Introduksjon
Alle revisjoner involverer minst én revisor (noen ganger mer enn én, med ansvarlig person kjent som hovedrevisor) og minst én revidert. De revidertes rolle er å samarbeide med revisjonsteamet for å:
- Naviger gjennom de forskjellige ISMS-dokumentene og systemene
- Diskuter og bli enige om effektiviteten til delene av ISMS blir revidert
- Gi bevis der det er nødvendig ISMS operasjoner (vanligvis poster)
- Forklar bakgrunnstenkningen og forretningskonteksten til tilsynet
Fokuset i dette stykket er å se på forberedelser til internrevisjoner fra den revidertes perspektiv
Hva er en ISO 27001 internrevisjon
Internrevisjoner av ISO 27001 hjelper organisasjoner med å sikre at deres krav og de som kreves av standarden blir oppfylt. ISO 27001 internrevisjon er for det første prosessen for å avgjøre om et selskap har de nødvendige prosedyrene, prosessene, protokollene og menneskene for å beskytte informasjonen og informasjonsstyringssystemene mot ISO 27001-standarden. For det andre vil revisjonen teste, ved inspeksjon av dokumenter og journaler og med bistand fra den reviderte, om ulike ISMS-komponenter utfører som designet og følger kravene (se etter ordet "skal") i ISO-standarden.
Hva trenger vi ISO 27001 internrevisjon?
Flere sjåfører gjør gjennomføre interne revisjoner obligatorisk. Klausul 9.2 i ISO 27001 gir mandat til at revisjoner utføres med "planlagte intervaller". De fleste bedrifter er drevet til å frigjøre reell verdi fra ISMS, og toppledelsen leder denne strategiske intensjonen. Internrevisjoner blir derfor sett på og brukt som et kritisk forretningsforbedringsverktøy.
Gjennomføring av internrevisjon sikrer at et selskaps prosedyrer blir utført i henhold til plan. Positive og negative tilbakemeldinger fra et prosjekt internrevisjon er uvurderlig for å forbedre organisasjonens informasjonshåndteringsprosesser.
Forskjellen mellom eksterne og interne ISO 27001-revisjoner
Ocuco ekstern revisjonsprosess er i hovedsak det samme som internrevisjonsprosessene, men det de til syvende og sist har til felles er at målet er å oppnå og opprettholde ISO 27001-sertifisering. Vanligvis utfører sertifiserte organer eksterne revisjoner ved bruk av profesjonelle revisorer. Mens revisjonsprosessene i hovedsak er de samme, eksterne revisjoner har en tendens til å være mer formelle og strukturerte enn internrevisjoner.
For referanse, her er en rask oppsummering av ulike revisjonstyper
Tredjepartsrevisjoner
Dette er når en annen organisasjon reviderer organisasjonen din – det åpenbare eksempelet er at ISMS-en din blir revidert av ditt valgte sertifiseringsorgan – ofte kjent som en "ekstern revisjon".
Andrepartsrevisjoner
Dette kan være innover til organisasjonen din (en kunde reviderer deg) eller utover fra organisasjonen din (for eksempel reviderer du en potensiell eller nåværende leverandør).
Førstepartsrevisjoner
Førstepartsrevisjoner er når en organisasjon reviderer seg selv – det vil si en internrevisjon.
Definere revisjonen
For å få maksimal verdi fra revisjonen din, må du forhåndsdefinere revisjonsparametrene. Dette inkluderer omfanget, kriteriene og formålet med revisjonen. Revisjonsmålet er formålet med eller formålet med tilsynet. Revisjonsomfanget identifiserer hvilke aktiviteter og poster som er gjenstand for revisjon. Revisjonskriteriene består av retningslinjer, prosedyrer og krav som revisjonen undersøkes mot, i dette tilfellet ISO 27001:2013-standarden.
