Hoe om 'n interne ouditverslag vir ISO 27001 te skryf

As deel van die bestuurstelselvereistes, Klousule 9.2 besonderhede wat gedoen moet word met betrekking tot interne oudits. Dit sluit 'n vereiste vir bewaring in gedokumenteerde bewyse van die oudit resultate, en dit word by wyse van 'n ouditverslag gedoen.

Hoe werk ISO 27001 interne oudits?

Interne oudits vir ISO 27001 werk deur 'n ouditprogram te volg wat die oudits identifiseer wat uitgevoer moet word voor sertifisering en gedurende elke sertifiseringsperiode.

Hulle vereis die keuse van 'n bevoegde en objektiewe ouditeur om elke interne oudit te onderneem verifiëring van voldoening aan die vereistes van die standaard, die organisasie se eie inligtingsvereistes en -doelwitte vir die ISMS, en dat die beleide, prosesse en ander beheermaatreëls doeltreffend en doeltreffend is.

Aktiwiteite ingesluit by 'n interne oudit:

• Dokumentasie hersiening
• Bewyssteekproefneming
• Onderhoud voer personeel met sleutel inligtingsekuriteitsverantwoordelikhede
• Onderhoude voer met ander personeel (en moontlik kontrakteurs)
• Evaluering van die bevindings
• Die skryf van die ouditverslag.

Hoe gereeld moet ek 'n oudit doen?

Alhoewel dit nie binne ISO 27001 self duidelik is oor hoe gereeld jy interne oudits moet uitvoer nie. Daar word verwag dat die ouditprogram dieselfde vereistes volg as dié wat aan die sertifiseringsliggame gestel word vir die uitvoering van hul oudits volgens ISO/IEC 27006:2015 – Vereistes vir liggame wat oudit en sertifisering van ISBS'e verskaf.

Binne ISO 27006 vereiste 9.1.5.2 e, verklaar dat die ouditprogram “verteenwoordigende monsters van die omvang van die ISMS-sertifisering binne die drie jaar tydperk dek”.

Daarom moet u interne oudits uitvoer wat die hele standaard dek, ten minste oor die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifikate).

Jy kan dit as 'n enkele oudit doen, maar dit word meer algemeen in kleiner oudits oor die 3-jaar tydperk opgedeel.

Dit is ook belangrik om sommige areas meer gereeld te oudit as die risikovlakke hoog is of die area onderhewig is aan gereelde veranderinge.

Dit word aanbeveel dat u oudit die bestuurstelsel vereistes (klousule 4-10) jaarliks. Dit kan gekoppel word aan jou ISMS-bestuursoorsig, wat ook jaarliks ​​uitgevoer moet word.

Binne ISMS.online bied ons 'n voorafgeboude ouditprogram-werkarea wat insluit:

• Aktiwiteite vir 2 aanbevole oudits voor sertifisering
• 'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
• Plekhouers vir jou eksterne sertifisering en periodieke oudits

Hoekom moet ek 'n verslag vir 'n interne oudit skep?

Die standaard vereis dat jy die ouditresultate dokumenteer – Klousule 9.2 van ISO 27001 sluit die vereiste in om “gedokumenteerde inligting te behou as bewys van die … ouditresultate”.

Dit word binne 'n ouditverslag gedoen.

Wat moet gedoen word wanneer die verslag voorberei word?

Natuurlik, voordat jy die ouditverslag kan dokumenteer, moet jy die oudit beplan en uitvoer. U kan dan die bevindinge in die verslag dokumenteer.

Begin met jou ISO 27001 ouditplan

Vir elke oudit sal jy moet beplan:

• Wat die oudit gaan dek – watter afdeling(s) van die standaard, liggings, besigheidsprosesse ens
• Wie die ouditeur sal wees – moet bekwaam en objektief wees.
• Wanneer die oudit uitgevoer word, moet dit nie 'n beduidende, nadelige impak op die organisasie se werking hê nie.
• Die metode(s) van oudit – dokumentasie-oorsig, steekproefneming, onderhoude ens
• Wie sal by die oudit betrokke moet wees?

Dokumentasie hersiening

Elke oudit sal die hersiening van relevante dokumentasie vereis, insluitend beleide, prosedures, standaarde en leiding wat relevant is tot die area(s) van die standaard wat geoudit word. Dit is goeie praktyk om diegene wat geoudit word in kennis te stel van die areas wat gedek moet word om maklike en tydige toegang tot die relevante dokumentasie te verseker.

In ISMS.online word dit maklik gemaak deur óf die dokumentasie binne die stelsel te hê óf dit binne die standaard se relevante afdeling te koppel.

Bewyssteekproefneming en onderhoude

Die meeste oudits sal die steekproefneming van bewyse in 'n mindere of meerdere mate vereis. Dit kan insluit onderhoudvoering met relevante sleutelpersoneel, eindgebruikers en soms selfs tydelike personeel en kontrakteurs.

