Hvad er de forskellige typer af interne ISO 27001-revisioner?

Introduktion

Denne side er lavet for at forklare de forskellige typer af ISO 27001 interne revisioner. Til at begynde med vil vi lægge grundlaget ved kort at forklare kravene i selve ISO 27001-standarden, og derefter taler vi om et ISMS, hvorfor det har brug for revision og dets mål. Hvis du er bekendt med disse titler, skal du rulle til anden halvdel, som specifikt taler om interne revisioner og metodologi.

 

Hvad er ISO 27001?

ISO 27001 er en standard skabt af International Organization for Standardisation. Det bruges som en ramme for en organisations Information Security Management System (ISMS). Standarden er i to enkle afsnit, klausulerne (krav, og derfor ikke valgfri) og bilag A kontrol (anvendes valgfrit til at afbøde identificerede informationssikkerhedsrisici).

Informationssikkerhedsstyringssystemet (ISMS) skal designes, vedligeholdes og løbende forbedres i henhold til ISO 27001. Det hjælper med at demonstrere bedste praksis inden for informationssikkerhed, herunder dele af EU Generelle databeskyttelsesbestemmelser, ved at hjælpe med at etablere stærke datasikkerhedsprincipper og resulterende processer, systemer og infrastruktur i alle aspekter af din virksomhed.

Hvad er et Information Security Management System (ISMS)?

Et Information Security Management System beskriver og demonstrerer din virksomheds eller organisations tilgang til beskyttelse af data og opretholdelse af privatlivets fred. Den fastlægger de politikker, procedurer, systemer og andre komponenter, der bruges til at håndhæve informationssikkerhed i hele en organisation. An ISMS tager også hensyn til interesserede parter (såsom leverandører), omfanget af din organisation (hvor og hvad dit ISMS gælder for) og interne og eksterne problemer. For sidstnævnte kan du bestemme disse spørgsmål for at introducere risici eller muligheder for din organisation, som du derefter vil handle på i dit ISMS.

Hvorfor har du brug for en ISMS?

An Informationssikkerhedsstyringssystem hjælper med at identificere og afbøde risici forbundet med dine mest værdifulde oplysninger og tilknyttede aktiver. I sidste ende kan det at have et fungerende ISMS give en organisation mulighed for at minimere forstyrrelsen forårsaget af sikkerhedstrusler og give mulighed for løbende forbedring. Ud over denne internt fokuserede værdi har et succesfuldt ISMS ofte håndgribelig kommerciel værdi.

cta billede

Se hvor enkelt det er med ISMS.online

Book din demo

 

Hvorfor revidere dit ISMS?

An revision af dit ISMS giver mulighed for, at ledelsessystemet kan gennemgås af en objektiv og kompetent revisor. Det vil teste elementerne i ISMS baseret på standardkrav. Det vil også give mere indsigt i organisationens nuværende niveau for at nå sine behov og virksomhedens mål. Effektiviteten og gennemførligheden af ​​de skriftlige politikker og procedurer måles også. Til sidst en revision af dit ISMS kan også notere de positive resultater for at sikre, at de vedligeholdes tilstrækkeligt og giver udvikling til løbende forbedringer.

Hvad er en intern revision?

Under en intern revision, revisor indsamler og dokumenterer fakta i samarbejde med den reviderede. En intern revision måler faktisk praksis (og de resulterende resultater, såsom optegnelser) i forhold til din ISMS, tilpasset ISO 27001 standard. Det sikrer, at du følger bedste praksis og processer for at beskytte følsomme data. En kompetent revisor skal udføre en intern revision indefra eller (valgfrit udefra, f.eks. en konsulent) i tæt samarbejde med organisationen.

Hvorfor udfører vi interne revisioner?

Klausul 9.2 i ISO 27001 (og mange andre moderne ISO-standarder) kræver, at interne revisioner udføres med "planlagte intervaller". Så for det første skal vi lave regelmæssige interne revisioner. I øvrigt er de øvrige krav i paragraf 9.2 ret enkle – vi skal dokumentere vores revisionsresultater og sikre, at revisionsprogrammet er planlagt, men dynamisk. Dette sidste punkt sikrer, at du overvejer dette og reagerer i overensstemmelse hermed, efterhånden som din organisation og det eksterne forretningsmiljø ændrer sig.

Bortset fra ISO-krav, bør du blive drevet til revision for flere kerneorganisatoriske drivere:

  • At spotte ineffektivitet i processer
  • At opdage fejl i at opfylde standardens krav
  • At identificere god praksis, der kan kopieres
  • At se efter potentielle forbedringer
  • At spotte compliance

 

Typer af ISO 27001 interne revisioner

Mens du opnår og opretholder ISO 27001-certificering, er der mange gange, hvor du kan kræve en intern revision. Der er flere måder at udføre din interne revisionsstrategi på. Der er tidspunkter i din certificeringsrejse, hvor en intern revision kan øge din tillid, når du gennemgår en ekstern revision. Under opbygningen til førstegangscertificering er der to gode muligheder for en intern revision. Disse kan omtales som en pre-stage 1 audit (readiness review) og en pre-stage 2 audit.

