Hoe om algemene ISO 27001 interne ouditfoute te vermy
INHOUDSOPGAWE:
- 1) Wat is 'n ISO 27001 interne oudit?
- 2) Hoekom is interne oudits belangrik?
- 3) Wat sê die ISO-standaard moet ons doen?
- 4) Wat sê die ISO-standaard NIE ons moet doen nie?
- 5) Wie voer 'n ISO 27001 interne oudit uit?
- 6) Waarna soek ouditeure?
- 7) Interne oudits is nie subjektief nie
- 8) Waarom ISMS.online kies om jou te help?
- 9) «Wat is die verskillende tipes ISO 27001 interne oudits?
- 10) Wat is die ISO 27001-ouditproses? »
Interne oudits van die bestuurstelsel is 'n verpligte vereiste van ISO 27001 en alle ander hoofstroom ISO-standaarde. Die vereistes is baie minimaal, maar as dit objektief ondersoek word, is die detail daarvan baie onvoorskriftelik. Dit beteken dat daar aansienlike ruimte is om die ouditprosesse te stroomlyn en werklike besigheidsvoordele uit jou interne oudits te verkry. Ongelukkig, soms histories, die oudits word gesien as 'n nie-waardetoevoegende pyn; ons sal egter verduidelik hoekom dit kan gebeur en hoe om dit te vermy met behulp van ons interne ouditkontrolelys.
Algemene fout: Nie omhels die interne oudits as 'n besigheidsverbeteringsinstrument
Om af en toe 'n objektiewe siening van jou prosesse en stelsels te neem, kan baie onontginde waarde vrystel.
Wat is 'n ISO 27001 interne oudit?
"Oudit" is 'n woord wat niemand daarvan hou om te hoor nie - dit het histories en oor die algemeen negatiewe en beswarende konnotasies. Hierdie is hoofsaaklik verouderd; egter – verligte organisasies sien oudits as 'n verbeteringsinstrument vir hul bestuurstelsels en proses. In die geval van 'n ISO 27001 Inligtingsekuriteitsbestuurstelsel (ISMS), is hierdie oudits gefokus op inligtingsekuriteitverwante reëlings.
Algemene fout: Die uitvoer van 'n sertifiseringsoudit op 'n offisiële en oorformele wyse
Die 'toon' van die interne ouditverslag kan (en ons dink moet) deur die ouditeur gedryf word om vriendelik en samewerkend te wees. Solank die relevante bevindinge aan die einde van die ouditproses na vore kom, dan is dit 'n suksesvolle uitkoms.
Die ISMS bestaan uit die nodige prosesse, prosedures, protokolle en mense om sy inligting en inligtingstelsels teen die ISO 27001-standaardraamwerk te beskerm. 'n Interne ISO 27001-oudit is die proses om te bepaal of jou ISMS werk soos ontwerp en op soek is na verbeterings (soos per klousule 10.2 - treffend getiteld "voortdurende verbetering"). Feitlik 'n interne ISO 27001 oudit help organisasies om te verseker dat hulle aan hul selfvoorgeskrewe vereistes (ook in die ISBS gedefinieer) en die standaardvereistes voldoen.
Algemene fout: Om in jou ISMS te definieer dat iets gebeur – wanneer dit nie in werklikheid gebeur nie
Dit is onvergeeflik soos jy jou definieer bestuurstelsel wat by jou besigheid pas. Jy het dus 'n ouditlokval in jou bestuurstelsel ingebou. Binne klousule 9.2 bepaal die bestuursvereistes van ISO 27001 dat die organisasie interne oudits met “beplande intervalle” moet uitvoer – hoe jy ook al kies om hierdie intervalle te definieer.
Algemene fout: Om nie toepaslike "beplande intervalle" in die ouditprogram te definieer nie
Hierdie definisie is ontwerp om buigsaamheid te gee in die bepaling van jou program, maar dit is dikwels die geval dat die toepaslike 'sweet-spot nie gevind word nie, wat lei tot onder- of oorouditering.
Hoekom is interne oudits belangrik?
Oudits verseker die prestasie van 'n ISBS teen die doelwitte wat daarvoor gestel is. Sonder hierdie versekering is daar geen werklike waarborg van hoe goed dit sal lewer in die beskerming van jou maatskappy se inligting nie. Interne oudits is noodsaaklik omdat dit organisasies help om swakhede in hul te identifiseer en reg te stel inligtingsekuriteitbestuurstelsel. Die ouditkriteria/-uitkomste word dan op verskeie maniere gebruik:
- Om leierskap/bestuur van die prestasie van die ISBS te beoordeel
- om verbeter die ISMS
- Om te soek na sinergieë in terme van potensiële kwessies en regstellings
- Om dele van die stelsels en prosesse te herstel wat nie werk om te ontwerp nie
Algemene fout: Bestuur nie vinnig genoeg waarsku wanneer optrede nodig is nie
Senior bestuur mag nie direk veranderinge aan jou ISMS implementeer terwyl 'n hersiening voortgaan nie. Tog moet hulle betrokke wees, bewus van kwessies, dryf remedies en verbeterings.
