat ISMS. Detta kommer ofta att dokumenteras i ett affärscase som kommer att identifiera de förväntade målen och avkastningen på investeringen.

Utan certifiering kan organisationen endast göra anspråk på "efterlevnad" av standarden, och denna överensstämmelse garanteras inte av någon ackrediterad tredje part. Om anledningen till att implementera ISMS endast är för förbättrad säkerhetshantering och intern säkerhet, kan detta vara tillräckligt.

För maximal nytta och avkastning på investeringen som kan uppnås från ISMS när det gäller att tillhandahålla säkerhet till organisationens externa intressenter och intressenter, kommer ett oberoende, externt, ackrediterat certifieringsrevisionsprogram att krävas.

Kom ihåg att den enda skillnaden i form av ansträngning mellan "efterlevnad" och "certifiering" är programmet för externa certifieringsrevisioner. Detta beror på att organisationen verkligen måste göra allt som krävs av standarden för att göra anspråk på "efterlevnad" av standarden – självtestad "efterlevnad" minskar inte de resurser som krävs och ansträngningen för att implementera och driva ett ISMS.

Förbereder för en ISO 27001 certifieringsrevision

När du förbereder en certifieringsrevision bör följande nyckelpunkter beaktas:

är nyckeln process för det implementerade ISMS och operativt?
- Organisatoriskt sammanhang – Förstå och dokumentera det organisatoriska sammanhanget och kraven på informationssäkerhet, inklusive berörda parter. Detta kommer också att innefatta att dokumentera omfattningen av ISMS
- Risk & möjlighetshantering – Har organisationen identifierat och bedömda informationssäkerhetsrisker och möjligheter och dokumenterat en behandlingsplan?
- Ledarskap – Kan ett starkt ledarskap på toppnivå visas – t.ex. genom tillhandahållande av resurser och en dokumenterad åtagandeförklaring inom organisatorisk säkerhetspolicy.
- Internrevision – Har ett program för internrevision dokumenterats, överenskommits och påbörjats i enlighet med punkt 9.2?
- Ledningsgranskning – har ISMS genomgått en formell ledningsgranskning i enlighet med Klausul 9.3
- Korrigerande åtgärder och Fortsatt förbättring – kan organisationen visa att korrigerande åtgärder och förbättringar hanteras och implementeras på ett effektivt och effektivt sätt?
Är de nödvändiga dokumenten på plats och godkända?
- ISMS Scope statement (Klausul 4.3)
- Organisationsinformationssäkerhetspolicy (Klausul 5.2)
- Riskhanteringsmetod (Klausul 6.1.2 och 6.1.3)
- Riskregister & behandlingsplan (Klausul 6.1.3 e)
- Förklaring om tillämplighet (Klausul 6.1.3 d)
- Policyer och processer krävs enligt bilaga A där kontroller är tillämpliga.
Är bevismaterial lätt att hitta och komma åt?
Har all personal och relevanta entreprenörer tagit emot informationssäkerhetsutbildning, utbildning och medvetenhet? Det är också god praxis att se till att de som kommer att intervjuas har fått information om vad de kan förvänta sig under revisionen och hur de ska svara. Se också till att de enkelt kan få tillgång till dokument och bevis som kan begäras av revisorn.

Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.

Andrew Bud

Grundare, iproov

Boka din demo

Vi gör det enkelt att uppnå ISO 27001

Få ett försprång på 77 %

Vårt ISMS kommer förkonfigurerat med verktyg, ramverk och dokumentation som du kan adoptera, anpassa eller lägga till. Enkel.

Din väg till framgång

Vår metod för garanterade resultat är utformad för att du ska bli certifierad vid ditt första försök. 100 % framgång.

Se och lär

Glöm tidskrävande och kostsam träning. Vår virtuella coach-videoserie är tillgänglig 24/7 för att guida dig igenom.

Boka din demo

Vem genomför en ISO 27001-revision?

Alla revisioner mot ISO 27001 ska utföras av kompetenta och objektiva revisorer.

För att visa kompetens för ISO 27001-revision krävs vanligtvis att revisorn har påvisbar kunskap om standarden och hur man genomför en revision. Detta kan vara genom att gå en ISO 27001 Lead Auditor-kurs eller genom att ha en annan erkänd revisionskvalifikation och sedan bevisbar kunskap om standarden. Det kan vara möjligt att visa att en revisor är kompetent utan formell utbildning. Men det här kommer sannolikt att bli ett svårare samtal med ditt certifieringsorgan.

För att visa objektivitet måste det visas att revisorn inte granskar sitt eget arbete och att de inte påverkas i onödan via sina rapporteringslinjer.

Det kan vara mer praktiskt för mindre organisationer eller de som vill ha tydligare objektivitet att ta in en kontrakterad revisor.

Certifieringsorgan kommer att ha kontrollerat sina revisorer för kompetens och bör vara beredda att visa det för dig på begäran.

Hur gör ISMS.online revisionsprocessen mer effektiv?

ISMS.online inkluderar ett förbyggt revisionsprogramprojekt som omfattar både interna och externa revisioner och kan även inkludera revisioner mot GDPR om du har valt detta alternativ.

Det förbyggda revisionsprogrammet inkluderar:

Aktiviteter för 2 rekommenderade revisioner före certifiering
En plan för internrevisioner för den första 3-åriga certifieringsperioden
Platshållare för din externa certifiering och periodiska revisioner

Förutom att tillhandahålla revisionsprogramprojektet innebär möjligheten att snabbt länka till andra arbetsområden inom allt-i-ett-platsen ISMS.online-plattformen att länka revisionsresultat till kontroller, korrigerande åtgärder och förbättringar, och även risker görs enkelt och tillgänglig. Detta gör det möjligt för dig att enkelt visa för din externa revisor den samlade hanteringen av identifierade fynd.