Udførelse af ISO 27001 audits i ISMS.online

ISO 27001:2013 Intern revision: Forenklet

Et spørgsmål ofte stillet af folk, der er nye til informationssikkerhed is “hvordan gennemfører jeg en intern revision af min ismer? ".

I betragtning af hyppigheden af ​​emnet, der kommer op, indbyggede vi svaret i vores Virtual Coach service til ISO 27001. Vi tænkte også, at det ville være nyttigt at dele nogle af vores vejledning og ideer til, hvordan du kan tage en pragmatisk forretningsledet tilgang til at nå målet.

Hvad er formålet med den interne revision for ISO 27001?

Målet for den interne revision i afsnit 9 i ledelseskravene vedr ISO 27001: 2013 er præstationsevaluering. 9.2 siger, at organisationen skal udføre interne revisioner med planlagte intervaller for at give oplysninger om, hvorvidt informationssikkerhed styringssystem:

1) er i overensstemmelse med

1.1) organisationens egne krav til dets informationssikkerhedsstyringssystem; og

1.2) kravene i denne internationale standard;

2) er effektivt implementeret og vedligeholdt

3) planlægge, implementere og vedligeholde et revisionsprogram

4) definere revisionskriterierne og omfanget for hver revision

5) udvælge revisorer, der vil være objektive og upartiske

6) sikre det revisioner rapporteres til relevant ledelse

7) beholde dokumenterede oplysninger som bevis

Sammenfattende er den interne revision et af de tiltag, der demonstrerer din ismer kan stole på og fungerer som forventet.

ISO 27001-standarden opmuntrer dig til at køre ISMS for at opfylde dine forretningsmål, omfang, interne og eksterne problemer osv. Som sådan ønsker du også at sikre, at interne revisioner udføres i den stil, der afspejler din virksomhed og dens risici, samtidig med at den kultur og de ressourcer, du har på plads, tages i betragtning.

Hvor og hvad skal du revidere i dit informationssikkerhedsstyringssystem?

For at gøre det virkeligt, bør dit revisionsprogram og din filosofi udledes af problemstillingerne, omfanget, f.eks. lokationer, afdelinger, processer, produkter osv., sammen med at overveje Anvendelseserklæring, risici og så videre, ikke kun en afkrydsningsboksøvelse. Du skal dog vise, at du har revideret i forhold til hele standarden – ledelseskrav og bilag A kontrol – mindst én gang i løbet af 3-året ISO 27001 certificering cyklus, og som du kan give prøvebevis for kontrol arbejder efter dine krav.

Vi har bygget videre på den tilgang i standardrevisionsprogrammet i ISMS.online at hjælpe med at sikre, at revisioner repræsenterer, hvad virksomheden har brug for. Efter vores opfattelse skal revisioner være forretningsledede og 'reelle', for at folk kan købe sig ind i det som en gyldig investering og for at gøre revisionen meningsfuld.

Sådan auditerer du på 3 pragmatiske og enkle niveauer

Niveau 1 – Gennemgang af politikker i overensstemmelse med A.5.1.2 og A.8.1.2 for uafhængige anmeldelser

Dette niveau er en simpel gennemgang af, hvordan du 'beskriver' din politikker og kontroller, og sikre, at de forbliver relevante for organisationen givet 4.1 – 3 og i overensstemmelse med ovenstående spørgsmål, parter, omfang, informationsaktiver, risici osv.

I ISMS.online har vi inkluderet politikken for A.5.1.2 og udviklet platformen med det i tankerne, så det er nemt for dig at vedtage vores politik og virkelig 'leve' den i praksis.

Dette er tydeligvis ikke intern revision til Sekt. 9.2 i sig selv, men er en vigtig del af din ismer ledelse sammen med andre aspekter som ledelsesanmeldelser, sporing af hændelser osv. og vil medvirke til at sikre, at når du kommer til at udføre din formelle interne revision, gør du det mod et solidt sæt politikker og kontroller, der er passende for din organisation.

