Hva er ISO 27001-revisjonsprosessen?

Hva er involvert i en ISO 27001-revisjon?

Tilsyn brukes ofte for å sikre at en aktivitet oppfyller et sett med definerte kriterier. For alle ISO-styringssystemstandarder brukes revisjoner for å sikre at styringssystemet oppfyller kravene i den aktuelle standarden, organisasjonens egne krav og mål, og forblir effektivt. Det vil være nødvendig å gjennomføre et program med revisjoner for å bekrefte dette.

Hva er en ISO 27001-revisjon?

En ISO 27001-revisjon innebærer at en kompetent og objektiv revisor gjennomgår ISMS eller deler av det og tester at det oppfyller kravene i standarden, organisasjonens egne informasjonskrav og mål for ISMS og at policyene, prosessene og andre kontroller er effektive og effektiv.

I tillegg til den generelle etterlevelsen og effektiviteten til ISMS, en ISO 27001-revisjon er utformet for å gjøre det mulig for en organisasjon å håndtere sine informasjonssikkerhetsrisikoer til et tolerabelt nivå, vil det være nødvendig å kontrollere at de implementerte kontrollene faktisk reduserer risikoen til et punkt hvor risikoeier(e) gjerne tolererer den gjenværende risikoen.

Hva er typene revisjoner?

Standarden krever at en organisasjon er pålagt planlegge og gjennomføre en tidsplan for "internrevisjoner" for å kunne kreve samsvar til standarden. Videre, hvis en organisasjon ønsker å oppnå sertifisering, vil det kreve at "eksterne revisjoner" utføres av et "sertifiseringsorgan" - en akkreditert organisasjon med de kompetente ressursene for revisjon mot ISO 27001.

For å sikre maksimalt utbytte av ISMS, anbefales det på det sterkeste å sikre at det valgte sertifiseringsorganet er akkreditert av en anerkjent tilsynsmyndighet. I Storbritannia er sertifiseringsorganer akkreditert av UKAS – United Kingdom Accreditation Service. Dette er det eneste statlige akkrediteringsorganet i Storbritannia.

Internrevisjon

Interne revisjoner, som navnet antyder, er de revisjonene som er utført av organisasjonen på organisasjonens ISMS. Hvis organisasjonen ikke har kompetent og objektive revisorer innenfor egen stab, kan disse revisjonene utføres av en entreprenør.

Ekstern revisjon

Begrepet "eksterne revisjoner" gjelder oftest de revisjonene utført av et sertifiseringsorgan med det formål å oppnå eller opprettholde sertifisering, men det kan også brukes til å referere til de revisjonene som er utført av andre interesserte parter (f.eks. partnere eller kunder) som ønsker det få sin egen sikkerhet for organisasjonens ISMS. Dette gjelder spesielt når en slik part har krav som går utover standardens.

Hvorfor er ISO 27001-revisjoner viktig?

Uten å verifisere hvordan ISMS administreres og fungerer, er det ingen reell garanti for sikkerhet for at den leverer mot målene den er satt til å oppfylle. Tilsyn gir en viss grad av denne sikkerheten.

Hvorfor må jeg revidere ISMS?

Det er flere grunner til å revidere ISMS-en din:

• Standarden krever det – punkt 9.2, Internrevisjon gir mandat til et program for internrevisjon.
• For å sikre at ISMS er tilstrekkelig implementert og drevet.
• Til sikre at ISMS oppfyller kravene av standarden.
• For å sikre at ISMS oppfyller organisasjonens egne krav.
• Til sikre at ISMS oppfyller målene satt av organisasjonen for informasjonssikkerhet mot punkt 6.2 Informasjonssikkerhetsmål og planlegging for å nå dem.
• For å sikre at ISMS er effektiv i å redusere informasjonssikkerhetsrisikoer til et tålelig nivå.
• For å sikre at evt avvik og korrigerende tiltak behandles i tide.
• For å sikre at informasjonssikkerhet svakheter, hendelser og hendelser blir rapportert, administrert og løst effektivt og effektivt.

Hva er involvert med ISO 27001 internrevisjon?

Dokumentasjonsgjennomgang – Dette er en gjennomgang av organisasjonens retningslinjer, prosedyrer, standarder og veiledningsdokumentasjon for å sikre at den er egnet til formålet og blir gjennomgått og vedlikeholdt.

Bevisrevisjon (eller feltgjennomgang) – Dette er en revisjonsaktivitet som aktivt prøver bevis for å vise at retningslinjer blir fulgt, at prosedyrer og standarder blir fulgt, og at veiledning vurderes.

