Hva er de forskjellige typene ISO 27001 internrevisjon?

Introduksjon

Denne siden er laget for å forklare de ulike typene ISO 27001 internrevisjon. Til å begynne med vil vi legge grunnlaget ved å kort forklare kravene i selve ISO 27001-standarden, og deretter skal vi snakke om en ISMS, hvorfor den trenger revisjon og dens mål. Hvis du er kjent med disse titlene, kan du bla til andre halvdel, som spesifikt snakker om interne revisjoner og metodikk.

 

Hva er ISO 27001?

ISO 27001 er en standard laget av International Organization for Standardization. Det brukes som et rammeverk for en organisasjons Informasjonssikkerhetsstyringssystem (ISMS). Standarden er i to enkle deler, klausulene (krav, og derfor ikke valgfrie) og vedlegg A kontroller (brukes eventuelt for å redusere identifiserte informasjonssikkerhetsrisikoer).

Informasjonssikkerhetsstyringssystemet (ISMS) må utformes, vedlikeholdes og kontinuerlig forbedres i henhold til ISO 27001. Det bidrar til å demonstrere beste praksis innen informasjonssikkerhet, inkludert deler av EU Generelle databeskyttelsesforskrifter, ved å bidra til å etablere sterke datasikkerhetsprinsipper og resulterende prosesser, systemer og infrastruktur gjennom alle aspekter av virksomheten din.

Hva er et styringssystem for informasjonssikkerhet (ISMS)?

Et styringssystem for informasjonssikkerhet beskriver og demonstrerer din bedrift eller organisasjons tilnærming til å beskytte data og opprettholde personvernet. Den legger ut retningslinjene, prosedyrene, systemene og andre komponenter som brukes til å håndheve informasjonssikkerhet i hele en organisasjon. An ISMS tar også hensyn til interesserte parter (som leverandører), omfanget av organisasjonen din (hvor og hva din ISMS gjelder) og interne og eksterne problemer. For sistnevnte kan du bestemme disse problemene for å introdusere risikoer eller muligheter for organisasjonen din, som du deretter vil handle på i ditt ISMS.

Hvorfor trenger du en ISMS?

An Informasjonssikkerhetsstyringssystem hjelper til med å identifisere og redusere risikoer knyttet til din mest verdifulle informasjon og tilhørende eiendeler. Til syvende og sist kan det å ha et fungerende ISMS tillate en organisasjon å minimere forstyrrelsene forårsaket av sikkerhetstrusler og tillate kontinuerlig forbedring. I tillegg til denne internt fokuserte verdien, har et vellykket ISMS ofte konkret kommersiell verdi.

cta-bilde

Se hvor enkelt det er med ISMS.online

Bestill demoen din

 

Hvorfor revidere ISMS?

An revisjon av ditt ISMS åpner for at styringssystemet kan gjennomgås av en objektiv og kompetent revisor. Den vil teste elementene i ISMS basert på standardkrav. Det vil også gi mer innsikt i organisasjonens nåværende nivå for å nå sine behov og bedriftens mål. Effektiviteten og gjennomførbarheten til de skriftlige retningslinjene og prosedyrene blir også målt. Til slutt, en revisjon av ditt ISMS kan også merke seg de positive funnene for å sikre at de opprettholdes tilstrekkelig og gir utvikling for kontinuerlig forbedring.

Hva er en internrevisjon?

Under en internrevisjon, revisor samler inn og dokumenterer fakta i samarbeid med den reviderte. En internrevisjon måler faktisk praksis (og de resulterende resultatene, for eksempel registreringer) mot din ISMS, justert med ISO 27001 standard. Det sikrer at du følger beste praksis og prosesser for å beskytte sensitive data. En kompetent revisor må gjennomføre en internrevisjon innenfra eller (eventuelt utenfra, f.eks. en konsulent) i tett samarbeid med organisasjonen.

Hvorfor gjennomfører vi interne revisjoner?

