Hoe om 'n interne ouditverslag vir ISO 27001 te skryf

'n Interne ouditverslagstruktuur vir ISO 27001 is iets wat jy moet weet.

Die skep van 'n doeltreffende en professionele interne ouditverslag is noodsaaklik vir enige suksesvolle ISO 27001-implementering.

'n Interne ouditverslag van goeie gehalte is 'n momentopname van die algehele implementeringsproses en teken die status van jou ISO 27001-implementering in die sertifiseringsvoorloop aan, saam met besonderhede van areas wat nog aangespreek moet word.

As deel van die bestuurstelselvereistes, Klousule 9.2 gee besonderhede oor wat gedoen moet word met betrekking tot interne oudits. Dit sluit 'n vereiste in om gedokumenteerde bewyse van die geheel te behou ouditproses en die ouditresultate, en dit word by wyse van 'n ouditverslag gedoen.

cta beeld

Kyk hoe eenvoudig dit is met ISMS.online

Bespreek jou demo

Wat is 'n ISO 27001 interne oudit?

'n ISO 27001 interne oudit behels dat 'n bekwame en objektiewe ouditeur die ISBS of elemente daarvan hersien en toets dat dit voldoen aan die vereistes van die standaard, die organisasie se eie inligtingsvereistes en doelwitte vir die ISMS en dat die beleide, prosesse en ander beheermaatreëls is effektief en doeltreffend.

Bykomend tot die algehele voldoening en doeltreffendheid van die ISMS, aangesien ISO 27001 ontwerp is om 'n organisasie in staat te stel om sy inligtingsekuriteitsrisiko's tot 'n aanvaarbare vlak te bestuur, sal dit nodig wees om seker te maak dat die geïmplementeerde beheermaatreëls wel risiko verminder tot 'n punt waar die risiko-eienaar(s) gelukkig is om die risiko's te verdra. oorblywende risiko.

Interne oudit vir ISO 27001-vereiste 9.2

Klousule 9.2 interne ouditmandate:

Die organisasie sal interne oudits met beplande tussenposes uitvoer om inligting te verskaf oor of die inligtingsekuriteitbestuurstelsel:

  • Voldoen aan die organisasie se eie vereistes vir sy inligting-sekuriteit bestuurstelsel en die vereistes van hierdie internasionale standaard.
  • Word effektief geïmplementeer en onderhou.

Die organisasie moet:

  • Beplan, vestig, implementeer en onderhou 'n ouditprogram(me), insluitend die frekwensie, metodes, verantwoordelikhede, beplanningsvereistes en verslagdoening. Die ouditprogram(me) sal die belangrikheid van die betrokke prosesse en die resultate van vorige oudits in ag neem.
  • Definieer die ouditkriteria en omvang vir elke oudit.
  • Kies ouditeure en voer oudits uit wat objektiwiteit en die onpartydigheid van die ouditproses verseker.
  • Verseker dat die resultate van die oudits aan relevante bestuur gerapporteer word en behou word gedokumenteerde inligting as bewys van die ouditprogram(me) en die ouditresultate.

Die doel van 'n interne oudit is om te bevestig dat die organisasie alle redelike voorsorgmaatreëls getref het om te verseker dat sy inligtingsekuriteitbestuurstelsel (ISMS) aan die standaarde van ISO 27001 en die organisasie se eie ISMS-standaarde voldoen.

Interne oudits moet deur 'n onafhanklike en onbevooroordeelde ouditeur gedoen word om dit te bewerkstellig, volgens die Standard.

Hoe werk ISO 27001 interne oudits?

Interne oudits vir ISO 27001 werk deur 'n ouditprogram te volg wat die oudits identifiseer wat uitgevoer moet word voor sertifisering en gedurende elke sertifiseringsperiode.

Hulle vereis die keuse van 'n bekwaam en objektief ouditeur om elke interne oudit te onderneem om voldoening aan die vereistes van die standaard, die organisasie se eie inligtingsvereistes en -doelwitte vir die ISBS te verifieer, en dat die beleide, prosesse en ander beheermaatreëls doeltreffend en doeltreffend is.

