Som en del av kravene til styringssystem, Klausul 9.2 detaljer hva som må gjøres angående internrevisjoner. Dette inkluderer krav om å beholde dokumenterte bevis for revisjonen resultater, og dette gjøres i form av en revisjonsrapport.
An ISO 27001 internrevisjon innebærer at en kompetent og objektiv revisor gjennomgår ISMS eller elementer av den og tester at:
I tillegg til den generelle etterlevelsen og effektiviteten til ISMS, som ISO 27001 er utviklet for å gjøre det mulig for en organisasjon å administrere sin informasjonssikkerhet risikoer til et tolerabelt nivå, vil det være nødvendig å kontrollere at de implementerte kontrollene faktisk reduserer risikoen til et punkt hvor risikoeier(e) gjerne tolererer den gjenværende risikoen.
Klausul 9.2 Internrevisjonsmandater:
«Organisasjonen skal gjennomføre interne revisjoner med planlagte intervaller for å gi informasjon om hvorvidt styringssystemet for informasjonssikkerhet:
a) samsvarer med
b) er effektivt implementert og vedlikeholdt.
Organisasjonen skal:
c) planlegge, etablere, implementere og vedlikeholde et eller flere revisjonsprogram, inkludert frekvens, metoder, ansvar, planleggingskrav og rapportering. Revisjonsprogrammet(e) skal ta hensyn til viktigheten av de aktuelle prosessene og resultatene av tidligere revisjoner;
d) definere revisjonskriteriene og omfanget for hver revisjon;
e) velge revisorer og gjennomføre revisjoner som sikrer objektivitet og upartiskhet i revisjonsprosessen;
f) sikre at resultatene av revisjonene rapporteres til relevant ledelse; og
g) beholde dokumentert informasjon som bevis for revisjonsprogrammet(e) og revisjonsresultatene.»
Last ned din gratis guide til rask og bærekraftig sertifisering
Vi trenger bare noen få detaljer slik at vi kan sende deg en e-post med guiden din for å oppnå ISO 27001 første gang
Last ned din gratis guide nå, og hvis du har noen spørsmål i det hele tatt Bestill en demo or Kontakt oss. Vi hjelper deg gjerne.
Internrevisjoner for ISO 27001 fungerer ved å følge et revisjonsprogram som identifiserer revisjonene som skal utføres før sertifisering og i hver sertifiseringsperiode.
De kreve utvelgelse av en kompetent og objektiv revisor til å foreta hver internrevisjon verifisere samsvar med kravene i standarden, organisasjonens egne informasjonskrav og mål for ISMS, og at policyene, prosessene og andre kontroller er effektive og effektive.
Aktiviteter inkludert i en internrevisjon:
Selv om det ikke er klart innenfor ISO 27001 selv om hvor ofte du må utføre interne revisjoner. Det forventes at revisjonsprogrammet følger de samme kravene som de som stilles til sertifiseringsorganene for å gjennomføre sine revisjoner i henhold til ISO/IEC 27006:2015 – Krav til organer som leverer revisjon og sertifisering av ISMS-er.
Innen ISO 27006 krav 9.1.5.2 e, sier at revisjonsprogrammet "dekker representative utvalg av omfanget av ISMS-sertifiseringen innen treårsperioden."
Derfor må du gjennomføre interne revisjoner som dekker hele standarden, minimum over sertifiseringsperioden (3 år for UKAS-akkrediterte sertifikater).
Du kan gjøre dette som en enkelt revisjon, men det er oftere delt inn i mindre revisjoner over 3-årsperioden.
Det er også viktig å revidere enkelte områder oftere hvis risikonivået er høyt eller området er gjenstand for hyppige endringer.
Det anbefales at du revidere styringssystemet krav (klausul 4-10) årlig. Dette kan knyttes til din ISMS-styringsgjennomgang, som også må gjennomføres årlig.
Innen ISMS.online tilbyr vi et forhåndsbygd arbeidsområde for revisjonsprogram som inkluderer:
Vår ISMS kommer forhåndskonfigurert med verktøy, rammeverk og dokumentasjon du kan adoptere, tilpasse eller legge til. Enkel.
Vår sikrede resultatmetode er utviklet for å få deg sertifisert på ditt første forsøk. 100 % suksessrate.
Glem tidkrevende og kostbar trening. Vår virtuelle coach-videoserie er tilgjengelig 24/7 for å veilede deg gjennom.
Standarden krever at du dokumenterer revisjonsresultatene – klausul 9.2 i ISO 27001 inkluderer kravet om å "oppbevare dokumentert informasjon som bevis for ……… revisjonsresultater".
Dette gjøres i en revisjonsrapport.
Før du kan dokumentere revisjonsrapporten, må du selvsagt planlegge og gjennomføre revisjonen. Du kan da dokumentere funnene i rapporten.
For hver revisjon må du planlegge:
Hver revisjon vil kreve gjennomgang av relevant dokumentasjon, inkludert retningslinjer, prosedyrer, standarder og veiledninger som er relevante for området(e) av standarden som revideres. Det er god praksis å informere de som blir revidert om områdene som skal dekkes for å sikre enkel og rettidig tilgang til relevant dokumentasjon.
I ISMS.online gjøres dette enkelt ved enten å ha dokumentasjonen inne i systemet eller koble den innenfor standardens relevante avsnitt.
De fleste revisjoner vil kreve prøvetaking av bevis i mindre eller større grad. Dette kan inkludere intervju av relevante nøkkelpersonell, sluttbrukere og noen ganger til og med midlertidige ansatte og kontraktører.
Kilder for prøvetaking kan for eksempel omfatte:
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Når datainnsamlingen for tilsynet er utført, vil det være nødvendig for revisor å vurdere og analysere funnene for å fastslå eventuelle avvik eller muligheter for forbedring.
Funn er normalt kategorisert som ett av følgende:
Noen sertifiseringsorganer bruker også:
Etter å ha analysert funnene, kan revisjonsrapporten nå utarbeides og presenteres for personen eller teamet ansvarlig for ISMS for gjennomgang og oppfølging.
Tilsynsrapporten skal utarbeides som dokumentert informasjon, men dette betyr ikke at det må være et separat Word- eller PDF-dokument. Innen ISMS.online plattform, prøver vi å oppmuntre til å unngå å lage slike dokumenter, men gir i stedet et arbeidsområde der rapporten kan dokumenteres direkte. Dette området tilbyr tilleggsfunksjonalitet, inkludert muligheten til enkelt å koble til andre arbeidsområder, retningslinjer, kontroller, risikoer, korrigerende handlinger og forbedringsbilletter og mer.
Sammendraget er nyttig slik at toppledelsen raskt og enkelt kan se en oversikt over funnene, inkludert eventuelle kritiske problemer, trender og muligheter for forbedring. Dette kan så enkelt kobles til ISMS-ledelsesgjennomgang etter punkt 9.3.
Dette vil vanligvis omfatte:
For å sikre en felles forståelse av rapportens funn, er det nødvendig å inkludere definisjonene av en eller annen terminologi som brukes som enten er spesifikk for organisasjonen, revisjonsprosessen eller standarden. Husk at ikke alle som trenger å lese, vurdere og forstå rapporten, nødvendigvis vil forstå all terminologien som brukes.
Dette inkluderer:
For hver del av revisjonen bør du dokumentere funnene, inkludert notater om eventuelle bevisprøver som er tatt.*
Det er god praksis å registrere samsvar og positive poeng og dokumentere eventuelle avvik eller muligheter for forbedring.
Funnene bør registrere fakta som er funnet relevante for ISMS og standarden og bør ikke inkludere meninger eller formodninger utover rimelig ekstrapolering.
*Merk - hvis bevisprøver inneholde personlig identifiserbar informasjon, er det vanlig praksis å pseudonymisere eller anonymisere dataene i tråd med personvernlovgivningens krav som GDPR.
Der det avdekkes avvik og forbedringsmuligheter, skal disse være tydelig dokumentert slik at korrigerende handlinger og forbedringspunkter kan registreres og administreres gjennom organisasjonens anerkjente prosesser som dokumentert i henhold til punkt 10.1 Avvik og korrigerende tiltak; og 10.2 Kontinuerlige forbedringer.
Siden dette er en internrevisjonsrapport, er det tillatt for en revisor å komme med anbefalinger om hvordan en organisasjon kan adressere funn. Til syvende og sist må beslutningene knyttet til korrigerende handlinger og forbedringer tas av de relevante personene eller teamene som er ansvarlige for ISMS og informasjonssikkerhet.
En skreddersydd praktisk økt basert på dine behov og mål
ISMS.online-plattformen slipper behovet for å lage Word-dokumenter, PDF-er og regneark ved å tilby en alt-i-ett-sted-løsning for enkelt å dokumentere og koble sammen alle aspekter av ISMS, inkludert dokumentasjon av revisjonsrapporter.
ISMS.online inkluderer et forhåndsbygd revisjonsprogramprosjekt som dekker både interne og eksterne revisjoner.
Det forhåndsbygde revisjonsprogrammet inkluderer:
Hver internrevisjonsaktivitet inneholder en mal for en kombinert revisjonsplan og rapport.
Før gjennomføring av tilsynet fungerer malen som revisjonsplan – inkludert hvilke områder som skal revideres og gir beskjed om å registrere når tilsynet skal gjennomføres og av hvem.
Under eller etter gjennomføring av revisjonen kan revisor skrive notater direkte inn i den malte revisjonsaktiviteten.
I tillegg til å bare tilby revisjonsaktivitetsmalene, gir ISMS.online muligheten til raskt å koble til andre arbeidsområder innenfor plattformen, noe som betyr at kobling av revisjonsfunn til kontroller, korrigerende handlinger og forbedringer, og til og med til risikoer, er gjort enkelt og tilgjengelig. Dette vil gjøre deg i stand til enkelt å demonstrere for din eksterne revisor den samlede håndteringen av identifiserte funn.
Kontakt, og vi kan gi støtte.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Samarbeid, lag og vis at du er på toppen av dokumentasjonen til enhver tid
Finn ut merHåndter trusler og muligheter uanstrengt og rapporter dynamisk om ytelse
Finn ut merTa bedre beslutninger og vis at du har kontroll med dashboards, KPIer og relatert rapportering
Finn ut merGjør lett arbeid med korrigerende handlinger, forbedringer, revisjoner og ledelsesgjennomganger
Finn ut merSkyn et lys på kritiske relasjoner og koble elegant sammen områder som eiendeler, risiko, kontroller og leverandører
Finn ut merVelg eiendeler fra Asset Bank og lag din Asset Inventory med letthet
Finn ut merUt av esken integrasjoner med dine andre viktige forretningssystemer for å forenkle overholdelse
Finn ut merLegg til andre områder av samsvar som påvirker organisasjonen din for å oppnå enda mer
Finn ut merEngasjer ansatte, leverandører og andre med dynamisk ende-til-ende-overholdelse til enhver tid
Finn ut merAdministrer due diligence, kontrakter, kontakter og relasjoner over deres livssyklus
Finn ut merKartlegg og administrer interesserte parter visuelt for å sikre at deres behov blir klart adressert
Finn ut merSterkt design av personvern og sikkerhetskontroller for å matche dine behov og forventninger
Finn ut mer