Klausul 9.2 i ISO 27001 (og mange andre moderne ISO-standarder) krever at interne revisjoner utføres med "planlagte intervaller". Så for det første må vi gjøre regelmessige interne revisjoner. For øvrig er de andre kravene i paragraf 9.2 ganske enkle – vi må dokumentere våre revisjonsresultater og sikre at revisjonsprogrammet er planlagt, men dynamisk. Dette siste punktet sikrer at du vurderer dette og reagerer deretter når organisasjonen og det eksterne forretningsmiljøet endres.

Bortsett fra ISO-krav, bør du bli drevet til å revidere for flere kjerneorganisasjonsdrivere:

  • Å oppdage ineffektivitet i prosesser
  • Å oppdage svikt i å tilfredsstille kravene i standarden
  • For å identifisere god praksis som kan replikeres
  • For å se etter potensielle forbedringer
  • For å oppdage etterlevelse

 

Typer ISO 27001 internrevisjon

Mens du oppnår og opprettholder ISO 27001-sertifisering, er det mange ganger du kan kreve en intern revisjon. Det er flere måter å utføre din internrevisjonsstrategi på. Det er tider i sertifiseringsreisen din hvor en intern revisjon kan øke din tillit når du gjennomgår en ekstern revisjon. Under oppbyggingen til førstegangssertifisering er det to store muligheter for internrevisjon. Disse kan omtales som en pre-stage 1 revisjon (readiness review) og en pre-trinn 2 revisjon.

Pre-trinn 1 revisjon forklart

En pre-stage 1 er en revisjon som valgfritt, men svært vanlig, kan finne sted for ISO 27001 og fokuserer på hvorvidt gjeldende retningslinjer og prosedyrer passer til kravene satt i standarden. En pre-stage 1-revisjon kan også refereres til som en beredskapsgjennomgang og ser vanligvis kun på de dokumenterte komponentene (policyer, prosedyrer, etc.) til ditt ISMS opprettet av din organisasjon og sjekker om de tilfredsstiller standarden. Dette revisjon vil bidra til å sikre at organisasjonen din er mer forberedt på en ekstern fase 1 dokumentgjennomgang fra et sertifiseringsorgan.

Resultatet av en revisjon før trinn 1 vil være et dokument som inkluderer en liste over kontroller og klausuler og om organisasjonen er i samsvar med hvert standardområde. Den vil også ha muligheter for forbedringer (OFIer), som fremhever retningslinjene som tar for seg klausulen eller vedlegget som kanskje må revurderes. Til slutt kan avvik listes opp når revisor mener at ISMS ikke stemmer overens med ISO 27001-standarden.

Pre-trinn 2 revisjon forklart

Revisjonen før trinn 2 dekker vanligvis en ISO 27001 kontroll eller klausul etter eget valg. Denne revisjonen beviser effektiviteten til dine revisjonsprosedyrer og retningslinjer i praksis. Dette bygger på revisjonen før trinn 1, og sikrer at organisasjonen implementerer og praktiserer de definerte prosessene. Disse områdene er testet og undersøkt av revisor for å representere organisasjonens nåværende nivå på etterlevelse av informasjonssikkerhet. Funnene registreres og lagres i ditt ISMS.

Kobling til klausul 10 i ISO 27001, som tar for seg forbedringer og korrigerende handlinger, etter å ha fullført en intern revisjon før trinn 2, dokumenterer en organisasjon sine avvik og forbedringsområder innenfor ISMS. En vurderingsdato er satt for hvert funn når det er etablert et behov for tiltak.

Alle vi har hjulpet med å gå for ISO 27001 besto første gang. Det kunne du også.
Bestill demoen din

 

Revisjonsprogram

De ISO 27001-standarden krever revisjon program. Et revisjonsprogram definerer vanligvis en treårig plan mellom eksterne revisjoner for ny sertifisering. En robust ISMS-rammeverk som ISMS.online gir et prosjektområde som angir tidsrammer for revisjon, detaljering av hva som må tas opp og andre relevante detaljer om den planlagte revisjonen.

I løpet av disse tre årene er det utbredt at alle standardområder bør tas opp minst én gang. Revisjonsprogrammer kan og må være fleksible for å møte dine organisasjonens behov og trenger ikke passe en fast modell.

Hver revisjon er planlagt, og revisjonsplanen inneholder vanligvis detaljer som:

  • Når revisjonen skal utføres (ikke forstyrre normal forretningsdrift)
  • Hvilke områder av standarden som skal dekkes
  • Hvem skal utføre revisjonen?
  • Målet – hvorfor gjennomføres tilsynet? Dette kan være en planlagt revisjon eller en ny revisjon av et tidligere identifisert avviksområde.
  • Revisjonens omfang – hvilke deler av virksomheten er tenkt dekket i den tiden som er til rådighet?

Det er subtilt forskjellige revisjonsmetoder:

  • Revisjon kan utføres klausul for klausul og kontroll etter kontroll. Et godt eksempel på hvor denne tilnærmingen vil være nyttig er for mer generelt vedlegg A kontroller, som reduserer en risiko knyttet til alle. Dette vil innebære å velge deler av standarden og revisjon på tvers av en forhåndsdefinert del av eller hele organisasjonen. Et eksempel på dette vil være A.11 Fysisk sikkerhet for hvert av dine kontorer eller lokasjoner.
  • En annen revisjonsmetode inkluderer å gjennomføre avdelingsrevisjoner. Denne metoden vil se på gjennomføring av revisjoner basert på avdelingsstrukturer og arbeidsområder. En avdelingsrevisjon kan være aktuelt hvis avdelinger opererer i ulike regioner. Et eksempel kan være en revisjon av din menneskelige ressurser (HR)-avdelingen og dens ISMS-komponenter.
  • Tilsyn kan også gjøres basert på produkter/tjenester. Dette vil se på oppgavene og operasjonene som er tatt for å levere et spesifikt produkt. En pragmatisk måte dette kan gjøres på er å starte fra sluttproduktet og jobbe bakover til da handlingene først ble igangsatt. I hovedsak er dette en revisjon av en prosess.

 

Uplanlagte/tilleggsrevisjoner

Noen ganger kan du føle at du trenger å utføre revisjoner utenfor ditt første revisjonsprogram i organisasjonen din. Dette kan være av flere grunner relatert til effektiviteten til ISMS. Planlagte revisjoner er en måte å vise at organisasjonen din er proaktiv og søker kontinuerlig forbedring. Det kan imidlertid være like viktig å være reaktiv overfor omstendighetene i organisasjonen din – dette er ditt valg siden det ikke er en krav til ISO 27001.

En annen grunn til at en organisasjon kan trenge å gjennomføre en ikke-planlagt revisjon er å reagere på en sikkerhetshendelse eller katastrofehendelse. Hvis et sikkerhetsbrudd skulle skje gjennom en phishing-e-post, kan en organisasjon finne det passende å revidere vedlegg A-kontroll A.7.2.2, som ser på personalets bevissthet og opplæring. Dette ville være for å sikre at denne typen kompromiss i sikkerhet ikke gjentar seg.

Et eksempel på hvorfor du kanskje ønsker å gjennomføre ytterligere revisjoner er på grunn av funnene fra dine planlagte revisjoner. Anta for eksempel at du skulle finne avvik innenfor et bestemt revisjonsområde, kan det være best å revidere den spesifikke kontrollen eller klausulen med mer regelmessige intervaller til problemet oppstår mindre eller risikoen blir mer tolererbar. Dette vil være avhengig av risikoviljen din, den potensielle skaden og hyppigheten av avvik. Det kan også være nyttig og hensiktsmessig å foreta en intern revisjon av eventuelle korrigerende handlinger for å sikre suksess.

 

Revisjonsresultater

Når du gjennomfører en revisjon er det avgjørende å dokumentere dine funn og sikre kontinuerlig forbedring. Positive funn noteres også for å bidra til å bygge ideer og sikre at god praksis opprettholdes. Avvik registreres for å sikre at korrigerende tiltak blir iverksatt og problemer tildelt en ansvarlig eier. En vanlig strukturert måte som revisjonsresultater dokumenteres på er som følger:

  • Samsvar – Ordningene vurderes til å tilfredsstille kravene i gjeldende klausul(er) eller kontroll(er) tilstrekkelig.
  • Muligheter for forbedring – Bemerkede områder hvor ISMS kan potensielt forbedres, etter organisasjonens skjønn. Organisasjonen bør vurdere funnet nøye, og dokumentere endringene i ISMS etter behov.
  • Avvik – Et problem som strider mot et krav i ISO 27001. Dette vil kreve full og riktig løsning umiddelbart før neste ekstern revisjon.
  • Større avvik – Unnlatelse av å overholde standarden på systemnivå vil sannsynligvis kreve oppmerksomhet fra toppledelsen og restrukturering av informasjonssikkerhetspraksis.

Merk at tilnærmingen ovenfor ikke er et krav i ISO 27001, så du kan bruke helt andre tilnærminger hvis de fungerer for din organisasjon.

 

Hvordan ISMS.online hjelper med interne revisjoner

Med ISMS.online lar vår programvaretjeneste ditt styringssystem for informasjonssikkerhet være et alt-i-ett tilgjengelig sted. Dette inkluderer et fleksibelt revisjonsprogramområde som kan dokumentere revisjonsrapporter mellom sertifiseringsperioder. For det andre hjelper ISMS.online med å støtte organisasjoner med å administrere sine revisjonsfunn og adressere dem deretter. Innenfor programvaretjenesten vår gir den også et område for å oppfylle klausul 10 (Forbedring) ved å tilby et spor for korrigerende handlinger og forbedringer. Dette gjør at organisasjonen din kan være mer proaktiv når det gjelder avvik og forbedringer. Den gjør dette ved å se statusen, tildele en ansvarlig eier og datoer for fullføring og gjennomgang. Alle disse funksjonene gjør at en organisasjon kan føle seg bedre organisert for en ekstern revisjon, ettersom alle arbeidsområder og rapporter er lett tilgjengelige for å vise, noe som gjør at prosessen går mer jevnt.

ISMS.online tilbyr også interne revisjonstjenester utført av informasjonssikkerhetsspesialister. Dette sikrer at organisasjoner har en kompetent revisor til å utføre sine interne revisjoner i tråd med vedlegg A.18.2.1, som nevner at prosesser og prosedyrer skal gjennomgås uavhengig. Dette vil gjøre det mulig for revisjonsfunnene dine å være objektive, nøyaktige og verdifulle for organisasjonen din.

For å gi ytterligere støtte, har ISMS.online også en virtuell trener tillegg, som inkluderer videoer, veiledninger og sjekklister som gir informasjon om hvordan du adresserer ISO 27001-standarden. Det er et avsnitt knyttet til 9.2 (Internrevisjoner) og andre relevante områder. Dette gir retning til organisasjonen din og bidrar til å spare tid som kan brukes til å fokusere på mer generelle operasjoner. Ved å bruke Virtual Coach vil organisasjonen din bli pragmatisk og øke din informasjonssikkerhet tillit.

Klar til å ta grep?

Bestill demoen din

cta-bilde

 

« Hvordan forberede seg til en intern ISO 27001-revisjon – Den revidertes perspektiv

Hvordan unngå vanlige ISO 27001 internrevisjonsfeil »

Sist redigert: 7. februar 2022
Forfatter

Aaron Korpal

Aaron er en informasjonsadministrasjonssikkerhetsspesialist og hjelper klienter med å tilpasse seg og overholde en rekke standarder, inkludert ISO 27001.

Se alle innlegg av Aaron Korpal

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer