Hoe om 'n interne ouditverslag vir ISO 27001 te skryf

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

besigheid, bemarking, span, bespreking, korporasie, konsep

business,marketing,team,discussion,corporate,concept

As deel van die bestuurstelselvereistes, Klousule 9.2 besonderhede wat gedoen moet word met betrekking tot interne oudits. Dit sluit 'n vereiste vir bewaring in gedokumenteerde bewyse van die oudit resultate, en dit word by wyse van 'n ouditverslag gedoen.

Wat is 'n ISO 27001 interne oudit?

An ISO 27001 interne oudit behels 'n bevoegde en objektiewe ouditeur wat die hersiening van die ISMS of elemente daarvan en toets dat:

Die vereistes van die standaard nagekom,
Die organisasie se eie inligtingsvereistes en doelwitte vir die ISMS nagekom,
Die beleide, prosesse en ander beheermaatreëls is effektief en doeltreffend.

Benewens die algehele nakoming en doeltreffendheid van die ISMS, as ISO 27001 is ontwerp om 'n organisasie in staat te stel om sy inligtingsekuriteit te bestuur risiko's tot 'n aanvaarbare vlak sal dit nodig wees om te kontroleer dat die geïmplementeerde beheermaatreëls wel risiko verminder tot 'n punt waar die risiko-eienaar(s) gelukkig is om die oorblywende risiko te duld.

Interne oudit vir ISO 27001-vereiste 9.2

Klousule 9.2 Interne ouditmandate:

“Die organisasie sal interne oudits met beplande tussenposes uitvoer om inligting te verskaf oor of die inligtingsekuriteitbestuurstelsel:

a) voldoen aan

die organisasie se eie vereistes vir sy inligtingsekuriteitbestuurstelsel; en
die vereistes van hierdie Internasionale Standaard;

b) effektief geïmplementeer en in stand gehou word.

Die organisasie moet:

c) 'n ouditprogram(me) te beplan, daar te stel, te implementeer en in stand te hou, insluitend die frekwensie, metodes, verantwoordelikhede, beplanningsvereistes en verslagdoening. Die ouditprogram(me) sal die belangrikheid van die betrokke prosesse en die resultate van vorige oudits in ag neem;

d) die ouditkriteria en omvang vir elke oudit omskryf;

e) ouditeure te kies en oudits uit te voer wat objektiwiteit en die onpartydigheid van die ouditproses verseker;

f) verseker dat die resultate van die oudits aan relevante bestuur gerapporteer word; en

g) gedokumenteerde inligting te behou as bewys van die ouditprogram(me) en die ouditresultate.”

Bereik jou eerste ISO 27001

Laai jou gratis gids vir vinnige en volhoubare sertifisering af

Almal wat ons gehelp het om vir 'n ISO 27001-oudit te gaan het die eerste keer geslaag. Jy kon ook.

Bespreek jou demo

Hoe werk ISO 27001 interne oudits?

Interne oudits vir ISO 27001 werk deur 'n ouditprogram te volg wat die oudits identifiseer wat uitgevoer moet word voor sertifisering en gedurende elke sertifiseringsperiode.

Hulle vereis die keuse van 'n bevoegde en objektiewe ouditeur om elke interne oudit te onderneem verifiëring van voldoening aan die vereistes van die standaard, die organisasie se eie inligtingsvereistes en -doelwitte vir die ISMS, en dat die beleide, prosesse en ander beheermaatreëls doeltreffend en doeltreffend is.

Aktiwiteite ingesluit by 'n interne oudit:

Dokumentasie hersiening
Bewyssteekproefneming
Onderhoud voer personeel met sleutel inligtingsekuriteitsverantwoordelikhede
Onderhoude voer met ander personeel (en moontlik kontrakteurs)
Evaluering van die bevindings
Die skryf van die ouditverslag.

Hoe gereeld moet ek 'n oudit doen?

