Hvad er involveret i en ISO 27001-revision?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

afslappet, mand,, freelance, arbejder, på, bærbar computer, computer, og, klikker, trådløst

Audits bruges almindeligvis til at sikre, at en aktivitet opfylder et sæt definerede kriterier. For alle ISO-ledelsessystemstandarder anvendes audits for at sikre, at ledelsessystemet lever op til den relevante standards krav, organisationens egne krav og mål og forbliver effektivt. Det vil være nødvendigt at gennemføre et revisionsprogram for at bekræfte dette.

Hvad er en ISO 27001-revision?

An ISO 27001 revision involverer en kompetent og objektiv revisor, der gennemgår:

ismer eller dele af den og testning af, at den opfylder standardens krav,
Organisationens egne informationskrav, mål for ISMS,
At politikker, processer og andre kontroller er praktiske og effektive.

Ud over den overordnede overholdelse og effektivitet af ISMS, som ISO 27001 er designet til at gøre det muligt for en organisation at håndtere sine informationssikkerhedsrisici til et acceptabelt niveau, vil det være nødvendigt at kontrollere, at de implementerede kontroller faktisk reducerer risikoen til et punkt, hvor risikoejeren(e) gerne tolererer den resterende risiko.

Hvad er typerne af revisioner?

Standarden kræver, at en organisation skal planlægge og gennemføre en tidsplan for "interne revisioner" for at kunne påberåbe sig overholdelse af standarden. Hvis en organisation ønsker at opnå certificering, vil det desuden kræve, at "eksterne audits" udføres af et "certificeringsorgan" - en organisation med kompetente revisionsressourcer i forhold til ISO 27001.

For at sikre maksimalt udbytte af ISMS, anbefales det kraftigt at sikre, at det valgte certificeringsorgan er akkrediteret af en anerkendt tilsynsmyndighed. I Storbritannien er certificeringsorganer akkrediteret af UKAS – United Kingdom Accreditation Service.

Intern revision

Interne revisioner, som navnet antyder, er de revisioner, der udføres af organisationens egne ressourcer. Hvis organisationen ikke har kompetente og objektive revisorer inden for sit eget personale, kan disse audits udføres af en kontraheret leverandør. Disse omtales ofte som "2nd parts audits", da leverandøren fungerer som en "intern ressource".

Ekstern revision

Udtrykket "eksterne audits" gælder oftest for de audits, der udføres af et certificeringsorgan for at opnå eller opretholde certificering. Udtrykket kan dog også bruges til at henvise til de revisioner, der udføres af andre interesserede parter (f.eks. partnere eller kunder), som ønsker at opnå deres egen sikkerhed for organisationens ISMS. Dette gælder især, når en sådan part har krav, der går ud over standardens.

Vi har gjort flere ISO 27001-fremskridt i de sidste 2 uger ved at bruge ISMS.online, end vi har gjort i det seneste år.

Tom Woolrych

Service- og supportchef, Arbejdsstyrken
Udviklingstillid

Book din demo

Alle, vi hjalp med at gå til en ISO 27001-revision, bestod første gang. Det kunne du også.

Book din demo

Hvorfor er ISO 27001-revision vigtige?

Uden at verificere, hvordan dit ISMS administreres og fungerer, er der ingen reel garanti for, at det leverer i forhold til de mål, det er sat til at opfylde.

Revisioner giver en vis grad af denne sikkerhed.

Hvorfor skal jeg revidere mit ISMS?

Der er mange grunde til at revidere dit ISMS:

Standarden kræver det – Punkt 9.2 Intern revision bemyndiger et program for intern revision.
For at sikre, at dit ISMS er korrekt implementeret og drevet.
For at sikre, at ISMS opfylder standardens krav.
For at sikre, at ISMS lever op til organisationens egne krav.
For at sikre, at ISMS opfylder de mål, organisationen har sat for informationssikkerhed mod Punkt 6.2 Informationssikkerhedsmål og planlægning at nå dem.
For at sikre, at ISMS er effektiv til at reducere informationssikkerhedsrisici til et acceptabelt niveau.
For at sikre, at evt afvigelser og korrigerende handlinger behandles rettidigt.
For at sikre, at informationssikkerhedssvagheder, hændelser og hændelser rapporteres, administreres og løses effektivt og effektivt.

Hvad er involveret i ISO 27001 interne revisioner?

Gennemgang af dokumentation – Dette er en gennemgang af organisationens politikker, procedurer, standarder og vejledningsdokumentation for at sikre, at den er egnet til formålet og gennemgås og vedligeholdes.
Bevisrevision (eller feltgennemgang) – Dette er en revisionsaktivitet, der aktivt prøver bevismateriale for at vise, at politikker bliver overholdt, at procedurer og standarder følges, og at vejledning overvejes.
Analyse – I forlængelse af dokumentationsgennemgang og/eller bevisudtagning vil revisor vurdere og analysere resultaterne for at bekræfte, om standardkravene er opfyldt.
Revisionsrapport – En revisionsrapport skal udarbejdes som krævet af standarden i paragraf 9.2 f) og leveres til ledelsen for at sikre synlighed.
Ledelsesgennemgang – er en påkrævet aktivitet i henhold til paragraf 9.3 Ledelsesgennemgang, som skal tage hensyn til resultaterne af de udførte revisioner for at sikre, at korrigerende handlinger og forbedringer implementeres efter behov.

Opnå din første ISO 27001

Download din gratis guide til hurtig og bæredygtig certificering

Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!

Mark Wightman

Chief Technical Officer Aluma

100 % af vores brugere består certificeringen første gang

Book din demo

Hvad er involveret i en ekstern ISO 27001-revision?

Processerne for ekstern revision er i det væsentlige de samme som for det interne revisionsprogram, men udføres normalt for at opnå og vedligeholde certificering.

Programmet for eksterne [certificering] revisioner vil blive fastlagt af de eksterne revisorer [certificeringsorgan], men vil følge et systematisk krav (se nedenfor).

Den relevante revisor vil fremlægge en plan for revisionen, og når organisationen bekræfter dette, vil ressourcer blive allokeret og datoer, tidspunkter og steder aftalt.

Revisionen vil herefter blive udført efter revisionsplanen.

Hvor ofte udføres eksterne revisioner?

Forskellige akkrediteringsorganer rundt om i verden opstiller forskellige krav til programmet for certificeringsrevisioner; i tilfælde af UKAS-akkrediterede certifikater vil dette dog omfatte:

Indledende certificeringsaudit – udført i 2 trin.
Periodiske overvågningsaudits – typisk med 6 måneders eller minimum årlige intervaller.
Gencertificeringsaudits udføres hvert 3. år.

Hvilke typer og stadier af ekstern revision er der?

Fase 1 revision – "Dokumentationsgennemgang" fastslår, at organisationen har den nødvendige dokumentation for et operationelt ISMS.
Fase 2 revision – “Certificeringsrevision” – en bevismæssig revision for at bekræfte, at organisationen driver ISMS i overensstemmelse med standarden – dvs. at de dokumenterede politikker, procedurer og standarder er implementerede, operationelle og effektive. Denne bevisrevision udføres på stikprøvebasis.
Overvågningsrevision – også kendt som "Periodic Audits", udføres på en planlagt basis mellem certificerings- og recertificeringsaudits og vil fokusere på et eller flere ISMS-områder.
Recertificeringsrevision – Udføres inden certificeringsperioden udløber (3 år for UKAS-akkrediterede certifikater) og er en mere grundig gennemgang end dem, der er udført under en overvågningsaudit. Den dækker alle områder af standarden.

Ud over det formelle certificeringsprogram for ekstern revision ovenfor, kan du blive bedt om at gennemgå en ekstern revision af en interesseret tredjepart, såsom en kunde, partner eller regulator. Den relevante part vil normalt give dig en revisionsplan og følge op med en revisionsrapport, der skal indlæses i din ISMS Management Review.

Se vores platformfunktioner i aktion

En skræddersyet hands-on session baseret på dine behov og mål

Book din demo

Synes du ISO 27001 er forvirrende?

Tal med en specialist

Værdien af en ISO 27001-revision med/uden certificering

Organisationens beslutning om at opnå overholdelse og muligvis certificering til ISO 27001 vil afhænge af implementering og drift af et formelt, dokumenteret ISMS. Dette vil ofte blive dokumenteret inden for en business case, der vil identificere de forventede mål og investeringsafkast.

Uden certificering kan organisationen kun kræve "overholdelse" af standarden, og denne overensstemmelse er ikke sikret af nogen akkrediteret tredjepart. Hvis årsagen til implementering af ISMS kun er forbedret sikkerhedsstyring og intern sikkerhed, kan dette være tilstrækkeligt.

For at opnå maksimalt udbytte og investeringsafkast fra ISMS i form af at give sikkerhed til organisationens eksterne interesserede parter og interessenter, vil et uafhængigt, eksternt, akkrediteret certificeringsrevisionsprogram være påkrævet.

Husk, at den eneste forskel med hensyn til indsats mellem "compliance" og "certificering" er programmet for eksterne certificeringsaudits. Dette skyldes, at organisationen for virkelig at påstå "overholdelse" af standarden stadig skal gøre alt, hvad der kræves af standarden - selvtestet "overholdelse" reducerer ikke de nødvendige ressourcer og indsatsen involveret i implementering og drift af et ISMS.

Forberedelse til en ISO 27001 certificeringsaudit

Når du forbereder en certificeringsaudit, skal følgende nøglepunkter tages i betragtning:

er nøglen processen med det implementerede ISMS og operationelt?
- Organisatorisk kontekst – Forståelse og dokumentation af den organisatoriske kontekst og krav til informationssikkerhed, herunder interesserede parter. Dette vil også omfatte dokumentation af omfanget af ISMS
- Risiko- og mulighedsstyring – Har organisationen identificeret og vurderede informationssikkerhedsrisici og muligheder og dokumenteret en behandlingsplan?
- Lederskab – Kan stærk lederskab på topniveau demonstreres – fx gennem tilvejebringelse af ressourcer og en dokumenteret forpligtelseserklæring inden for organisatorisk sikkerhedspolitik.
- Intern revision – Er et program for intern revision blevet dokumenteret, aftalt og påbegyndt i overensstemmelse med punkt 9.2?
- Ledelsesgennemgang – har ISMS gennemgået en formel ledelsesgennemgang iht Punkt 9.3
- Korrigerende handling og Kontinuerlig forbedring – kan organisationen påvise, at korrigerende handlinger og forbedringer bliver styret og implementeret på en effektiv måde?
Er de nødvendige dokumenter på plads og godkendt?
- ISMS-omfangserklæring (Punkt 4.3)
- Organisatorisk informationssikkerhedspolitik (Punkt 5.2)
- Risikostyringsmetode (Punkt 6.1.2 og 6.1.3)
- Risikoregister & behandlingsplan (punkt 6.1.3 e)
- Anvendelseserklæring (Klausul 6.1.3 d)
- Politikker og processer krævet i bilag A, hvor kontroller er gældende.
Er bevismateriale lette at finde og få adgang til?
Få alt personale og relevante entreprenører modtaget uddannelse i informationssikkerhed, træning og bevidsthed? Det er også god praksis at sikre, at de, der vil blive interviewet, er blevet orienteret om, hvad de kan forvente under revisionen, og hvordan de skal reagere. Sørg også for, at de nemt kan få adgang til dokumenter og beviser, som revisor kan anmode om.

Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.

Andrew Bud

Grundlægger, iproov

Book din demo

Vi gør det nemt at opnå ISO 27001

Få et forspring på 77 %

Vores ISMS leveres præ-konfigureret med værktøjer, rammer og dokumentation, du kan adoptere, tilpasse eller tilføje til. Enkel.

Din vej til succes

Vores sikrede resultater metode er designet til at få dig certificeret på dit første forsøg. 100% succesrate.

Se og lær

Glem alt om tidskrævende og dyr træning. Vores Virtual Coach-videoserie er tilgængelig 24/7 for at guide dig igennem.

Book din demo

Hvem udfører en ISO 27001-revision?

Alle revisioner efter ISO 27001 skal udføres af kompetente og objektive revisorer.

For at demonstrere kompetence til ISO 27001-revision kræves det normalt, at revisor har et påviselig kendskab til standarden og hvordan man udfører en revision. Dette kan være ved at deltage i et ISO 27001 Lead Auditor kursus eller ved at have en anden anerkendt revisionskvalifikation og derefter beviseligt kendskab til standarden. Det kan lade sig gøre at vise, at en revisor er kompetent uden formel uddannelse. Dette er dog sandsynligvis en sværere samtale med dit certificeringsorgan.

For at udvise objektivitet skal det påvises, at revisor ikke reviderer deres eget arbejde, og at de ikke er unødigt påvirket via deres rapporteringslinjer.

Det kan være mere praktisk for mindre organisationer eller dem, der ønsker klarere objektivitet, at ansætte en kontraheret revisor.

Certificeringsorganer vil have kontrolleret deres revisorer for kompetence og bør være parate til at demonstrere det for dig på anmodning.

Hvordan gør ISMS.online revisionsprocessen mere effektiv?

ISMS.online inkluderer et forudbygget revisionsprogramprojekt, der dækker både interne og eksterne revisioner og kan også omfatte revisioner i forhold til GDPR, hvis du har valgt denne mulighed.

Det forudbyggede revisionsprogram inkluderer:

Aktiviteter for 2 anbefalede audits før certificering
En plan for interne revisioner for den første 3-årige certificeringsperiode
Pladsholdere for din eksterne certificering og periodiske revisioner

Ud over at levere revisionsprogramprojektet betyder evnen til hurtigt at linke til andre arbejdsområder inden for alt-i-et-sted ISMS.online platformen at forbinde revisionsresultater med kontroller, korrigerende handlinger og forbedringer, og endda risici gøres nemme og tilgængelig. Dette vil gøre dig i stand til nemt at demonstrere over for din eksterne revisor den samlede håndtering af identificerede fund.