 

Niveau 2 – intern revisionsplan, der dækker kravene og kontrollerne

Dette er den krævede, mere traditionelle tilgang og skal som minimum udføres i løbet af certificeringscyklussen, og det kan være værd at overveje at dække dette årligt.

Vores revisionsprojekt kan bruges til at fastlægge målene og omfanget af hver revision og registrere dine resultater. Eventuelle afvigelser, der er identificeret, kan derefter adresseres i Forbedringsspor.

For de organisationer, der ønsker at følge et treårigt revisionsprogram for alle kontroller, har vi inkluderet en ramme, der skal følges i ISMS.online også.

 

Niveau 3 – en holistisk tilgang til at demonstrere effektiviteten

Vi opfordrer også til en mere holistisk tilgang til interne revisioner og har bygget et program i platformen, der fokuserer en revision omkring at 'demonstrere' en bestemt del af din ISMS omfang er kompatibel, fx en afdeling, en lokation, et produkt, system eller en proces.

Dette giver dig mulighed for at se på, hvordan forretningen fungerer i praksis, udenfor InfoSec i sig selv, og se muligheder for forbedringer eller faktisk afdække risici, som måske ikke let kan ses ved at se gennem en kontrollinse.

Dette gør det også muligt for en organisation at revidere et større antal kontrol på én gang, på en samlet måde.

I vores ISO 27001 Virtual Coach inkluderer vi et eksempel for at give en smagsprøve på, hvad du kunne lave, der ville illustrere en del af din ismer scope fungerer godt og opfylder sine mål, mens kontrollerne virker (eller ej).

Sådan planlægger du ISO 27001 revisionsprogrammet

Det er ikke let at udvikle en revisionsplan 3 år i forvejen for hele certificeringsperioden, hvis du er en organisation i hurtig forandring. Hvis dette er tilfældet, bør du overveje de områder, der skal revideres, og lave en 12-måneders plan for at imødekomme forventningerne fra en ekstern revisor.

Så vær klar over, at du bliver det at gennemføre ledelsesgennemgange i overensstemmelse med sekt. 9.3 der kan medføre ændringer i den tidsplan. Det er en del af det, 9.3 handler om – at være proaktiv og også reagere på nyt oplysninger, der påvirker ISMS.

Hvis du beslutter dig for at ændre revisionsplanen, for eksempel på grund af en triggerhændelse, der retfærdiggør det, skal du blot flytte revisionsplanen rundt og tilføje en note til din relevante ledelsesgennemgang for at begrunde, hvorfor du har foretaget ændringerne.

Uanset hvilken revisionstilgang du vælger at anvende, skal du være parat til at retfærdiggøre, demonstrere og forsvare dens effektivitet over for en ekstern revisor.

Hvor mange detaljer skal du inkludere i en ISO 27001-revisionsøvelse?

Når du beslutter dig for, hvor dybt du skal gå med din revisionsøvelse, skal du overveje dette – Har du nok information til at kunne påvise, at du har udført revisionen, lært af øvelsen, dokumenteret den og foretaget eventuelle efterfølgende handlinger?

Fra vores eget kulturelle perspektiv handler det også om at være nænsom, papirløs og digital, og det er fokuseret på at sikre, at vi får arbejdet gjort godt – fejre succes, lære og forbedre og reducere risikoen uden at blive bundet ind i bureaukrati eller formularudfyldning for skyld. af det.

Alle vi talte med (før vi byggede ISMS.online) havde deres egen måde at auditere på. Vi har set nogle meget lange revisionsrapporter, som sjældent bliver læst af det rigtige publikum, som i virkeligheden bare vil have et resumé. Så for os handler det om at bevise, lære, handle og føre eventuelle forbedringer ud i praksis i overensstemmelse med alvoren af ​​truslen eller værdien af ​​muligheden i forhold til de andre forretningsprioriteter.

I ISMS.online kan du gøre det i selve revisionsaktiviteten eller koble forbedringsarbejdet til vores Spor med korrigerende handlinger og forbedringer for at tilpasse sig alle korrigerende handlinger og forbedringer, ikke kun dem, der kommer fra en revision.