Alhoewel dit nie binne ISO 27001 self duidelik is oor hoe gereeld jy interne oudits moet uitvoer nie. Daar word verwag dat die ouditprogram dieselfde vereistes volg as dié wat aan die sertifiseringsliggame gestel word vir die uitvoering van hul oudits volgens ISO/IEC 27006:2015 – Vereistes vir liggame wat oudit en sertifisering van ISBS'e verskaf.

Binne ISO 27006 vereiste 9.1.5.2 e, verklaar dat die ouditprogram “verteenwoordigende monsters van die omvang van die ISMS-sertifisering binne die drie jaar tydperk dek”.

Daarom moet u interne oudits uitvoer wat die hele standaard dek, ten minste oor die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifikate).

Jy kan dit as 'n enkele oudit doen, maar dit word meer algemeen in kleiner oudits oor die 3-jaar tydperk opgedeel.

Dit is ook belangrik om sommige areas meer gereeld te oudit as die risikovlakke hoog is of die area onderhewig is aan gereelde veranderinge.

Dit word aanbeveel dat u oudit die bestuurstelsel vereistes (klousule 4-10) jaarliks. Dit kan gekoppel word aan jou ISMS-bestuursoorsig, wat ook jaarliks uitgevoer moet word.

Binne ISMS.online bied ons 'n voorafgeboude ouditprogram-werkarea wat insluit:

Aktiwiteite vir 2 aanbevole oudits voor sertifisering
'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
Plekhouers vir jou eksterne sertifisering en periodieke oudits

Ons maak dit maklik om ISO 27001 te bereik

Kry 'n voorsprong van 77%.

Ons ISMS is vooraf gekonfigureer met gereedskap, raamwerke en dokumentasie wat jy kan aanneem, aanpas of by kan voeg. Eenvoudig.

U pad na sukses

Ons metode vir versekerde resultate is ontwerp om jou met jou eerste poging gesertifiseer te kry. 100% suksessyfer.

Kyk en leer

Vergeet van tydrowende en duur opleiding. Ons Virtual Coach-videoreeks is 24/7 beskikbaar om jou deur te lei.

Bespreek jou demo

Hoekom moet ek 'n verslag vir 'n interne oudit skep?

Die standaard vereis dat jy die ouditresultate dokumenteer – Klousule 9.2 van ISO 27001 sluit die vereiste in om “gedokumenteerde inligting te behou as bewys van die … ouditresultate”.

Dit word binne 'n ouditverslag gedoen.

Wat moet gedoen word wanneer die verslag voorberei word?

Natuurlik, voordat jy die ouditverslag kan dokumenteer, moet jy die oudit beplan en uitvoer. U kan dan die bevindinge in die verslag dokumenteer.

Begin met jou ISO 27001 ouditplan

Vir elke oudit sal jy moet beplan:

Wat die oudit gaan dek – watter afdeling(s) van die standaard, liggings, besigheidsprosesse ens
Wie die ouditeur sal wees – moet bekwaam en objektief wees.
Wanneer die oudit uitgevoer word, moet dit nie 'n beduidende, nadelige impak op die organisasie se werking hê nie.
Die metode(s) van oudit – dokumentasie-oorsig, steekproefneming, onderhoude ens
Wie sal by die oudit betrokke moet wees?

Dokumentasie hersiening

Elke oudit sal die hersiening van relevante dokumentasie vereis, insluitend beleide, prosedures, standaarde en leiding wat relevant is tot die area(s) van die standaard wat geoudit word. Dit is goeie praktyk om diegene wat geoudit word in kennis te stel van die areas wat gedek moet word om maklike en tydige toegang tot die relevante dokumentasie te verseker.

In ISMS.online word dit maklik gemaak deur óf die dokumentasie binne die stelsel te hê óf dit binne die standaard se relevante afdeling te koppel.

Bewyssteekproefneming en onderhoude

Die meeste oudits sal die steekproefneming van bewyse in 'n mindere of meerdere mate vereis. Dit kan insluit onderhoudvoering met relevante sleutelpersoneel, eindgebruikers en soms selfs tydelike personeel en kontrakteurs.

Bronne vir steekproefneming kan byvoorbeeld insluit:

Onderhoude met werknemers en ander persone
Waarnemings van aktiwiteite en die omliggende werksomgewing en toestande
Dokumente, soos beleide, doelwitte, planne, prosedures, standaarde, instruksies, lisensies en permitte, spesifikasies, tekeninge, kontrakte en bestellings
Rekords, soos inspeksierekords, notules van vergaderings, ouditverslae, rekords van die moniteringsprogram en die resultate van metings
Data-opsommings, ontledings en prestasie-aanwysers
Inligting oor die geouditeerde se steekproefnemingsplanne en die prosedures vir die beheer van steekproef- en metingsprosesse
Verslae van ander bronne, bv. klantterugvoer, eksterne opnames en metings, addisioneel relevant inligting van eksterne partye en verskaffer ratings
Databasisse en webwerwe
Simulasie en modellering

ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.

Daniel Clements

Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid

Bespreek 'n demo

Bereik ISO 27001 eerste keer

Laai ons gids af

Analise

Sodra die data-insameling vir die oudit gedoen is, sal dit vir die ouditeur nodig wees om die bevindinge te assesseer en te ontleed om enige afwykings of geleenthede vir verbetering te bepaal.

Bevindinge word gewoonlik as een van die volgende gekategoriseer:

Groot nie-konformiteit
Geringe afwyking
Geleentheid vir verbetering

Sommige sertifiseringsliggame gebruik ook:

Waarneming – waar daar vroeë aanduidings is, kan 'n geringe afwyking bestaan of kan ontwikkel as geen aksie geneem word nie.
Positiewe punt – toegeken óf waar 'n organisasie verder gegaan het as erkende goeie praktyke óf waar daar aansienlike verbetering op 'n gebied was sedert die vorige oudit.

verslag

Nadat die bevindinge ontleed is, kan die ouditverslag nou voorberei en aan die persoon of span voorgelê word verantwoordelik vir die ISMS vir hersiening en opvolg.

Hoe word 'n interne ouditverslag opgestel?

Die ouditverslag moet voorberei word as gedokumenteerde inligting, maar dit beteken nie dat dit 'n aparte Word- of PDF-dokument hoef te wees nie. Binne die ISMS.aanlyn platform, probeer ons die vermyding van die skep van sulke dokumente aanmoedig, maar verskaf eerder 'n werkarea waarin die verslag direk gedokumenteer kan word. Hierdie area bied bykomende funksionaliteit, insluitend die vermoë om maklik te koppel aan ander werkareas, beleide, kontroles, risiko's, regstellende aksie en verbetering "kaartjies", en meer.

Skep 'n uitvoerende opsomming

Die uitvoerende opsomming is nuttig sodat senior bestuur vinnig en maklik 'n oorsig van die bevindings kan sien, insluitend enige moontlike kritieke kwessies, neigings en geleenthede vir verbetering. Dit kan dan maklik gekoppel word aan die ISMS-bestuursoorsig na aanleiding van Klousule 9.3.

Dit sal gewoonlik die volgende insluit:

'n Algemene oorsig van die werking van die areas van die ISBS wat in die oudit gedek word.
'n Numeriese opsomming van die kategorieë bevindinge.
Die uitlig van enige dringende/kritieke bevindings.
'n Kort beskrywing van die volgende stappe wat geneem moet word om enige bevindinge aan te spreek.

Vind jy ISO 27001 verwarrend?

Praat met 'n spesialis

Stel terminologie wat gebruik word bekend

Om 'n gemeenskaplike begrip van die verslag se bevindinge te verseker, is dit nodig om die definisies van een of ander terminologie wat gebruik word wat óf spesifiek vir die organisasie, die ouditproses óf die standaard is, in te sluit. Onthou, nie almal wat dalk die verslag moet lees, assesseer en verstaan, sal noodwendig al die terminologie wat gebruik word, verstaan nie.

Beskryf die ouditplan

Dit sal insluit:

Die omvang van die oudit – gebied(e) wat gedek moet word, liggings, personeel, besigheidsprosesse, ens
Die naam van die ouditeur(e)
Die datums, tye en plekke van die oudit

Beskryf feite wat gevind is

Vir elke afdeling van die oudit moet jy die bevindinge dokumenteer, insluitend notas van enige bewysmonsters wat geneem is.*

Dit is goeie praktyk om voldoening en positiewe punte aan te teken en enige afwykings of geleenthede vir verbetering te dokumenteer.

Die bevindinge moet die feite wat relevant gevind is vir die ISMS en die standaard aanteken en moet nie opinies of vermoedens buite redelike ekstrapolasie insluit nie.

*Let wel – indien bewysbare monsters persoonlik identifiseerbare inligting bevat, is dit gewone praktyk om die data te pseudonimiseer of anoniem te maak in ooreenstemming met privaatheidswetgewingsvereistes soos GDPR.

Dokumenteer afwykings en geleenthede vir verbetering

Waar afwykings en geleenthede vir verbetering geïdentifiseer word, moet dit duidelik gedokumenteer word sodat regstellende aksies en verbeteringsitems aangeteken en bestuur kan word deur die organisasie se erkende prosesse soos gedokumenteer in ooreenstemming met Klousule 10.1 Nie-konformiteit en regstellende aksie; en 10.2 Deurlopende verbeterings.

Beskryf aanbevelings

Aangesien dit 'n interne ouditverslag is, is dit toelaatbaar vir 'n ouditeur om aanbevelings te maak oor hoe 'n organisasie bevindings kan aanspreek. Uiteindelik moet die besluite met betrekking tot regstellende aksies en verbeterings geneem word deur die relevante individue of spanne wat verantwoordelik is vir die ISMS en inligtingsekuriteit.

Sien ons platformkenmerke in aksie

'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte

Bespreek jou demo

Ons is koste-effektief en vinnig. Dit sal jou ROI 'n hupstoot gee.

Kry jou kwotasie

Hoe ISMS.online verslaggewing maklik maak

Die ISMS.aanlyn-platform ontsien die behoefte om Word-dokumente, PDF's en sigblaaie te skep deur 'n alles-in-een-plek oplossing te verskaf om alle aspekte van die ISMS maklik te dokumenteer en te koppel, insluitend die dokumentasie van ouditverslae.

ISMS.online sluit 'n voorafgeboude ouditprogramprojek in wat beide interne en eksterne oudits dek.

Die voorafgeboude ouditprogram sluit in:

Aktiwiteite vir 2 aanbevole oudits voor sertifisering
'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
Plekhouers vir jou eksterne sertifisering en periodieke oudits

Elke interne ouditaktiwiteit bevat 'n sjabloon vir 'n gekombineerde ouditplan en verslag.

Voordat die oudit uitgevoer word, dien die sjabloon as die ouditplan – insluitend watter areas geoudit moet word en verskaf aansporings vir aantekening wanneer die oudit uitgevoer sal word en deur wie.

Tydens of na die uitvoering van die oudit, kan die ouditeur notas direk in die templaat ouditaktiwiteit skryf.

Behalwe om bloot die ouditaktiwiteitsjablone te verskaf, bied ISMS.online die vermoë om vinnig na ander werkareas binne die platform te skakel, wat beteken dat die koppeling van ouditbevindings aan kontroles, regstellende aksies en verbeterings, en selfs aan risiko's maklik en toeganklik gemaak word. Dit sal jou in staat stel om die gesamentlike bestuur van geïdentifiseerde bevindings maklik aan jou eksterne ouditeur te demonstreer.