Wat sê die ISO-standaard moet ons doen?
Klousule 9.2 van ISO 27001 vereis slegs 'n paar dinge van jou interne oudits
- Dat hulle “beplan” is – maw 'n program van oudits word gedefinieer en gedokumenteer
- Die program van oudits is dinamies en gepas vir jou organisasie
- Ouditresultate word gedokumenteer
- Bestuur word toepaslik beoordeel oor die oudituitkomste
Die proses behoort dus nie te veeleisend te wees nie, en die algemene benadering vereis die toepassing van gesonde verstand. Byvoorbeeld, dele van jou besigheid wat swak oudituitkomste in die verlede gehad het, sal waarskynlik meer in diepte geoudit word, dalk meer gereeld en moontlik in die toekoms deur jou mees senior ouditeur. Omgekeerd kan die ouditdiepte, frekwensie, of albei, toepaslik verminder word in die vooruitprogram vir daardie areas wat deur vorige oudits gevlieg het.
Die meeste organisasies produseer 'n ouditprogram vir die onderneming vir die komende jaar, soms langer, sê vir die drie-jaar lewensiklus van hul sertifisering.
Algemene fout: Om nie by die ouditprogram te hou nie
Om agter te raak met jou interne oudits is een van die maklikste maniere om jou ISMS-sertifisering in gevaar. As dit gebeur, spreek dit so vinnig as moontlik aan is altyd die beste raad.
Algemene fout: Onder- of Ooroudit van dele van jou bestuurstelsel
Die frekwensie moet 'n bietjie nagedink word, en 'n balans is gevind. Die ISO-standaard vereis inagneming van "die belangrikheid van prosesse", wat beteken dat sommige dele van jou ISMS meer geoudit sal word as ander, soos toepaslik.
Algemene fout: Ontwrigting van normale sakebedrywighede met 'n onvanpaste ouditprogram
As jou besigheid besige tydperke het, dan sal dit dom wees om te veel ouditering op hierdie tydstip te skeduleer. Net so beëindig baie organisasies bedrywighede met byvoorbeeld Paasfees of Kersfees, en dit kan, of dalk nie, 'n goeie tyd wees om interne oudits te doen. Jy besluit.
Wat sê die ISO-standaard NIE ons moet doen nie?
Dit is fassinerend om op te let wat ISO klousule 9.2 sê NIE word vereis nie. Wees baie duidelik, as dit nie 'n absolute is nie vereiste in die ISO-standaard (soek die woord “sal”), dan kan jy, met gepaste oorweging, jou reëlings in jou ISMS definieer om by jou organisasie te pas. As voorbeeld is daar geen vereiste vir onbeplande of ewekansige interne oudits in die ISO-standaard nie. Jy kan, as jy kies om sommige hiervan te doen.
Nog 'n voorbeeld is die diepte en duur van jou interne oudit. Jy kan, in teorie, 'n oudit van 'n proses in 'n kwessie van minute uitvoer, of dit kan ure lank uitrek. Hoe dit ook al sy, aangesien dit nie 'n vereiste van die standaard is nie, het jy keuses. Ons sal aanbeveel om lang oudits in kleiner dele (sê van 'n uur) op te deel om beide die ouditeur en geouditeerde 'n bietjie dinktyd en 'n kans te gee om te verfris.
Moenie vergeet nie – die meeste interne ouditeure word aangevuur deur tee, koffie, water en baie dikwels koekies en koeke...
Algemene fout: Probeer om jou interne ouditeur te 'koop' of oormatig te beïnvloed
Ouditeure moet onpartydig en objektief bly – geen hoeveelheid koeke en vriendelikheid sal die objektiwiteit van die oudituitkoms beïnvloed nie.
Algemene fout: Belê nie genoeg (of toepaslike) tyd en hulpbronne nie
Om die minimum hoeveelheid ouditering te probeer doen of vlugtige oudits te doen, sal geen waarde vrystel nie en enige verbintenis tot die ISMS demonstreer (wat 'n vereiste van ISO 27001 is).