Viktigheten av ISO 27001 revisjonsforberedelse
Hvis det er en vare som vi alle ønsker mer av, er det på tide. Som Benjamin Franklin en gang sa: 'Å ikke forberede seg, er å forberede seg på å mislykkes.' Jeg er sikker på at han ikke refererte til ISO 27001-revisjoner på den tiden, men relevansen eksisterer fortsatt. En revisjon av hele styringssystemet for informasjonssikkerhet, inkludert dets teknologier, prosesser og prosedyrer og mennesker, vil nesten helt sikkert vise seg å være utfordrende.
Jo mer omfattende og mer kompleks organisasjonen er, desto mer sannsynlig vil revisjonsfunn forsinke sertifiseringen. Det er imidlertid skritt du kan ta på forhånd for å gjøre revisjonen mer effektiv og mindre vanskelig. Sørg for at du samler inn alle nødvendige dokumenter i forkant av revisjonen for å demonstrere din overholdelsesinnsats. Sørg i tillegg for at du forstår kravene til de relevante standardområdene som er gjenstand for revisjon. Til slutt, sørg for at du er oppdatert med alle de kontinuerlige arbeidsområdene som f.eks korrigerende tiltak, ledelsesgjennomganger og revisjonsprogrammet; disse vil med stor sannsynlighet bli kontrollert som en del av internrevisjonen.
Hvordan forberede seg praktisk til internrevisjonen
Både revisor og organisasjonen må være tilstrekkelig forberedt på revisjonen. Det er lett å glemme mens du stresser med dokumentasjonen at det er mange praktiske ting du kanskje må være klar for. Før revisjonen (si to uker før) er det vanligvis en god idé å sikre at alle relevante retningslinjer/prosedyrer/systemer/registreringer/kontroller er så oppdatert som mulig med passende godkjenningsrevisjonsspor på plass. Hvis du anser det som hensiktsmessig, kan du lese relevante retningslinjer, prosesser og prosedyrer på nytt for å gjøre deg kjent med og kanskje gjennomgå før revisjonen hvis du finner det passende. Etter å ha lest dette dokumentet vil det ikke overraske deg at du kanskje må fremlegge dokumentasjon i tilsynet. Som et resultat er det sannsynligvis en god idé å sørge for at du har dokumentasjonen lett tilgjengelig før tilsynet, eller i det minste bør du vite hvordan du får tilgang til den. Å suse rundt og lete etter ting i siste liten vil bare kaste bort tiden din og revisorene; tilgang og klarering bør ordnes på forhånd. Du bør sørge for alle nødvendige sikkerhetstillatelser, for eksempel tilgang til serverrommet eller et nøkkelkort til lageret. På samme måte kan det hende du må gjøre spesielle ordninger på forhånd, som å slå av en alarm eller midlertidig stanse produksjonen.
Videre kan du trenge PPE for revisoren i tilfelle eksponering for et farlig miljø, for eksempel en sikkerhetshjelm eller til og med kjeledress. Dette er spesielt viktig da unnlatelse av å ordne dette sannsynligvis vil føre til at revisor ikke oppfyller sine plikter. Likeledes kan det være en bestemt avdeling eller person som skal revideres, som f.eks Human Resources. Det må du sørge for spesialisert personell er klar over av revisjonen og er tilgjengelig for revisor å snakke med. Sørg for at du gir dine kolleger/ansatte mye varsel. Revisjonsplanen vil hjelpe deg med å utarbeide disse ordningene.
Til slutt kan det være noen logistiske forberedelser du må gjøre – for eksempel å ordne et passende arbeidsområde for revisor. Dette kan brukes til å arbeide med revisjonsfunnene og oppskriften. Tilsvarende kan revisor trenge en internettforbindelse for å gjennomføre enkelte aspekter av revisjonen. Derfor må du instruere dem om å ta med seg en hotspot hvis policyen din ikke tillater gjester å bli med i nettverket. På den annen side vil det å ha et gjeste-Wi-Fi og passord for hånden bidra til å gjøre ting enklere for revisoren.
