Hvordan unngå vanlige ISO 27001 internrevisjonsfeil

Internrevisjoner av styringssystemet er et obligatorisk krav i ISO 27001 og alle andre vanlige ISO-standarder. Kravene er svært minimale, men når de undersøkes objektivt, og detaljene i dem er svært lite preskriptive. Dette betyr at det er betydelige muligheter for å effektivisere revisjonsprosessene og oppnå reelle forretningsmessige fordeler av dine interne revisjoner. Dessverre, noen ganger historisk sett revisjoner blir sett på som en smerte uten verdi; imidlertid – vi vil forklare hvorfor dette kan skje og hvordan du unngår det ved hjelp av vår internrevisjonssjekkliste.

Vanlig feil: Å ikke omfavne interne revisjoner som et forretningsforbedringsverktøy

Å ta et objektivt syn på prosessene og systemene dine av og til kan frigjøre mye uutnyttet verdi.

Hva er en ISO 27001 internrevisjon?

"Revisjon" er et ord som ingen liker å høre - det har historisk og generelt negative og tyngende konnotasjoner. Disse er først og fremst utdaterte; imidlertid – ser opplyste organisasjoner revisjoner som et forbedringsverktøy for deres styringssystem og prosess. Når det gjelder et ISO 27001 Information Security Management System (ISMS), er disse revisjonene fokusert på informasjonssikkerhetsrelaterte ordninger.

Vanlig feil: Utføre en sertifiseringsrevisjon på en offisiell og overformell måte

'tonen' i internrevisjonsrapport kan (og vi mener må) drives av revisor til å være vennlig og samarbeidende. Så lenge de relevante funnene kommer frem på slutten av revisjonsprosessen, er det et vellykket resultat.

De ISMS består av nødvendige prosesser, prosedyrer, protokoller og personer for å beskytte informasjons- og informasjonssystemene mot ISO 27001-standardrammeverket. En ISO 27001 internrevisjon er prosessen for å avgjøre om ISMS fungerer som designet og ser etter forbedringer (i henhold til klausul 10.2 - med en fengende tittel "kontinuerlig forbedring"). Praktisk talt en intern ISO 27001 revisjon hjelper organisasjoner med å sikre at de overholder deres selvforeskrevne krav (også definert i ISMS) og standardkravene.

Vanlig feil: Å definere i ISMS at noe skjer – når det ikke skjer i virkeligheten

Det er utilgivelig som du definerer din styringssystem som passer din virksomhet. Du har derfor konstruert en revisjonsfelle i styringssystemet ditt. Innenfor paragraf 9.2 sier ledelseskravene i ISO 27001 at organisasjonen må gjennomføre interne revisjoner med "planlagte intervaller" - uansett hvor du velger å definere disse intervallene.

Vanlig feil: Ikke definert passende "planlagte intervaller" i revisjonsprogrammet

Denne definisjonen er utformet for å gi fleksibilitet i å bestemme programmet ditt, men det er ofte slik at det riktige "sweet-spottet" ikke blir funnet, noe som fører til under- eller overrevisjon.

Hvorfor er internrevisjoner viktig?

Revisjon sikrer ytelsen til en ISMS mot målene som er satt for den. Uten denne forsikringen er det ingen reell garanti for hvor godt den vil levere i å beskytte bedriftens informasjon. Internrevisjoner er viktige fordi de hjelper organisasjoner med å identifisere og rette opp svakheter i deres styringssystem for informasjonssikkerhet. Revisjonskriteriene/resultatene brukes deretter på flere måter:

• Å vurdere ledelse/ledelse av ytelsen til ISMS
• Til forbedre ISMS
• Å se etter synergier når det gjelder potensielle problemer og korreksjoner
• Å reparere deler av systemene og prosessene som ikke fungerer for å designe

Vanlig feil: Ikke varslet ledelsen raskt nok når handling er nødvendig

Seniorledelsen kan ikke direkte implementere endringer i ISMS-en din etter en gjennomgang. Likevel må de være involvert, klar av problemer, drive rettsmidler og forbedringer.

Hva sier ISO-standarden at vi må gjøre?

Klausul 9.2 i ISO 27001 krever bare noen få ting av dine interne revisjoner

• At de er «planlagt» – dvs. et program for revisjoner er definert og dokumentert
• Revisjonsprogrammet er dynamisk og passende for din organisasjon
• Revisjonsresultater dokumenteres
• Ledelsen er hensiktsmessig vurdert av revisjonsresultatene

Prosessen bør derfor ikke være for krevende, og den generelle tilnærmingen krever bruk av sunn fornuft. For eksempel vil deler av virksomheten din som har hatt dårlige revisjonsresultater tidligere, sannsynligvis bli revidert mer i dybden, kanskje oftere og muligens av din høyeste revisor i fremtiden. Motsatt kan de områdene som har fløyet gjennom tidligere revisjoner få revisjonsdybden, frekvensen eller begge deler, passende redusert i det videre programmet.

De fleste organisasjoner produserer et revisjonsprogram for virksomheten for det kommende året, noen ganger lengre, for eksempel for den treårige livssyklusen til sertifiseringen deres.

Vanlig feil: Å ikke følge revisjonsprogrammet

Å falle etter på dine interne revisjoner er en av de enkleste måtene å sette din ISMS-sertifisering i fare. Hvis dette skjer, ta tak i det så raskt som mulig er alltid det beste rådet.

Vanlig feil: Under- eller overrevisjon av deler av styringssystemet

Frekvensen må tenkes litt over, og en balanse fantes. ISO-standarden krever vurdering av "viktigheten av prosesser", noe som betyr at noen deler av ISMS vil bli revidert mer enn andre, etter behov.

Vanlig feil: Å forstyrre normal forretningsdrift med et upassende revisjonsprogram

Hvis virksomheten din har travle perioder, ville det være dumt å planlegge for mye revisjon på dette tidspunktet. På samme måte avvikler mange organisasjoner driften ved for eksempel påske eller jul, og dette kan, eller kanskje ikke, være et godt tidspunkt å gjøre noen interne revisjoner. Du bestemmer.

Hva sier ISO-standarden IKKE at vi må gjøre?

Det er fascinerende å merke seg hva ISO klausul 9.2 sier IKKE er nødvendig. Vær veldig tydelig, hvis det ikke er absolutt krav i ISO-standarden (se etter ordet "skal"), så kan du, med passende omtanke, definere ordningene dine i ditt ISMS slik at det passer din organisasjon. Som et eksempel er det ikke krav om uplanlagte eller tilfeldige internrevisjoner i ISO-standarden. Du kan, hvis du velger det, gjøre noen av disse.

Et annet eksempel er dybden og varigheten av din interne revisjon. Du kan i teorien utføre en revisjon av en prosess i løpet av få minutter, eller den kan trekke ut i timevis. Uansett, siden det ikke er et krav i standarden, har du valg. Vi vil anbefale å dele opp lange revisjoner i mindre deler (f.eks. en time) for å gi både revisor og revidert litt betenkningstid og en mulighet til å fornye seg.

Ikke glem – de fleste interne revisorer er drevet av te, kaffe, vann og veldig ofte kjeks og kaker...

Vanlig feil: Prøver å "kjøpe" eller overdreven påvirke internrevisoren din

Revisorer må forbli upartiske og objektive – ingen mengde kaker og vennlighet vil påvirke objektiviteten til revisjonsresultatet.

Vanlig feil: Ikke investere nok (eller passende) tid og ressurser

Å prøve å utføre minimumsrevisjon eller gjøre overfladiske revisjoner vil ikke frigjøre noen verdi og demonstrere noen forpliktelse til ISMS (som er et krav i ISO 27001).

Vanlig feil: Revisor overholder deres velkomst

Hvis en internrevisjon er planlagt for for eksempel én time, bør det ikke ta mer enn den timen. En overskridelse kan alvorlig forstyrre andre planlagte forretningsaktiviteter med alle de negative effektene som dette scenariet vil medføre. De løsning er å dokumentere de uferdige delene som skal behandles i fremtiden i revisjonsrapporten.

Hvem gjennomfører en ISO 27001 internrevisjon?

ISO 27001 revisjoner krever kompetent (i henhold til punkt 7.2) og objektive revisorer, som har demonstrert kunnskap om standarden og erfaring med å gjennomføre en ISO 27001-revisjon. Ofte vil internrevisorer allerede jobbe i din organisasjon og vil derfor vite hvordan virksomheten din fungerer.

Ser man objektivt på dette, kan dette være en styrke eller en svakhet, avhengig av situasjonen. En internrevisor kan demonstrere kompetanse ved å delta på et ISO 27001 ledende revisorkurs eller praktisk erfaring ved å demonstrere sin kunnskap om standarden og gjennomføre revisjoner.

Vanlig feil: Utføre interne revisjoner ved bruk av inkompetente revisorer

Du kan ikke bare bruke hvem som helst. Du ville ikke brukt resepsjonisten til å kontrollere atomreaktoren din. Det samme prinsippet gjelder for dine interne revisjoner.

Med de høye kostnadene ved opplæringskurs i tankene kan det være å foretrekke for en revisor å demonstrere sitt kompetansenivå gjennom praktisk erfaring med implementering av et ISMS. ISMS.online kan bidra til å øke din selvtillit og kompetanse i å revidere ditt ISMS mot ISO 27001 gjennom flere verdifulle funksjoner som vår virtuelle coach. Denne funksjonen er et "alltid-på" sett med videoer, sjekklister og veiledninger, med fokus på revisors perspektiver for mange klausuler og kontroller.

Det kan være mer praktisk for mindre organisasjoner med begrenset kapasitet eller selskaper som søker større objektivitet å bruke en ekstern (tredjepart) revisor for å utføre interne revisjoner. Merk at dette er helt akseptabelt i forhold til ISO-krav. Revisor kan være en konsulent, eller ISMS.online kan hjelpe; denne tilnærmingen gir uavhengighet og kan gi mer objektivitet og fordelene med mer vidtrekkende erfaring i andre lignende organisasjoner.

Vanlig feil: Revisjon av eget arbeid

Gjør aldri dette siden upartiskhet og uavhengighet er sterkt svekket.

Hva leter revisorer etter?

Målet med en ISO-revisor er å forstå målet for styringssystemet for informasjonssikkerhet og skaffe bevis for å støtte dets samsvar med ISO 27001-standarden. I motsetning til hva mange tror, ​​ser revisorer etter (og bør rapportere) positive og negative resultater.

ISO 27001-revisorer ser også etter eventuelle hull eller mangler i informasjonssikkerhetssystemet ditt. Revisoren din vil i hovedsak søke bevis for ISO 27001-standardkravene i hele virksomheten. Du kan demonstrere dette ved å proaktivt vedta retningslinjer og kontroller som reduserer risikoen som bedriftens informasjon står overfor. Til slutt vil eventuelle forbedringer av ISMS som er avtalt i samarbeid mellom revisor og revidert, utgjøre en del av revisjonsrapporten.

Vanlig feil: Å holde revisjonen i gang til avvik er funnet

En balansert revisjon vil rapportere hva som er funnet. Hvis ingen avvik er tydelige, er dette IKKE en indikasjon på dårlig revisjon. Objektive (det vil si flertallet av) revisorer får ikke en varm uklar følelse når de kan sette en avvik mot ISMS-en din...

Vanlig feil: Rapporterer ikke samsvar

Er like viktig for organisasjoner å være klar over som manglende overholdelse og potensielle forbedringer. Hvorfor bruke tid og bry for å planlegge og utføre revisjonen, men ikke rapportere et positivt resultat?

Internrevisjoner er ikke subjektive

Som revisor vil du kanskje for mye foreslå implementeringer på organisasjonens ISMS eller generelle forbedringsområder kjent som muligheter for forbedring (OFI). Det er imidlertid viktig å huske at selv om det er rom for tolkning innenfor standarden, er handlinger utenfor standardkravet ikke obligatoriske. Dette betyr at organisasjonens unike situasjon kan anse visse forslag som overflødige fra et revisorperspektiv, spesielt hvis det er utenfor ISO 27001-kravene.

Vanlig feil: Du "bestått" eller "ikke bestått" en revisjon

Revisjonsrapporter er faktautsagn og bør sees passivt og ikke følelsesmessig. Eventuelle resulterende endringer som kreves av ISMS-en din, bør bestemmes og implementeres (og, om nødvendig, revideres). Bevis spiller en viktig rolle for å oppnå ISO 27001-sertifisering; klausul 10.1 krever eksplisitt organisasjoner å beholde bevis angående avvik og handlinger som er utført som et resultat. Som revisor betyr dette at funnene dine for avvik bør være basert på bevis som tydelig vil skissere områdene som trenger forbedring eller systematisk korrigering.

Vanlig feil: Ikke bruk av fakta for å bestemme revisjonsresultater

revisors meninger og overbevisninger kan påvirke revisjonsresultatet negativt. Objektive og upartiske revisjonsresultater bestemmes kun av faktiske bevis og erfaring.

Hvorfor velge ISMS.online for å hjelpe deg?

For å bli ISO 27001-kompatibel eller sertifisert for første gang, vår ISMS.online Metode for sikrede resultater (ARM) tilbyr enkel, tidseffektiv og praktisk applikasjon. ARM vil hjelpe deg med å avgjøre hvilke eiendeler, systemer, personer, lokasjoner osv. som passer innenfor rammen av ditt informasjonsstyringssikkerhetssystem. Som et resultat vil ARM tillate deg å tenke på risikoen de står overfor.

De Adopter Adapt Add (AAA) filosofi for punkt 9.2 gir en velprøvd prosess å følge for interne revisjoner. Ved å bruke vårt forhåndskonfigurerte ISMS kan du raskt og enkelt bevise kravene i paragraf 9.2. Du vil også motta et revisjonsprogram for gjennomføring av internrevisjon. Du kan bruke revisjonsprosjektet vårt til å sette mål og omfang for hver revisjon, deretter registrere funnene og adressere eventuelle avvik funnet under revisjonen i plattformens forbedringsspor.

Klausul 10.1 dekker kravet til avvik og korrigerende tiltak for ISO IEC 27001. Du må fremlegge bevis til revisor om hvordan organisasjonen din identifiserer, reagerer på, vurderer, vurderer og dokumenterer avvik. Ved å bruke vår ISMS.online-plattform kan du bruke Adopt Adapt Add-filosofien med vår forhåndsforslagte policy for paragraf 10.1. ISMS.online-plattformen gir et praktisk spor for korrigerende handlinger og forbedringer for å demonstrere hvordan organisasjonen din håndterer korrigerende handlinger og forbedringer enkelt. Du kan også koble korrigerende handlinger og forbedringer til andre områder på plattformen, for eksempel retningslinjer, mens du tildeler gjøremål til kolleger og legger til forfallsdatoer.

Vår ISMS.online-plattform gir også et rammeverk som gjør det mulig for organisasjoner som har til hensikt å følge et treårig revisjonsprogram for alle kontroller i sertifiseringsperioden.
Bevis er gjort enkelt med vår ISMS.online-plattform; du kan registrere data, retningslinjer, kontroller, prosedyrer, risikovurderinger, identifiserte risikoer, handlinger, prosjekter, relatert dokumentasjon og rapporter i plattformen, og skaper en enkel vurdering for revisorer.

Ekstra hjelp tilgjengelig fra Service Development and Delivery (SDD) team

Ansatte som er ansvarlige for å implementere informasjonssikkerhetssystemet ditt kan ha problemer og spørsmål rundt standarden; det er her våre støtteteam kan veilede deg gjennom prosessen. Innen vår organisasjon har Service Development and Delivery Team lang erfaring og kompetanse innen informasjonssikkerhet. De kan støtte den første implementeringen av styringssystemet for informasjonssikkerhet og veiledning om eventuelle betydelige standardproblemer.