Som en del af kravene til ledelsessystemet, Punkt 9.2 detaljer, hvad der skal gøres vedrørende interne revisioner. Dette omfatter et krav om tilbageholdelse dokumenteret bevis for revisionen resultater, og dette sker i form af en revisionsrapport.
An ISO 27001 intern revision involverer en kompetent og objektiv revisor, der gennemgår ismer eller elementer af det og tester, at:
Ud over den overordnede overholdelse og effektivitet af ISMS, som ISO 27001 er designet til at gøre det muligt for en organisation at administrere sin informationssikkerhed risici til et acceptabelt niveau, vil det være nødvendigt at kontrollere, at de implementerede kontroller faktisk reducerer risikoen til et punkt, hvor risikoejeren(e) gerne tolererer den resterende risiko.
Punkt 9.2 Interne revisionsmandater:
"Organisationen skal gennemføre interne audits med planlagte intervaller for at give oplysninger om, hvorvidt informationssikkerhedsstyringssystemet:
a) er i overensstemmelse med
b) er effektivt implementeret og vedligeholdt.
Organisationen skal:
c) planlægge, etablere, implementere og vedligeholde et eller flere revisionsprogrammer, herunder hyppighed, metoder, ansvar, planlægningskrav og rapportering. Revisionsprogrammet(-erne) skal tage hensyn til vigtigheden af de pågældende processer og resultaterne af tidligere revisioner;
d) definere revisionskriterierne og omfanget for hver revision;
e) udvælge revisorer og udføre revisioner, der sikrer objektivitet og upartiskhed i revisionsprocessen;
f) sikre, at resultaterne af revisionerne rapporteres til den relevante ledelse; og
g) opbevare dokumenterede oplysninger som bevis for revisionsprogrammerne og revisionsresultaterne."
Download din gratis guide til hurtig og bæredygtig certificering
Vi har bare brug for et par detaljer, så vi kan e-maile dig din guide til at opnå ISO 27001 første gang
Download din gratis guide nu, og hvis du overhovedet har spørgsmål Book en demo or Kontakt os. Vi hjælper gerne.
Interne audits for ISO 27001 fungerer ved at følge et auditprogram, der identificerer de audits, der skal udføres før certificering og i hver certificeringsperiode.
De kræve udvælgelse af en kompetent og objektiv revisor til at udføre hver intern revision verifikation af overholdelse af kravene i standarden, organisationens egne informationskrav og mål for ISMS'et, og at politikker, processer og andre kontroller er effektive og effektive.
Aktiviteter inkluderet i en intern revision:
Selvom det ikke er klart i selve ISO 27001, hvor ofte du skal udføre interne revisioner. Det forventes, at revisionsprogrammet følger de samme krav som dem, der stilles til certificeringsorganerne for at udføre deres audits i henhold til ISO/IEC 27006:2015 – Krav til organer, der leverer revision og certificering af ISMS'er.
Inden for ISO 27006 krav 9.1.5.2 e, angiver, at revisionsprogrammet "dækker repræsentative prøver af omfanget af ISMS-certificeringen inden for en treårsperiode."
Derfor skal du udføre interne audits, der som minimum dækker hele standarden i løbet af certificeringsperioden (3 år for UKAS-akkrediterede certifikater).
Du kunne gøre dette som en enkelt revision, men det er mere almindeligt opdelt i mindre revisioner over den 3-årige periode.
Det er også vigtigt at auditere nogle områder oftere, hvis risikoniveauet er højt, eller området er genstand for hyppige ændringer.
Det anbefales, at du revidere ledelsessystemet krav (punkt 4-10) årligt. Dette kan knyttes til din ISMS-ledelsesgennemgang, som også skal gennemføres årligt.
Inden for ISMS.online tilbyder vi et forudbygget revisionsprogram arbejdsområde, som omfatter:
Vores ISMS leveres præ-konfigureret med værktøjer, rammer og dokumentation, du kan adoptere, tilpasse eller tilføje til. Enkel.
Vores sikrede resultater metode er designet til at få dig certificeret på dit første forsøg. 100% succesrate.
Glem alt om tidskrævende og dyr træning. Vores Virtual Coach-videoserie er tilgængelig 24/7 for at guide dig igennem.
Standarden kræver, at du dokumenterer revisionsresultaterne – paragraf 9.2 i ISO 27001 indeholder kravet om at "bevare dokumenterede oplysninger som bevis for ……… revisionsresultater".
Dette gøres i en revisionsrapport.
Inden du kan dokumentere revisionsrapporten, skal du naturligvis planlægge og udføre revisionen. Du kan derefter dokumentere resultaterne i rapporten.
For hver revision skal du planlægge:
Enhver revision vil kræve gennemgang af relevant dokumentation, herunder politikker, procedurer, standarder og vejledninger, der er relevante for det eller de områder af den standard, der revideres. Det er god praksis at rådgive de reviderede om de områder, der skal dækkes, for at sikre nem og rettidig adgang til den relevante dokumentation.
I ISMS.online gøres dette nemt ved enten at have dokumentationen i systemet eller at linke den indenfor standardens relevante afsnit.
De fleste revisioner vil kræve prøveudtagning af bevis i mindre eller større grad. Dette kan omfatte interview af relevante nøglemedarbejdere, slutbrugere og nogle gange endda vikarer og entreprenører.
Kilder til prøveudtagning kan for eksempel omfatte:
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
Når dataindsamlingen til revisionen er gennemført, vil det være nødvendigt for revisor at vurdere og analysere resultaterne for at fastslå eventuelle afvigelser eller muligheder for forbedringer.