Ingen forberedelse er den beste forberedelsen
Det kan komme som en overraskelse for deg, men den ideelle ISMS trenger ikke å forberede seg på en revisjon. En vellykket ISMS er oppdatert med kontinuerlige standardkrav som ledelsesgjennomganger, revisjoner, korrigerende handlinger osv. Å holde seg oppdatert med disse arbeidsområdene vil kun tjene som en hjelp til din forretningspraksis på grunn av kontinuerlige forbedringer av ISMS. Før revisjonen kan det være på sin plass med noe rengjøring. Imidlertid vil et system som minner deg om gjøremål, kommende oppgaver, policygjennomganger og andre kontinuerlige oppgaver gi deg den beste sjansen til å unngå ISO-panikk. Det er her vi kommer inn. Vi gir en komplett plattform for deg å administrere og bygge ditt ISMS. Takket være våre løsninger, din organisasjon, kunder og andre interessenter kan ha overholdelsestillit og sertifiseringssikkerhet. Fra nybegynnere på informasjonssikkerhet til erfarne veteraner, vi er vant til å jobbe med kunder med alle bakgrunner. Etter hvert som organisasjonen din vokser og endrer seg, dukker det stadig opp nye infosec-trusler. Vi designet vår plattform for å hjelpe deg med å tilpasse den til alt dette og mer etter hvert som verden fortsetter å utvikle seg.
Tidligere revisjonsfunn og korrigerende handlinger – Vil de bli revidert?
Målet er å revidere ISMS internt mot ISO 27001 som ikke vil føre til nye avvik. Derfor må du gå inn i tilsynet med konformitetssikkerhet. En gjennomgang av dokumentasjonen er derfor viktig. Vi må sjekke at alle retningslinjene er sendt inn og godkjent av ledelsen min. Ellers kan en samsvar for Cl.5.2 settes i fare.
I tillegg ville det hjelpe om du så på de korrigerende handlingene i ISMS; disse dataene kan brukes til å forberede din kommende internrevisjon. Informasjonen gitt av CA (korrigerende tiltak) vil vise deg tidligere identifiserte områder som trenger forbedring. Noen ganger kan de korrigerende handlingene være fra en ledelsesgjennomgang eller et svar på en sikkerhetshendelse. Vi skal imidlertid fokusere på korrigerende handlinger som stammer fra en revisjon. Disse CA-ene er viktige å gjennomgå, da de nesten helt sikkert vil bli kontrollert i din revisjon. Følgende revisjon må ta for seg forbedringsmulighetene og eventuelle avvik som dukket opp fra din forrige revisjon. Dette er for å demonstrere din pågående dedikasjon til kontinuerlig forbedring av ISMS. Begrepet "adressert" er vagt, så vi er klare for å rydde opp. For å oppnå samsvar på dette området, må du demonstrere overfor revisor at du har handlet på de anbefalte endringene. Måten dette gjøres på er å bruke vår sporing av korrigerende handlinger og koblet arbeidsfunksjon for å vise endringene du har gjort som svar på funnet. Hvis du ikke har handlet på opplæringen, ikke få panikk, etterlevelse er fortsatt mulig. Det må foreligge bevis for at funnet blir tenkt på og det blir handlet på. Vanligvis vil det være tilstrekkelig å dokumentere funnet i CA-sporingen og angi en forfallsdato/mottaker; det viser at bedriften din vurderer forslaget og er i ferd med å bestemme seg for neste handling. I tillegg må alle forfalte CA-er adresseres før enhver revisjon for å demonstrere forpliktelsen til kontinuerlig forbedring av ISMS.
Hvorfor velge oss?
Alliantist, selskapet bak ISMS.online, er sertifisert til ISO 27001 av et UKAS-akkreditert sertifiseringsorgan. Vi gir våre kunder omfattende ISO- og ISMS-støtte. Basert på pakken de velger, vil nivået av støtte de mottar variere, men ekte mennesker vil alltid være involvert. For mer informasjon, sjekk ut vår støttepolicy eller kontakt vår støtteavdeling. Overholdelsessikkerhet og sertifiseringssikkerhet er enkle å oppnå med våre tjenester for din organisasjon, kunder og andre interessenter. Vi er vant til å samarbeide med kunder på alle nivåer, fra nykommere til veteraner.