Analyse – I etterkant av dokumentasjonsgjennomgang og/eller bevisprøver, vil revisor vurdere og analysere funnene for å bekrefte om kravene i standarden oppfylles.

Revisjonsrapport – En revisjonsrapport må utarbeides i henhold til standarden i punkt 9.2 f) og leveres til ledelsen for å sikre synlighet.

Gjennomgang av ledelsen – Dette er en påkrevd aktivitet under punkt 9.3 Ledelsens gjennomgang som må vurdere funnene fra revisjonene som er utført for å sikre at korrigerende handlinger og forbedringer implementeres etter behov.

Hva er involvert i en ekstern ISO 27001-revisjon?

Prosessene for ekstern revisjon er i hovedsak de samme som for internrevisjonsprogrammet, men utføres vanligvis med det formål å oppnå og opprettholde sertifisering. Programmet for eksterne [sertifiserings] revisjoner vil bli bestemt av eksterne revisorer [sertifiseringsorgan], men vil følge et systematisk krav.

Den aktuelle revisor vil gi en plan for revisjonen og når dette er bekreftet av organisasjonen, vil ressurser bli tildelt og datoer, klokkeslett og steder avtalt. Tilsynet vil da bli gjennomført etter revisjonsplanen.

Hvor ofte gjennomføres eksterne revisjoner?

Ulike akkrediteringsorganer over hele verden fastsetter ulike krav til sertifiseringsprogrammet revisjoner, men når det gjelder UKAS-akkrediterte sertifikater, vil dette inkludere:

• Innledende sertifiseringsrevisjon – utført i 2 trinn.
• Periodiske overvåkingsrevisjoner – typisk med 6 månedlige eller, minimum årlige intervaller.
• Re-sertifiseringsrevisjoner utført hvert 3. år.

Hva er typene og stadiene av eksterne revisjoner?

• Trinn 1 revisjon – «Dokumentasjonsgjennomgang» for å fastslå at organisasjonen har nødvendig dokumentasjon for et operativt ISMS.
• Trinn 2 revisjon – «Sertifiseringsrevisjon» – en bevisrevisjon for å bekrefte at organisasjonen er det drift av ISMS i samsvar med standarden – dvs. at de dokumenterte policyene, prosedyrene og standardene er implementert, operative og effektive. Denne bevisrevisjonen gjennomføres på stikkprøvebasis.
• Overvåkingsrevisjon – Også kjent som "Periodic Audits", disse utføres på en planlagt basis mellom sertifiserings- og resertifiseringsrevisjoner og vil fokusere på ett eller flere områder av ISMS.
• Resertifiseringsrevisjon – Utføres før sertifiseringsperioden utløper (3 år for UKAS-akkrediterte sertifikater) og er en grundigere gjennomgang enn de som er utført under en overvåkingsrevisjon. Den dekker alle områder av standarden.

I tillegg til programmet for formelle sertifiseringseksterne revisjoner ovenfor, kan du bli pålagt å gjennomgå en ekstern revisjon av en interessert tredjepart, for eksempel en kunde, partner eller regulator. Den aktuelle parten vil normalt gi deg en revisjonsplan og følge opp med en revisjonsrapport som bør mates inn i ditt ISMS Gjennomgang av ledelsen.

Verdien av en ISO 27001-revisjon med/uten sertifisering

Organisasjonens beslutning om å oppnå samsvar og muligens sertifisering til ISO 27001 vil avhenge av årsakene til implementering og drift av et formelt, dokumentert ISMS og dette vil ofte være dokumentert innenfor en business case som vil identifisere forventede mål og avkastning på investeringen.

Uten sertifisering kan organisasjonen bare kreve "overholdelse" av standarden, og denne samsvar er ikke sikret av noen akkreditert tredjepart. Hvis årsaken til implementeringen av ISMS kun er for forbedret sikkerhetsstyring og intern sikkerhet, kan dette være tilstrekkelig.

For maksimal nytte og avkastning på investeringen å oppnå fra ISMS når det gjelder å gi sikkerhet til organisasjonens eksterne interesserte parter og interessenter, vil det kreves et uavhengig, eksternt, akkreditert sertifiseringsrevisjonsprogram.

Husk at den eneste forskjellen når det gjelder innsats mellom "compliance" og "sertifisering" er programmet for eksterne sertifiseringsrevisjoner. Dette er fordi for å virkelig kreve "overholdelse" til standarden, vil organisasjonen fortsatt måtte gjøre alt som kreves av standarden - selvtestet "samsvar" reduserer ikke ressursene som kreves og innsatsen som er involvert i implementering og drift av et ISMS.