Aktiwiteite ingesluit by 'n interne oudit:

  • Dokumentasie hersiening
  • Bewyssteekproefneming
  • Onderhoud voer personeel met sleutel inligtingsekuriteitsverantwoordelikhede
  • Onderhoude voer met ander personeel (en moontlik kontrakteurs)
  • Evaluering van die bevindings
  • Die skryf van die ouditverslag

Hoe gereeld moet ek 'n oudit doen

Alhoewel dit nie binne ISO 27001 self duidelik is oor hoe gereeld interne oudits uitgevoer moet word nie, word daar verwag dat die ouditprogram dieselfde vereistes volg as dié wat aan die sertifiseringsliggame gestel word vir die uitvoering van hul oudits ooreenkomstig ISO / IEC 27006: 2015 – Vereistes vir liggame wat oudit en sertifisering van ISMS'e verskaf.

Binne ISO 27006 vereiste 9.1.5.2e verklaar dat die ouditprogram “verteenwoordige monsters van die omvang van die ISMS-sertifisering binne die drie jaar tydperk dek.”

Daarom moet jy optree interne oudits wat die hele standaard dek, ten minste oor die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifikate).

Jy kan dit as 'n enkele oudit doen, maar dit word meer algemeen in kleiner oudits oor die 3-jaar tydperk opgedeel. Dit is ook belangrik om sommige areas meer gereeld te oudit as die risikovlakke hoog is of die area onderhewig is aan gereelde veranderinge.

Dit word aanbeveel dat u oudit die bestuurstelsel vereistes (klousule 4-10) op 'n jaarlikse basis en dit kan gekoppel word aan jou ISMS bestuursoorsig wat ook jaarliks ​​uitgevoer moet word. Sekere organisasies met gesofistikeerde en goed gevestigde bestuurstelsels wil dalk oudits op 'n driejaarsiklus eerder as jaarliks ​​reël.

Elke onderneming moet egter sy prosesse, bestuurstelsels en ander pertinente kriteria noukeurig ondersoek om 'n sinvolle rooster te ontwikkel wat aan hul eise voldoen en vir hulle toepaslik is. By ISMS.online is ons wolk-gebaseerde platform ontwerp om te help met die ouditproses.

Ons voorsien 'n voorafgeboude ouditprogram-werkarea wat die volgende insluit:

  • Aktiwiteite vir 2 aanbevole oudits voor sertifisering
  • 'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
  • Plekhouers vir jou eksterne sertifisering en periodieke oudits

Versoek vandag 'n demonstrasie om te sien hoe ons oplossing kan jou organisasie help om voldoening aan ISO 27001 te demonstreer.

Almal wat ons gehelp het om vir ISO 27001 te gaan het die eerste keer geslaag. Jy kon ook.
Bespreek jou demo

Hoekom moet ek 'n verslag vir 'n interne oudit skep?

Die standaard vereis dat jy die ouditresultate dokumenteer – Klousule 9.2 van ISO 27001 sluit die vereiste in om “gedokumenteerde inligting te behou as bewys van die … ouditresultate”. Dit word binne 'n ouditverslag gedoen.

Wat moet gedoen word wanneer die verslag voorberei word

Vir elke oudit sal jy moet beplan:

  • Wat die oudit gaan dek – watter afdeling(s) van die standaard, liggings, besigheidsprosesse ens
  • Wie die ouditeur sal wees – moet bekwaam en objektief wees.
  • Wanneer die oudit uitgevoer sal word – moet nie 'n beduidende, nadelige impak op die werking van die organisasie hê nie.
  • Die metode(s) van oudit – dokumentasie-oorsig, steekproefneming, onderhoude ens
  • Wie sal by die oudit betrokke moet wees?

Dokumentasie hersiening

Elke oudit sal die hersiening van relevante dokumentasie vereis, insluitend beleide, prosedures, standaarde en leiding wat relevant is tot die gebied(e) van die standaard wat geoudit word. Dit is goeie praktyk om diegene wat geoudit word in kennis te stel van die areas wat gedek moet word sodat hulle maklike en tydige toegang tot die relevante dokumentasie kan verseker

In ISMS.online word dit maklik gemaak deur óf die dokumentasie binne die stelsel te hê óf om dit binne die relevante afdeling van die standaard te koppel.

Bewyssteekproefneming en onderhoude

Die meeste oudits sal die steekproefneming van bewyse in 'n mindere of meerdere mate vereis en dit kan insluit onderhoudvoering met relevante sleutelpersoneel, eindgebruikers en soms selfs tydelike personeel en kontrakteurs.