Algemene fout: Die ouditeur bly hul verwelkoming oor
As 'n interne oudit vir byvoorbeeld een uur beplan word, behoort dit nie meer as daardie uur te neem nie. 'n Oorskryding kan ander beplande besigheidsaktiwiteite ernstig ontwrig met al die negatiewe aspekte wat hierdie scenario sal meebring. Die oplossing is om die onvoltooide stukke wat in die toekoms aangespreek moet word, in die ouditverslag te dokumenteer.
Wie voer 'n ISO 27001 interne oudit uit?
ISO 27001 oudits vereis bekwame (soos per klousule 7.2) en objektiewe ouditeure, wat kennis van die standaard en ondervinding getoon het met die uitvoer van 'n ISO 27001-oudit. Dikwels sal interne ouditeure reeds in jou organisasie werk en sal dus weet hoe jou besigheid werk.
As u objektief hierna kyk, kan dit 'n sterkpunt of 'n swakpunt wees, afhangend van die situasie. 'n Interne ouditeur kan bekwaamheid demonstreer deur 'n ISO 27001 hoofouditeurkursus by te woon of praktiese ondervinding deur hul kennis van die standaard te demonstreer en oudits suksesvol te lewer.
Algemene fout: Uitvoer van interne oudits deur onbevoegde ouditeure te gebruik
Jy kan nie sommer iemand gebruik nie. Jy sal nie die ontvangsdame gebruik om jou kernreaktor te beheer nie. Dieselfde beginsel geld vir jou interne oudits.
Met die hoë koste van opleidingskursusse in gedagte, kan dit verkieslik wees vir 'n ouditeur om hul vlak van bevoegdheid te demonstreer deur praktiese ervaring van die implementering van 'n ISBS. ISMS.online kan help om jou selfvertroue en bekwaamheid in die ouditering van jou ISMS teen ISO 27001 te versterk deur verskeie waardevolle kenmerke soos ons virtuele afrigter. Hierdie kenmerk is 'n "altyd-aan" stel video's, kontrolelyste en gidse, wat fokus op die ouditeur se perspektiewe vir baie klousules en kontroles.
Dit kan meer prakties wees vir kleiner organisasies met beperkte kapasiteit of maatskappye wat groter objektiwiteit soek om 'n eksterne (derdeparty) te gebruik ouditeur om interne oudits uit te voer. Let daarop dat dit heeltemal aanvaarbaar is in terme van ISO-vereistes. Die ouditeur kan 'n konsultant wees, of ISMS.online kan help; hierdie benadering gee onafhanklikheid en kan meer objektiwiteit en die voordele van meer wye ervaring in ander soortgelyke organisasies bied.
Algemene fout: Oudit van jou eie werk
Moet dit nooit doen nie, aangesien onpartydigheid en onafhanklikheid ernstig benadeel word.
Waarna soek ouditeure?
Die doel van 'n ISO-ouditeur is om die doelwit van jou inligtingsekuriteitbestuurstelsel te verstaan en bewyse te verkry om die voldoening aan ISO 27001-standaard te ondersteun. In teenstelling met die algemene opvatting, soek ouditeure na (en moet rapporteer) positiewe en negatiewe uitkomste.
ISO 27001 ouditeure kyk ook na enige leemtes of tekortkominge in jou inligtingsekuriteitstelsel. In wese sal jou ouditeur bewyse soek van die ISO 27001-standaardvereistes regdeur jou besigheid. Jy kan dit demonstreer deur proaktief beleide en beheermaatreëls uit te voer wat die risiko's wat jou maatskappy se inligting in die gesig staar, verminder. Laastens sal enige potensiële verbeterings aan die ISMS wat in samewerking tussen die ouditeur en geouditeerde ooreengekom is, deel vorm van die ouditverslag.
Algemene fout: Hou die oudit aan die gang totdat nie-nakominge gevind word
'n Gebalanseerde oudit sal rapporteer wat gevind word. Indien geen afwykings duidelik is nie, is dit NIE 'n aanduiding van 'n swak oudit nie. Objektiewe (dit wil sê die meerderheid) ouditeure kry nie 'n warm, vaag gevoel wanneer hulle 'n nie-nakoming teen jou ISMS kan vaslê...
Algemene fout: Rapporteer nie voldoening nie
Dit is ewe belangrik vir organisasies om van bewus te wees as nie-nakoming en potensiële verbeterings. Hoekom die tyd en moeite doen om die oudit te beplan en uit te voer, maar nie 'n positiewe uitkoms rapporteer nie?
