Hva er involvert i en ISO 27001-revisjon?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

tilfeldig,mann,,frilans,jobber,på,bærbar datamaskin,og,klikker,trådløst

casual,man,,freelance,working,on,laptop,computer,and,clicking,wireless

Tilsyn brukes ofte for å sikre at en aktivitet oppfyller et sett med definerte kriterier. For alle ISO-styringssystemstandarder benyttes revisjoner for å sikre at styringssystemet oppfyller den aktuelle standardens krav, organisasjonens egne krav og mål, og forblir effektivt. Det vil være nødvendig å gjennomføre et program med revisjoner for å bekrefte dette.

Hva er en ISO 27001-revisjon?

An ISO 27001 revisjon innebærer at en kompetent og objektiv revisor gjennomgår:

De ISMS eller deler av den og tester at den oppfyller standardens krav,
Organisasjonens egne informasjonskrav, mål for ISMS,
At policyene, prosessene og andre kontroller er praktiske og effektive.

I tillegg til den generelle etterlevelsen og effektiviteten til ISMS, som ISO 27001 er utviklet for å gjøre det mulig for en organisasjon å håndtere sine informasjonssikkerhetsrisikoer til et tolerabelt nivå, vil det være nødvendig å kontrollere at de implementerte kontrollene faktisk reduserer risikoen til et punkt hvor risikoeier(e) gjerne tolererer den gjenværende risikoen.

Hva er typene revisjoner?

Standarden krever at en organisasjon er pålagt å planlegge og gjennomføre en tidsplan for "interne revisjoner" for å kunne kreve overholdelse av standarden. Videre, hvis en organisasjon ønsker å oppnå sertifisering, vil det kreve at "eksterne revisjoner" utføres av et "sertifiseringsorgan" - en organisasjon med kompetente revisjonsressurser mot ISO 27001.

For å sikre maksimalt utbytte av ISMS, anbefales det på det sterkeste å sikre at det valgte sertifiseringsorganet er akkreditert av en anerkjent tilsynsmyndighet. I Storbritannia er sertifiseringsorganer akkreditert av UKAS – United Kingdom Accreditation Service.

Internrevisjon

Internrevisjoner, som navnet antyder, er de revisjonene som utføres av organisasjonens egne ressurser. Dersom organisasjonen ikke har kompetente og objektive revisorer innenfor egen stab, kan disse revisjonene utføres av en innleid leverandør. Disse omtales ofte som «2nd parts revisjoner» siden leverandøren fungerer som en «intern ressurs».

Ekstern revisjon

Begrepet "eksterne revisjoner" gjelder oftest de revisjonene som utføres av et sertifiseringsorgan for å oppnå eller opprettholde sertifisering. Begrepet kan imidlertid også brukes for å referere til revisjoner utført av andre interesserte parter (f.eks. partnere eller kunder) som ønsker å få sin egen sikkerhet for organisasjonens ISMS. Dette gjelder spesielt når en slik part har krav som går utover standardens.

Vi har gjort mer ISO 27001-fremgang de siste 2 ukene ved å bruke ISMS.online enn vi har gjort det siste året.

Tom Woolrych

Service- og støttesjef, Arbeidsstyrken
Utviklingstillit

Bestill demoen din

Alle vi hjalp til med en ISO 27001-revisjon besto første gang. Det kunne du også.

Bestill demoen din

Hvorfor er ISO 27001-revisjoner viktig?

Uten å verifisere hvordan ISMS administreres og presterer, er det ingen reell garanti for at den leverer mot målene den er satt til å oppfylle.

Tilsyn gir en viss grad av denne sikkerheten.

Hvorfor må jeg revidere ISMS?

Det er mange grunner til å revidere ISMS:

Standarden krever det – Punkt 9.2 Internrevisjon gir mandat til et program for internrevisjon.
For å sikre at ISMS er tilstrekkelig implementert og drevet.
For å sikre at ISMS oppfyller kravene i standarden.
For å sikre at ISMS oppfyller organisasjonens egne krav.
For å sikre at ISMS oppfyller målene satt av organisasjonen for informasjonssikkerhet mot Punkt 6.2 Informasjonssikkerhetsmål og planlegging å oppnå dem.
For å sikre at ISMS er effektiv i å redusere informasjonssikkerhetsrisikoer til et tålelig nivå.
For å sikre at evt avvik og korrigerende tiltak behandles i tide.
For å sikre at svakheter, hendelser og hendelser i informasjonssikkerheten blir rapportert, administrert og løst effektivt og effektivt.

Hva er involvert med ISO 27001 internrevisjon?

