Hvad er ISO 27001-revisionsprocessen?
Indholdsfortegnelse:
- 1) Hvad er involveret i en ISO 27001-revision?
- 2) Hvad er en ISO 27001-revision?
- 3) Hvorfor er ISO 27001-revision vigtige?
- 4) Hvad er involveret i en ekstern ISO 27001-revision?
- 5) Værdien af en ISO 27001 audit med/uden certificering
- 6) Hvem udfører en ISO 27001-revision?
- 7) Hvordan gør ISMS.online revisionsprocessen mere effektiv?
- 8) « Sådan undgår du almindelige ISO 27001 interne revisionsfejl
- 9) Hvordan forklarer jeg en ISMS til mine kolleger? »
Hvad er involveret i en ISO 27001-revision?
Audits bruges almindeligvis til at sikre, at en aktivitet opfylder et sæt definerede kriterier. For alle ISO-ledelsessystemstandarder anvendes audit for at sikre, at ledelsessystemet lever op til kravene i den relevante standard, organisationens egne krav og målsætninger og forbliver effektivt. Det vil være nødvendigt at gennemføre et revisionsprogram for at bekræfte dette.
Hvad er en ISO 27001-revision?
En ISO 27001-revision indebærer, at en kompetent og objektiv revisor gennemgår ISMS'et eller elementer af det og tester, at det opfylder kravene i standarden, organisationens egne informationskrav og mål for ISMS'et, og at politikkerne, processerne og andre kontroller er effektive og effektiv.
Ud over den overordnede overholdelse og effektivitet ismer, en ISO 27001-revision er designet til at sætte en organisation i stand til at styre sine informationssikkerhedsrisici til et acceptabelt niveau, vil det være nødvendigt at kontrollere, at de implementerede kontroller faktisk reducerer risikoen til et punkt, hvor risikoejeren/ejere gerne tolererer den resterende risiko.
Hvad er typerne af revisioner?
Standarden kræver, at en organisation skal planlægge og gennemføre en tidsplan for "interne revisioner" for at kunne kræve overholdelse til standarden. Ydermere, hvis en organisation ønsker at opnå certificering, vil det kræve, at "eksterne audits" udføres af et "certificeringsorgan" - en akkrediteret organisation med de kompetente ressourcer til revision i forhold til ISO 27001.
For at sikre maksimalt udbytte af ISMS, anbefales det kraftigt at sikre, at det valgte certificeringsorgan er akkrediteret af en anerkendt tilsynsmyndighed. I Storbritannien er certificeringsorganer akkrediteret af UKAS – United Kingdom Accreditation Service. Dette er det eneste regeringsmanderede akkrediteringsorgan i Storbritannien.
Intern revision
Interne revisioner, som navnet antyder, er de revisioner, der udføres af organisationen på det organisatoriske ISMS. Hvis organisationen ikke har kompetent og objektive revisorer inden for sit eget personale, kan disse revisioner udføres af en kontrahent.
Ekstern revision
Udtrykket "eksterne audits" gælder oftest for de audits, der udføres af et certificeringsorgan med det formål at opnå eller opretholde certificering, men det kan også bruges til at henvise til de audits, der udføres af andre interesserede parter (f.eks. partnere eller kunder), der ønsker at opnå deres egen sikkerhed for organisationens ISMS. Dette gælder især, når en sådan part har krav, der går ud over standardens.
Hvorfor er ISO 27001-revision vigtige?
Uden at verificere hvordan dit ISMS administreres og fungerer, er der ingen reel garanti for, at den leverer i forhold til de mål, den er sat til at opfylde. Revisioner giver en vis grad af denne sikkerhed.
Hvorfor skal jeg revidere mit ISMS?
Der er en række grunde til at revidere dit ISMS:
- Standarden kræver det – paragraf 9.2, Intern revision bemyndiger et program for intern revision.
- For at sikre, at dit ISMS er korrekt implementeret og drevet.
- Til sikre, at ISMS opfylder kravene af standarden.