Bronne vir steekproefneming kan byvoorbeeld insluit:

• Onderhoude met werknemers en ander persone
• Waarnemings van aktiwiteite en die omliggende werksomgewing en toestande
• Dokumente, soos beleide, doelwitte, planne, prosedures, standaarde, instruksies, lisensies en permitte, spesifikasies, tekeninge, kontrakte en bestellings
• Rekords, soos inspeksierekords, notules van vergaderings, ouditverslae, rekords van die moniteringsprogram en die resultate van metings
• Data-opsommings, ontledings en prestasie-aanwysers
• Inligting oor die geouditeerde se steekproefnemingsplanne en die prosedures vir die beheer van steekproef- en metingsprosesse
• Verslae van ander bronne, bv. klantterugvoer, eksterne opnames en metings, addisioneel relevant inligting van eksterne partye en verskaffer ratings
• Databasisse en webwerwe
• Simulasie en modellering

Analise

Sodra die data-insameling vir die oudit gedoen is, sal dit vir die ouditeur nodig wees om die bevindinge te assesseer en te ontleed om enige afwykings of geleenthede vir verbetering te bepaal.

Bevindinge word gewoonlik as een van die volgende gekategoriseer:

• Groot nie-konformiteit
• Geringe afwyking
• Geleentheid vir verbetering

Sommige sertifiseringsliggame gebruik ook:

• Waarneming – waar daar vroeë aanduidings is, kan 'n geringe afwyking bestaan ​​of kan ontwikkel as geen aksie geneem word nie.
• Positiewe punt – toegeken óf waar 'n organisasie verder gegaan het as erkende goeie praktyke óf waar daar aansienlike verbetering op 'n gebied was sedert die vorige oudit.

verslag

Nadat die bevindinge ontleed is, kan die ouditverslag nou voorberei en aan die persoon of span voorgelê word verantwoordelik vir die ISMS vir hersiening en opvolg.

Hoe word 'n interne ouditverslag opgestel?

Die ouditverslag moet voorberei word as gedokumenteerde inligting, maar dit beteken nie dat dit 'n aparte Word- of PDF-dokument hoef te wees nie. Binne die ISMS.aanlyn platform, probeer ons die vermyding van die skep van sulke dokumente aanmoedig, maar verskaf eerder 'n werkarea waarin die verslag direk gedokumenteer kan word. Hierdie area bied bykomende funksionaliteit, insluitend die vermoë om maklik te koppel aan ander werkareas, beleide, kontroles, risiko's, regstellende aksie en verbetering "kaartjies", en meer.

Skep 'n uitvoerende opsomming

Die uitvoerende opsomming is nuttig sodat senior bestuur vinnig en maklik 'n oorsig van die bevindings kan sien, insluitend enige moontlike kritieke kwessies, neigings en geleenthede vir verbetering. Dit kan dan maklik gekoppel word aan die ISMS-bestuursoorsig na aanleiding van Klousule 9.3.

Dit sal gewoonlik die volgende insluit:

• 'n Algemene oorsig van die werking van die areas van die ISBS wat in die oudit gedek word.
• 'n Numeriese opsomming van die kategorieë bevindinge.
• Die uitlig van enige dringende/kritieke bevindings.
• 'n Kort beskrywing van die volgende stappe wat geneem moet word om enige bevindinge aan te spreek.

Stel terminologie wat gebruik word bekend

Om 'n gemeenskaplike begrip van die verslag se bevindinge te verseker, is dit nodig om die definisies van een of ander terminologie wat gebruik word wat óf spesifiek vir die organisasie, die ouditproses óf die standaard is, in te sluit. Onthou, nie almal wat dalk die verslag moet lees, assesseer en verstaan, sal noodwendig al die terminologie wat gebruik word, verstaan ​​nie.

Beskryf die ouditplan

Dit sal insluit:

• Die omvang van die oudit – gebied(e) wat gedek moet word, liggings, personeel, besigheidsprosesse, ens
• Die naam van die ouditeur(e)
• Die datums, tye en plekke van die oudit

Beskryf feite wat gevind is

Vir elke afdeling van die oudit moet jy die bevindinge dokumenteer, insluitend notas van enige bewysmonsters wat geneem is.*

Dit is goeie praktyk om voldoening en positiewe punte aan te teken en enige afwykings of geleenthede vir verbetering te dokumenteer.

Die bevindinge moet die feite wat relevant gevind is vir die ISMS en die standaard aanteken en moet nie opinies of vermoedens buite redelike ekstrapolasie insluit nie.

*Let wel – indien bewysbare monsters persoonlik identifiseerbare inligting bevat, is dit gewone praktyk om die data te pseudonimiseer of anoniem te maak in ooreenstemming met privaatheidswetgewingsvereistes soos GDPR.

Dokumenteer afwykings en geleenthede vir verbetering

Waar afwykings en geleenthede vir verbetering geïdentifiseer word, moet dit duidelik gedokumenteer word sodat regstellende aksies en verbeteringsitems aangeteken en bestuur kan word deur die organisasie se erkende prosesse soos gedokumenteer in ooreenstemming met Klousule 10.1 Nie-konformiteit en regstellende aksie; en 10.2 Deurlopende verbeterings.

Beskryf aanbevelings

Aangesien dit 'n interne ouditverslag is, is dit toelaatbaar vir 'n ouditeur om aanbevelings te maak oor hoe 'n organisasie bevindings kan aanspreek. Uiteindelik moet die besluite met betrekking tot regstellende aksies en verbeterings geneem word deur die relevante individue of spanne wat verantwoordelik is vir die ISMS en inligtingsekuriteit.