ISO 27001:2013 Internrevisjon: Forenklet

Hva er hensikten med internrevisjonen for ISO 27001?

Målet for internrevisjonen i pkt. 9 i styringskravene vedr ISO 27001: 2013 er ytelsesevaluering. 9.2 sier at organisasjonen skal gjennomføre interne revisjoner med planlagte intervaller for å gi informasjon om hvorvidt informasjonssikkerhet styringssystem:

1) samsvarer med

1.1) organisasjonens egne krav til sitt styringssystem for informasjonssikkerhet; og

1.2) kravene i denne internasjonale standarden;

2) er effektivt implementert og vedlikeholdt

3) planlegge, gjennomføre og opprettholde et revisjonsprogram

4) definere revisjonskriteriene og omfanget for hver revisjon

5) velge revisorer som skal være objektive og upartiske

6) sørge for det tilsyn rapporteres til relevant ledelse

7) beholde dokumentert informasjon som bevis

Oppsummert er internrevisjonen et av initiativene som viser din ISMS kan stole på og fungerer som forventet.

ISO 27001-standarden oppmuntrer deg til å kjøre ISMS for å møte dine forretningsmål, omfang, interne og eksterne problemer osv. Som sådan ønsker du også å sikre at interne revisjoner gjennomføres i en stil som reflekterer virksomheten din og dens risikoer, samtidig som kulturen og ressursene du har på plass.

Hvor og hva bør du revidere i styringssystemet for informasjonssikkerhet?

For å gjøre det virkelig, bør revisjonsprogrammet og filosofien din utledes fra problemstillingene, omfanget, f.eks. lokasjoner, avdelinger, prosesser, produkter osv., sammen med å vurdere Anvendelseserklæring, risiko og så videre, ikke bare en tick box-øvelse. Du må imidlertid vise at du har revidert mot hele standarden – styringskrav og vedlegg A kontroller – minst én gang i løpet av 3-året ISO 27001-sertifisering syklus, og som du kan gi prøvebevis på kontroller jobber etter dine krav.

Vi har bygget videre på den tilnærmingen i standard revisjonsprogrammet i ISMS.online for å sikre at revisjoner representerer det virksomheten trenger. Etter vårt syn må revisjoner være forretningsledet og "ekte" for at folk skal kjøpe seg inn i det som en gyldig investering og for å gjøre revisjonen meningsfull.

Hvordan revidere på 3 pragmatiske og enkle nivåer

Nivå 1 – Gjennomgang av retningslinjer i tråd med A.5.1.2 og A.8.1.2 for uavhengige vurderinger

Dette nivået er en enkel gjennomgang av hvordan du "beskriver" din politikk og kontroller, og sikre at de forblir relevante for organisasjonen gitt 4.1 – 3 og i tråd med ovennevnte problemstillinger, parter, omfang, informasjonsmidler, risiko etc.

I ISMS.online har vi inkludert policyen for A.5.1.2 og utviklet plattformen med det i tankene, slik at det er enkelt for deg å vedta retningslinjene våre og virkelig "leve" den i praksis.

Dette er tydeligvis ikke internrevisjon for Sekt. 9.2 i seg selv, men er en viktig del av din ISMS ledelse sammen med andre aspekter som ledelsesanmeldelser, sporing av hendelser etc. og vil bidra til å sikre at når du kommer til å gjennomføre din formelle internrevisjon, gjør du det mot et solid sett med retningslinjer og kontroller som er passende for din organisasjon.

Nivå 2 – internrevisjonsplan som dekker kravene og kontrollene

Dette er den nødvendige, mer tradisjonelle tilnærmingen og må utføres i løpet av sertifiseringssyklusen som et minimum, og det kan være verdt å vurdere å dekke dette årlig.

Vårt revisjonsprosjekt kan brukes til å sette mål og omfang for hver revisjon og registrere funnene dine. Eventuelle avvik som blir identifisert kan deretter adresseres i Forbedringsspor.

For de organisasjonene som ønsker å følge et treårig revisjonsprogram for alle kontroller, har vi inkludert et rammeverk som skal følges i ISMS.online også.

Nivå 3 – en helhetlig tilnærming for å demonstrere effektiviteten

Vi oppfordrer også til en mer helhetlig tilnærming til interne revisjoner og har bygget et program i plattformen som fokuserer en revisjon rundt å «demonstrere» en spesifikk del av ISMS omfang er kompatibel, f.eks. en avdeling, et sted, et produkt, et system eller en prosess.

Dette gir deg muligheten til å se på hvordan virksomheten fungerer i praksis, utover Infosec i seg selv, og se muligheter for forbedring eller faktisk avdekke risikoer som kanskje ikke er lett å se ved å se gjennom en kontrolllinse.

Dette gjør også en organisasjon i stand til å revidere et større antall kontroller på en gang, på en samlet måte.

I vår ISO 27001 virtuelle coach inkluderer vi et eksempel for å gi en smak av hva du kan gjøre som vil illustrere en del av ISMS scope fungerer bra og oppfyller sine mål, med kontrollene som fungerer (eller ikke).

Hvordan planlegge for ISO 27001 revisjonsprogrammet

Det er ikke lett å utvikle en revisjonsplan 3 år i forveien for hele sertifiseringsperioden hvis du er en organisasjon i rask endring. Hvis dette er tilfelle, bør du vurdere de omfangsområdene som må revideres og lage en 12-måneders plan for å møte forventningene til en ekstern revisor.

Så vær tydelig på at du blir det gjennomføre ledelsesgjennomganger i tråd med sekt. 9.3 som kan føre til endringer i den tidsplanen. Det er noe av det 9.3 handler om – å være proaktiv og også reagere på nye informasjon som påvirker ISMS.