Bronne vir steekproefneming kan byvoorbeeld insluit:

  • Onderhoude met werknemers en ander persone.
  • Waarnemings van aktiwiteite en die omliggende werksomgewing en toestande.
  • Dokumente, soos beleide, doelwitte, planne, prosedures, standaarde, instruksies, lisensies en permitte, spesifikasies, tekeninge, kontrakte en bestellings.
  • Rekords, soos inspeksierekords, notules van vergaderings, ouditverslae, rekords van moniteringsprogram en die resultate van metings.
  • Data-opsommings, ontledings en prestasie-aanwysers.
  • Inligting oor die geouditeerde se steekproefnemingsplanne en oor die prosedures vir die beheer van steekproef- en metingsprosesse.
  • Verslae van ander bronne, bv. kliënteterugvoer, eksterne opnames en metings, ander relevant inligting van eksterne partye en verskaffer graderings.
  • Databasisse en webwerwe.
  • Simulasie en modellering.

Analise

Sodra die data-insameling vir die oudit gedoen is, sal dit vir die ouditeur nodig wees om die bevindinge te assesseer en te ontleed om te bepaal of daar enige teenstrydighede of geleenthede vir verbetering is.

Bevindinge word gewoonlik as een van die volgende gekategoriseer:

  • Groot nie-konformiteit
  • Geringe afwyking
  • Geleentheid vir verbetering

Sommige sertifiseringsliggame gebruik ook:

  • Waarneming – dit is waar daar vroeë aanduidings is dat 'n geringe afwyking kan bestaan ​​of kan ontwikkel as daar nie opgetree word nie.
  • Positiewe punt – toegeken óf waar 'n organisasie verder gegaan het as erkende goeie praktyke óf waar daar aansienlike verbetering op 'n gebied was sedert die vorige oudit.

verslag

Nadat die bevindinge ontleed is, kan die ouditverslag nou voorberei word en aan die persoon of span verantwoordelik vir die ISMS voorgelê word vir hersiening en opvolg.

Hoe word 'n interne ouditverslag opgestel?

Die ouditverslag moet as gedokumenteerde inligting voorberei word, maar dit beteken nie dat dit 'n aparte Word- of PDF-dokument hoef te wees nie. Binne die ISMS.aanlyn platform ons probeer die vermyding van die skep van sulke dokumente aanmoedig, maar verskaf eerder 'n werkarea waarin die verslag direk gedokumenteer kan word en hierdie area bied bykomende funksionaliteit insluitend die vermoë om maklik met ander werkareas, beleide, kontroles, risiko's, regstellende aksie te skakel. en verbetering "kaartjies", en meer.

Skep 'n uitvoerende opsomming

Die uitvoerende opsomming is nuttig sodat senior bestuur vinnig en maklik 'n oorsig van die bevindings kan sien, insluitend enige moontlike kritieke kwessies, neigings en geleenthede vir verbetering. Dit kan dan maklik in die ISMS-bestuursoorsig in ooreenstemming met Klousule 9.3 gekoppel word.

Dit sal gewoonlik die volgende insluit:

  • 'n Algemene oorsig van die werking van die areas van die ISBS wat in die oudit gedek word.
  • 'n Numeriese opsomming van die kategorieë bevindinge.
  • Die uitlig van enige dringende/kritieke bevindings.
  • 'n Kort beskrywing van die volgende stappe wat geneem moet word om enige bevindinge aan te spreek.

Stel terminologie wat gebruik word bekend

Om te verseker dat daar 'n gemeenskaplike begrip van die bevindinge van die verslag is, is dit nodig om die definisies van een of ander terminologie wat gebruik word wat óf spesifiek vir die organisasie, die ouditproses óf die standaard is, in te sluit. Onthou, nie almal wat dalk die verslag moet lees, assesseer en verstaan, sal noodwendig al die terminologie wat gebruik word, verstaan ​​nie.

Beskryf ouditplan

Dit sal insluit:

  • Die omvang van die oudit – gebied(e) wat gedek moet word, liggings, personeel, besigheidsprosesse, ens.
  • Die naam van die ouditeur(e)
  • Die datums, tye en plekke van die oudit

Beskryf feite wat gevind is

Vir elke afdeling van die oudit moet die bevindinge gedokumenteer word, insluitend notas van enige bewysmonsters wat geneem is.*

Dit is goeie praktyk om voldoening en positiewe punte aan te teken, asook om enige afwykings of geleenthede vir verbetering te dokumenteer. Die bevindinge moet die feite wat relevant gevind is vir die ISMS en die standaard aanteken en moet nie opinies of vermoedens buite redelike ekstrapolasie insluit nie.

 

*Let wel – indien bewysmonsters persoonlik identifiseerbare inligting bevat, is dit gebruiklik om die data te skuilnaam of anoniem te maak in ooreenstemming met die vereistes van privaatheidswetgewing soos bv. BBP.

 

Dokumenteer afwykings en geleenthede vir verbetering

Waar afwykings en geleenthede vir verbetering geïdentifiseer word, moet dit duidelik gedokumenteer word sodat regstellende aksies en verbeteringsitems aangeteken en bestuur kan word deur die organisasie se erkende prosesse soos gedokumenteer in ooreenstemming met Klousule 10.1 Nie-konformiteit en regstellende aksie; en 10.2 Deurlopende verbetering.

Beskryf aanbevelings

Aangesien dit 'n interne ouditverslag is, is dit toelaatbaar vir 'n ouditeur om aanbevelings te maak oor hoe bevindings aangespreek kan word, maar uiteindelik moet die besluite wat verband hou met regstellende aksies en verbeterings geneem word deur die relevante individue of spanne verantwoordelik vir die ISMS en inligtingsekuriteit .

Hoe ISMS.online verslaggewing maklik maak

Die ISMS.aanlyn platform ontslaan die behoefte om Word-dokumente, PDF's en sigblaaie te skep deur 'n alles-in-een-plek oplossing te verskaf om alle aspekte van die ISMS maklik te dokumenteer en te koppel, insluitend die dokumentasie van ouditverslae.

ISMS.online sluit 'n voorafgeboude ouditprogramprojek in wat beide interne en eksterne oudits dek.

Die voorafgeboude ouditprogram sluit in:

  • Aktiwiteite vir 2 aanbevole oudits voor sertifisering
  • 'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
  • Plekhouers vir jou eksterne sertifisering en periodieke oudits

Elke interne ouditaktiwiteit bevat 'n sjabloon vir 'n gekombineerde ouditplan en verslag.

Voordat die oudit uitgevoer word, dien die sjabloon as die ouditplan – insluitend watter areas geoudit moet word en verskaf aansporings vir aantekening wanneer die oudit uitgevoer sal word en deur wie.

Tydens of na die uitvoering van die oudit kan die ouditeur notas direk in die sjabloon ouditaktiwiteit skryf.

Behalwe om bloot die ouditaktiwiteitsjablone te verskaf, bied ISMS.online die vermoë om vinnig na ander werkareas binne die platform te skakel, wat beteken dat die koppeling van ouditbevindings aan kontroles, regstellende aksies en verbeterings, en selfs aan risiko's maklik en toeganklik gemaak word. Dit sal jou in staat stel om die gesamentlike bestuur van geïdentifiseerde bevindings maklik aan jou eksterne ouditeur te demonstreer.

Het u hulp nodig met u ISO 27001-oudit?

Begin jy binnekort 'n ISO 27001-oudit en voel jy gestres daaroor? Dit is natuurlik om so te voel, aangesien dit 'n baie ernstige stap is om 'n ISO 27001-oudit te onderneem.

Die kenners hier by ISMS.online kan jou die beste moontlike diens bied. Ons kan jou bestuurstelsel oudit en verslag ondersteun, jou raad gee oor inligtingsekuriteit en risikoversagtingstrategieë, opleiding aan jou personeel verskaf of jou help met 'n gapingsontleding van jou bestaande beheermaatreëls.

Versoek vandag 'n demo.

Gereed om aksie te neem?

Bespreek jou demo

cta beeld

 

« ISO 27001 – Bylae A.9: Toegangsbeheer

Hoe om voor te berei vir 'n interne ISO 27001 oudit – Die geouditeerde se perspektief »

Laas geredigeer: 20 Junie 2022
skrywer

Mark Sharron

Mark werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001 en voldoening.

Bekyk alle plasings deur Mark Sharron

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind