Sådan forbereder du dig til en intern ISO 27001-revision – Den revideredes perspektiv
Indholdsfortegnelse:
Introduktion
Alle revisioner involverer mindst én revisor (nogle gange mere end én, med den ansvarlige, almindeligvis kendt som hovedrevisor) og mindst én revideret. De revideredes rolle er at samarbejde med revisionsteamet for at:
- Naviger gennem de forskellige ISMS-dokumenter og -systemer
- Diskuter og aftal effektiviteten af delene af ISMS revideres
- Giv bevis, hvor det er nødvendigt ismer operationer (typisk optegnelser)
- Forklar baggrundstænkningen og forretningskonteksten for revisionen
Fokus i dette stykke er at se på forberedelse til interne revisioner fra den revideredes perspektiv
Hvad er en ISO 27001 intern revision
Interne revisioner af ISO 27001 hjælper organisationer med at sikre, at deres krav og de krav, der kræves af standarden, bliver opfyldt. Den interne ISO 27001-revision er først og fremmest processen med at afgøre, om en virksomhed har de nødvendige procedurer, processer, protokoller og folk til at beskytte sin information og sine informationsstyringssystemer mod ISO 27001-standarden. For det andet vil revisionen teste, ved inspektion af dokumenter og optegnelser og med bistand fra den reviderede, om forskellige ISMS-komponenter udfører som designet og følger kravene (se efter ordet "skal") i ISO-standarden.
Hvad har vi brug for intern ISO 27001-revision?
Flere chauffører laver udfører interne revisioner obligatorisk. Klausul 9.2 i ISO 27001 giver mandat til, at revisioner udføres med "planlagte intervaller". De fleste virksomheder er drevet til at frigive reel værdi fra deres ISMS, og topledelsen leder denne strategiske hensigt. Interne revisioner ses og bruges derfor som et kritisk forretningsforbedringsværktøj.
Gennemførelse af en intern revision sikrer, at en virksomheds procedurer udføres efter planen. Positiv og negativ feedback fra et projekts intern revision er uvurderlig for at forbedre din organisations informationsstyringsprocesser.
Forskellen mellem eksterne og interne ISO 27001-revisioner
ekstern revisionsproces er i det væsentlige det samme som de interne revisionsprocesser, men hvad de i sidste ende har til fælles er målet at opnå og vedligeholde ISO 27001-certificering. Typisk udfører certificerede organer eksterne revisioner ved hjælp af professionelle revisorer. Mens revisionsprocesserne i det væsentlige er de samme, eksterne revisioner har en tendens til at være mere formelle og strukturerede end interne revisioner.
Til reference er her en hurtig oversigt over forskellige revisionstyper
Tredjepartsrevisioner
Det er, når en anden organisation auditerer din organisation – det åbenlyse eksempel er, at dit ISMS bliver revideret af dit valgte certificeringsorgan – almindeligvis kendt som en 'ekstern revision'.
Andenpartsrevisioner
Dette kan være indadtil til din organisation (en kunde auditerer dig) eller udad fra din organisation (f.eks. auditerer du en potentiel eller nuværende leverandør).
Førstepartsrevisioner
Førstepartsrevision er, når en organisation auditerer sig selv – altså en intern revision.
Definition af revisionen
For at opnå den maksimale værdi af din revision, skal du foruddefinere revisionsparametrene. Dette omfatter omfanget, kriterierne og formålet med revisionen. Revisionsmålet er formålet med eller formålet med revisionen. Revisionsomfanget identificerer, hvilke aktiviteter og registreringer der er genstand for revision. Revisionskriterierne består af politikker, procedurer og krav, som revisionen undersøges i forhold til, i dette tilfælde ISO 27001:2013-standarden.
Vigtigheden af ISO 27001 revisionsforberedelse
Hvis der er en vare, som vi alle gerne vil have mere af, er det på tide. Som Benjamin Franklin engang sagde: 'At ikke forberede sig, er at forberede sig på at mislykkes.' Jeg er sikker på, at han ikke henviste til ISO 27001-revisioner på det tidspunkt, men relevansen eksisterer stadig. En revision af hele dit informationssikkerhedsstyringssystem, inklusive dets teknologier, processer og procedurer og mennesker, vil næsten helt sikkert vise sig at være udfordrende.
Jo mere omfattende og mere kompleks organisationen er, jo mere sandsynligt vil revisionsresultater forsinke certificeringen. Der er dog trin, du kan tage på forhånd for at gøre din revision mere effektiv og mindre en prøvelse. Sørg for, at du samler alle de nødvendige dokumenter forud for revisionen for at demonstrere din overholdelsesbestræbelse. Sørg desuden for, at du forstår kravene i de relevante standardområder, der er genstand for revision. Sørg endelig for, at du er opdateret med alle de løbende arbejdsområder som f.eks korrigerende handlinger, ledelsesanmeldelser og revisionsprogrammet; disse vil højst sandsynligt blive kontrolleret som en del af den interne revision.
Hvordan man praktisk forbereder sig til den interne revision
Både revisor og organisationen skal være tilstrækkeligt forberedt til revisionen. Det er nemt at glemme, mens du understreger din dokumentation, at der er mange praktiske ting, du måske skal være klar til. Før revisionen (f.eks. to uger før), er det normalt en god idé at sikre, at alle relevante politikker/procedurer/systemer/registreringer/kontroller er så opdaterede som muligt med passende godkendelsesrevisionsspor på plads. Hvis du finder det passende, kan du genlæse dine relevante politikker, processer og procedurer for igen at blive bekendt med og måske gennemgå forud for revisionen, hvis du finder det passende. Efter at have læst dette dokument vil det ikke overraske dig, at du muligvis skal fremlægge dokumentation i revisionen. Derfor er det nok en god idé at sikre, at du har dokumentationen let tilgængelig før revisionen, eller i det mindste bør du vide, hvordan du får adgang til den. At snuse rundt og lede efter ting i sidste øjeblik vil kun spilde din tid og revisorerne; adgang og frigivelse skal være ordnet på forhånd. Du bør sikre dig alle de nødvendige sikkerhedstilladelser, såsom adgang til serverrummet eller et nøglekort til lageret. På samme måde kan det være nødvendigt at lave særlige arrangementer på forhånd, som at slukke for en alarm eller midlertidigt standse produktionen.
Desuden kan du få brug for PPE til revisoren i tilfælde af udsættelse for et farligt miljø, såsom en sikkerhedshjelm eller endda overalls. Dette er især vigtigt, da undladelse af at arrangere dette sandsynligvis vil resultere i, at revisor ikke opfylder deres pligter. Ligeledes kan der være en bestemt afdeling eller person, der skal revideres, som f.eks Human Resources. Det skal du sørge for specialiseret personale er opmærksomme af revisionen og er tilgængelige for revisor at tale med. Sørg for at give dine kolleger/medarbejdere rigeligt varsel. Revisionsplanen hjælper dig med at udarbejde disse ordninger.
Endelig kan der være nogle logistiske forberedelser, du skal lave – for eksempel at indrette et passende arbejdsrum til revisoren. Dette kunne bruges til at arbejde med revisionsresultaterne og opskrivningen. Tilsvarende kan revisor have brug for en internetforbindelse for at udføre nogle aspekter af revisionen. Derfor skal du instruere dem i at medbringe et hotspot, hvis din politik ikke tillader gæster at tilslutte sig netværket. På den anden side vil det at have en gæste-Wi-Fi og adgangskode ved hånden hjælpe med at gøre tingene mere ligetil for revisoren.
Ingen forberedelse er den bedste forberedelse
Det kan komme som en overraskelse for dig, men det ideelle ISMS behøver ikke at forberede sig på en revision. Et vellykket ISMS er opdateret med løbende standardkrav såsom ledelsesgennemgange, revisioner, korrigerende handlinger osv. At holde sig ajour med disse arbejdsområder vil kun tjene som en hjælp til din forretningspraksis på grund af løbende forbedringer af dit ISMS. Inden din revision kan noget rengøring være på sin plads. Men et system, der minder dig om gøremål, kommende opgaver, politikgennemgange og andre løbende opgaver, vil give dig den bedste chance for at undgå ISO-panik. Det er her, vi kommer ind. Vi leverer en komplet platform for dig til at administrere samt opbygge dit ISMS. Takket være vores løsninger, kan din organisation, kunder og andre interessenter have overholdelsestillid og certificeringssikkerhed. Fra nybegyndere i informationssikkerhed til garvede veteraner, vi er vant til at arbejde med kunder med alle baggrunde. Efterhånden som din organisation vokser og ændrer sig, dukker der hele tiden nye infosec-trusler op. Vi har designet vores platform for at hjælpe dig med at tilpasse det til alt det og mere, efterhånden som verden fortsætter med at udvikle sig.
Tidligere revisionsresultater og korrigerende handlinger – vil de blive revideret?
Målet er at auditere ISMS internt i forhold til ISO 27001, hvilket ikke vil give anledning til nye uoverensstemmelser. Derfor skal du gå ind i revisionen med overensstemmelsessikkerhed. En gennemgang af dokumentationen er derfor væsentlig. Vi skal kontrollere, at alle politikker er indsendt og godkendt af min ledelse. Ellers kan en overensstemmelse for Cl.5.2 bringes i fare.
Derudover ville det hjælpe, hvis du kiggede på de korrigerende handlinger i ISMS; disse data kan bruges til at forberede din kommende interne revision. Oplysningerne fra CA (korrigerende handlinger) vil vise dig tidligere identificerede områder, der skal forbedres. Nogle gange kan de korrigerende handlinger være fra en ledelsesgennemgang eller et svar på en sikkerhedshændelse. Vi vil dog fokusere på korrigerende handlinger, der stammer fra en revision. Disse CA'er er vigtige at gennemgå, da de næsten helt sikkert vil blive kontrolleret i din revision. Den følgende revision skal omhandle de forbedringsmuligheder og eventuelle afvigelser, der dukkede op fra din tidligere revision. Dette er for at demonstrere din vedvarende dedikation til løbende forbedringer af ISMS. Udtrykket "adresseret" er vagt, så vi er klar til at opklare tingene. For at opnå overholdelse på dette område skal du demonstrere over for revisoren, at du har handlet på de anbefalede ændringer. Måden dette gøres på er at bruge vores sporing af korrigerende handlinger og tilknyttet arbejdsfunktion for at vise de ændringer, du har foretaget som svar på resultatet. Hvis du ikke har handlet efter træningen, skal du ikke gå i panik, compliance er stadig muligt. Der skal være dokumentation for, at der tænkes på fundet, og at der bliver handlet på det. Generelt vil det være tilstrækkeligt at dokumentere fundet i CA-trackeren og angive en forfaldsdato/modtager. det viser, at din virksomhed overvejer forslaget og er i gang med at beslutte den næste handling. Derudover skal alle forfaldne CA'er behandles før enhver revision for at demonstrere forpligtelsen til løbende forbedring af ISMS.
Hvorfor vælge os?
Alliantist, virksomheden bag ISMS.online, er certificeret til ISO 27001 af et UKAS-akkrediteret certificeringsorgan. Vi giver vores kunder omfattende ISO- og ISMS-support. Baseret på den pakke, de vælger, vil niveauet af støtte, de modtager, variere, men rigtige mennesker vil altid være involveret. For mere information, tjek vores supportpolitik eller kontakt vores supportafdeling. Overholdelsessikkerhed og certificeringssikkerhed er nemme at opnå med vores tjenester til din organisation, kunder og andre interessenter. Vi er vant til at arbejde med kunder på alle niveauer, fra nytilkomne til veteraner.
