Hvordan skrive en internrevisjonsrapport for ISO 27001

Som en del av kravene til styringssystem, Klausul 9.2 detaljer hva som må gjøres angående internrevisjoner. Dette inkluderer krav om å beholde dokumenterte bevis for revisjonen resultater, og dette gjøres i form av en revisjonsrapport.

Hvordan fungerer internrevisjoner i ISO 27001?

Internrevisjoner for ISO 27001 fungerer ved å følge et revisjonsprogram som identifiserer revisjonene som skal utføres før sertifisering og i hver sertifiseringsperiode.

De kreve utvelgelse av en kompetent og objektiv revisor til å foreta hver internrevisjon verifisere samsvar med kravene i standarden, organisasjonens egne informasjonskrav og mål for ISMS, og at policyene, prosessene og andre kontroller er effektive og effektive.

Aktiviteter inkludert i en internrevisjon:

• Dokumentasjonsgjennomgang
• Bevis prøvetaking
• Intervjuer ansatte med nøkkel informasjonssikkerhetsansvar
• Intervjue andre ansatte (og muligens entreprenører)
• Vurderer funnene
• Skrive revisjonsrapport.

Hvor ofte må jeg gjennomføre en revisjon?

Selv om det ikke er klart innenfor ISO 27001 selv om hvor ofte du må utføre interne revisjoner. Det forventes at revisjonsprogrammet følger de samme kravene som de som stilles til sertifiseringsorganene for å gjennomføre sine revisjoner i henhold til ISO/IEC 27006:2015 – Krav til organer som leverer revisjon og sertifisering av ISMS-er.

Innen ISO 27006 krav 9.1.5.2 e, sier at revisjonsprogrammet "dekker representative utvalg av omfanget av ISMS-sertifiseringen innen treårsperioden."

Derfor må du gjennomføre interne revisjoner som dekker hele standarden, minimum over sertifiseringsperioden (3 år for UKAS-akkrediterte sertifikater).

Du kan gjøre dette som en enkelt revisjon, men det er oftere delt inn i mindre revisjoner over 3-årsperioden.

Det er også viktig å revidere enkelte områder oftere hvis risikonivået er høyt eller området er gjenstand for hyppige endringer.

Det anbefales at du revidere styringssystemet krav (klausul 4-10) årlig. Dette kan knyttes til din ISMS-styringsgjennomgang, som også må gjennomføres årlig.

Innen ISMS.online tilbyr vi et forhåndsbygd arbeidsområde for revisjonsprogram som inkluderer:

• Aktiviteter for 2 anbefalte revisjoner før sertifisering
• En plan for internrevisjon for den første 3-årige sertifiseringsperioden
• Plassholdere for din eksterne sertifisering og periodiske revisjoner

Hvorfor må jeg lage en rapport for en internrevisjon?

Standarden krever at du dokumenterer revisjonsresultatene – klausul 9.2 i ISO 27001 inkluderer kravet om å "oppbevare dokumentert informasjon som bevis for ……… revisjonsresultater".

Dette gjøres i en revisjonsrapport.

Hva må gjøres ved utarbeidelse av rapporten?

Før du kan dokumentere revisjonsrapporten, må du selvsagt planlegge og gjennomføre revisjonen. Du kan da dokumentere funnene i rapporten.

Kom i gang med din ISO 27001 revisjonsplan

For hver revisjon må du planlegge:

• Hva tilsynet skal dekke – hvilke(n) del(er) av standarden, lokasjoner, forretningsprosesser osv
• Hvem revisor skal være – må være kompetent og objektiv.
• Når tilsynet gjennomføres, skal det ikke ha en vesentlig negativ innvirkning på organisasjonens drift.
• Metoden(e) for revisjon – dokumentasjonsgjennomgang, prøvetaking, intervjuer etc
• Hvem må involveres i tilsynet?

Dokumentasjonsgjennomgang

Hver revisjon vil kreve gjennomgang av relevant dokumentasjon, inkludert retningslinjer, prosedyrer, standarder og veiledninger som er relevante for området(e) av standarden som revideres. Det er god praksis å informere de som blir revidert om områdene som skal dekkes for å sikre enkel og rettidig tilgang til relevant dokumentasjon.

I ISMS.online gjøres dette enkelt ved enten å ha dokumentasjonen inne i systemet eller koble den innenfor standardens relevante avsnitt.

Bevisprøver og intervjuer

De fleste revisjoner vil kreve prøvetaking av bevis i mindre eller større grad. Dette kan inkludere intervju av relevante nøkkelpersonell, sluttbrukere og noen ganger til og med midlertidige ansatte og kontraktører.

Kilder for prøvetaking kan for eksempel omfatte:

• Intervjuer med ansatte og andre personer
• Observasjoner av aktiviteter og omkringliggende arbeidsmiljø og forhold
• Dokumenter, som retningslinjer, mål, planer, prosedyrer, standarder, instruksjoner, lisenser og tillatelser, spesifikasjoner, tegninger, kontrakter og bestillinger
• Registreringer, for eksempel inspeksjonsprotokoller, møtereferat, revisjonsrapporter, registreringer av overvåkingsprogrammet og resultater av målinger
• Datasammendrag, analyser og resultatindikatorer
• Informasjon om den revidertes prøvetakingsplaner og prosedyrene for kontroll av prøvetakings- og måleprosesser
• Rapporter fra andre kilder, f.eks tilbakemeldinger fra kunder, eksterne undersøkelser og målinger, tilleggsrelevant informasjon fra eksterne parter og leverandør rangeringer
• Databaser og nettsider
• Simulering og modellering

Analyse

Når datainnsamlingen for tilsynet er utført, vil det være nødvendig for revisor å vurdere og analysere funnene for å fastslå eventuelle avvik eller muligheter for forbedring.

Funn er normalt kategorisert som ett av følgende:

• Stort avvik
• Mindre avvik
• Mulighet for forbedring

Noen sertifiseringsorganer bruker også:

• Observasjon – der det er tidlige indikasjoner, kan det eksistere en mindre avvik eller utvikle seg hvis det ikke iverksettes tiltak.
• Positivt poeng – tildeles enten der en organisasjon har gått utover anerkjent god praksis eller der det har vært betydelig forbedring på et område siden forrige revisjon.

Report

Etter å ha analysert funnene, kan revisjonsrapporten nå utarbeides og presenteres for personen eller teamet ansvarlig for ISMS for gjennomgang og oppfølging.

Hvordan utarbeides en internrevisjonsrapport?

Tilsynsrapporten skal utarbeides som dokumentert informasjon, men dette betyr ikke at det må være et separat Word- eller PDF-dokument. Innen ISMS.online plattform, prøver vi å oppmuntre til å unngå å lage slike dokumenter, men gir i stedet et arbeidsområde der rapporten kan dokumenteres direkte. Dette området tilbyr tilleggsfunksjonalitet, inkludert muligheten til enkelt å koble til andre arbeidsområder, retningslinjer, kontroller, risikoer, korrigerende handlinger og forbedringsbilletter og mer.

Lag et sammendrag

Sammendraget er nyttig slik at toppledelsen raskt og enkelt kan se en oversikt over funnene, inkludert eventuelle kritiske problemer, trender og muligheter for forbedring. Dette kan så enkelt kobles til ISMS-ledelsesgjennomgang etter punkt 9.3.

Dette vil vanligvis omfatte:

• En generell oversikt over driften av områdene av ISMS som dekkes av tilsynet.
• En numerisk oppsummering av kategoriene av funn.
• Fremheving av eventuelle presserende/kritiske funn.
• En kort beskrivelse av de neste trinnene som må tas for å løse eventuelle funn.

Introduser terminologi som brukes

For å sikre en felles forståelse av rapportens funn, er det nødvendig å inkludere definisjonene av en eller annen terminologi som brukes som enten er spesifikk for organisasjonen, revisjonsprosessen eller standarden. Husk at ikke alle som trenger å lese, vurdere og forstå rapporten, nødvendigvis vil forstå all terminologien som brukes.

Beskriv revisjonsplanen

Dette inkluderer:

• Revisjonens omfang – område(r) som skal dekkes, lokasjoner, ansatte, forretningsprosesser etc
• Navnet på revisor(e)
• Datoer, tider og steder for revisjonen

Beskriv fakta funnet

For hver del av revisjonen bør du dokumentere funnene, inkludert notater om eventuelle bevisprøver som er tatt.*

Det er god praksis å registrere samsvar og positive poeng og dokumentere eventuelle avvik eller muligheter for forbedring.

Funnene bør registrere fakta som er funnet relevante for ISMS og standarden og bør ikke inkludere meninger eller formodninger utover rimelig ekstrapolering.

*Merk - hvis bevisprøver inneholde personlig identifiserbar informasjon, er det vanlig praksis å pseudonymisere eller anonymisere dataene i tråd med personvernlovgivningens krav som GDPR.

Dokumentere avvik og forbedringsmuligheter

Der det avdekkes avvik og forbedringsmuligheter, skal disse være tydelig dokumentert slik at korrigerende handlinger og forbedringspunkter kan registreres og administreres gjennom organisasjonens anerkjente prosesser som dokumentert i henhold til punkt 10.1 Avvik og korrigerende tiltak; og 10.2 Kontinuerlige forbedringer.

Beskriv anbefalinger

Siden dette er en internrevisjonsrapport, er det tillatt for en revisor å komme med anbefalinger om hvordan en organisasjon kan adressere funn. Til syvende og sist må beslutningene knyttet til korrigerende handlinger og forbedringer tas av de relevante personene eller teamene som er ansvarlige for ISMS og informasjonssikkerhet.