Audit før fase 1 forklaret

En præ-fase 1 er en revision, der valgfrit, men meget almindeligt, kan finde sted for ISO 27001 og centrerer sig om, hvorvidt nuværende politikker og procedurer passer til kravene i standarden. En pre-stage 1 audit kan også omtales som en parathedsgennemgang og ser generelt kun på de dokumenterede komponenter (politikker, procedurer osv.) i dit ISMS, som din organisation har oprettet og kontrollerer, om de opfylder standarden. Det her revision vil hjælpe med at sikre, at din organisation er mere forberedt på en ekstern fase 1 dokumentgennemgang fra et certificeringsorgan.

Resultatet af en revision før trin 1 ville være et dokument, der indeholder en liste over kontroller og klausuler og om organisationen overholder kravene med hvert standardområde. Det vil også have muligheder for forbedringer (OFI'er), der fremhæver de politikker, der tager fat på den klausul eller bilag, der muligvis skal revurderes. Endelig kan afvigelser opføres, når revisor mener, at ISMS ikke stemmer overens med ISO 27001-standarden.

Audit før fase 2 forklaret

Pre-stage 2 audit dækker normalt en ISO 27001 kontrol eller klausul efter eget valg. Denne revision beviser effektiviteten af ​​dine revisionsprocedurer og politikker i praksis. Dette bygger på pre-stage 1 audit, der sikrer, at din organisation implementerer og praktiserer de definerede processer. Disse områder testes og undersøges af revisor for at repræsentere din organisations nuværende niveau på overholdelse af informationssikkerhed. Resultaterne registreres og gemmes i dit ISMS.

Ved at linke til paragraf 10 i ISO 27001, som omhandler forbedringer og korrigerende handlinger, dokumenterer en organisation efter at have gennemført en intern revision før trin 2 deres uoverensstemmelser og forbedringsområder inden for deres ISMS. En revisionsdato er fastsat for hvert fund, når der er konstateret et behov for handling.

Alle, vi har hjulpet med at gå efter ISO 27001, bestod første gang. Det kunne du også.
Book din demo

 

Revisionsprogram

ISO 27001 standarden kræver en revision program. Et revisionsprogram definerer typisk en treårig plan mellem gencertificering af eksterne revisioner. En robust ISMS-ramme som ISMS.online giver et projektområde, der angiver revisionstidsrammer, detaljeret hvad der skal behandles og andre relevante detaljer om den planlagte revision.

Inden for disse tre år er det udbredt, at alle standardområder skal behandles mindst én gang. Revisionsprogrammer kan og skal være fleksible for at imødekomme dine organisationens behov og behøver ikke at passe til en fast model.

Hver revision er planlagt, og revisionsplanen indeholder typisk detaljer som:

  • Når revisionen skal udføres (forstyr ikke normal forretningsdrift)
  • Hvilke områder af standarden skal dækkes
  • Hvem skal foretage revisionen?
  • Målet – hvorfor foretages revisionen? Dette kan være en planlagt revision eller en re-audit af et tidligere identificeret afvigelsesområde.
  • Revisionens omfang – hvilke dele af virksomheden påtænkes dækket i den tid, der er til rådighed?

Der er subtilt forskellige revisionsmetoder:

  • Revision kan udføres klausul for klausul og kontrol ved kontrol. Et godt eksempel på, hvor denne tilgang ville være nyttig, er for mere generelt bilag A kontroller, hvilket mindsker en risiko relateret til alle. Dette ville involvere at vælge dele af standarden og auditere på tværs af en foruddefineret del af eller hele din organisation. Et eksempel på dette ville være A.11 Fysisk sikkerhed for hvert af dine kontorer eller lokationer.
  • En anden revisionsmetode omfatter udførelse af afdelingsrevisioner. Denne metode vil se på udførelse af revisioner baseret på afdelingsstrukturer og arbejdsområder. En afdelingsrevision kan være passende, hvis afdelinger opererer i forskellige regioner. Et eksempel kan være en revision af din menneskelige ressourcer (HR)-afdelingen og dens ISMS-komponenter.
  • Der kan også foretages revisioner baseret på produkter/ydelser. Dette vil se på de opgaver og operationer, der tages for at levere et specifikt produkt. En pragmatisk måde dette kan gøres på er at starte fra det endelige produkt og arbejde baglæns, til da handlinger først blev iværksat. I bund og grund er dette en revision af en proces.

 

Uplanlagte/yderligere revisioner

Nogle gange føler du måske, at du har brug for at udføre revisioner uden for dit indledende revisionsprogram i din organisation. Dette kan være af flere årsager relateret til effektiviteten af ​​dit ISMS. Planlagte audits er en måde at vise, at din organisation er proaktiv og søger løbende forbedringer. Det kan dog være lige så vigtigt at være reaktiv over for din organisations omstændigheder – dette er dit valg, da det ikke er en krav til ISO 27001.

