Sådan skriver du en intern revisionsrapport til ISO 27001

En intern revisionsrapportstruktur for ISO 27001 er noget, du skal vide.

At skabe en effektiv og professionel intern revisionsrapport er afgørende for enhver vellykket implementering af ISO 27001.

En intern revisionsrapport af god kvalitet er et øjebliksbillede af den overordnede implementeringsproces og registrerer status for din ISO 27001-implementering i certificeringsforløbet sammen med detaljer om områder, der stadig skal behandles.

Som en del af krav til ledelsessystem, Afsnit 9.2 beskriver, hvad der skal gøres vedrørende interne revisioner. Dette omfatter et krav om at opbevare dokumenterede beviser for det hele revisionsprocessen og revisionsresultaterne, og dette sker i form af en revisionsrapport.

Hvad er en ISO 27001 intern revision?

En intern ISO 27001-revision indebærer, at en kompetent og objektiv revisor gennemgår ISMS'et eller elementer af det og tester, at det opfylder kravene i standarden, organisationens egne informationskrav og mål for ISMS'et, og at politikkerne, processerne og andre kontroller er effektive og effektive.

Ud over den overordnet overholdelse og effektivitet af ISMS, da ISO 27001 er designet til at gøre det muligt for en organisation at styre sine informationssikkerhedsrisici til et acceptabelt niveau, vil det være nødvendigt at kontrollere, at de implementerede kontroller faktisk reducerer risikoen til et punkt, hvor risikoejeren/-ejere er glade for at tolerere resterende risiko.

Intern revision for ISO 27001 krav 9.2

Klausul 9.2 interne revisionsmandater:

Organisationen skal gennemføre interne revisioner med planlagte intervaller for at give oplysninger om, hvorvidt informationssikkerhedsstyringssystemet:

• Er i overensstemmelse med organisationens egne krav til sin informationssikkerhed ledelsessystem og kravene i denne internationale standard.
• Er effektivt implementeret og vedligeholdt.

Organisationen skal:

• Planlægge, etablere, implementere og vedligeholde et eller flere revisionsprogram, herunder hyppighed, metoder, ansvar, planlægningskrav og rapportering. Revisionsprogrammet(-erne) skal tage hensyn til vigtigheden af ​​de pågældende processer og resultaterne af tidligere revisioner.
• Definer revisionskriterierne og omfanget for hver revision.
• Vælg revisorer og udføre revisioner, der sikrer objektivitet og upartiskhed i revisionsprocessen.
• Sikre, at resultaterne af revisionerne rapporteres til relevant ledelse og opbevares dokumenterede oplysninger som bevis for revisionsprogrammerne og revisionsresultaterne.

Målet med en intern revision er at bekræfte, at organisationen har taget alle rimelige forholdsregler for at garantere, at dens informationssikkerhedsstyringssystem (ISMS) overholder standarderne i ISO 27001 og organisationens egne ISMS-standarder.

Intern revision skal udføres af en uafhængig og uvildig revisor for at opnå dette ifølge standarden.

Hvordan fungerer ISO 27001 interne revisioner?

Intern revision vedr ISO 27001 arbejde ved at følge et revisionsprogram der identificerer de audits, der skal udføres før certificering og i hver certificeringsperiode.

De kræver udvælgelse af en kompetent og objektiv revisor til at foretage hver intern revision, der verificerer overholdelse af kravene i standarden, organisationens egne informationskrav og mål for ISMS, og at politikker, processer og andre kontroller er effektive og effektive.

Aktiviteter inkluderet i den interne revision:

• Gennemgang af dokumentation
• Bevis prøvetagning
• Interview af personale med nøgle informationssikkerhedsansvar
• Interview af andre medarbejdere (og muligvis entreprenører)
• Bedømmelse af resultaterne
• Udarbejdelse af revisionsrapport

Hvor ofte skal jeg foretage en revision

Selvom det ikke er klart i selve ISO 27001, hvor ofte interne revisioner skal udføres, forventes det, at revisionsprogrammet følger de samme krav, som stilles til certificeringsorganerne for at udføre deres revisioner iht. ISO / IEC 27006: 2015 – Krav til organer, der leverer revision og certificering af ISMS'er.

Inden for ISO 27006-kravet 9.1.5.2e hedder det, at revisionsprogrammet "dækker repræsentative prøver af omfanget af ISMS-certificeringen inden for den treårige periode."

Derfor skal du opføre dig interne revisioner, der dækker hele standarden, som minimum i løbet af certificeringsperioden (3 år for UKAS-akkrediterede certifikater).

Du kunne gøre dette som en enkelt revision, men det er mere almindeligt opdelt i mindre revisioner over den 3-årige periode. Det er også vigtigt at auditere nogle områder oftere, hvis risikoniveauet er højt, eller området er genstand for hyppige ændringer.

Det anbefales, at du revidere ledelsessystemet krav (klausul 4-10) på årsbasis, og dette kan knyttes til din ISMS ledelsesgennemgang, som også skal gennemføres årligt. Visse organisationer med sofistikerede og veletablerede ledelsessystemer ønsker måske at arrangere revisioner på en treårig cyklus i stedet for årligt.

Men enhver virksomhed skal nøje undersøge sine processer, ledelsessystemer og andre relevante kriterier for at udvikle en fornuftig tidsplan, der opfylder deres krav og er passende for dem. Hos ISMS.online er vores cloud-baserede platform designet til at hjælpe med revisionsprocessen.

Vi leverer et forudbygget revisionsprogram arbejdsområde, som omfatter:

• Aktiviteter for 2 anbefalede audits forud for certificering
• En plan for interne revisioner for den første 3-årige certificeringsperiode
• Pladsholdere for din eksterne certificering og periodiske revisioner

Anmod om en demo i dag for at se, hvordan vores løsning kan hjælpe din organisation med at demonstrere overholdelse af ISO 27001.

Hvorfor skal jeg oprette en rapport til en intern revision?

Standarden kræver, at du dokumenterer revisionsresultaterne – paragraf 9.2 i ISO 27001 indeholder kravet om at "bevare dokumenterede oplysninger som bevis for ……… revisionsresultater". Dette gøres i en revisionsrapport.

Hvad skal der gøres ved udarbejdelse af rapporten

For hver revision skal du planlægge:

• Hvad revisionen skal dække – hvilke(n) del(er) af standarden, lokationer, forretningsprocesser mv
• Hvem revisor skal være – skal være kompetent og objektiv.
• Hvornår revisionen vil blive gennemført – må ikke have en væsentlig negativ indvirkning på organisationens drift.
• Revisionsmetoden – dokumentationsgennemgang, stikprøveudtagning, interviews mv
• Hvem skal involveres i revisionen?

Gennemgang af dokumentation

Enhver revision vil kræve gennemgang af relevant dokumentation, herunder politikker, procedurer, standarder og vejledninger, der er relevante for det eller de områder af den standard, der revideres. Det er god praksis at rådgive de reviderede om de områder, der skal dækkes, så de kan sikre let og rettidig adgang til den relevante dokumentation

I ISMS.online gøres dette nemt ved enten at have dokumentationen i systemet eller ved at linke til den inden for det relevante afsnit af standarden.

Evidensprøver og interviews

De fleste revisioner vil kræve stikprøver af beviser i mindre eller større grad, og dette kan omfatte interview af relevante nøglemedarbejdere, slutbrugere og nogle gange endda vikarer og kontrahenter.

Kilder til prøveudtagning kan for eksempel omfatte:

• Samtaler med medarbejdere og andre personer.
• Observationer af aktiviteter og det omgivende arbejdsmiljø og forhold.
• Dokumenter, såsom politikker, mål, planer, procedurer, standarder, instruktioner, licenser og tilladelser, specifikationer, tegninger, kontrakter og ordrer.
• Optegnelser, såsom inspektionsprotokoller, mødereferater, revisionsrapporter, optegnelser af overvågningsprogram og resultaterne af målinger.
• Dataresuméer, analyser og præstationsindikatorer.
• Oplysninger om den auditeredes prøveudtagningsplaner og om procedurerne for kontrol af prøveudtagnings- og måleprocesser.
• Rapporter fra andre kilder, fx kundefeedback, eksterne undersøgelser og målinger, andet relevant oplysninger fra eksterne parter og leverandør ratings.
• Databaser og hjemmesider.
• Simulering og modellering.

Analyse

Når dataindsamlingen til revisionen er gennemført, vil det være nødvendigt for revisor at vurdere og analysere resultaterne for at afgøre, om der er afvigelser eller muligheder for forbedringer.

Resultater er normalt kategoriseret som en af ​​følgende:

• Større uoverensstemmelse
• Mindre uoverensstemmelse
• Mulighed for forbedring

Nogle certificeringsorganer bruger også:

• Observation – det er der, hvor der er tidlige indikationer på, at der kan eksistere en mindre uoverensstemmelse eller kan udvikle sig, hvis der ikke træffes foranstaltninger.
• Positiv pointe – tildelt enten, hvor en organisation er gået ud over anerkendt god praksis, eller hvor der er sket væsentlige forbedringer på et område siden den forrige revision.

Rapport

Efter at have analyseret resultaterne, kan revisionsrapporten nu udarbejdes og præsenteres for den person eller team, der er ansvarlig for ISMS, til gennemgang og opfølgning.

Hvordan udarbejdes en intern revisionsrapport?

Revisionsrapporten skal udarbejdes som dokumenteret information, men det betyder ikke, at det skal være et separat Word- eller PDF-dokument. Indenfor ISMS.online platform vi forsøger at tilskynde til, at man undgår at oprette sådanne dokumenter, men giver i stedet et arbejdsområde, hvor rapporten kan dokumenteres direkte, og dette område giver yderligere funktionalitet, herunder muligheden for nemt at linke til andre arbejdsområder, politikker, kontroller, risici, korrigerende handlinger og forbedring "billetter" og mere.

Lav et resumé

Resuméet er nyttigt, så den øverste ledelse hurtigt og nemt kan se et overblik over resultaterne, herunder eventuelle kritiske problemer, tendenser og muligheder for forbedringer. Dette kan så nemt kobles ind i ISMS ledelsesgennemgangen i overensstemmelse med paragraf 9.3.

Dette vil normalt omfatte:

• En generel oversigt over driften af ​​de områder af ISMS, der er omfattet af revisionen.
• En numerisk oversigt over kategorierne af resultater.
• Fremhævelse af eventuelle presserende/kritiske fund.
• En kort beskrivelse af de næste skridt, der skal tages for at imødegå eventuelle fund.

Introducer anvendt terminologi

For at sikre, at der er en fælles forståelse af resultaterne af rapporten, er det nødvendigt at inkludere definitionerne af en eller anden anvendt terminologi, der enten er specifik for organisationen, revisionsprocessen eller standarden. Husk, at ikke alle, der måske har brug for at læse, vurdere og forstå rapporten, nødvendigvis vil forstå al ​​den anvendte terminologi.

Beskriv revisionsplan

Dette inkluderer:

• Revisionens omfang – område(r), der skal dækkes, lokationer, personale, forretningsprocesser mv.
• Navnet på revisor(erne)
• Datoer, tidspunkter og steder for revisionen

Beskriv de fundne fakta

For hvert afsnit af revisionen skal resultaterne dokumenteres, herunder noter om eventuelle bevisprøver, der er taget.*

Det er god praksis at registrere overholdelse og positive pointer samt dokumentere eventuelle afvigelser eller muligheder for forbedringer. Resultaterne bør registrere de fakta, der findes relevante for ISMS og standarden og bør ikke omfatte meninger eller formodninger ud over rimelig ekstrapolering.

 

*Bemærk – hvis bevisprøver indeholder personhenførbare oplysninger, er det sædvanlig praksis at pseudonymisere eller anonymisere dataene i overensstemmelse med kravene i privatlivslovgivningen som f.eks. GDPR.

 

Dokumentere afvigelser og muligheder for forbedringer

Hvor afvigelser og forbedringsmuligheder identificeres, skal disse være klart dokumenteret, således at korrigerende handlinger og forbedringspunkter kan registreres og styres gennem organisationens anerkendte processer som dokumenteret i overensstemmelse med paragraf 10.1 Afvigelse og korrigerende handling; og 10.2 Kontinuerlig forbedring.

Beskriv anbefalinger

Da dette er en intern revisionsrapport, er det tilladt for en revisor at komme med anbefalinger om, hvordan resultaterne kan behandles, men i sidste ende skal beslutningerne vedrørende korrigerende handlinger og forbedringer træffes af de relevante personer eller teams, der er ansvarlige for ISMS og informationssikkerhed. .

Hvordan ISMS.online gør rapportering let

ISMS.online platformen fjerner behovet for at oprette Word-dokumenter, PDF'er og regneark ved at levere en alt-i-et-sted-løsning til let at dokumentere og forbinde alle aspekter af ISMS, herunder dokumentation af revisionsrapporter.

ISMS.online inkluderer et forudbygget revisionsprogramprojekt, der dækker både interne og eksterne revisioner.

Det forudbyggede revisionsprogram inkluderer:

• Aktiviteter for 2 anbefalede audits forud for certificering
• En plan for interne revisioner for den første 3-årige certificeringsperiode
• Pladsholdere for din eksterne certificering og periodiske revisioner

Hver intern revisionsaktivitet indeholder en skabelon til en kombineret revisionsplan og rapport.

Inden revisionen gennemføres, fungerer skabelonen som revisionsplan – herunder hvilke områder der skal revideres og giver opfordring til at registrere, hvornår revisionen gennemføres og af hvem.

Under eller efter gennemførelsen af ​​revisionen kan revisor skrive notater direkte ind i den skabelonformede revisionsaktivitet.

Udover blot at levere revisionsaktivitetsskabelonerne giver ISMS.online mulighed for hurtigt at linke til andre arbejdsområder inden for platformen, hvilket betyder, at det er nemt og tilgængeligt at forbinde revisionsresultater til kontroller, korrigerende handlinger og forbedringer og endda til risici. Dette vil gøre dig i stand til nemt at demonstrere over for din eksterne revisor den samlede håndtering af identificerede fund.

Har du brug for hjælp til din ISO 27001-revision?

Starter du snart en ISO 27001-revision og føler dig stresset over det? Det er naturligt at føle sådan, da det er et meget alvorligt skridt at foretage en ISO 27001-revision.

Eksperterne her på ISMS.online kan tilbyde dig den bedst mulige service. Vi kan støtte revision og rapportering af dit ledelsessystem, give dig råd om informationssikkerhed og risikobegrænsende strategier, levere uddannelse af dit personale eller hjælpe dig med en gapanalyse af dine eksisterende kontroller.

Anmod om en demo i dag.