Hvordan fungerer ISO 27701:2025-certificeringsrevisionen?
ISO 27701:2025 certificeringsrevision følger den samme totrinstilgang, der anvendes til alle ISO-ledelsesstandarder. Forståelsen af, hvad hver fase indebærer, fjerner usikkerheden og giver dig mulighed for at forberede dig med tillid.
Processen udføres af en akkrediteret certificeringsorgan, og revisorernes mål er ikke at afsløre dig – det er at bekræfte, at dit Privacy Information Management System (PIMS) opfylder standardens krav og fungerer effektivt i praksis.
Fase 1: Dokumentationsgennemgang
Fase 1 kaldes undertiden "parathedsgennemgangen". Revisoren vurderer, om din dokumentation og dit ledelsessystems design er tilstrækkeligt til at gå videre til fase 2. Denne fase udføres typisk eksternt, selvom nogle certificeringsorganer kan komme på besøg på stedet.
I fase 1 vil revisoren gennemgå:
- Dit PIMS-omfang og Anvendelseserklæring
- Privatlivspolitik, mål og risikovurderingsmetode
- krav til ledelsessystem (Klausul 4-10) og hvordan du har håndteret dem
- Dit interne revisionsprogram og ledelsens evalueringsrapporter
- Dokumentation for, at dit PIMS har været operationelt i en tilstrækkelig periode (typisk mindst tre måneder)
Revisoren vil udarbejde en fase 1-rapport, der identificerer eventuelle problemområder. Disse er ikke formelle afvigelser, men de signalerer områder, der kræver opmærksomhed inden fase 2.
Fase 2: Implementeringsvurdering
Fase 2 er den primære revision. Den bekræfter, at jeres PIMS ikke blot er dokumenteret, men også reelt implementeret og effektivt. Fase 2 udføres på stedet eller via en kombination af sessioner på stedet og fjernsessioner, afhængigt af jeres certificeringsorgan og organisationens opsætning.
Revisoren vil:
- Interview personale på tværs af forskellige funktioner for at verificere bevidsthed og forståelse
- Eksempel på dokumentation for implementering af kontroller (politikker, procedurer, optegnelser, systemkonfigurationer)
- Vurder om risici er identificeret og håndteret korrekt
- Evaluer effektiviteten af din Bilag A privatlivskontroller
- Tjek korrigerende handlinger fra din interne revision og ledelsesgennemgang
Hvad kigger revisorer egentlig efter?
Revisorer vurderer jeres PIMS i forhold til kravene i ISO 27701: 2025Men ud over simpel overholdelse af regler og regler leder de efter bevis for, at jeres system til styring af privatlivets fred er reelt integreret i, hvordan jeres organisation fungerer.
De vigtigste områder, som revisorer fokuserer på, omfatter:
| Miljø | Hvad revisoren kontrollerer | Beviser de forventer |
|---|---|---|
| Lederskabsforpligtelse | Er topledelsen aktivt involveret i forvaltning af privatlivets fred? | Referat af ledelsesgennemgang, beslutninger om ressourceallokering, målsætninger om beskyttelse af personlige oplysninger |
| Risikovurdering | Bliver privatlivsrisici identificeret, vurderet og behandlet systematisk? | Risikoregister, risikohåndteringsplan, risikoacceptkriterier |
| Driftskontrol | Er bilag A-kontroller implementeret og fungerer de? | Procedureoptegnelser, systemkonfigurationer, træningsoptegnelser |
| Overvågning og måling | Måler du, om kontrollerne er effektive? | KPI'er, hændelsesregistreringer, revisionsresultater, trendanalyse |
| Kontinuerlig forbedring | Bliver afvigelser adresseret, og bliver der lært erfaringer? | Optegnelser over korrigerende handlinger, resultater fra ledelsesgennemgange, forbedringsplaner |
Revisorer bruger typisk en stikprøvemetode. De vil ikke kontrollere alle kontroller eller interviewe alle medarbejdere, men de vil se på tilstrækkelig dokumentation til at danne en rimelig konklusion om effektiviteten af jeres PIMS.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvordan skal du forberede dit team til revisionen?
Den mest almindelige kilde til revisionsresultater er ikke dårlig dokumentation – det er medarbejdere, der ikke er klar over de politikker og procedurer, der gælder for deres roller. Det er lige så vigtigt at forberede dit team som at forberede din dokumentation.
Før revisionen
- Informér alle medarbejdere, der kan blive interviewet. De bør forstå PIMS' omfang, deres rolle inden for det, og hvor de kan finde relevante politikker.
- Kør en simuleret revision. Simuler revisorens tilgang ved at interviewe personale og udtage bevismateriale. Dette identificerer mangler, før den egentlige revision gør det.
- Bekræfte beviser er tilgængelige. Revisorer skal ikke vente, mens nogen søger efter dokumenter. Organiser dokumentationspakker efter klausul og kontrol.
- Udpeg en kontaktperson for revision. Udpeg én person til at koordinere logistik, planlægge interviews og håndtere forespørgsler fra revisorer.
Under revisionen
- Besvar det stillede spørgsmål. Undgå at give oplysninger ud over det, revisoren anmoder om.
- Være ærlig. Hvis en proces ikke er fuldt implementeret, så sig det. Revisorer værdsætter gennemsigtighed langt mere end unddragelse.
- Fremlæg beviser omgående. Hav optegnelser, skærmbilleder, systemadgang og dokumenter klar for de områder, der vurderes.
- Tag noter. Registrer revisors observationer og spørgsmål – disse er værdifuldt input til forbedringer efter revisionen.
ISMS.online gør forberedelsen af revisioner betydeligt nemmere ved at have alle dine politikker, kontroller, risikovurderinger, bevismateriale og revisionsregistre samlet ét sted. Når revisoren beder om bevismateriale, kan du navigere direkte til den relevante registrering i stedet for at søge gennem delte drev og regneark.
Hvad er de mest almindelige revisionsresultater?
At forstå almindelige fund hjælper dig med at håndtere dem, før revisoren ankommer. Mange af disse overlapper med almindelige implementeringsfejlDette er de problemer, som certificeringsorganer oftest rapporterer:
| Finde | Hvorfor det sker | Sådan undgår du det |
|---|---|---|
| Ufuldstændig risikovurdering | Privatlivsrisici behandles separat fra informationssikkerhedsrisici, eller ikke alle behandlingsaktiviteter tages i betragtning | Sørg for, at din risikovurdering dækker alle PII-behandlingsaktiviteter og stemmer overens med din dataopgørelse |
| Svag ledelsesgennemgang | Ledelsens evalueringer er overfladiske eller dækker ikke de nødvendige input | Brug en struktureret dagsorden, der dækker alle input, der er specificeret i standarden (revisionsresultater, risikoændringer, forbedringsmuligheder) |
| Manglende intern revisionsbeviser | Interne revisioner udføres, men dokumenteres ikke korrekt | Registrer revisionsplaner, resultater, korrigerende handlinger og opfølgning. ISMS.online tilbyder indbygget revisionsstyring til at spore dette |
| Manglende bevidsthed hos personalet | Medarbejderne kan ikke forklare de politikker eller kontroller, der gælder for deres roller | Afhold oplysningsmøder før revisionen, og sørg for, at politikgodkendelsesregistrene er opdaterede. |
| Forældet dokumentation | Politikker eller procedurer refererer til erstattede processer eller organisationsstrukturer | Planlæg regelmæssige dokumentgennemgange og brug versionskontrol til at spore ændringer |
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvad sker der efter revisionen?
Efter fase 2 vil revisoren præsentere sine resultater på et afsluttende møde og udstede en formel revisionsrapport. De mulige resultater er:
- Anbefaling til certificering — Ingen væsentlige afvigelser fundet. Mindre observationer kan muligvis noteres med henblik på forbedringer.
- Betinget anbefaling — Mindre uoverensstemmelser identificeret. Du skal indsende dokumentation for korrigerende handlinger inden for en defineret tidsramme (typisk 90 dage).
- Certificering anbefales ikke — Væsentlige afvigelser fundet. En opfølgende revision vil være påkrævet, når du har løst problemerne.
Når dit certifikat er certificeret, er det gyldigt i tre år, med forbehold for årlige overvågningsrevisioner. Disse er kortere end den indledende certificeringsrevision og fokuserer på en delmængde af krav for at bekræfte fortsat overholdelse.
Overvågning og recertificering
| Revisionstype | Når | Anvendelsesområde |
|---|---|---|
| Overvågningsrevision 1 | ~12 måneder efter certificering | Delmængde af krav plus eventuelle områder markeret i den indledende revision |
| Overvågningsrevision 2 | ~24 måneder efter certificering | Forskellige delmængder af krav |
| Recertificeringsrevision | ~36 måneder (før udløb) | Fuld revurdering, svarende til den oprindelige certificering |
ISMS.online hjælper dig med at være klar til revision mellem vurderinger ved at føre en løbende fortegnelse over politikgennemgange, risikoopdateringer, korrigerende handlinger og resultater fra ledelsesgennemgange – så du aldrig behøver at have svært ved at forberede dig, når den næste overvågningsrevision skal finde sted.
Hvorfor vælge ISMS.online til forberedelse af revision?
- Centraliseret bevismateriale: Alle politikker, kontroller, risikovurderinger og revisionsregistreringer på én platform, klar til revisorgennemgang.
- Indbygget revisionsstyring: Planlæg, udfør og spor interne revisioner med resultater, korrigerende handlinger og opfølgning – alt sammen knyttet til de relevante kontroller.
- Udrulning og accept af politik: Distribuer politikker til personale, spor, hvem der har læst og accepteret dem, og eksporter implementeringsrapporter til revisorer.
- Risikoregister med behandlingsplaner: Demonstrer en systematisk tilgang til privatlivsrisiko med tilknyttede kontroller, ejere og gennemgangsdatoer.
- Skabeloner til ledelsesvurderinger: Strukturerede dagsordener og output, der dækker alle de input, som standarden kræver.
- Kontinuerlig overvågning: Dashboards og KPI'er viser dit PIMS' aktuelle tilstand med et hurtigt blik og understøtter dermed parathed til overvågningsrevisioner.
- Versionskontrolleret dokumentation: Automatisk versionshistorik og dokumentudtjekning sikrer, at revisorer altid ser den aktuelle, godkendte version.
Ofte Stillede Spørgsmål
Hvor lang tid tager en ISO 27701:2025-certificeringsrevision?
Fase 1 tager typisk en til to dage, og fase 2 tager to til fem dage afhængigt af din organisations størrelse og kompleksitet. Der er normalt et mellemrum på fire til otte uger mellem fase 1 og fase 2, så du kan adressere eventuelle resultater.
Kan revisionen udføres på afstand?
Fase 1 udføres typisk eksternt. Fase 2 kræver typisk tilstedeværelse på stedet, selvom mange certificeringsorganer nu tilbyder hybride tilgange, der kombinerer fjern- og vurdering på stedet. Dit certificeringsorgan vil bekræfte tilgangen under planlægningen.
Hvad sker der, hvis vi modtager en væsentlig afvigelse?
En væsentlig afvigelse betyder, at certificering ikke kan udstedes, før problemet er løst. Du skal implementere korrigerende handlinger og gennemgå en opfølgende revision (eller fremlægge tilstrækkelig dokumentation), før certificeringsorganet kan fremsætte en anbefaling. Dette er ikke ualmindeligt og betyder ikke, at din implementering er mislykkedes.
Skal vi have ISO 27001, før vi kan blive revideret i henhold til ISO 27701:2025?
ISO 27701:2025 kan nu certificeres som en selvstændig standard, så ISO 27001-certificering er ikke længere en forudsætning. Men hvis du allerede har ISO 27001, vil revisionsomfanget for ISO 27701 fokusere på de privatlivsspecifikke tilføjelser.
Hvordan skal vi vælge et certificeringsorgan?
Søg efter et certificeringsorgan, der er akkrediteret af et nationalt akkrediteringsorgan (såsom UKAS i Storbritannien). Overvej specifikt deres erfaring med ISO 27701, deres tilgængelighed som auditor, og om de tilbyder integrerede revisioner, hvis du har andre ISO-certificeringer. Anmod om forslag fra to eller tre organer for at sammenligne tilgang, tidslinje og koste.