Hvad siger ISO om revision og revision for ISO 27001?

Ud over kravene i ISO 27001 9.2 Den Internationale Standardiseringsorganisation (ISO) leverer følgende standarder, der er relevante for revision:

  • ISO 27007 – Giver vejledning i, hvordan man auditerer ledelsessystemets (krav)-elementer i dit ISMS og trækker i høj grad fra ISO 19011 (se nedenfor) med den ekstra linse af detaljer i forbindelse med revision af et ISMS.
  • ISO TR 27008 – En teknisk rapport (i stedet for standard), som giver vejledning om revision af informationssikkerhedskontrol administreres af dit ISMS.
  • ISO 19011 – giver vejledning om revision styringssystemer, herunder principperne for revision, styring af et revisionsprogram og gennemførelse styringssystem revisioner, samt vejledning om evaluering af kompetencen hos personer involveret i revisionsprocessen, herunder den person, der leder revisionsprogrammet, revisorer og revisionsteams.
  • ISO 27006 & ISO 17021 – Disse er for de certificeringsorganer, der udfører de eksterne revisioner. Mens de kan give en nyttig reference til at forstå, hvad certificeringsorganerne leder efter, er din intern revision vil være meget anderledes, med et andet formål, og du bør ikke kigge efter revision på nøjagtig samme måde.

 

Et gennemgående tema, vi hører om, er, at revisorer ønsker at se, at organisationen lever og ånder ISMS og det inkluderer ledelsesinvolvering, proaktiv visning af ting du har i ISMS.online og meget hurtigt at kunne besvare deres specifikke spørgsmål med beviser.

At have en struktur, der følger ISO 27001: 2013 metoder og mærkning, som i ISMS.online, gør det også nemt for revisorer at følge med på deres eget 'sprog', og de kan se versionsændringer, tidsstemplet arbejde, samarbejder, godkendelser af uafhængige teammedlemmer osv., så det er en fantastisk hjælp til ovenstående test.

Det er klart, at du stadig skal demonstrere, at politikker efterleves i praksis uden for ISMS.online, f.eks. sikkerhedskopieres oplysninger fra dine systemer, der afholdes kunde- og leverandørfortrolighedsaftaler osv. (og du kan selvfølgelig bruge ISMS.online til at vise leverandøren også aftaler!)

Skal du tage et ledende auditorkursus for at hjælpe med ISO 27001?

Hvis du overvejer at tage et ledende auditorkursus, er det værd at overveje, at når du bliver oplært af en person, hvis fuldtidsjob er revision, fokuserer de på uddannelse til audit fra et eksternt perspektiv. Dette kan være ud over din organisations krav til at overholde 9.2 og potentielt få dig til at miste af syne, hvad de bredere forretningsmål er.

Du skal være i stand til at auditere godt nok til at demonstrere din ledelse og din interesserede parter (f.eks. revisorer), at den interne revision 9.2 er effektiv som en del af din præstationsevaluering og fungerer i praksis.

I ISMS.online har vi foreslået en proces for revision i Sect. 9.2, og givet plads til at levere det, der er nemt nok at adoptere eller tilpasse til din stil og behov, og med interne ressourcebegrænsninger i tankerne. Vi har også inkluderet et pragmatisk eksempel i ISO 27001 Virtual Coach.

Men mange kunder definerer deres tilgang nemt ved hjælp af ISMS.online og får derefter et simpelt virtuelt helbredstjek sammen med rådgivning og endda pragmatisk løbende revisionssupport med vores kvalificerede Lead Auditor.

ISMS.online gør det nemt at etablere det rigtige revisionsprogram for dig, enten ved at tage vores forudbyggede programmer eller hurtigt og nemt oprette dit eget.

Vi hjælper dig med at administrere dine revisioner mere effektivt og integrere dem med en holistisk tilgang til det bredere ismer.

Sidst redigeret: 20. juni 2022
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for virksomhedskunder og arbejder sammen med organisationer for at hjælpe dem med deres overholdelsesmål.

Se alle indlæg af Julia Heron

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere