Hvordan skrive en internrevisjonsrapport for ISO 27001
Innholdsfortegnelse:
- 1) Hva er en ISO 27001 internrevisjon?
- 2) Hvordan fungerer internrevisjoner i ISO 27001?
- 3) Hvorfor må jeg lage en rapport for en internrevisjon?
- 4) Hvordan utarbeides en internrevisjonsrapport?
- 5) Hvordan ISMS.online gjør rapportering enkelt
- 6) Trenger du hjelp med din ISO 27001-revisjon?
- 7) « ISO 27001 – Vedlegg A.9: Tilgangskontroll
- 8) Hvordan forberede seg til en intern ISO 27001-revisjon – Revidertes perspektiv »
En internrevisjonsrapportstruktur for ISO 27001 er noe du trenger å vite.
Å lage en effektiv og profesjonell internrevisjonsrapport er avgjørende for enhver vellykket implementering av ISO 27001.
En internrevisjonsrapport av god kvalitet er et øyeblikksbilde av den overordnede implementeringsprosessen og registrerer statusen til ISO 27001-implementeringen i sertifiseringsopplegget, sammen med detaljer om områder som fortsatt må behandles.
Som en del av krav til styringssystem, Klausul 9.2 beskriver hva som må gjøres angående internrevisjon. Dette inkluderer et krav om oppbevaring av dokumenterte bevis for hele revisjonsprosessen og revisjonsresultatene, og dette gjøres i form av en revisjonsrapport.
Hva er en ISO 27001 internrevisjon?
En ISO 27001 internrevisjon innebærer at en kompetent og objektiv revisor gjennomgår ISMS eller elementer av det og tester at det oppfyller kravene i standarden, organisasjonens egne informasjonskrav og mål for ISMS og at policyene, prosessene og andre kontroller er effektive og effektive.
I tillegg til det overordnet samsvar og effektivitet av ISMS, ettersom ISO 27001 er utformet for å gjøre det mulig for en organisasjon å håndtere sine informasjonssikkerhetsrisikoer til et tolerabelt nivå, vil det være nødvendig å kontrollere at de implementerte kontrollene faktisk reduserer risikoen til et punkt hvor risikoeier(e) gjerne tolererer gjenværende risiko.
Internrevisjon for ISO 27001 krav 9.2
Klausul 9.2 internrevisjonsmandater:
Organisasjonen skal gjennomføre interne revisjoner med planlagte intervaller for å gi informasjon om hvorvidt styringssystemet for informasjonssikkerhet:
- Samsvarer med organisasjonens egne krav til sin informasjonssikkerhet styringssystem og kravene i denne internasjonale standarden.
- Er effektivt implementert og vedlikeholdt.
Organisasjonen skal:
- Planlegge, etablere, implementere og vedlikeholde et eller flere revisjonsprogram, inkludert frekvens, metoder, ansvar, planleggingskrav og rapportering. Revisjonsprogrammet(e) skal ta hensyn til viktigheten av de aktuelle prosessene og resultatene av tidligere revisjoner.
- Definer revisjonskriteriene og omfanget for hver revisjon.
- Velg revisorer og gjennomføre revisjoner som sikrer objektivitet og upartiskhet i revisjonsprosessen.
- Sikre at resultatene av revisjonene rapporteres til relevant ledelse og beholdes dokumentert informasjon som bevis på revisjonsprogrammet(e) og revisjonsresultatene.
Målet med en internrevisjon er å bekrefte at organisasjonen har tatt alle rimelige forholdsregler for å garantere at styringssystemet for informasjonssikkerhet (ISMS) overholder standardene i ISO 27001 og organisasjonens egne ISMS-standarder.
Internrevisjoner skal utføres av en uavhengig og objektiv revisor for å oppnå dette, i henhold til standarden.
Hvordan fungerer internrevisjoner i ISO 27001?
Internrevisjoner for ISO 27001 fungerer ved å følge et revisjonsprogram som identifiserer revisjonene som skal utføres før sertifisering og i hver sertifiseringsperiode.
De krever valg av en kompetent og objektiv revisor skal foreta hver internrevisjon for å verifisere samsvar med kravene i standarden, organisasjonens egne informasjonskrav og mål for ISMS, og at policyene, prosessene og andre kontroller er effektive og effektive.
Aktiviteter inkludert i en internrevisjon:
- Dokumentasjonsgjennomgang
- Bevis prøvetaking
- Intervjuer ansatte med nøkkel informasjonssikkerhetsansvar
- Intervjue andre ansatte (og muligens entreprenører)
- Vurderer funnene
- Skrive revisjonsrapport
Hvor ofte må jeg gjennomføre en revisjon
Selv om det ikke er klart innenfor ISO 27001 selv om hvor ofte interne revisjoner må utføres, forventes det at revisjonsprogrammet følger de samme kravene som de som stilles til sertifiseringsorganene for å gjennomføre sine revisjoner iht. ISO / IEC 27006: 2015 – Krav til organer som leverer revisjon og sertifisering av ISMS-er.
Innenfor ISO 27006 krav 9.1.5.2e sier at revisjonsprogrammet "dekker representative utvalg av omfanget av ISMS-sertifiseringen innen treårsperioden."
Derfor må du oppføre deg internrevisjoner som dekker hele standarden, minimum over sertifiseringsperioden (3 år for UKAS-akkrediterte sertifikater).
Du kan gjøre dette som en enkelt revisjon, men det er oftere delt inn i mindre revisjoner over 3-årsperioden. Det er også viktig å revidere enkelte områder oftere hvis risikonivået er høyt eller området er gjenstand for hyppige endringer.
Det anbefales at du revidere styringssystemet krav (klausul 4-10) på årlig basis, og dette kan knyttes til din ISMS-styringsgjennomgang som også må gjennomføres årlig. Enkelte organisasjoner med sofistikerte og veletablerte styringssystemer kan ønske å arrangere revisjoner på en treårssyklus i stedet for årlig.
Imidlertid må hver virksomhet nøye undersøke sine prosesser, styringssystemer og andre relevante kriterier for å utvikle en fornuftig tidsplan som oppfyller deres krav og passer for dem. Hos ISMS.online er vår skybaserte plattform designet for å hjelpe til med revisjonsprosessen.
Vi tilbyr et forhåndsbygd arbeidsområde for revisjonsprogram som inkluderer:
- Aktiviteter for 2 anbefalte revisjoner før sertifisering
- En plan for internrevisjon for den første 3-årige sertifiseringsperioden
- Plassholdere for din eksterne sertifisering og periodiske revisjoner
Be om en demo i dag for å se hvordan vår løsningen kan hjelpe organisasjonen din med å demonstrere samsvar med ISO 27001.
Hvorfor må jeg lage en rapport for en internrevisjon?
Standarden krever at du dokumenterer revisjonsresultatene – klausul 9.2 i ISO 27001 inkluderer kravet om å "oppbevare dokumentert informasjon som bevis for ……… revisjonsresultater". Dette gjøres i en revisjonsrapport.
Hva må gjøres ved utarbeidelse av rapporten
For hver revisjon må du planlegge:
- Hva tilsynet skal dekke – hvilke(n) del(er) av standarden, lokasjoner, forretningsprosesser osv
- Hvem revisor skal være – må være kompetent og objektiv.
- Når tilsynet skal gjennomføres – må ikke ha en vesentlig negativ innvirkning på driften av organisasjonen.
- Metoden(e) for revisjon – dokumentasjonsgjennomgang, prøvetaking, intervjuer etc
- Hvem må involveres i tilsynet?
Dokumentasjonsgjennomgang
Hver revisjon vil kreve gjennomgang av relevant dokumentasjon, inkludert retningslinjer, prosedyrer, standarder og veiledninger som er relevante for området(e) av standarden som revideres. Det er god praksis å gi råd til de som revideres om områdene som skal dekkes, slik at de kan sikre enkel og rettidig tilgang til relevant dokumentasjon
I ISMS.online gjøres dette enkelt ved enten å ha dokumentasjonen inne i systemet eller lenke til den innenfor den aktuelle delen av standarden.
Bevisprøver og intervjuer
De fleste revisjoner vil kreve prøvetaking av bevis i mindre eller større grad, og dette kan inkludere intervju av relevant nøkkelpersonell, sluttbrukere, og noen ganger til og med midlertidig ansatte og kontraktører.
Kilder for prøvetaking kan for eksempel omfatte:
- Intervjuer med ansatte og andre personer.
- Observasjoner av aktiviteter og omkringliggende arbeidsmiljø og forhold.
- Dokumenter, som retningslinjer, mål, planer, prosedyrer, standarder, instruksjoner, lisenser og tillatelser, spesifikasjoner, tegninger, kontrakter og bestillinger.
- Dokumenter, for eksempel inspeksjonsprotokoller, møtereferat, revisjonsrapporter, protokoller fra overvåkingsprogram og resultater av målinger.
- Datasammendrag, analyser og resultatindikatorer.
- Informasjon om revidertes prøvetakingsplaner og om prosedyrer for kontroll av prøvetakings- og måleprosesser.
- Rapporter fra andre kilder, f.eks tilbakemeldinger fra kunder, eksterne undersøkelser og målinger, annet relevant informasjon fra eksterne parter og leverandør rangeringer.
- Databaser og nettsider.
- Simulering og modellering.
Analyse
Når datainnsamlingen for tilsynet er utført, vil det være nødvendig for revisor å vurdere og analysere funnene for å avgjøre om det er noen avvik eller muligheter for forbedring.
Funn er normalt kategorisert som ett av følgende:
- Stort avvik
- Mindre avvik
- Mulighet for forbedring
Noen sertifiseringsorganer bruker også:
- Observasjon – det er der det er tidlige indikasjoner på at et mindre avvik kan eksistere eller kan utvikle seg hvis det ikke iverksettes tiltak.
- Positivt poeng – tildeles enten der en organisasjon har gått utover anerkjent god praksis eller der det har vært betydelig forbedring på et område siden forrige revisjon.
Report
Etter å ha analysert funnene, kan revisjonsrapporten nå utarbeides og presenteres for personen eller teamet som er ansvarlig for ISMS for gjennomgang og oppfølging.
Hvordan utarbeides en internrevisjonsrapport?
Revisjonsrapporten skal utarbeides som dokumentert informasjon, men dette betyr ikke at den må være et eget Word- eller PDF-dokument. Innen ISMS.online plattform vi prøver å oppmuntre til å unngå å lage slike dokumenter, men gir i stedet et arbeidsområde der rapporten kan dokumenteres direkte, og dette området gir tilleggsfunksjonalitet inkludert muligheten til enkelt å koble til andre arbeidsområder, policyer, kontroller, risikoer, korrigerende tiltak og forbedring "billetter", og mer.
Lag et sammendrag
Sammendraget er nyttig slik at toppledelsen raskt og enkelt kan se en oversikt over funnene, inkludert eventuelle kritiske problemer, trender og muligheter for forbedring. Dette kan så enkelt kobles inn i ISMS-ledelsesgjennomgangen i henhold til punkt 9.3.
Dette vil vanligvis omfatte:
- En generell oversikt over driften av områdene av ISMS som dekkes av tilsynet.
- En numerisk oppsummering av kategoriene av funn.
- Fremheving av eventuelle presserende/kritiske funn.
- En kort beskrivelse av de neste trinnene som må tas for å løse eventuelle funn.
Introduser terminologi som brukes
For å sikre at det er en felles forståelse av funnene i rapporten, er det nødvendig å inkludere definisjonene av en eller annen terminologi som brukes som enten er spesifikk for organisasjonen, revisjonsprosessen eller standarden. Husk at ikke alle som trenger å lese, vurdere og forstå rapporten, nødvendigvis vil forstå all terminologien som brukes.
Beskriv revisjonsplan
Dette inkluderer:
- Revisjonens omfang – område(r) som skal dekkes, lokasjoner, ansatte, forretningsprosesser etc.
- Navnet på revisor(e)
- Datoer, tider og steder for revisjonen
Beskriv fakta funnet
For hver del av revisjonen bør funnene dokumenteres, inkludert notater om eventuelle bevisprøver som er tatt.*
Det er god praksis å registrere samsvar og positive poeng samt dokumentere eventuelle avvik eller muligheter for forbedring. Funnene bør registrere fakta som er funnet relevante for ISMS og standarden og bør ikke inkludere meninger eller formodninger utover rimelig ekstrapolering.
*Merk – hvis bevisprøver inneholder personlig identifiserbar informasjon, er det vanlig praksis å pseudonymisere eller anonymisere dataene i tråd med kravene i personvernlovgivningen som f.eks. GDPR.
Dokumentere avvik og muligheter for forbedring
Der det avdekkes avvik og forbedringsmuligheter, skal disse være tydelig dokumentert slik at korrigerende handlinger og forbedringspunkter kan registreres og administreres gjennom organisasjonens anerkjente prosesser som dokumentert i henhold til punkt 10.1 Avvik og korrigerende tiltak; og 10.2 Kontinuerlig forbedring.
Beskriv anbefalinger
Siden dette er en internrevisjonsrapport, er det tillatt for en revisor å komme med anbefalinger om hvordan funn kan adresseres, men til syvende og sist må beslutningene knyttet til korrigerende handlinger og forbedringer tas av de relevante personene eller teamene som er ansvarlige for ISMS og informasjonssikkerhet .
Hvordan ISMS.online gjør rapportering enkelt
ISMS.online-plattformen eliminerer behovet for å lage Word-dokumenter, PDF-er og regneark ved å tilby en alt-i-ett-sted-løsning for enkelt å dokumentere og koble sammen alle aspekter av ISMS, inkludert dokumentasjonen av revisjonsrapporter.
ISMS.online inkluderer et forhåndsbygd revisjonsprogramprosjekt som dekker både interne og eksterne revisjoner.
Det forhåndsbygde revisjonsprogrammet inkluderer:
- Aktiviteter for 2 anbefalte revisjoner før sertifisering
- En plan for internrevisjon for den første 3-årige sertifiseringsperioden
- Plassholdere for din eksterne sertifisering og periodiske revisjoner
Hver internrevisjonsaktivitet inneholder en mal for en kombinert revisjonsplan og rapport.
Før tilsynet gjennomføres fungerer malen som revisjonsplan – inkludert hvilke områder som skal revideres og gir beskjed om å registrere når tilsynet skal gjennomføres og av hvem.
Under eller etter gjennomføringen av revisjonen kan revisor skrive notater direkte inn i den malte revisjonsaktiviteten.
I tillegg til å bare tilby revisjonsaktivitetsmalene, gir ISMS.online muligheten til raskt å koble til andre arbeidsområder innenfor plattformen, noe som betyr at kobling av revisjonsfunn til kontroller, korrigerende handlinger og forbedringer, og til og med til risikoer, er gjort enkelt og tilgjengelig. Dette vil gjøre deg i stand til enkelt å demonstrere for din eksterne revisor den samlede håndteringen av identifiserte funn.
Trenger du hjelp med din ISO 27001-revisjon?
Starter du snart en ISO 27001-revisjon og føler deg stresset over det? Det er naturlig å føle det slik, siden det å gjennomføre en ISO 27001-revisjon er et svært alvorlig skritt.
Ekspertene her på ISMS.online kan tilby deg best mulig service. Vi kan støtte revisjonen og rapporteringen av styringssystemet, gi deg råd angående informasjonssikkerhet og risikoreduserende strategier, gi opplæring av personalet eller hjelpe deg med en gapanalyse av dine eksisterende kontroller.
Be om en demo i dag.