Interne oudits is nie subjektief nie
As 'n ouditeur wil jy dalk te veel implementerings op jou organisasie se ISMS of algemene areas vir verbetering bekend as geleenthede vir verbetering (OFI) voorstel. Dit is egter noodsaaklik om te onthou dat hoewel daar ruimte vir interpretasie binne die standaard is, aksies buite die standaardvereiste nie verpligtend is nie. Dit beteken jou organisasie se unieke situasie kan sekere voorstelle uit 'n ouditeur se oogpunt oorbodig ag, veral as dit buite die ISO 27001-vereistes is.
Algemene fout: Jy “Slaag” of “Druip” nie 'n oudit nie
Ouditverslae is feitestellings en moet onbeskof en nie emosioneel beskou word nie. Enige gevolglike veranderinge wat aan jou ISMS vereis word, moet bepaal en geïmplementeer word (en, indien nodig, heroudit). Bewyse speel 'n noodsaaklike rol in die bereiking van ISO 27001-sertifisering; klousule 10.1 vereis uitdruklik organisasies om bewyse te behou aangaande nie-konformiteite en aksies wat as gevolg daarvan geneem is. As 'n ouditeur beteken dit dat u bevindinge vir nie-konformiteite gebaseer moet wees op bewyse wat die areas wat verbetering of sistematiese regstelling benodig, duidelik sal uiteensit.
Algemene fout: Gebruik nie feite om oudituitkomste te bepaal nie
ouditeure se menings en oortuigings kan die oudituitkoms negatief laat skeeftrek. Objektiewe en onpartydige oudituitkomste word slegs deur feitelike bewyse en ondervinding bepaal.
Waarom ISMS.online kies om jou te help?
Om vir die eerste keer aan ISO 27001 voldoen of gesertifiseer te word, ons ISMS.online Metode van versekerde resultate (ARM) bied eenvoudige, tyddoeltreffende en praktiese toepassing. ARM sal jou help om te bepaal watter bates, stelsels, mense, liggings, ens. binne die bestek van jou Inligtingsbestuursekuriteitstelsel in lyn is. As gevolg hiervan, sal ARM jou toelaat om te dink oor die risiko's wat hulle in die gesig staar.
Die Neem Aanpas Voeg aan (AAA)-filosofie vir klousule 9.2 verskaf 'n beproefde proses om te volg vir interne oudits. Deur ons vooraf gekonfigureerde ISMS te gebruik, kan jy vinnig en maklik die vereistes van klousule 9.2 bewys. Jy sal ook 'n ouditprogram ontvang vir die uitvoer van interne oudits. Jy kan ons ouditprojek gebruik om die doelwitte en omvang vir elke oudit te stel, dan die bevindinge aan te teken en enige nie-nakominge wat tydens die oudit gevind is, in die platform se Verbeteringsbaan aan te spreek.
Klousule 10.1 dek die nie-konformiteit- en regstellende aksievereiste vir ISO IEC 27001. Jy sal bewyse aan die ouditeur moet verskaf oor hoe jou organisasie nie-konformiteite identifiseer, daarop reageer, evalueer, hersien en dokumenteer. Deur ons ISMS.aanlyn-platform te gebruik, kan jy die Adopt Adapt Add-filosofie gebruik met ons vooraf-voorgestelde beleid vir klousule 10.1. Die ISMS.online platform bied 'n praktiese regstellende aksies en verbeteringsbaan om te demonstreer hoe jou organisasie regstellende aksies en verbeterings maklik bestuur. Jy kan ook regstellende aksies en verbeterings aan ander areas binne die platform koppel, soos beleide, terwyl jy take aan kollegas toewys en sperdatums byvoeg.
Ons ISMS.online platform verskaf ook 'n raamwerk wat organisasies wat van voorneme is om 'n driejaar ouditprogram vir alle kontroles vir hul sertifiseringstydperk te volg, toelaat om dit te doen.
Bewyse word eenvoudig gemaak met ons ISMS.aanlyn platform; jy kan data, beleide, kontroles, prosedures, risiko-evaluerings, risiko's wat geïdentifiseer is, aksies, projekte, verwante dokumentasie en verslae binne die platform opneem, wat 'n maklike assessering vir ouditeure skep.
Ekstra hulp beskikbaar van diensontwikkeling en aflewering (SDD) span
Werknemers wat verantwoordelik is vir die implementering van jou inligtingsekuriteitstelsel kan probleme en navrae oor die standaard hê; dit is waar ons ondersteuningspanne jou deur die proses kan lei. Binne ons organisasie het die Diensontwikkeling en Leweringspan groot ervaring en kundigheid in inligtingsekuriteit. Hulle kan die aanvanklike implementering van jou inligtingsekuriteitbestuurstelsel en leiding oor enige beduidende standaardprobleme ondersteun.