- For at sikre, at ISMS lever op til organisationens egne krav.
- Til sikre, at ISMS opfylder de mål, organisationen har sat for informationssikkerhed i forhold til paragraf 6.2 Informationssikkerhedsmål og planlægning for at nå dem.
- For at sikre, at ISMS er effektiv til at reducere informationssikkerhedsrisici til et acceptabelt niveau.
- For at sikre, at evt afvigelser og korrigerende handlinger behandles rettidigt.
- For at sikre det informationssikkerhed svagheder, hændelser og hændelser rapporteres, håndteres og løses effektivt og effektivt.
Hvad er involveret i ISO 27001 interne revisioner?
Gennemgang af dokumentation – Dette er en gennemgang af organisationens politikker, procedurer, standarder og vejledningsdokumentation for at sikre, at den er egnet til formålet og gennemgås og vedligeholdes.
Bevisrevision (eller feltgennemgang) – Dette er en revisionsaktivitet, der aktivt prøver bevismateriale for at vise, at politikker bliver overholdt, at procedurer og standarder følges, og at vejledning overvejes.
Analyse – I forlængelse af dokumentationsgennemgang og/eller bevisudtagning vil revisor vurdere og analysere resultaterne for at bekræfte, om kravene i standarden er opfyldt.
Revisionsrapport – En revisionsrapport skal udarbejdes som krævet af standarden i paragraf 9.2 f) og leveres til ledelsen for at sikre synlighed.
Ledelsesgennemgang – Dette er en påkrævet aktivitet i henhold til paragraf 9.3 Ledelsesgennemgang, som skal tage højde for resultaterne af de udførte revisioner for at sikre, at korrigerende handlinger og forbedringer implementeres efter behov.
Hvad er involveret i en ekstern ISO 27001-revision?
Processerne for ekstern revision er i det væsentlige de samme som for det interne revisionsprogram, men udføres normalt med det formål at opnå og vedligeholde certificering. Programmet for eksterne [certificering] revisioner vil blive fastlagt af de eksterne revisorer [certificeringsorgan], men vil følge et systematisk krav.
Den relevante revisor vil fremlægge en plan for revisionen, og når dette er bekræftet af organisationen, vil ressourcer blive allokeret og datoer, tidspunkter og steder aftalt. Revisionen vil derefter blive udført efter revisionsplanen.
Hvor ofte udføres eksterne revisioner?
Forskellige akkrediteringsorganer over hele verden opstiller forskellige krav til certificeringsprogrammet revisioner, i tilfælde af UKAS-akkrediterede certifikater, vil dette dog omfatte:
- Indledende certificeringsaudit – udført i 2 trin.
- Periodiske overvågningsaudits – typisk med 6 måneders eller minimum årlige intervaller.
- Re-certificeringsaudits udføres hvert 3. år.
Hvilke typer og stadier af ekstern revision er der?
- Fase 1 revision – "Dokumentationsgennemgang" for at fastslå, at organisationen har den nødvendige dokumentation for et operationelt ISMS.
- Fase 2 revision – “Certificeringsrevision” – en bevismæssig revision for at bekræfte, at organisationen er betjene ISMS i overensstemmelse med standarden – dvs. at de dokumenterede politikker, procedurer og standarder er implementerede, operationelle og effektive. Denne bevisrevision udføres på stikprøvebasis.
- Overvågningsrevision – Også kendt som "Periodic Audits", disse udføres på en planlagt basis mellem certificerings- og recertificeringsaudits og vil fokusere på et eller flere områder af ISMS.
- Recertificeringsrevision – Udføres inden certificeringsperioden udløber (3 år for UKAS-akkrediterede certifikater) og er en mere grundig gennemgang end dem, der er udført under en overvågningsaudit. Den dækker alle områder af standarden.
Ud over programmet for formelle certificeringseksterne revisioner ovenfor, kan du blive bedt om at gennemgå en ekstern revision af en interesseret tredjepart, såsom en kunde, partner eller regulator. Den relevante part vil normalt give dig en revisionsplan og følge op med en revisionsrapport, der skal indlæses i dit ISMS Ledelsesgennemgang.