Forbereder for en ISO 27001 sertifiseringsrevisjon

Når du forbereder en sertifiseringsrevisjon, bør følgende hovedpunkter vurderes:

Er nøkkelprosessene til ISMS implementert og operative?

• Organisatorisk kontekst – Forstå og dokumentere den organisatoriske konteksten og kravene til informasjonssikkerhet inkludert interessenter. Dette vil også inkludere dokumentere omfanget av ISMS
• Risiko- og mulighetsstyring – Har organisasjonen identifisert og vurdert informasjonssikkerhet risiko og muligheter og dokumentert en behandlingsplan?
• Ledelse – Kan et sterkt lederskap på toppnivå demonstreres – for eksempel gjennom tilførsel av ressurser og en dokumentert forpliktelseserklæring i organisasjonen sikkerhetspolitikk.
• Internrevisjon – Er et program for internrevisjon dokumentert, avtalt og påbegynt i henhold til punkt 9.2?
• Gjennomgang av ledelsen – Har ISMS gjennomgått en formell ledelsesgjennomgang i samsvar med punkt 9.3
• Korrigerende tiltak – Kan organisasjonen vise at korrigerende handlinger og forbedringer blir administrert og implementert på en effektiv og effektiv måte?

Er de nødvendige dokumentene på plass og godkjent?

• ISMS omfang uttalelse (klausul 4.3)
• Organisasjons informasjonssikkerhetspolitikk (Klausul 5.2)
• Risikostyring metode (klausul 6.1.2 og 6.1.3)
• Risikoregister og behandlingsplan (6.1.3 e)
• Anvendelseserklæring (Klausul 6.1.3 d)
• Retningslinjer og prosesser kreves under vedlegg A hvor kontroller er gjeldende

Er bevisdokumenter enkle å finne og få tilgang til?

Få alle ansatte og relevante entreprenører mottatt informasjonssikkerhet utdanning, opplæring og bevissthet?

Det er også god praksis å sikre at de som skal intervjues har blitt orientert om hva de kan forvente under tilsynet og hvordan de skal reagere. Sørg også for at de enkelt kan få tilgang til dokumenter og bevis som kan bli bedt om av revisor.

Hvem gjennomfører en ISO 27001-revisjon?

Alle revisjoner mot ISO 27001 skal utføres av kompetente og objektive revisorer.

For å demonstrere kompetanse for ISO 27001-revisjon kreves det vanligvis at revisor har påviselig kunnskap om standarden og hvordan revisjon skal gjennomføres. Dette kan være gjennom å delta på et ISO 27001 Lead Auditor-kurs eller gjennom å ha en annen anerkjent revisjonskvalifikasjon og deretter beviselig kunnskap om standarden. Det kan være mulig å vise at en revisor er kompetent uten formell opplæring, men dette vil sannsynligvis bli en vanskeligere samtale med ditt sertifiseringsorgan.

For å demonstrere objektivitet må det vises at revisor ikke reviderer sitt eget arbeid og at de ikke er unødig påvirket via sine rapporteringslinjer. For mindre organisasjoner eller de som ønsker tydeligere objektivitet, kan det være mer praktisk å hente inn en innleid revisor.

Sertifiseringsorganer vil ha sjekket sine revisorer for kompetanse og bør være forberedt på å demonstrere det for deg på forespørsel.

Hvordan gjør
ISMS.online gjøre revisjonsprosessen mer effektiv?

ISMS.online inkluderer et forhåndsbygd revisjonsprogramprosjekt som dekker både interne og eksterne revisjoner og kan også inkludere revisjoner mot GDPR hvis du har valgt dette alternativet.

Det forhåndsbygde revisjonsprogrammet inkluderer:

• Aktiviteter for 2 anbefalte revisjoner før sertifisering
• A plan for internrevisjon for den første 3-årige sertifiseringsperioden
• Plassholdere for din eksterne sertifisering og periodiske revisjoner

I tillegg til å gi revisjonsprogramprosjektet, muligheten til raskt å koble til andre arbeidsområder innenfor alt-i-ett-stedet ISMS.online plattform betyr at kobling av revisjonsfunn til kontroller, til korrigerende handlinger og forbedringer og til og med til risikoer gjøres enkelt og tilgjengelig. Dette vil gjøre deg i stand til enkelt å demonstrere for din eksterne revisor den samlede håndteringen av identifiserte funn.

Trenger du mer informasjon? Ta gjerne kontakt med snakk med en av våre eksperter i dag.