Hoe om voor te berei vir 'n interne ISO 27001 oudit – Die geouditeerde se perspektief

Inleiding

Alle oudits behels ten minste een ouditeur (soms meer as een, met die persoon in beheer wat algemeen bekend staan ​​as die hoofouditeur) en ten minste een ouditeur. Die geouditeerdes se rol is om met die ouditspan saam te werk om:

  • Navigeer deur die verskillende ISMS-dokumente en -stelsels
  • Bespreek en stem saam oor die effektiwiteit van die dele van die ISMS word geoudit
  • Verskaf bewyse waar nodig van die ISMS bedrywighede (gewoonlik rekords)
  • Verduidelik die agtergronddenke en besigheidskonteks van die oudit

Die fokus van hierdie stuk is om te kyk na voorbereiding vir interne oudits vanuit die geouditeerde se perspektief

 

Wat is 'n ISO 27001 interne oudit

Interne oudits van ISO 27001 help organisasies om te verseker dat hul vereistes en dié wat deur die standaard vereis word nagekom word. Die ISO 27001 interne oudit is eerstens die proses om te bepaal of 'n maatskappy die nodige prosedures, prosesse, protokolle en mense het om sy inligting en sy inligtingbestuurstelsels teen die ISO 27001-standaard te beskerm. Tweedens sal die oudit deur inspeksie van dokumente en rekords en met die bystand van die geouditeerde toets of die verskeie ISMS-komponente presteer soos ontwerp en volg die vereistes (kyk vir die woord "sal") van die ISO-standaard.

Wat het ons ISO 27001 interne oudits nodig?

Verskeie bestuurders maak interne oudits uit te voer verpligte. Klousule 9.2 van ISO 27001 beveel dat oudits met "beplande tussenposes" gedoen word. Die meeste maatskappye word gedryf om werklike waarde uit hul ISMS vry te stel, en topbestuur lei hierdie strategiese voorneme. Interne oudits word dus gesien en gebruik as 'n kritiese besigheidsverbeteringsinstrument.

Die uitvoering van 'n interne oudit verseker dat 'n maatskappy se prosedures volgens plan uitgevoer word. Positiewe en negatiewe terugvoer van 'n projek s'n interne oudit is van onskatbare waarde om jou organisasies se inligtingbestuursprosesse te verbeter.

Almal wat ons gehelp het om vir ISO 27001 te gaan het die eerste keer geslaag. Jy kon ook.
Bespreek jou demo

 

Die verskil tussen eksterne en interne ISO 27001 oudits

Die eksterne ouditproses is in wese dieselfde as die interne ouditprosesse, maar wat hulle uiteindelik in gemeen het, is die doelwit is om ISO 27001-sertifisering te bereik en in stand te hou. Tipies voer gesertifiseerde liggame eksterne oudits uit met behulp van professionele ouditeure. Terwyl die ouditprosesse in wese dieselfde is, ekstern oudits is geneig om meer formeel en gestruktureerd te wees as interne oudits.

Ter verwysing, hier is 'n vinnige opsomming van verskillende oudittipes

Derdeparty-oudits

Dit is wanneer 'n ander organisasie jou organisasie oudit – die ooglopende voorbeeld is dat jou ISMS deur jou gekose sertifiseringsliggaam geoudit word – algemeen bekend as 'n 'eksterne oudit'.

Tweedeparty-oudits

Dit kan na binne na jou organisasie wees ('n kliënt oudit jou) of na buite van jou organisasie (byvoorbeeld, jy oudit 'n voornemende of huidige verskaffer).

Eersteparty-oudits

Eersteparty-oudits is wanneer 'n organisasie homself oudit - dit wil sê 'n interne oudit.

 

Definieer die oudit

Om die maksimum waarde uit jou oudit te verkry, moet jy die ouditparameters vooraf definieer. Dit sluit die omvang, kriteria en doelwit van die oudit in. Die ouditdoelwit is die doel of doel van die oudit. Die Ouditbestek identifiseer watter aktiwiteite en rekords aan oudit onderhewig is. Die ouditkriteria bestaan ​​uit beleide, prosedures en vereistes waarteen die oudit ondersoek word, in hierdie geval, die ISO 27001:2013-standaard.

 

Die belangrikheid van ISO 27001 oudit voorbereiding

As daar een kommoditeit is waarvan ons almal meer wil hê, is dit tyd. Soos Benjamin Franklin eenkeer gesê het: 'Om nie voor te berei nie, is om voor te berei om te misluk.' Ek is seker hy het nie destyds na ISO 27001-oudits verwys nie, maar die relevansie bestaan ​​steeds. ’n Oudit van jou hele inligtingsekuriteitbestuurstelsel, insluitend sy tegnologieë, prosesse en prosedures, en mense, sal byna seker uitdagend wees.