Værdien af en ISO 27001 audit med/uden certificering
Organisationens beslutning om at opnå overholdelse og muligvis certificering til ISO 27001 vil afhænge af årsagerne til implementering og drift af et formelt, dokumenteret ISMS, og dette vil ofte være dokumenteret inden for en business case, der vil identificere de forventede mål og investeringsafkast.
Uden certificering kan organisationen kun kræve "overholdelse" af standarden, og denne overensstemmelse er ikke sikret af nogen akkrediteret tredjepart. Hvis årsagen til implementering af ISMS kun er forbedret sikkerhedsstyring og intern sikkerhed, kan dette være tilstrækkeligt.
For at opnå maksimalt udbytte og investeringsafkast fra ISMS i form af at give sikkerhed til organisationens eksterne interesserede parter og interessenter, vil et uafhængigt, eksternt, akkrediteret certificeringsrevisionsprogram være påkrævet.
Husk, at den eneste forskel med hensyn til indsats mellem "compliance" og "certificering" er programmet for eksterne certificeringsaudits. Dette skyldes, at organisationen for virkelig at påstå "overholdelse" af standarden stadig skal gøre alt, hvad standarden kræver - selvtestet "overholdelse" reducerer ikke de nødvendige ressourcer og den indsats, der er involveret i implementering og drift af et ISMS.
Forberedelse til en ISO 27001 certificeringsaudit
Når du forbereder en certificeringsaudit, skal følgende nøglepunkter tages i betragtning:
Er nøgleprocesserne i ISMS implementeret og operationelle?
- Organisatorisk kontekst – Forståelse og dokumentation af den organisatoriske kontekst og krav til informationssikkerhed, herunder interesserede parters. Dette vil også omfatte dokumentere omfanget af ISMS
- Risiko- og mulighedsstyring – Har organisationen identificeret og vurderet informationssikkerhed risici og muligheder og dokumenteret en behandlingsplan?
- Leadership" (virkelig menneskelig ledelse) – Kan der udvises stærkt lederskab på topniveau – fx gennem tilførsel af ressourcer og en dokumenteret engagementserklæring inden for organisationen sikkerhedspolitik.
- Intern revision – Er et program for intern revision blevet dokumenteret, aftalt og påbegyndt i overensstemmelse med punkt 9.2?
- Ledelsesgennemgang – Har ISMS'et gennemgået en formel ledelsesgennemgang i overensstemmelse med paragraf 9.3
- Korrigerende handling – Kan organisationen påvise, at korrigerende handlinger og forbedringer bliver styret og implementeret på en effektiv måde?
Er de nødvendige dokumenter på plads og godkendt?
- ISMS omfang erklæring (klausul 4.3)
- Organisatorisk informationssikkerhedspolitik (Klausul 5.2)
- Risikostyring metode (klausul 6.1.2 og 6.1.3)
- Risikoregister & behandlingsplan (6.1.3 e)
- Anvendelseserklæring (Klausul 6.1.3 d)
- Politikker og processer krævet i bilag A, hvor kontroller er gældende
Er bevismateriale lette at finde og få adgang til?
Få alt personale og relevante entreprenører modtaget informationssikkerhed uddannelse, træning og bevidsthed?
Det er også god praksis at sikre, at de, der vil blive interviewet, er blevet orienteret om, hvad de kan forvente under revisionen, og hvordan de skal reagere. Sørg også for, at de nemt kan få adgang til dokumenter og beviser, som revisor kan anmode om.
Hvem udfører en ISO 27001-revision?
Alle revisioner i henhold til ISO 27001 skal udføres af kompetente og objektive revisorer.
For at demonstrere kompetence til ISO 27001-revision kræves det normalt, at revisor har et påviselig kendskab til standarden og hvordan man udfører en revision. Dette kan være ved at deltage i et ISO 27001 Lead Auditor kursus eller ved at have en anden anerkendt revisionskvalifikation og derefter beviseligt kendskab til standarden. Det kan være muligt at vise, at en revisor er kompetent uden formel uddannelse, men det vil sandsynligvis være en sværere samtale med dit certificeringsorgan.
For at udvise objektivitet skal det påvises, at revisor ikke reviderer deres eget arbejde, og at de ikke er unødigt påvirket via deres rapporteringslinjer. For mindre organisationer eller dem, der ønsker klarere objektivitet, kan det være mere praktisk at ansætte en kontraheret revisor.
Certificeringsorganer vil have kontrolleret deres revisorer for kompetence og bør være parate til at demonstrere det for dig på anmodning.
Hvordan
ISMS.online gøre revisionsprocessen mere effektiv?
ISMS.online inkluderer et forudbygget revisionsprogramprojekt, der dækker både interne og eksterne revisioner og kan også omfatte revisioner ift. GDPR hvis du har valgt denne mulighed.
Det forudbyggede revisionsprogram inkluderer:
- Aktiviteter for 2 anbefalede audits forud for certificering
- A plan for intern revision for den første 3-årige certificeringsperiode
- Pladsholdere for din eksterne certificering og periodiske revisioner
Udover at give revisionsprogramprojektet mulighed for hurtigt at linke til andre arbejdsområder inden for alt-i-et-stedet ISMS.online platform betyder, at kobling af revisionsresultater til kontroller, til korrigerende handlinger og forbedringer og endda til risici gøres let og tilgængelig. Dette vil gøre dig i stand til nemt at demonstrere over for din eksterne revisor den samlede håndtering af identificerede fund.
Har du brug for mere information? Kontakt venligst tal med en af vores eksperter i dag.
Hvor ofte skal jeg foretage en intern revision?
Du skal udføre interne audits, der som minimum dækker hele standarden i løbet af certificeringsperioden (3 år for UKAS-akkrediterede certifikater).
Du kan gøre dette som en enkelt revision, men det er mere almindeligt opdelt i mindre revisioner over en 3-årig periode.
Det er også vigtigt at auditere nogle områder oftere, hvis risikoniveauet er højt, eller området er genstand for hyppige ændringer.
Det anbefales, at du reviderer ledelsessystemkravene (klausul 4-10) på årsbasis, og dette kan knyttes til din ISMS-ledelsesgennemgang, som også skal udføres årligt.
Hvor mange detaljer skal du inkludere i en ISO 27001 intern revisionsøvelse?
Det minimum, der kræves, er, at du dokumenterer de områder, der er revideret, eventuelt prøvet bevis, og eventuelle afvigelser og muligheder for forbedringer identificeret, men det er god praksis og giver betydeligt større udbytte, hvis du dokumenterer alle resultater, herunder hvor noget fungerer korrekt – og det vil give en mere positiv følelse til revisionsrapporten.
Hvad indebærer en ISO 27001-certificeringsaudit?
En indledende ISO 27001-certificeringsaudit involverer:
Fase 1 revision - "Dokumentationsgennemgang" for at fastslå, at organisationen har den nødvendige dokumentation for et operationelt ISMS.
Fase 2 revision - "Certification Audit" - en bevismæssig revision for at bekræfte, at organisationen driver ISMS i overensstemmelse med standarden - dvs. at de dokumenterede politikker, procedurer og standarder er implementeret, operationelle og effektive. Denne bevisrevision udføres på stikprøvebasis.
For at fastholde din certificering fremad, involverer dette:
Overvågningsrevisioner - Også kendt som "Periodic Audits", disse udføres på en planlagt basis mellem certificerings- og gencertificeringsaudits og vil fokusere på et eller flere områder af ISMS.
Re-certificering revision - Udføres inden certificeringsperioden udløber (3 år for UKAS-akkrediterede certifikater) og er en mere grundig gennemgang end dem, der er udført under en overvågningsaudit. Den dækker alle områder af standarden.