Resultater er normalt kategoriseret som en af følgende:
Nogle certificeringsorganer bruger også:
Efter at have analyseret resultaterne, kan revisionsrapporten nu udarbejdes og præsenteres for personen eller teamet ansvarlig for ISMS til gennemgang og opfølgning.
Revisionsrapporten skal udarbejdes som dokumenterede oplysninger, men det betyder ikke, at det skal være et separat Word- eller PDF-dokument. Indenfor ISMS.online platform, forsøger vi at tilskynde til, at man undgår at oprette sådanne dokumenter, men giver i stedet et arbejdsområde, hvor rapporten kan dokumenteres direkte. Dette område tilbyder yderligere funktionalitet, herunder muligheden for nemt at linke til andre arbejdsområder, politikker, kontroller, risici, korrigerende handlinger og forbedrings-"billetter" og mere.
Resuméet er nyttigt, så den øverste ledelse hurtigt og nemt kan se et overblik over resultaterne, herunder eventuelle kritiske problemer, tendenser og muligheder for forbedringer. Dette kan så nemt kobles til ISMS ledelsesgennemgang efter paragraf 9.3.
Dette vil normalt omfatte:
For at sikre en fælles forståelse af rapportens resultater er det nødvendigt at inkludere definitionerne af en eller anden anvendt terminologi, der enten er specifik for organisationen, revisionsprocessen eller standarden. Husk, at ikke alle, der måske har brug for at læse, vurdere og forstå rapporten, nødvendigvis vil forstå al den anvendte terminologi.
Dette inkluderer:
For hvert afsnit af revisionen bør du dokumentere resultaterne, herunder noter om eventuelle bevisprøver, der er taget.*
Det er god praksis at registrere overholdelse og positive punkter og dokumentere eventuelle afvigelser eller muligheder for forbedringer.
Resultaterne bør registrere de fakta, der findes relevante for ISMS og standarden og bør ikke omfatte meninger eller formodninger ud over rimelig ekstrapolering.
*Bemærk – hvis bevisprøver indeholde personhenførbare oplysninger, er det sædvanlig praksis at pseudonymisere eller anonymisere dataene i overensstemmelse med privatlivslovgivningens krav såsom GDPR.
Hvor afvigelser og forbedringsmuligheder identificeres, skal disse være klart dokumenteret, således at korrigerende handlinger og forbedringspunkter kan registreres og styres gennem organisationens anerkendte processer som dokumenteret i overensstemmelse med paragraf 10.1 Afvigelse og korrigerende handling; og 10.2 Løbende forbedringer.
Da dette er en intern revisionsrapport, er det tilladt for en revisor at komme med anbefalinger om, hvordan en organisation kan håndtere resultater. I sidste ende skal beslutninger vedrørende korrigerende handlinger og forbedringer træffes af de relevante personer eller teams, der er ansvarlige for ISMS og informationssikkerhed.
En skræddersyet hands-on session baseret på dine behov og mål
ISMS.online-platformen undlader behovet for at oprette Word-dokumenter, PDF'er og regneark ved at levere en alt-i-et-sted-løsning til nemt at dokumentere og forbinde alle aspekter af ISMS, herunder dokumentation af revisionsrapporter.
ISMS.online inkluderer et forudbygget revisionsprogramprojekt, der dækker både interne og eksterne revisioner.
Det forudbyggede revisionsprogram inkluderer:
Hver intern revisionsaktivitet indeholder en skabelon til en kombineret revisionsplan og rapport.
Forud for gennemførelsen af revisionen fungerer skabelonen som revisionsplanen – herunder hvilke områder der skal revideres og giver anvisninger til registrering af, hvornår revisionen skal udføres og af hvem.
Under eller efter udførelsen af revisionen kan revisor skrive noter direkte ind i den skabelonformede revisionsaktivitet.
Udover blot at levere revisionsaktivitetsskabelonerne giver ISMS.online mulighed for hurtigt at linke til andre arbejdsområder inden for platformen, hvilket betyder, at det er nemt og tilgængeligt at forbinde revisionsresultater til kontroller, korrigerende handlinger og forbedringer og endda til risici. Dette vil gøre dig i stand til nemt at demonstrere over for din eksterne revisor den samlede håndtering af identificerede fund.
Kontakt os, og vi kan yde support.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Samarbejd nemt, skab og vis, at du til enhver tid er på toppen af din dokumentation
Find ud af mereHåndter ubesværet trusler og muligheder og rapporter dynamisk om ydeevne
Find ud af mereTræf bedre beslutninger og vis, at du har kontrol med dashboards, KPI'er og relateret rapportering
Find ud af mereGør let arbejde med korrigerende handlinger, forbedringer, revisioner og ledelsesgennemgange
Find ud af mereGiv et lys over kritiske relationer og sammenkæde områder som aktiver, risici, kontroller og leverandører elegant
Find ud af mereVælg aktiver fra Asset Bank og opret dit Asset Inventory med lethed
Find ud af mereUd af boksen integrationer med dine andre vigtige forretningssystemer for at forenkle din overholdelse
Find ud af mereTilføj pænt andre områder af overholdelse, der påvirker din organisation for at opnå endnu mere
Find ud af mereEngager personale, leverandører og andre med dynamisk end-to-end compliance til enhver tid
Find ud af mereAdministrer due diligence, kontrakter, kontakter og relationer i løbet af deres livscyklus
Find ud af mereVisuelt kortlægge og administrere interesserede parter for at sikre, at deres behov bliver klart tilgodeset
Find ud af mereStærkt privatliv ved design og sikkerhedskontrol, der matcher dine behov og forventninger
Find ud af mere