Vores bedste tips til første gangs ISO 27001 trin 2 revisionssucces

Hvis du går efter ISO 27001 certificering, vil din Stage 2-revision være et af de helt store knudepunkter. Du skal vise, at dit ISMS er mere end blot velskrevne dokumenter og generelle gode hensigter. Det skal fungere lige så godt i praksis, som det gør på papiret.

I årenes løb har vi hjulpet mange kunder med at opnå succes for første gangs fase 2-revision. Og nogle af vores ISO 27001 eksperter har selv været certificeringsorgansrevisorer, så vi kender processen meget godt fra begge sider. Vi har trukket på det for at dele vores:

  • Stage 2 revision top tip
  • ISO 27001 starter-for-ti tjekliste

Sørg for at dække alle de væsentlige ting

Din revisor vil se på alle dele af dit ISMS. De vil især fokusere på dets kernekomponenter. Hvis disse ikke er op til bunden, vil de ikke anbefale dig til certificering. Så når du forbereder din revision, skal du være særlig opmærksom på at dække over:

Risikostyring

For at dit infosec-forsvar skal fungere, skal du forstå, hvad du beskytter dig selv mod. Så gå igennem din risikostyring indhold og processer med en fin tandkam.

Vær sikker på at du har:

Asset management

Dit ISMS ser indad såvel som udad. Din revisor skal se, at du forstår præcis, hvad du beskytter. Så dobbelttjek, at du har optaget og forstået alle dine informationsaktiver.

Husk på, at din organisations informationsaktiver er mere end blot dets it-software og hardware. Listen kan omfatte alt fra kunde og leverandør til kontrakter til immaterielle ting som dit brand og omdømme. Sørg for, at du har inkluderet det hele!

Incident management

Din revisor kontrollerer, at dit ISMS fungerer i praksis. Så de skal se, at du og dine kolleger ved præcis, hvad de skal gøre, når det værste sker, og – øh – sukkeret rammer blæseren.

Du skal være helt sikker på, at din incident management processer er op til bunden. Det betyder at fastgøre:

  • Hvornår og hvordan de udløses
  • Hvem gør hvad, hvornår, da en ny hændelse sker
  • Hvordan du registrerer og lærer af dit svar på hver hændelse, så du kan:
    • Forbedre dit ISMS
    • Sørg for, at eventuelle gentagelser har mindre eller endda ingen indflydelse

Korrekt seng i din ISMS

Din revisor skal se, at dit ISMS fungerer i praksis. For at sikre, at det er tilfældet, lad det køre lidt. Giv dig selv lidt tid og plads til at opbygge tillid til dit ISMS, før du viser det til din revisor.

Du opbygger selvtillid på to måder. Dels vil det komme naturligt, når du overvåger dit ISMS, ser hvad der virker og retter hvad der ikke gør. Men du bør også sætte kryds i nogle mere formelle felter. Sørg for, at du har udført:

  • En eller flere interne revisioner og ledelsessystemgennemgange
  • Passende personaleuddannelse og engagementsaktiviteter

Den anden kugle er særlig vigtig. En ISMS er kun effektiv, når folk forstår og overholder den. Så sørg for, at dine folk ved:

  • Hvad det er til
  • Hvorfor det betyder så meget
  • Hvilke politikker og kontroller, de skal følge
  • Præcis hvordan man følger dem

Sørg for, at dit ISMS foretager reelle ændringer

Organisationer opretter ISMS'er, fordi de ikke er sikre nok uden dem. At blive sikker betyder at ændre deres tilgang til sikkerhed. Det skaber en meget enkel måde at kontrollere for at se, om dit ISMS er klar til revision. Spørge dig selv:

Har noget rent faktisk ændret sig?

En effektiv ismer vil skabe synlige, praktiske ændringer i, hvordan din organisation fungerer. Disse ændringer vil påvirke både dets interne og eksterne processer og relationer. De burde være meget tydelige for dig.

Hvis dit ISMS har skabt praktiske, positive, åbenlyse ændringer, er det et skridt tættere på at være klar til revision. Men hvis det bare er rebadged din eksisterende sikkerhedssystemer, du har sikkert mere arbejde at gøre.

Du skal ikke bekymre dig om lockdowns, der påvirker din revision

Fase 2 revisioner har altid været dybdegående og på stedet. Det er svært i vores moderne, Covid-inficerede verden. Men lad det ikke bekymre dig.

Certificeringsorganer er meget tydelige på, at revisionsprocessen skal fortsætte som normalt uanset en organisations lockdown-status. De vil med glæde revidere din organisation eksternt og arbejde sammen med dig om overvinde eventuelle udfordringer.

Fjernrevision gør det endnu vigtigere at have et fuldt gennemsigtigt, let tilgængeligt, alt-i-et-sted ISMS, som (vi føler, vi bør nævne) det ene vores platform kan hjælpe dig med at skabe. Og hvis du allerede er hos os, er det, hvad du allerede har.

Stop ikke, når din fase 2-audit er færdig

'Mange organisationer består deres revision, fejrer alt deres hårde arbejde og... glemmer grundlæggende alt om deres ISMS. Alle går tilbage til deres daglige arbejde. Så, ti måneder eller deromkring senere, er der stor panik, når de skal gøre sig klar til deres første vedligeholdelsesaudit.

Et ISMS er ikke et brand-og-glem-system. For at opretholde ISO 27001-certificeringen skal den:

  • Lær af eventuelle infosec-hændelser
  • Udvikle sig, efterhånden som dens moderorganisation vokser og ændrer sig
  • Tag hensyn til eventuelle nye infosec-trusler og udviklinger

Vi siger ofte, at det er lige så meget en udfordring at vedligeholde dit ISMS som at få det op at køre. Sørg for, at det er en udfordring, du er klar til!

Følg vores starter-for-ti ISO 27001-tjekliste

Vi har givet dig nogle generelle tips til at blive klar til din fase 2-revision. Vi vil slutte af med nogle specifikke vejledninger. Denne tabel er en starter-for-ti guide til at kontrollere dit ISMS i forhold til ISO 27001-standard. Det vil hjælpe dig med at fokusere, mens du tænker igennem hver del af det.

 

ISO 27001 Ref & Beskrivelse

Punkt 10.1

Er alle resultaterne fra din trin 1-audit blevet logget, administreret og sporet?

Er alle større uoverensstemmelser blevet rettet til fuldførelse?

Er mindre afvigelser enten lukkede eller på vej i henhold til deres korrigerende handling plan?

Punkt 5

Fungerer alle planlagte processer rettidigt for at vise tilstrækkelige ressourceniveauer?

Punkt 6.1, 8.2 og 8.3

Viser dit risikoregister et nøjagtigt aktuelt billede af risikoniveauer (dvs. du opdatering af risici mod forandring og forbedringer af risikobehandling)?

Punkt 6.2

Er du at nå dine informationssikkerhedsmål?

Punkt 7.2

Lukker du evt informationssikkerhed kompetencegab?

Punkt 7.3

Betjener du informationssikkerheden bevidsthed program du har beskrevet?

Punkt 9.1

Har du taget og vurderet din ISMS præstationsmålinger?

Punkt 9.2, 10.1 og 10.2

Har du gennemført mindst to interne revisioner fra revisionsplanen?

Har du logget, sporet og administreret alle dine fund?

Du behøver ikke nødvendigvis at færdiggøre resultater, der kræver væsentlige forbedringer, men du skal vise, at handlingen er planlagt eller er i gang.

Punkt 9.3, 10.1 og 10.2

Har mindst én formel ISMS Ledelsesgennemgang foregået i overensstemmelse med standardens krav?

Har du logget, sporet og administreret alle fund?

Bilag A Kontrol

Kan du bevise, at du driver hver enkelt kontrol- og relevante proces effektivt?

Hvor du skal lave forbedringer, kan du så vise, at du sporer og administrerer dem?

A.16. Informationssikkerhed Incident Management

Kan du vise, at du, når hændelser finder sted, logger, sporer, administrerer og reagerer på dem over tid?

Afslutning ... og held og lykke!

Vi har tænkt meget over trin 2-revisionen, fordi vi har bygget vores platform at hjælpe vores kunder igennem det. Faktisk har hver kunde, der har fulgt vores Metode med sikre resultater har bestået opnået certificering ved deres første forsøg.

Og du behøver ikke starte det hele forfra. Det er nemt at migrere dit eksisterende arbejde til vores platform. Du kan flytte på tværs, når det passer dig, selvom du har gennemført din trin 1-audit eller faktisk har gjort det opnået ISO 27001 certificering.

Og det er det. Hvis dette blogindlæg hjælper dig gennem din fase 2-revision, så lad os det vide - vi elsker at høre, hvordan organisationer kommer videre med det. Tilbage er kun at ønske dig held og lykke! Vi er sikre på, at alt dit hårde arbejde vil betale sig.

 

Er du klar til at se, hvordan vi kan hjælpe dig til første gangs trin 2 succes?

Book en no-strings demo for at se vores platform i aktion. Og vi er overraskende overkommelige. Du kan få dit tilbud her.

« Sådan udfører du din ISO 27001 Management Review

5 bedste tips til at opnå ISO 27001-certificering »

Sidst redigeret: 7. februar 2022
Forfatter

Al Robertson

Al er en professionel forfatter og udgivet forfatter, der dækker en række emner. Han har skrevet en række artikler om compliance og især om informationssikkerhed, og hvordan ISO 27001-certificering kan hjælpe organisationer med at vokse.

Se alle indlæg af Al Robertson

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere