Spring til indhold
ISMS.online

Tjekliste til AI-revision: En praktisk guide til revision af AI-systemer

En praktisk tjekliste til AI-revision, der er i overensstemmelse med ISO 42001, klausul 9.2 og bilag A. Omfang, anmodninger om dokumentation, testprocedurer og skabeloner til resultater, som du kan arbejde dig igennem i dag for at forberede dig til certificerings- eller overvågningsrevisioner.

Forfatter
Max Edwards
Opdateret maj 8, 2026
4/5 stjerner

Hvad er en AI-revision?

En AI-revision er en systematisk, uafhængig og dokumenteret gennemgang af, hvordan en organisation styrer, udvikler, implementerer og bruger AI-systemer. I forbindelse med ISO 42001, det er den mekanisme, hvormed du verificerer, at dit AI-styringssystem (AIMS) overholder standarden, dine egne dokumenterede krav, og at det er effektivt implementeret og vedligeholdt.

AI-revisioner adskiller sig fra traditionelle informationssikkerhedsrevisioner på tre vigtige måder. For det første dækker de AI-specifikke artefakter, der ikke findes i et ISO 27001-program, såsom konsekvensanalyser af AI-systemer, modelkort, optegnelser over træningsdatas oprindelse og livscyklusvalideringsrapporter. For det andet vurderer de etiske og samfundsmæssige overvejelser, herunder retfærdighed, gennemsigtighed og ansvarlighed, ikke kun fortrolighed, integritet og tilgængelighed. For det tredje følger de livscyklussen for individuelle AI-systemer fra målsætning til nedlukning i stedet for at revidere statiske kontroller isoleret.

En AI-revision kan være intern (førstepart), leverandørrettet (andenpart) eller certificering eller overvågning (tredjepart, udført af et akkrediteret organ). Denne side fokuserer på den interne revision, fordi det er der, hvor de fleste teams arbejder i det daglige, og hvor en struktureret tjekliste tilfører mest værdi. For en bredere kontekst af revisionscyklussen, se vores guide til ISO 42001 revision proces.

Hvorfor bruge en AI-revisionstjekliste?

At revidere et AI-styringssystem uden en tjekliste er, hvordan resultater bliver overset, beviser bliver glemt, og ledelsesgennemgange bliver til diskussioner om omfang. En praktisk tjekliste giver dig fire ting:

  • Konsistent omfang. Hver revision dækker de samme områder i samme rækkefølge, så sammenligninger fra år til år er meningsfulde, og tilsynsrevisorer ser et modent program.
  • Forsvarlig bevismateriale. For hvert kontrolområde ved du på forhånd, hvilken dokumentation du skal anmode om, hvilket betyder, at de reviderede kan forberede sig, og du bruger tid på at vurdere i stedet for at jagte.
  • Reproducerbare testprocedurer. En gennemgang, en bevisinspektion og en stikprøvetest giver resultater, som en anden revisor kan reproducere. Det er, hvad en ekstern revisor forventer at se.
  • Tydelige kriterier for bestået eller ikke bestået. Uden kriterier bliver resultater til meninger. En tjekliste forvandler hvert punkt til et ja- eller nej-spørgsmål, der er bakket op af beviser.

Tjeklisten i denne vejledning er tilpasset de interne revisionskrav i afsnit 9.2 og gennemgår de ni Bilag A kontrollerer områder (A.2 til A.10). Den er designet til at blive udskrevet, gennemgået og vedhæftet revisionsrapporten som bevis for, at revisionen blev planlagt og udført inden for et defineret omfang.

Hvordan definerer ISO 42001 krav til intern revision?

Klausul 9.2 i ISO 42001 kræver, at organisationer udfører interne revisioner med planlagte intervaller for at give oplysninger om, hvorvidt AIMS er i overensstemmelse med både organisationens egne krav og standardens krav, og om det implementeres og vedligeholdes effektivt. Den formulering er vigtig. Revisorer kontrollerer ikke blot, at der findes politikker. De kontrollerer, at ledelsessystemet fungerer i praksis.

Klausulen kræver også, at du:

  • Planlæg, etablér, implementer og vedligehold et revisionsprogram, herunder hyppighed, metoder, ansvar, planlægningskrav og rapportering.
  • Definer revisionskriterier og omfang for hver revision
  • Udvælg revisorer og udfør revisioner for at sikre objektivitet og upartiskhed
  • Rapportér resultaterne af revisioner til den relevante ledelse
  • Opbevar dokumenterede oplysninger som bevis for revisionsprogrammet og dets resultater

Den normative implementeringsvejledning i Vejledning i bilag B uddyber dette yderligere. Når du kombinerer punkt 9.2 med kontrolområderne i bilag A, får du strukturen af ​​tjeklisten nedenfor.

Alt du behøver til ISO 42001, på ISMS.online

Alt hvad du behøver til ISO 42001

Struktureret indhold, kortlagte risici og indbyggede arbejdsgange, der hjælper dig med at styre AI ansvarligt og med selvtillid.

Kom i gang

Tjekliste til AI-revision: De 9 områder, der skal dækkes

Bilag A i ISO 42001 er organiseret i ni kontrolområder. Tabellen nedenfor opsummerer tjeklistepunkterne, typisk dokumentation og testprocedurer for hver. Brug den som rygraden i din interne revision. For hver række er beståelseskriteriet, at dokumentationen er tilgængelig, aktuel, godkendt og i overensstemmelse med den tilsigtede kontrol.

Anneks A-området Tjeklistepunkter Typisk bevismateriale Test procedure
A.2 Politikker relateret til AI AI-politik eksisterer og er godkendt; i overensstemmelse med organisationens politikker; gennemgås med faste intervaller; kommunikeres til personalet; dækker mål for ansvarlig AI Godkendt AI-politik, gennemgangslog, kommunikationsregistre, bekræftelses- eller attesteringsregister Gennemgang med politikejer, inspektion af godkendelses- og gennemgangshistorik, eksempler på attestationer fra et tværsnit af roller
A.3 Intern organisation AI-roller og -ansvar dokumenteret og tildelt; rapporteringslinjer for AI-problemer defineret; styringsforum mødes og føres som referat Organisationsdiagram, RACI for AI-beslutninger, kommissorium for AI-styringsforum, mødereferater, log over rapportering af bekymringer Interview med den ansvarlige for AI-styring, tag eksempler på mødereferater fra de sidste 12 måneder, og spor en rapporteret bekymring fra start til slut
A.4 Ressourcer til AI-systemer Ressourcer til AI-systemer identificeres og dokumenteres (data, værktøjer, databehandling, menneskelig ekspertise); tilstrækkelighed gennemgås; dokumentation holdes ajour Ressourceregister, kompetenceregistre, værktøjs- og beregningsopgørelse, output af gennemgang af ressourcetilstrækkelighed Prøve ét AI-system, spor dets ressourcedokumentation, verificer, at der findes kompetenceregistre for nøgleroller, bekræft gennemgangsdokumentation
A.5 Vurdering af virkningerne af AI-systemer Konsekvensanalyseproces defineret; anvendt på alle AI-systemer inden for rammerne; dækker individer, grupper og samfund; dokumenteret og gennemgået Register over konsekvensanalyser af AI-systemer, gennemførte vurderinger, gennemgangs- og godkendelsesregistre, dokumentation for handlinger vedrørende væsentlige konsekvenser Prøveudtagning af to AI-systemer, inspektion af deres gennemførte konsekvensanalyser, bekræft omfanget dækker samfundsmæssige konsekvenser, spor eventuelle handlinger til lukning
A.6 AI-systemlivscyklus Mål, design, udvikling, verifikation, validering, implementering, drift, overvågning og tilbagetrækningskontroller på plads; dokumentation indsamlet i hvert trin Livscyklusdokumentation, designoptegnelser, testplaner, valideringsrapporter, implementeringsgodkendelser, overvågningslogfiler, udfasningsoptegnelser Vælg et AI-system og gennemgå hele livscyklussen, inspicer beviser på hvert trin; bekræft at valideringen var uafhængig af udvikling.
A.7 Data til AI-systemer Dataindsamling, kvalitet, forberedelse og provenienskontroller defineret og anvendt; datakilder dokumenteret; kvalitet målt; proveniens bevaret Datakildefortegnelse, kvalitetskriterier, dataforberedelsesregistre, dokumentation af oprindelse, registrering af retsgrundlag, hvor det er relevant Udfør en prøveudtagning af træningsdatasæt for et system inden for scope, inspicer oprindelse, verificer at kvalitetskontroller er udført og dokumenteret
A.8 Information til interesserede parter Systemdokumentation leveret til brugerne; eksterne rapporteringsmekanismer defineret; planer for hændelseskommunikation på plads Brugerrettet dokumentation, udgivelsesnoter, eksterne rapporteringsoptegnelser, skabeloner og logfiler til kommunikation om hændelser Inspicer brugerdokumentation for ét implementeret system, tag prøver af eventuel hændelseskommunikation, og verificer, at eksterne rapporteringsforpligtelser er opfyldt
A.9 Brug af AI-systemer Processer for ansvarlig brug defineret; tilsigtet brug dokumenteret; mål for brug gennemgået; brug uden for anvendelsesområdet forhindret eller opdaget Register over brugsscenarier, erklæringer om tilsigtet brug, politik for acceptabel brug, overvågningsregistre, gennemgangsoutput Prøv to use cases, sammenlign faktisk brug med tilsigtet brug, inspicer overvågning og gennemgå beviser
A.10 Tredjeparts- og kundeforhold Leverandører af AI-systemer og -komponenter vurderet; ansvarsområder fordelt mellem parterne; kundens forpligtelser dokumenteret Leverandørregister med AI-specifik due diligence, kontrakter, ansvarsfordelingsmatrix, dokumentation af kundeorienterede forpligtelser Udtag stikprøver fra to leverandører af kunstig intelligens, inspicer due diligence-registre og kontrakter, og verificer, at ansvaret er tydeligt fordelt skriftligt