En anden grund til, at en organisation muligvis skal udføre en uplanlagt revision, er at reagere på en sikkerhedshændelse eller en katastrofehændelse. Hvis et sikkerhedsbrud skulle ske gennem en phishing-e-mail, kan en organisation finde det passende at revidere bilag A kontrol A.7.2.2, som ser på personalebevidsthed og uddannelse. Dette ville være for at sikre, at denne form for kompromis med sikkerhed ikke gentager sig.

Et eksempel på, hvorfor du måske ønsker at udføre yderligere revisioner, skyldes resultaterne af dine planlagte revisioner. Antag for eksempel, at du skulle finde uoverensstemmelser inden for et bestemt revisionsområde, kan det være bedst at auditere den specifikke kontrol eller klausul med mere regelmæssige intervaller, indtil problemet opstår mindre, eller risikoen bliver mere acceptabel. Dette vil afhænge af din risikovillighed, den potentielle skade og hyppigheden af ​​afvigelser. Det kan også være nyttigt og passende at foretage en intern revision af eventuelle korrigerende handlinger for at sikre succes.

 

Revisionsresultater

Når du foretager en revision, er det afgørende at dokumentere dine opdagelser og sikre løbende forbedring. Positive resultater noteres også for at hjælpe med at bygge ideer og sikre, at god praksis opretholdes. Afvigelser registreres for at sikre, at der træffes korrigerende handlinger, og problemer tildeles en ansvarlig ejer. En almindeligt struktureret måde, hvorpå revisionsresultater dokumenteres, er som følger:

  • Overensstemmelse – Arrangementerne vurderes at opfylde kravene i de(n) gældende klausul(er) eller kontrol(er) tilstrækkeligt.
  • Muligheder for forbedring – Bemærkede områder, hvor ISMS potentielt kunne forbedres efter organisationens skøn. Organisationen bør omhyggeligt overveje konstateringen og dokumentere ændringerne til ISMS efter behov.
  • Manglende overensstemmelse – Et problem, der strider mod et krav i ISO 27001. Dette vil kræve fuld og ordentlig løsning omgående inden næste eksterne revision.
  • Større afvigelse – Manglende overensstemmelse med standarden på systemisk niveau vil sandsynligvis kræve opmærksomhed fra den øverste ledelse og omstrukturering af informationssikkerhedspraksis.

Bemærk, at ovenstående tilgang ikke er et krav i ISO 27001, så du kan bruge helt andre tilgange, hvis de virker for din organisation.

 

Hvordan ISMS.online hjælper med interne revisioner

Med ISMS.online gør vores softwareservice det muligt for dit informationssikkerhedsstyringssystem at være en alt-i-en tilgængelig placering. Dette inkluderer et fleksibelt revisionsprogramområde, der kan dokumentere revisionsrapporter mellem certificeringsperioder. For det andet hjælper ISMS.online med at støtte organisationer med at administrere deres revisionsresultater og adressere dem i overensstemmelse hermed. Inden for vores softwareservice giver den også et område, der skal opfylde paragraf 10 (Forbedring) ved at give et spor for korrigerende handlinger og forbedringer. Dette gør det muligt for din organisation at være mere proaktiv, når den adresserer uoverensstemmelser og forbedringer. Det gør den ved at se dens status, tildele en ansvarlig ejer og datoer for færdiggørelse og gennemgang. Alle disse funktioner gør det muligt for en organisation at føle sig bedre organiseret til en ekstern revision, da alle arbejdsområder og rapporter er let tilgængelige for at vise, hvilket gør det muligt for processen at køre mere smidigt.

ISMS.online tilbyder også interne revisionstjenester udført af informationssikkerhedsspecialister. Dette sikrer, at organisationer har en kompetent revisor til at udføre deres interne revisioner i overensstemmelse med bilag A.18.2.1, som nævner, at processer og procedurer skal gennemgås uafhængigt. Dette vil gøre det muligt for dine revisionsresultater at være objektive, nøjagtige og værdifulde for din organisation.

For at yde yderligere support har ISMS.online også en virtuel coach tilføjelse, som omfatter videoer, vejledninger og tjeklister, der giver oplysninger om, hvordan man adresserer ISO 27001-standarden. Der er et afsnit relateret til 9.2 (Interne revisioner) og andre relevante områder. Dette giver retning til din organisation og hjælper med at spare tid, som kan bruges til at fokusere på mere generelle operationer. Brug af Virtual Coach vil hjælpe din organisation med at blive pragmatisk og øge din informationssikkerhed tillid.

Klar til at tage affære?

Book din demo

cta billede

 

« Sådan forbereder du dig til en intern ISO 27001-revision – Den revideredes perspektiv

Sådan undgår du almindelige ISO 27001 interne revisionsfejl »

Sidst redigeret: 7. februar 2022
Forfatter

Aaron Korpal

Aaron er en informationsstyringssikkerhedsspecialist og hjælper kunder med at tilpasse sig og overholde en række standarder, herunder ISO 27001.

Se alle indlæg af Aaron Korpal

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere