Sådan skriver du en intern revisionsrapport til ISO 27001

Som en del af kravene til ledelsessystemet, Punkt 9.2 detaljer, hvad der skal gøres vedrørende interne revisioner. Dette omfatter et krav om tilbageholdelse dokumenteret bevis for revisionen resultater, og dette sker i form af en revisionsrapport.

Hvordan fungerer ISO 27001 interne revisioner?

Interne audits for ISO 27001 fungerer ved at følge et auditprogram, der identificerer de audits, der skal udføres før certificering og i hver certificeringsperiode.

De kræve udvælgelse af en kompetent og objektiv revisor til at udføre hver intern revision verifikation af overholdelse af kravene i standarden, organisationens egne informationskrav og mål for ISMS'et, og at politikker, processer og andre kontroller er effektive og effektive.

Aktiviteter inkluderet i en intern revision:

• Gennemgang af dokumentation
• Bevis prøvetagning
• Interview af personale med nøgle informationssikkerhedsansvar
• Interview af andre medarbejdere (og muligvis entreprenører)
• Bedømmelse af resultaterne
• Udarbejdelse af revisionsrapport.

Hvor ofte skal jeg foretage en revision?

Selvom det ikke er klart i selve ISO 27001, hvor ofte du skal udføre interne revisioner. Det forventes, at revisionsprogrammet følger de samme krav som dem, der stilles til certificeringsorganerne for at udføre deres audits i henhold til ISO/IEC 27006:2015 – Krav til organer, der leverer revision og certificering af ISMS'er.

Inden for ISO 27006 krav 9.1.5.2 e, angiver, at revisionsprogrammet "dækker repræsentative prøver af omfanget af ISMS-certificeringen inden for en treårsperiode."

Derfor skal du udføre interne audits, der som minimum dækker hele standarden i løbet af certificeringsperioden (3 år for UKAS-akkrediterede certifikater).

Du kunne gøre dette som en enkelt revision, men det er mere almindeligt opdelt i mindre revisioner over den 3-årige periode.

Det er også vigtigt at auditere nogle områder oftere, hvis risikoniveauet er højt, eller området er genstand for hyppige ændringer.

Det anbefales, at du revidere ledelsessystemet krav (punkt 4-10) årligt. Dette kan knyttes til din ISMS-ledelsesgennemgang, som også skal gennemføres årligt.

Inden for ISMS.online tilbyder vi et forudbygget revisionsprogram arbejdsområde, som omfatter:

• Aktiviteter for 2 anbefalede audits før certificering
• En plan for interne revisioner for den første 3-årige certificeringsperiode
• Pladsholdere for din eksterne certificering og periodiske revisioner

Hvorfor skal jeg oprette en rapport til en intern revision?

Standarden kræver, at du dokumenterer revisionsresultaterne – paragraf 9.2 i ISO 27001 indeholder kravet om at "bevare dokumenterede oplysninger som bevis for ……… revisionsresultater".

Dette gøres i en revisionsrapport.

Hvad skal der gøres ved udarbejdelse af rapporten?

Inden du kan dokumentere revisionsrapporten, skal du naturligvis planlægge og udføre revisionen. Du kan derefter dokumentere resultaterne i rapporten.

Kom godt i gang med din ISO 27001 revisionsplan

For hver revision skal du planlægge:

• Hvad revisionen skal dække – hvilke(n) del(er) af standarden, lokationer, forretningsprocesser mv
• Hvem revisor skal være – skal være kompetent og objektiv.
• Når revisionen gennemføres, må den ikke have en væsentlig negativ indvirkning på organisationens drift.
• Revisionsmetoden – dokumentationsgennemgang, stikprøveudtagning, interviews mv
• Hvem skal involveres i revisionen?

Gennemgang af dokumentation

Enhver revision vil kræve gennemgang af relevant dokumentation, herunder politikker, procedurer, standarder og vejledninger, der er relevante for det eller de områder af den standard, der revideres. Det er god praksis at rådgive de reviderede om de områder, der skal dækkes, for at sikre nem og rettidig adgang til den relevante dokumentation.

I ISMS.online gøres dette nemt ved enten at have dokumentationen i systemet eller at linke den indenfor standardens relevante afsnit.

Evidensprøver og interviews

De fleste revisioner vil kræve prøveudtagning af bevis i mindre eller større grad. Dette kan omfatte interview af relevante nøglemedarbejdere, slutbrugere og nogle gange endda vikarer og entreprenører.

Kilder til prøveudtagning kan for eksempel omfatte:

• Samtaler med medarbejdere og andre personer
• Observationer af aktiviteter og det omgivende arbejdsmiljø og forhold
• Dokumenter, såsom politikker, mål, planer, procedurer, standarder, instruktioner, licenser og tilladelser, specifikationer, tegninger, kontrakter og ordrer
• Optegnelser, såsom inspektionsoptegnelser, mødereferater, revisionsrapporter, registreringer af overvågningsprogrammet og resultaterne af målinger
• Dataresuméer, analyser og præstationsindikatorer
• Oplysninger om den revideredes prøveudtagningsplaner og procedurerne for kontrol af prøveudtagnings- og måleprocesser
• Rapporter fra andre kilder, fx kundefeedback, eksterne undersøgelser og målinger, yderligere relevant oplysninger fra eksterne parter og leverandør ratings
• Databaser og hjemmesider
• Simulering og modellering

Analyse

Når dataindsamlingen til revisionen er gennemført, vil det være nødvendigt for revisor at vurdere og analysere resultaterne for at fastslå eventuelle afvigelser eller muligheder for forbedringer.

Resultater er normalt kategoriseret som en af ​​følgende:

• Større uoverensstemmelse
• Mindre uoverensstemmelse
• Mulighed for forbedring

Nogle certificeringsorganer bruger også:

• Observation – hvor der er tidlige indikationer, kan der eksistere en mindre afvigelse, eller den kan udvikle sig, hvis der ikke træffes foranstaltninger.
• Positivt point – tildeles enten, hvor en organisation er gået ud over anerkendt god praksis, eller hvor der er sket væsentlige forbedringer på et område siden den forrige revision.

Rapport

Efter at have analyseret resultaterne, kan revisionsrapporten nu udarbejdes og præsenteres for personen eller teamet ansvarlig for ISMS til gennemgang og opfølgning.

Hvordan udarbejdes en intern revisionsrapport?

Revisionsrapporten skal udarbejdes som dokumenterede oplysninger, men det betyder ikke, at det skal være et separat Word- eller PDF-dokument. Indenfor ISMS.online platform, forsøger vi at tilskynde til, at man undgår at oprette sådanne dokumenter, men giver i stedet et arbejdsområde, hvor rapporten kan dokumenteres direkte. Dette område tilbyder yderligere funktionalitet, herunder muligheden for nemt at linke til andre arbejdsområder, politikker, kontroller, risici, korrigerende handlinger og forbedrings-"billetter" og mere.

Lav et resumé

Resuméet er nyttigt, så den øverste ledelse hurtigt og nemt kan se et overblik over resultaterne, herunder eventuelle kritiske problemer, tendenser og muligheder for forbedringer. Dette kan så nemt kobles til ISMS ledelsesgennemgang efter paragraf 9.3.

Dette vil normalt omfatte:

• En generel oversigt over driften af ​​de områder af ISMS, der er omfattet af revisionen.
• En numerisk oversigt over kategorierne af resultater.
• Fremhævelse af eventuelle presserende/kritiske fund.
• En kort beskrivelse af de næste skridt, der skal tages for at imødegå eventuelle fund.

Introducer anvendt terminologi

For at sikre en fælles forståelse af rapportens resultater er det nødvendigt at inkludere definitionerne af en eller anden anvendt terminologi, der enten er specifik for organisationen, revisionsprocessen eller standarden. Husk, at ikke alle, der måske har brug for at læse, vurdere og forstå rapporten, nødvendigvis vil forstå al ​​den anvendte terminologi.

Beskriv revisionsplanen

Dette inkluderer:

• Revisionens omfang – område(r), der skal dækkes, lokationer, personale, forretningsprocesser mv
• Navnet på revisor(erne)
• Datoer, tidspunkter og steder for revisionen

Beskriv de fundne fakta

For hvert afsnit af revisionen bør du dokumentere resultaterne, herunder noter om eventuelle bevisprøver, der er taget.*

Det er god praksis at registrere overholdelse og positive punkter og dokumentere eventuelle afvigelser eller muligheder for forbedringer.

Resultaterne bør registrere de fakta, der findes relevante for ISMS og standarden og bør ikke omfatte meninger eller formodninger ud over rimelig ekstrapolering.

*Bemærk – hvis bevisprøver indeholde personhenførbare oplysninger, er det sædvanlig praksis at pseudonymisere eller anonymisere dataene i overensstemmelse med privatlivslovgivningens krav såsom GDPR.

Dokumentere afvigelser og muligheder for forbedringer

Hvor afvigelser og forbedringsmuligheder identificeres, skal disse være klart dokumenteret, således at korrigerende handlinger og forbedringspunkter kan registreres og styres gennem organisationens anerkendte processer som dokumenteret i overensstemmelse med paragraf 10.1 Afvigelse og korrigerende handling; og 10.2 Løbende forbedringer.

Beskriv anbefalinger

Da dette er en intern revisionsrapport, er det tilladt for en revisor at komme med anbefalinger om, hvordan en organisation kan håndtere resultater. I sidste ende skal beslutninger vedrørende korrigerende handlinger og forbedringer træffes af de relevante personer eller teams, der er ansvarlige for ISMS og informationssikkerhed.