Dokumentasjonsgjennomgang – Dette er en gjennomgang av organisasjonens retningslinjer, prosedyrer, standarder og veiledningsdokumentasjon for å sikre at den er egnet til formålet og blir gjennomgått og vedlikeholdt.
Bevisrevisjon (eller feltgjennomgang) – Dette er en revisjonsaktivitet som aktivt prøver bevis for å vise at retningslinjer blir fulgt, at prosedyrer og standarder blir fulgt, og at veiledning vurderes.
Analyse – I etterkant av dokumentasjonsgjennomgang og/eller bevisprøver, vil revisor vurdere og analysere funnene for å bekrefte om standardkravene oppfylles.
Revisjonsrapport – En revisjonsrapport må utarbeides i henhold til standarden i punkt 9.2 f) og leveres til ledelsen for å sikre synlighet.
Gjennomgang av ledelsen – er en påkrevd aktivitet under punkt 9.3 Ledelsens gjennomgang, som må vurdere funnene fra revisjonene som er utført for å sikre at korrigerende handlinger og forbedringer implementeres etter behov.

Oppnå din første ISO 27001

Last ned din gratis guide til rask og bærekraftig sertifisering

Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!

Mark Wightman

Chief Technical Officer Aluma

100 % av brukerne våre består sertifiseringen første gang

Bestill demoen din

Hva er involvert i en ekstern ISO 27001-revisjon?

Prosessene for ekstern revisjon er i hovedsak de samme som for internrevisjonsprogrammet, men utføres vanligvis for å oppnå og opprettholde sertifisering.

Programmet for eksterne [sertifiserings] revisjoner vil bli bestemt av eksterne revisorer [sertifiseringsorgan], men vil følge et systematisk krav (se nedenfor).

Den aktuelle revisor vil gi en plan for revisjonen, og når organisasjonen bekrefter dette, vil ressurser bli tildelt og datoer, tider og steder avtalt.

Tilsynet vil da bli gjennomført etter revisjonsplanen.

Hvor ofte gjennomføres eksterne revisjoner?

Ulike akkrediteringsorganer rundt om i verden stiller ulike krav til programmet for sertifiseringsrevisjoner; Når det gjelder UKAS-akkrediterte sertifikater, vil dette imidlertid inkludere:

Innledende sertifiseringsrevisjon – utført i 2 trinn.
Periodiske overvåkingsrevisjoner – typisk med 6 månedlige eller, minimum årlige intervaller.
Resertifiseringsrevisjoner utført hvert 3. år.

Hva er typene og stadiene av eksterne revisjoner?

Trinn 1 revisjon – «Dokumentasjonsgjennomgang» fastslår at organisasjonen har nødvendig dokumentasjon for et operativt ISMS.
Trinn 2 revisjon – “Sertifiseringsrevisjon” – en bevisrevisjon for å bekrefte at organisasjonen driver ISMS i samsvar med standarden – dvs. at de dokumenterte retningslinjene, prosedyrene og standardene er implementert, operative og effektive. Denne bevisrevisjonen gjennomføres på stikkprøvebasis.
Overvåkingsrevisjon – også kjent som "Periodic Audits", utføres på planlagt basis mellom sertifiserings- og resertifiseringsrevisjoner og vil fokusere på ett eller flere ISMS-områder.
Resertifiseringsrevisjon – Utføres før sertifiseringsperioden utløper (3 år for UKAS-akkrediterte sertifikater) og er en grundigere gjennomgang enn de som er utført under en overvåkingsrevisjon. Den dekker alle områder av standarden.

I tillegg til det formelle sertifiseringsprogrammet for eksterne revisjoner ovenfor, kan du bli pålagt å gjennomgå en ekstern revisjon av en interessert tredjepart, for eksempel en kunde, partner eller regulator. Den aktuelle parten vil normalt gi deg en revisjonsplan og følge opp med en revisjonsrapport som bør mates inn i din ISMS Management Review.

Se plattformfunksjonene våre i aksjon

En skreddersydd praktisk økt basert på dine behov og mål

Bestill demoen din

Synes du ISO 27001 er forvirrende?

Snakk med en spesialist

Verdien av en ISO 27001-revisjon med/uten sertifisering

Organisasjonens beslutning om å oppnå samsvar og muligens sertifisering til ISO 27001 vil være avhengig av implementering og drift av et formelt, dokumentert ISMS. Dette vil ofte dokumenteres innenfor en business case som vil identifisere forventede mål og avkastning på investeringen.

Uten sertifisering kan organisasjonen bare kreve "overholdelse" av standarden, og denne samsvar er ikke sikret av noen akkreditert tredjepart. Hvis årsaken til implementeringen av ISMS kun er for forbedret sikkerhetsstyring og intern sikkerhet, kan dette være tilstrekkelig.

For maksimal nytte og avkastning på investeringen å oppnå fra ISMS når det gjelder å gi sikkerhet til organisasjonens eksterne interesserte parter og interessenter, vil det kreves et uavhengig, eksternt, akkreditert sertifiseringsrevisjonsprogram.

Husk at den eneste forskjellen når det gjelder innsats mellom "compliance" og "sertifisering" er programmet for eksterne sertifiseringsrevisjoner. Dette er fordi for å hevde "overholdelse" til standarden virkelig, vil organisasjonen fortsatt måtte gjøre alt som kreves av standarden - selvtestet "samsvar" reduserer ikke ressursene som kreves og innsatsen involvert i implementering og drift av et ISMS.