A.2 Politikker relateret til AI

Start i toppen af ​​huset. Bekræft, at der findes en AI-politik, at den er godkendt på det rette niveau, at den gennemgås i en defineret cyklus, og at den kommunikeres og anerkendes af personalet i relevante roller. Politikken bør sætte retningen for ansvarlig AI og bør være i overensstemmelse med andre organisationspolitikker, især informationssikkerhed og databeskyttelse. Resultater her vedrører ofte forsinkede gennemgange, ufuldstændige bekræftelsesregistreringer eller tavshed om et centralt område såsom tredjeparts AI værktøjer.

A.3 Intern organisation

Revision af styringsstrukturen. Hvem ejer AI-beslutninger? Hvor rapporteres AI-problemer, og hvordan vurderes de? Er der et styringsforum med et klart kommissorium og et quorum? Eksempel på mødereferater for substans, ikke kun fremmøde. Et almindeligt fund er en veludfyldt RACI, der ikke afspejles i den faktiske beslutningstagning, hvilket er let at opdage ved at spore en reel beslutning fra ende til anden.

A.4 Ressourcer til AI-systemer

Bekræft, at de ressourcer, der er nødvendige for at udvikle, drive og styre AI-systemer, er identificeret, dokumenteret og tilstrækkelige. Ressourcerne omfatter data, værktøjer, computerinfrastruktur og menneskelig ekspertise. Kompetenceelementet er ofte det svageste. Se efter rollespecifikke kompetencekriterier og dokumentation for, at personer i disse roller opfylder dem, snarere end generiske træningsregistreringer.

A.5 Vurdering af virkningerne af AI-systemer

Konsekvensanalyser af AI-systemer er et af de definerende træk ved ISO 42001 og en regelmæssig kilde til resultater. Vurderingen bør dække virkningerne på enkeltpersoner, grupper og samfundet og bør udføres før implementering og gennemgås ved ændringer. Se vores dybere vejledning om AI konsekvensvurderinger for praktiske eksempler. Udpeg to AI-systemer inden for området, og spor den fulde konsekvensanalyse frem til godkendelse og afslutning af handlingen.

A.6 AI-systemets livscyklus

Dette er det største kontrolområde og belønner en gennemgang af livscyklussen. Vælg ét AI-system i produktionen, og følg det fra målsætning til design, udvikling, verifikation, validering, implementering, drift, overvågning og udfasning. Den kritiske test er, om valideringen var uafhængig af udvikling, og om overvågningen har registreret afvigelser, hændelser eller brug uden for omfanget. AI-system livscyklus Vejledningen indeholder den fulde kontrolliste.

A.7 Data for AI-systemer

Data er det sted, hvor AI-systemer enten lykkes eller fejler. Revider erhvervelse, kvalitet, forberedelse og provenienskontroller. Udtag stikprøver af et træningsdatasæt, og verificer, at dets kilder, licenser, kvalitetskontroller og retsgrundlag (hvor personoplysninger er involveret) er dokumenteret. Forvent at finde problemer omkring proveniens for ældre systemer og omkring uformel snarere end registreret måling af datakvalitet.

A.8 Information til interesserede parter

Bekræft, at brugere, kunder, tilsynsmyndigheder og andre interesserede parter modtager de oplysninger, de har brug for. Dette inkluderer systemdokumentation ved implementering, hændelseskommunikation og eventuelle eksterne rapporteringsforpligtelser. Tag en stikprøve på en nylig hændelse eller væsentlig ændring, og inspicer den efterfølgende kommunikation.

A.9 Brug af AI-systemer

Den tilsigtede anvendelse af ethvert AI-system bør dokumenteres, og den faktiske anvendelse bør overvåges i forhold til den. Organisationer, der kun udvikler AI, og organisationer, der kun anvender tredjeparts AI, har begge brug for dette kontrolområde. Udpeg to use cases, sammenlign den faktiske med den tilsigtede anvendelse, og inspicer den overvågning, der registrerer afvigelser.

A.10 Tredjeparts- og kundeforhold

Undersøg, hvordan AI-leverandører vurderes, hvordan ansvar fordeles mellem dig og dem, og hvordan kundernes forpligtelser dokumenteres. For leverandører af fundamentsmodeller og specifikt AI API-leverandører skal du verificere, at due diligence har registreret modellens oprindelse, evalueringsdata og forpligtelser til at underrette hændelser. Resultaterne her vedrører ofte kontrakter, der er ældre end AI-programmet, og som ikke er blevet opdateret for at afspejle tildelte ansvarsområder.

ISO 42001 AI-revisionstjekliste, der dækker alle ni kontrolområder i bilag A fra A.2 Politikker til A.10 Tredjeparter, med revisionsfokus for hvert område under en intern revision i henhold til paragraf 9.2

Hvilke beviser skal du indsamle under en AI-revision?

Beviser er det, der forvandler en konklusion til en konklusion. For hvert punkt på tjeklisten skal du indsamle mindst ét ​​af følgende og vedhæfte det til revisionspapirerne:

  • Dokumentarbeviser. Politikker, procedurer, registre, vurderingsprotokoller, mødereferater, godkendelsesprotokoller og træningsregistre.
  • Systemgenereret bevismateriale. Adgangslogfiler, overvågningsoutput, dashboards for modelydelse, advarsler om driftdetektion og hændelsessager.
  • Interviewnotater. Gennemgange med kontrolejere, medlemmer af governance-forum, dataloger og produktchefer, med dato, deltagere og nøglepunkter registreret.
  • Observationsbeviser. Skærmbilleder, skærmoptagelser eller kommenterede uddrag, der viser kontrolelementet i drift, f.eks. en godkendelsesarbejdsgang, der afviser en ikke-godkendt ændring.
  • Resultater af prøvetest. Hvor du har testet en stikprøve (f.eks. ti ud af femten konsekvensanalyser af AI-systemer), skal du registrere stikprøvestørrelsen, udvælgelsesmetode og bestået eller ikke-bestået resultat pr. element.

Forbind hvert bevismateriale med den kontrol, det understøtter, og med det revisionsresultat (eller mangel på resultat), det driver. Denne sporbarhed er præcis, hvad en ekstern revisor ønsker at se i dine optegnelser, og det er en af ​​de mest almindelige ting, man begår forkert ved papirbaserede revisioner. For at få det fulde billede af, hvad standarden kræver skriftligt, se vores guide til dokumentation krævet i henhold til ISO 42001.

ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang

Hvordan dokumenterer du resultater og korrigerende handlinger?

Et fund er en dokumenteret erklæring om en kendsgerning, understøttet af beviser, evalueret i forhold til et kriterium. Gode fund har fire dele: betingelse (hvad der blev observeret), kriterium (hvad der var påkrævet, for eksempel klausulen eller kontrollen), årsag (hvorfor det skete) og konsekvens (hvad det betyder for AIMS). Fund klassificeres derefter typisk som:

  • Væsentlig uoverensstemmelse. En fuldstændig oversigt over en påkrævet kontrol eller flere relaterede mindre afvigelser, der peger på et systemisk problem. Disse vil blokere for certificering, hvis de findes af en ekstern revisor.
  • Mindre uoverensstemmelse. En enkelt fejl i en ellers fungerende kontrol. Skal håndteres, men blokerer sjældent certificering i sig selv.
  • Observation eller mulighed for forbedring. Ikke en overtrædelse af krav, men noget der er værd at tage hånd om, før det bliver en konstatering.

Enhver afvigelse bør udløse en korrigerende handling, der følger punkt 10. Det betyder at rette afvigelsen, bestemme årsagen, afgøre, om lignende problemer findes andre steder, implementere handlingen, verificere effektiviteten og opbevare dokumenterede oplysninger. Optegnelser over korrigerende handlinger bør linke tilbage til revisionsresultatet og videresende til eventuelle opdateringer af risici, kontroller, politikker eller den Anvendelseserklæring.

En nyttig skabelon til resultater har kolonner for: resultaternes ID, revisionsreference, kontrol eller klausul i bilag A, betingelse, kriterium, årsag, konsekvens, klassificering, ejer, forfaldsdato, korrigerende handling, verifikation af effektivitet og afslutningsdato. Sæt dette i dine arbejdspapirer eller, endnu bedre, i en platform, der udfører sporingen for dig.

Sådan forenkler ISMS.online AI-revisioner

ISMS.online giver dig revisionstjeklisten, bevisbiblioteket, sporingsfunktionen for resultater og arbejdsgangen for korrigerende handlinger samlet ét sted, foruddefineret til ISO 42001.

  • Færdigudviklet revisionsprogram. Interne revisionsplaner er i overensstemmelse med punkt 9.2 med indbyggede revisionsplaner, definition af omfang og revisortildeling.
  • Tjeklisteskabeloner pr. område i bilag A. Hvert punkt på tjeklisten er allerede knyttet til den relevante kontrol, så revisorer bruger tid på at vurdere i stedet for at skrive skabeloner.
  • Sammenkædet evidens på kontrolniveau. Beviser indsamlet i forhold til bilag A-kontroller er synlige direkte fra revisionstjeklisten, hvilket fjerner skattejagten.
  • Resultater og korrigerende handlinger i én arbejdsgang. Afvigelser, der opdages under revisionen, opretter automatisk korrigerende handlinger med ejere, forfaldsdatoer, verifikationstrin og afslutningssporing i henhold til klausul 10.
  • Input til ledelsesgennemgang genereres automatisk. Revisionsresultater, afvigelser og handlinger flyder direkte ind i ledelsesrapportpakken i henhold til punkt 9.3.
  • Genbrug af flere standarder. Dokumentation indsamlet til interne ISO 27001-revisioner kan genbruges i forhold til de relevante ISO 42001-kontroller, fordi det hele findes på den samme platform.

Resultatet er, at en revision, der ville have taget to ugers regnearksbehandling og e-mailjagt, kører som en administreret arbejdsgang i ét enkelt værktøj, med bevismaterialet klar til din eksterne revisor.

Hvorfor vælge ISMS.online til AI-revisionsstyring?

ISMS.online er bygget fra bunden til ISO 42001, inklusive den fulde interne revisionscyklus. Her er hvad du får, når du kører AI-revisioner på platformen:

  • En brugsklar tjekliste til AI-revision. Forudbestemt til klausul 9.2 og alle kontrolområder i bilag A, så din første revision ikke starter med en tom skabelon.
  • Integreret evidensbibliotek. Politikker, risici, konsekvensanalyser og kontroldokumentation er knyttet til de kontroller, de understøtter, så revisorer åbner et element og ser dokumentationen.
  • Resultater og handlinger samlet ét sted. Afvigelser, der opdages under revisionen, skaber korrigerende handlinger med ejerne, forfaldsdatoer og verifikation af effektivitetskontroller, i overensstemmelse med paragraf 10.
  • Ledelsesevaluering klar. Revisionsresultater, afvigelser og korrigerende handlinger indgår direkte i ledelsesrapporten i henhold til punkt 9.3, hvilket fjerner behovet for dataindsamling ved årets udgang.
  • Delt med ISO 27001. Et enkeltstående revisionsprogram, der dækker ISO 42001 og ISO 27001, med brug af ét sæt dokumentation, ét risikoregister og én værktøj til udarbejdelse af Statement of Applicability (erklæring om anvendelighed).
  • Metode med sikre resultater. En dokumenteret implementerings- og revisionstilgang, der har hjulpet hundredvis af organisationer med at opnå certificering første gang, med live menneskelig support hele vejen igennem.

Uanset om du udfører din første interne revision, forbereder dig til en fase 2-certificeringsrevision eller administrerer den årlige overvågning, ISMS.online holder programmet struktureret og evidensen forsvarlig. For en bredere parathedskontrol, kør en mangelanalyse først, eller arbejd dig igennem vores fulde ISO 42001-overholdelsestjekliste.

Klar til at se platformen i aktion? Book en demo at se hvordan ISMS.online kan styrke dit AI-revisionsprogram.

Ofte Stillede Spørgsmål

Hvad er en tjekliste til AI-revision?

En AI-revisionstjekliste er en struktureret liste over punkter, som en intern revisor gennemgår for at vurdere, om en organisations AI-ledelsessystem overholder ISO 42001 og implementeres effektivt. En god tjekliste dækker revisionskravene i punkt 9.2 og alle ni kontrolområder i bilag A (A.2 til A.10) med forventninger til bevismateriale og testprocedurer defineret for hvert punkt, så resultaterne er konsistente og forsvarlige.

Hvor ofte skal jeg køre en intern AI-revision?

ISO 42001, paragraf 9.2, kræver interne revisioner med planlagte intervaller uden at foreskrive en specifik hyppighed. I praksis udfører de fleste organisationer en fuld AIMS-revision årligt med yderligere fokuserede revisioner på AI-systemer eller kontrolområder med højere risiko mindst hver sjette måned. Revisionsfrekvensen bør være risikobaseret, så et generativt AI-system med stor effekt i produktionen berettiger til hyppigere gennemgang end et internt produktivitetsværktøj.

Hvem kan udføre en intern ISO 42001-revision?

Interne revisorer skal være objektive og upartiske, hvilket betyder, at de ikke kan revidere arbejde, de er ansvarlige for. Mange organisationer bruger en kombination af uddannet internt personale uden for AI-funktionen, et centralt revisionsteam eller en uafhængig tredjepart, der fungerer som førstepartsrevisor på deres vegne. Det, der er vigtigt, er, at revisoren er kompetent til at vurdere AI-specifikke kontroller og er fri for interessekonflikter i forhold til de områder, der revideres.

Hvad er forskellen på en AI-revision og en AI-konsekvensanalyse?

En konsekvensanalyse af AI-systemer (bilag A.5) evaluerer de potentielle konsekvenser af et AI-system for enkeltpersoner, grupper og samfundet før implementering og for forandring. En AI-revision (punkt 9.2) evaluerer, om det ledelsessystem, der styrer AI, herunder selve konsekvensanalyseprocessen, overholder kravene og fungerer i praksis. En revision vil typisk bruge stikprøver af konsekvensanalyser som bevis, men den dækker også politikker, livscykluskontroller, datastyring, leverandører og alle andre områder af AIMS.

Skal den interne revision dække alle AI-systemer hver gang?

Nej. Revisionsprogrammet bør sikre, at alle dele af AIMS og alle AI-systemer, der er omfattet af programmet, revideres over en defineret cyklus (typisk et til tre år), men individuelle revisioner kan begrænses til en delmængde. For de fleste organisationer udvælger den årlige revision AI-systemer baseret på risiko og væsentlighed, så de systemer med den største effekt revideres oftest, og dem med lavere risiko dækkes på rotation. Selve revisionsprogrammet er det dokumenterede bevis for denne plan.

Hvordan forbindes resultaterne af AI-revisioner med korrigerende handlinger?

Enhver afvigelse, der påvises under en revision, bør udløse en korrigerende handling i henhold til paragraf 10. Det betyder at rette problemet, bestemme den grundlæggende årsag, overveje, om det samme problem findes andre steder, implementere handlingen, verificere effektiviteten og opbevare dokumenterede oplysninger. ISMS.online, resultater, der fremkommer under revisionen, skaber automatisk korrigerende handlinger med ejerne og forfaldsdatoer, og verifikation af effektivitet spores helt frem til afslutningen, så intet afviger.

Kan den samme revision dække ISO 42001 og ISO 27001?

Ja. Begge standarder følger den overordnede struktur i Annex SL og deler klausuler omkring lederskab, planlægning, support, drift, evaluering og forbedring. Annex D i ISO 42001 giver en eksplicit kobling til ISO 27001. Et kombineret revisionsprogram er mere effektivt, undgår dobbelt indsamling af bevismateriale og understøttes af platforme med flere standarder, f.eks. ISMS.online som bruger et enkelt risikoregister, evidensbibliotek og revisionsarbejdsgang på tværs af begge standarder.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.