Hvis du bestemmer deg for å endre revisjonsplanen, for eksempel på grunn av en utløserhendelse som rettferdiggjør det, flytter du bare revisjonsplanen rundt og legger til et notat i den relevante gjennomgang av ledelsen for å begrunne hvorfor du gjorde endringene.

Uansett hvilken revisjonstilnærming du velger å bruke, vær forberedt på å rettferdiggjøre, demonstrere og forsvare dens effektivitet overfor en ekstern revisor.

Hvor mye detaljer bør du inkludere i en ISO 27001-revisjonsøvelse?

Når du bestemmer deg for hvor dypt du bør gå med revisjonsøvelsen, vurder dette – Har du nok informasjon til å kunne vise at du har utført revisjonen, lært av øvelsen, dokumentert den og iverksatt eventuelle påfølgende handlinger?

Fra vårt eget kulturelle perspektiv handler dette også om å være pittig, papirløs og digital, og er fokusert på å sikre at vi får jobben gjort godt – feire suksess, lære og forbedre, og redusere risiko uten å bli fast i byråkrati eller skjemautfylling for skyld. av det.

Alle vi snakket med (før vi bygget ISMS.online) hadde sin egen måte å revidere på. Vi har sett noen veldig lange revisjonsrapporter som sjelden blir lest av den rette målgruppen, som i virkeligheten bare vil ha en oppsummering. Så for oss handler det om å bevise, lære, iverksette tiltak og omsette eventuelle forbedringer i praksis, i samsvar med alvorlighetsgraden av trusselen eller verdien av muligheten i forhold til andre forretningsprioriteringer.

I ISMS.online kan du gjøre det i selve revisjonsaktiviteten eller knytte forbedringsarbeidet til vår Spor for korrigerende handlinger og forbedringer for å tilpasse seg alle korrigerende handlinger og forbedringer, ikke bare de som kommer fra en revisjon.

Hva sier ISO om revisjon og revisjon for ISO 27001?

I tillegg til kravene i ISO 27001 9.2 International Organization for Standardization (ISO) gir følgende standarder som er relevante for revisjon:

• ISO 27007 – Gir veiledning om hvordan du reviderer styringssystemelementene (krav) i ISMS-en din, og trekker i stor grad fra ISO 19011 (se nedenfor) med ekstra detaljer knyttet til revisjon av et ISMS.
• ISO TR 27008 – En teknisk rapport (i stedet for standard) som gir veiledning om revisjon av informasjonssikkerhetskontroller administrert av ditt ISMS.
• ISO 19011 – gir veiledning om revisjon styringssystemer, inkludert prinsippene for revisjon, styring av et revisjonsprogram og gjennomføring styringssystem revisjoner, samt veiledning om evaluering av kompetansen til personer som er involvert i revisjonsprosessen, inkludert den som leder revisjonsprogrammet, revisorer og revisjonsteam.
• ISO 27006 & ISO 17021 – Disse er for sertifiseringsorganene som utfører de eksterne revisjonene. Selv om de kan gi en nyttig referanse for å forstå hva sertifiseringsorganene ser etter, internrevisjon vil være veldig annerledes, med et annet formål, og du bør ikke se etter revisjon på nøyaktig samme måte.

Et gjennomgående tema vi hører om er at revisorer ønsker å se at organisasjonen lever og puster ISMS og det inkluderer lederinvolvering, proaktiv visning av ting du har i ISMS.online og å kunne svare veldig raskt på deres spesifikke spørsmål med bevis.

Å ha en struktur som følger ISO 27001: 2013 metoder og merking, som i ISMS.online, gjør det også enkelt for revisorer å følge med på sitt eget "språk", og de kan se versjonsendringer, tidsstemplet arbeid, samarbeid, godkjenninger fra uavhengige teammedlemmer osv., så det er en flott hjelp til settet med tester ovenfor.

Det er klart at du fortsatt må demonstrere at retningslinjene etterleves i praksis utenfor ISMS.online, f.eks. sikkerhetskopieres informasjon fra systemene dine, kunde- og leverandørkonfidensialitetsavtaler holdes osv. (og selvfølgelig kan du bruke ISMS.online for å vise leverandøren avtaler også!)

Bør du ta et ledende revisorkurs for å hjelpe med ISO 27001?

Hvis du vurderer å gjennomføre et hovedrevisorkurs, er det verdt å vurdere at når du blir opplært av noen som har fulltidsjobb som revisjon, fokuserer de på opplæring til revisjon fra et eksternt perspektiv. Dette kan være utenfor organisasjonens krav for å overholde 9.2 og potensielt føre til at du mister av syne hva de bredere forretningsmålene er.

Du må være i stand til å revidere godt nok til å demonstrere for ditt lederskap og ditt interesserte parter (f.eks. revisorer) at 9.2 internrevisjonen er effektiv som en del av resultatevalueringen og fungerer i praksis.

I ISMS.online har vi foreslått en prosess for revisjon i Sect. 9.2, og gitt plass til å levere det som er enkelt nok å ta i bruk eller tilpasse til din stil og behov, og med interne ressursbegrensninger i tankene. Vi har også inkludert et pragmatisk eksempel i ISO 27001 Virtual Coach.

Imidlertid definerer mange kunder sin tilnærming enkelt ved å bruke ISMS.online og får deretter en enkel virtuell helsesjekk sammen med råd, og til og med pragmatisk løpende revisjonsstøtte, med vår kvalifiserte Lead Auditor.

ISMS.online gjør det enkelt å etablere det riktige revisjonsprogrammet for deg, enten ved å ta i bruk våre forhåndsbygde programmer eller raskt og enkelt lage ditt eget.

Vi hjelper deg med å administrere revisjonene dine mer effektivt og integrere dem med en helhetlig tilnærming til det bredere ISMS.