Forbereder for en ISO 27001 sertifiseringsrevisjon

Når du forbereder en sertifiseringsrevisjon, bør følgende hovedpunkter vurderes:

er nøkkelen prosessen med ISMS implementert og operativ?
- Organisatorisk kontekst – Forstå og dokumentere den organisatoriske konteksten og krav til informasjonssikkerhet, inkludert interesserte parter. Dette vil også inkludere å dokumentere omfanget av ISMS
- Risiko- og mulighetsstyring – Har organisasjonen identifisert og vurdert informasjonssikkerhetsrisikoer og muligheter og dokumentert en behandlingsplan?
- Lederskap – Kan sterkt lederskap på toppnivå demonstreres – for eksempel gjennom tilførsel av ressurser og en dokumentert forpliktelseserklæring innen organisatorisk sikkerhetspolitikk.
- Internrevisjon – Er et program for internrevisjon dokumentert, avtalt og påbegynt i samsvar med punkt 9.2?
- Ledergjennomgang – har ISMS gjennomgått en formell ledelsesgjennomgang iht Klausul 9.3
- Korrigerende tiltak og Kontinuerlig forbedring – kan organisasjonen vise at korrigerende handlinger og forbedringer blir administrert og implementert på en effektiv og effektiv måte?
Er de nødvendige dokumentene på plass og godkjent?
- ISMS-omfangserklæring (Klausul 4.3)
- Organisasjonsinformasjonssikkerhetspolicy (Klausul 5.2)
- Risikostyringsmetode (Klausul 6.1.2 og 6.1.3)
- Risikoregister og behandlingsplan (punkt 6.1.3 e)
- Anvendelseserklæring (Klausul 6.1.3 d)
- Retningslinjer og prosesser kreves under vedlegg A hvor kontroller er gjeldende.
Er bevisdokumenter enkle å finne og få tilgang til?
Få alle ansatte og relevante entreprenører mottatt informasjonssikkerhetsutdanning, opplæring og bevisstgjøring? Det er også god praksis å sikre at de som skal intervjues har blitt informert om hva de kan forvente under tilsynet og hvordan de skal reagere. Sørg også for at de enkelt kan få tilgang til dokumenter og bevis som kan bli bedt om av revisor.

Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.

Andrew Bud

Grunnlegger legger~~POS=HEADCOMP, iproov

Bestill demoen din

Vi gjør det enkelt å oppnå ISO 27001

Få et forsprang på 77 %

Vår ISMS kommer forhåndskonfigurert med verktøy, rammeverk og dokumentasjon du kan adoptere, tilpasse eller legge til. Enkel.

Din vei til suksess

Vår sikrede resultatmetode er utviklet for å få deg sertifisert på ditt første forsøk. 100 % suksessrate.

Se og lær

Glem tidkrevende og kostbar trening. Vår virtuelle coach-videoserie er tilgjengelig 24/7 for å veilede deg gjennom.

Bestill demoen din

Hvem gjennomfører en ISO 27001-revisjon?

Alle revisjoner mot ISO 27001 skal utføres av kompetente og objektive revisorer.

For å demonstrere kompetanse for ISO 27001-revisjon kreves det vanligvis at revisor har påviselig kunnskap om standarden og hvordan revisjon skal gjennomføres. Dette kan være gjennom å delta på et ISO 27001 Lead Auditor-kurs eller gjennom å ha en annen anerkjent revisjonskvalifikasjon og deretter beviselig kunnskap om standarden. Det kan være mulig å vise at en revisor er kompetent uten formell opplæring. Imidlertid er dette sannsynligvis en vanskeligere samtale med sertifiseringsorganet ditt.

For å demonstrere objektivitet må det vises at revisor ikke reviderer sitt eget arbeid og at de ikke er unødig påvirket via sine rapporteringslinjer.

Det kan være mer praktisk for mindre organisasjoner eller de som ønsker tydeligere objektivitet å få inn en innleid revisor.

Sertifiseringsorganer vil ha sjekket sine revisorer for kompetanse og bør være forberedt på å demonstrere det for deg på forespørsel.

Hvordan gjør ISMS.online revisjonsprosessen mer effektiv?

ISMS.online inkluderer et forhåndsbygd revisjonsprogramprosjekt som dekker både interne og eksterne revisjoner og kan også inkludere revisjoner mot GDPR hvis du har valgt dette alternativet.

Det forhåndsbygde revisjonsprogrammet inkluderer:

Aktiviteter for 2 anbefalte revisjoner før sertifisering
En plan for internrevisjon for den første 3-årige sertifiseringsperioden
Plassholdere for din eksterne sertifisering og periodiske revisjoner

I tillegg til å tilby revisjonsprogramprosjektet, betyr muligheten for raskt å koble til andre arbeidsområder innenfor alt-i-ett-sted ISMS.online-plattformen å koble revisjonsfunn til kontroller, korrigerende handlinger og forbedringer, og til og med risikoer gjøres enkelt og tilgjengelig. Dette vil gjøre deg i stand til enkelt å demonstrere for din eksterne revisor den samlede håndteringen av identifiserte funn.