Sådan undgår du almindelige ISO 27001 interne revisionsfejl
Indholdsfortegnelse:
- 1) Hvad er en ISO 27001 intern revision?
- 2) Hvorfor er interne revisioner vigtige?
- 3) Hvad siger ISO-standarden, at vi skal gøre?
- 4) Hvad siger ISO-standarden IKKE, at vi skal gøre?
- 5) Hvem udfører en ISO 27001 intern revision?
- 6) Hvad leder revisorerne efter?
- 7) Intern revision er ikke subjektiv
- 8) Hvorfor vælge ISMS.online for at hjælpe dig?
- 9) « Hvad er de forskellige typer af interne ISO 27001-revisioner?
- 10) Hvad er ISO 27001-revisionsprocessen? »
Intern revision af ledelsessystemet er et obligatorisk krav i ISO 27001 og alle andre almindelige ISO-standarder. Kravene er meget minimale, men når de undersøges objektivt, og detaljerne i dem er meget upræskriptive. Det betyder, at der er betydelige muligheder for at strømline revisionsprocesserne og opnå reelle forretningsmæssige fordele ved dine interne revisioner. Desværre, nogle gange historisk set revisioner ses som en smerte uden værdi; dog – vi vil forklare, hvorfor dette kan ske, og hvordan man undgår det ved hjælp af vores interne revisionstjekliste.
Almindelig fejl: Ikke at omfavne interne revisioner som et forretningsforbedringsværktøj
Ind imellem kan det frigive en masse uudnyttet værdi, hvis du tager et objektivt syn på dine processer og systemer.
Hvad er en ISO 27001 intern revision?
"Audit" er et ord, som ingen kan lide at høre - det har historisk og generelt negative og besværlige konnotationer. Disse er primært forældede; dog – ser oplyste organisationer revisioner som et forbedringsværktøj til deres ledelsessystemer og proces. I tilfælde af et ISO 27001 Information Security Management System (ISMS) er disse revisioner fokuseret på informationssikkerhedsrelaterede arrangementer.
Almindelig fejl: Udførelse af en certificeringsaudit på en officiel og overformel måde
'tonen' i intern revisionsrapport kan (og vi mener skal) drives af revisor til at være venlig og samarbejdsvillig. Så længe de relevante resultater dukker op i slutningen af revisionsprocessen, så er det et vellykket resultat.
ismer består af de nødvendige processer, procedurer, protokoller og personer til at beskytte sine informations- og informationssystemer mod ISO 27001-standardrammerne. En intern ISO 27001-revision er processen med at afgøre, om dit ISMS fungerer som designet og leder efter forbedringer (i henhold til paragraf 10.2 - med en fængende titlen "kontinuerlig forbedring"). Praktisk talt en intern ISO 27001 revision hjælper organisationer med at sikre, at de overholder deres selvforeskrevne krav (også defineret i ISMS) og standardkravene.
Almindelig fejl: At definere i dit ISMS, at noget sker – når det ikke sker i virkeligheden
Det er utilgiveligt som du definerer dit ledelsessystem, der passer til din virksomhed. Du har derfor konstrueret en revisionsfælde i dit ledelsessystem. Inden for paragraf 9.2 angiver ledelseskravene i ISO 27001, at organisationen skal udføre interne audits med "planlagte intervaller" - uanset hvordan du vælger at definere disse intervaller.
Almindelig fejl: Ikke at definere passende "planlagte intervaller" i revisionsprogrammet
Denne definition er designet til at give fleksibilitet til at bestemme dit program, men det er ofte tilfældet, at det passende 'sweet-spot' ikke findes, hvilket fører til under- eller overauditering.
Hvorfor er interne revisioner vigtige?
Revisioner sikrer, at et ISMS fungerer i forhold til de mål, der er sat for det. Uden denne forsikring er der ingen ægte garanti for, hvor godt det vil levere til at beskytte din virksomheds oplysninger. Interne revisioner er vigtige, fordi de hjælper organisationer med at identificere og rette op på svagheder i deres informationssikkerhedsstyringssystem. Revisionskriterierne/resultaterne bruges derefter på flere måder:
- At vurdere ledelse/ledelse af ISMS'ens ydeevne
- Til forbedre ISMS
- At se efter synergier i form af potentielle problemer og rettelser
- At reparere dele af de systemer og processer, der ikke fungerer til at designe
Almindelig fejl: Ikke at advare ledelsen hurtigt nok, når der er behov for handling
Seniorledelsen implementerer muligvis ikke direkte ændringer i dit ISMS, efter at en gennemgang fortsætter. Alligevel skal de involveres, opmærksom på af problemer, drev løsninger og forbedringer.
Hvad siger ISO-standarden, at vi skal gøre?
Klausul 9.2 i ISO 27001 kræver kun nogle få ting af dine interne revisioner
- At de er "planlagte" – dvs. at et revisionsprogram er defineret og dokumenteret
- Auditprogrammet er dynamisk og passende til din organisation
- Revisionsresultater dokumenteres
- Ledelsen vurderes på passende vis af revisionsresultaterne
Processen bør derfor ikke være for krævende, og den generelle tilgang kræver anvendelse af sund fornuft. For eksempel vil dele af din virksomhed, der tidligere har haft dårlige revisionsresultater, sandsynligvis blive revideret mere dybtgående, måske hyppigere og muligvis af din ledende revisor i fremtiden. Omvendt kan de områder, der har fløjet gennem tidligere revisioner, få revisionsdybden, -frekvensen eller begge dele passende reduceret i det fremadrettede program.
De fleste organisationer udarbejder et revisionsprogram for virksomheden for det kommende år, nogle gange længere, f.eks. for den treårige livscyklus af deres certificering.
Almindelig fejl: Ikke at overholde revisionsprogrammet
At komme bagud med dine interne revisioner er en af de nemmeste måder at lægge din ISMS certificering i fare. Hvis dette sker, skal du løse det så hurtigt som muligt er altid det bedste råd.
Almindelig fejl: Under- eller overrevision af dele af dit ledelsessystem
Frekvensen skal tænkes lidt over, og en balance er fundet. ISO-standarden kræver overvejelser om "betydningen af processer", hvilket betyder, at nogle dele af dit ISMS vil blive revideret mere end andre, alt efter hvad der er relevant.
Almindelig fejl: Forstyrrelse af normal forretningsdrift med et upassende revisionsprogram
Hvis din virksomhed har travle perioder, ville det være dumt at planlægge for meget revision på dette tidspunkt. Tilsvarende afvikler mange organisationer driften ved f.eks. påske eller jul, og dette kan, eller måske ikke, være et godt tidspunkt at lave nogle interne revisioner. Du bestemmer.
Hvad siger ISO-standarden IKKE, at vi skal gøre?
Det er fascinerende at bemærke hvad ISO klausul 9.2 siger IKKE er påkrævet. Vær meget klar, hvis det ikke er absolut krav i ISO-standarden (se efter ordet "skal"), så kan du med passende overvejelser definere dine arrangementer i dit ISMS, så det passer til din organisation. Som eksempel er der ikke krav om uplanlagte eller tilfældige interne revisioner i ISO-standarden. Du kan, hvis du vælger at, gøre nogle af disse.
Et andet eksempel er dybden og varigheden af din interne revision. Du kan i teorien udføre en revision af en proces i løbet af få minutter, eller den kan trække ud i timevis. Uanset hvad, da det ikke er et krav i standarden, har du valgmuligheder. Vi vil råde til at dele lange revisioner op i mindre dele (f.eks. en time) for at give både revisor og revideret lidt tænketid og en chance for at genopfriske.
Glem ikke – de fleste interne revisorer er drevet af te, kaffe, vand og meget ofte kiks og kager...
Almindelig fejl: At forsøge at 'købe' eller overdrevent påvirke din interne revisor
Revisorer skal forblive upartiske og objektive – ingen mængde kager og venlighed vil påvirke objektiviteten af revisionsresultatet.
Almindelig fejl: Ikke at investere nok (eller passende) tid og ressourcer
At forsøge at udføre den mindste mængde af revision eller udføre overfladiske revisioner vil ikke frigive nogen værdi og demonstrere nogen forpligtelse til ISMS (som er et krav i ISO 27001).
Almindelig fejl: Revisoren overholder deres velkomst
Hvis en intern revision er planlagt til f.eks. en time, bør det ikke tage mere end den time. En overskridelse kan alvorligt forstyrre andre planlagte forretningsaktiviteter med alle de negative konsekvenser, som dette scenarie vil medføre. Det løsninger er at dokumentere de ufærdige stykker, der skal behandles fremover i revisionsrapporten.
Hvem udfører en ISO 27001 intern revision?
ISO 27001 audits kræver kompetente (i henhold til paragraf 7.2) og objektive revisorer, som har demonstreret kendskab til standarden og erfaring med at udføre en ISO 27001-revision. Ofte vil interne revisorer allerede arbejde i din organisation og vil derfor vide, hvordan din virksomhed fungerer.
Ser man objektivt på dette, kan dette være en styrke eller en svaghed, afhængigt af situationen. En intern revisor kan demonstrere kompetence ved at deltage i et ISO 27001 lead auditor-kursus eller praktisk erfaring med at demonstrere deres viden om standarden og med succes levere audits.
Almindelig fejl: Udførelse af interne revisioner ved hjælp af inkompetente revisorer
Du kan ikke bare bruge hvem som helst. Du ville ikke bruge receptionisten til at kontrollere din atomreaktor. Det samme princip gælder for dine interne revisioner.
Med de høje omkostninger ved kurser i tankerne, kan det være at foretrække for en revisor at demonstrere deres kompetenceniveau gennem praktisk erfaring med implementering af et ISMS. ISMS.online kan hjælpe med at booste din selvtillid og kompetence i at auditere dit ISMS i forhold til ISO 27001 gennem flere værdifulde funktioner såsom vores virtuelle coach. Denne funktion er et sæt af videoer, tjeklister og vejledninger, der altid er tændt, med fokus på revisors perspektiver for mange klausuler og kontroller.
Det kan være mere praktisk for mindre organisationer med begrænset kapacitet eller virksomheder, der søger større objektivitet at bruge en ekstern (tredjepart) revisor til at udføre interne revisioner. Bemærk, at dette er helt acceptabelt i forhold til ISO-krav. Revisoren kunne være en konsulent, eller ISMS.online kan hjælpe; denne tilgang giver uafhængighed og kan give mere objektivitet og fordelene ved mere vidtrækkende erfaring i andre lignende organisationer.
Almindelig fejl: Revision af dit eget arbejde
Gør aldrig dette, da upartiskhed og uafhængighed er stærkt svækket.
Hvad leder revisorerne efter?
Formålet med en ISO-revisor er at forstå målet for dit informationssikkerhedsstyringssystem og opnå beviser, der understøtter dets overholdelse af ISO 27001-standarden. I modsætning til hvad folk tror, leder revisorer efter (og bør rapportere) positive og negative resultater.
ISO 27001-revisorer ser også efter eventuelle huller eller mangler i dit informationssikkerhedssystem. Grundlæggende vil din revisor søge bevis for ISO 27001-standardkravene i hele din virksomhed. Du kan demonstrere dette ved proaktivt at indføre politikker og kontroller, som mindsker de risici, som din virksomheds information står over for. Endelig vil eventuelle potentielle forbedringer af ISMS, som er aftalt i samarbejde mellem revisor og den reviderede, indgå i revisionsrapporten.
Almindelig fejl: At holde revisionen kørende, indtil der er fundet uoverensstemmelser
En balanceret revision vil rapportere, hvad der er fundet. Hvis der ikke er tydelige afvigelser, er dette IKKE et tegn på en dårlig revision. Objektive (det vil sige flertallet af) revisorer får ikke en varm uklar fornemmelse, når de kan fastlægge en uoverensstemmelse med din ISMS...
Almindelig fejl: Ikke rapportering af overholdelse
Er lige så vigtigt for organisationer at være opmærksomme på som manglende overholdelse og potentielle forbedringer. Hvorfor bruge tid og besvær med at planlægge og udføre revisionen, men ikke rapportere et positivt resultat?
Intern revision er ikke subjektiv
Som revisor ønsker du måske for meget at foreslå implementeringer på din organisations ISMS eller generelle forbedringsområder kendt som muligheder for forbedring (OFI). Det er dog væsentligt at huske, at selvom der er plads til fortolkning inden for standarden, er handlinger uden for standardkravet ikke obligatoriske. Det betyder, at din organisations unikke situation kan anse visse forslag for overflødige set fra et revisorperspektiv, især hvis det er uden for ISO 27001-kravene.
Almindelig fejl: Du "Består" eller "Ikke bestå" en revision
Revisionsrapporter er kendsgerninger og bør ses passivt og ikke følelsesmæssigt. Eventuelle resulterende ændringer, der kræves til dit ISMS, bør bestemmes og implementeres (og om nødvendigt re-revideres). Beviser spiller en væsentlig rolle i opnåelsen af ISO 27001-certificering; paragraf 10.1 kræver eksplicit organisationer at opbevare beviser vedrørende afvigelser og handlinger truffet som følge heraf. Som revisor betyder det, at dine konklusioner for afvigelser skal være baseret på beviser, der klart skitserer de områder, der har behov for forbedring eller systematisk korrektion.
Almindelig fejl: Ikke at bruge fakta til at bestemme revisionsresultater
revisorers meninger og overbevisninger kan fordreje revisionsresultatet negativt. Objektive og upartiske revisionsresultater bestemmes kun af faktuelle beviser og erfaringer.
Hvorfor vælge ISMS.online for at hjælpe dig?
For at blive ISO 27001-kompatibel eller certificeret for første gang, vores ISMS.online Metode med sikre resultater (ARM) tilbyder enkel, tidseffektiv og praktisk anvendelse. ARM vil hjælpe dig med at bestemme, hvilke aktiver, systemer, personer, lokationer osv., der passer inden for rammerne af dit informationsstyringssikkerhedssystem. Som et resultat vil ARM give dig mulighed for at tænke over de risici, de står over for.
Adopter Adapt Add (AAA) filosofi for paragraf 9.2 giver en gennemprøvet proces, der skal følges for interne revisioner. Ved at bruge vores præ-konfigurerede ISMS kan du hurtigt og nemt bevise kravene i paragraf 9.2. Du vil også modtage et revisionsprogram til gennemførelse af interne revisioner. Du kan bruge vores revisionsprojekt til at sætte mål og omfang for hver revision, derefter registrere resultaterne og adressere eventuelle afvigelser fundet under revisionen i platformens forbedringsspor.
Klausul 10.1 dækker kravet om manglende overensstemmelse og korrigerende handling for ISO IEC 27001. Du skal fremlægge bevis til revisor om, hvordan din organisation identificerer, reagerer på, evaluerer, gennemgår og dokumenterer afvigelser. Ved at bruge vores ISMS.online platform kan du bruge Adopt Adapt Add-filosofien med vores på forhånd foreslåede politik for paragraf 10.1. ISMS.online-platformen giver et praktisk spor for korrigerende handlinger og forbedringer for at demonstrere, hvordan din organisation nemt håndterer korrigerende handlinger og forbedringer. Du kan også linke korrigerende handlinger og forbedringer til andre områder inden for platformen, såsom politikker, mens du tildeler gøremål til kolleger og tilføjer forfaldsdatoer.
Vores ISMS.online platform giver også en ramme, der gør det muligt for organisationer, der har til hensigt at følge et treårigt revisionsprogram for alle kontroller i deres certificeringsperiode.
Bevisførelse er gjort enkelt med vores ISMS.online platform; du kan registrere data, politikker, kontroller, procedurer, risikovurderinger, identificerede risici, handlinger, projekter, relateret dokumentation og rapporter på platformen, hvilket skaber en nem vurdering for revisorer.
Ekstra hjælp tilgængelig fra Service Development and Delivery (SDD) team
Medarbejdere, der er ansvarlige for at implementere dit informationssikkerhedssystem, kan have problemer og spørgsmål omkring standarden; det er her vores supportteams kan guide dig gennem processen. Inden for vores organisation har Service Development and Delivery Teamet stor erfaring og ekspertise inden for informationssikkerhed. De kan understøtte den indledende implementering af dit informationssikkerhedsstyringssystem og vejledning om eventuelle væsentlige standardproblemer.