Hoe meer omvangryk en meer kompleks die organisasie is, hoe meer waarskynlik sal ouditbevindings sertifisering vertraag. Daar is egter stappe wat jy vooraf kan neem om jou oudit meer doeltreffend en minder van 'n beproewing te maak. Maak seker dat jy al die nodige dokumente voor die oudit versamel om jou nakomingspogings te demonstreer. Maak ook seker dat jy die vereistes van die relevante standaardareas wat aan oudit onderhewig is, verstaan. Ten slotte, maak seker dat jy op hoogte is van al die deurlopende werkareas soos regstellende stappe, bestuursoorsigte en die ouditprogram; dit sal hoogs waarskynlik as deel van die interne oudit nagegaan word.

Hoe om prakties voor te berei vir die interne oudit

Beide die ouditeur en die organisasie moet voldoende voorbereid wees vir die oudit. Dit is maklik om te vergeet terwyl jy oor jou dokumentasie beklemtoon dat daar baie praktiese dinge is waarvoor jy dalk gereed moet wees. Voor die oudit (sê twee weke vantevore), is dit gewoonlik 'n goeie idee om te verseker dat alle relevante beleide/prosedures/stelsels/rekords/kontroles so op datum as moontlik is met geskikte goedkeuringsouditroetes in plek. As jy dit as gepas ag, kan jy jou relevante beleide, proses en prosedures herlees om weer vertroud te raak met en dalk voor die oudit hersien as jy dit goedvind. Nadat jy hierdie dokument gelees het, sal dit jou nie verbaas dat jy dalk dokumentasie in die oudit moet voorlê nie. Gevolglik is dit waarskynlik 'n goeie idee om te verseker dat jy die dokumentasie geredelik beskikbaar het voor die oudit, of ten minste moet jy weet hoe om toegang daartoe te verkry. Om op die laaste oomblik rond te skarrel op soek na dinge sal net jou tyd en die ouditeure mors; toegang en klaring moet vooraf uitgesorteer word. U moet al die nodige sekuriteitstoestemmings verseker, soos toegang tot die bedienerkamer of 'n sleutelkaart na die pakhuis. Net so sal jy dalk vooraf spesiale reëlings moet tref, soos om 'n alarm af te skakel of produksie tydelik te staak.

Verder kan jy PBT vir die ouditeur benodig in geval van blootstelling aan 'n gevaarlike omgewing, soos 'n veiligheidshelm of selfs oorpakke. Dit is veral belangrik aangesien versuim om dit te reël waarskynlik daartoe sal lei dat die ouditeur nie hul pligte nakom nie. Net so kan daar 'n spesifieke departement of persoon wees wat geoudit sal word, soos Menslike Hulpbronne. Jy moet seker maak dat gespesialiseerde personeel bewus is van die oudit en is beskikbaar vir die ouditeur om mee te praat. Maak seker dat jy jou kollegas/werknemers baie kennis gee. Die ouditplan sal jou help om hierdie reëlings uit te werk.

Laastens kan daar 'n paar logistieke voorbereidings wees wat jy moet tref—byvoorbeeld om 'n geskikte werkspasie vir die ouditeur te reël. Dit kan gebruik word om aan die ouditbevindinge en die opskrywing te werk. Net so kan die ouditeur 'n internetverbinding nodig hê om sekere aspekte van die oudit uit te voer. Daarom moet jy hulle opdrag gee om 'n hotspot saam te bring as jou beleid nie toelaat dat gaste by die netwerk aansluit nie. Aan die ander kant, om 'n gas-Wi-Fi en wagwoord byderhand te hê, sal help om dinge meer eenvoudig vir die ouditeur te maak.

Geen voorbereiding is die beste voorbereiding nie

Dit mag dalk vir jou 'n verrassing wees, maar die ideale ISMS hoef nie vir 'n oudit voor te berei nie. 'n Suksesvolle ISMS is op datum met die deurlopende standaardvereistes soos bestuursoorsigte, oudits, regstellende aksies, ens. Om op hoogte te bly met hierdie werkareas sal slegs dien as 'n hulpmiddel vir jou besigheidspraktyke as gevolg van die voortdurende verbeterings van jou ISMS. Voor jou oudit kan 'n bietjie huishouding in orde wees. 'n Stelsel wat jou herinner aan die take, opkomende take, beleidsoorsigte en ander voortdurende take, sal jou egter die beste kans gee om ISO-paniek te vermy. Dit is waar ons inkom. Ons verskaf 'n volledige platform vir jou om jou ISMS te bestuur en te bou. Danksy ons oplossings, jou organisasie, kliënte en ander belanghebbendes kan voldoeningsvertroue en sertifiseringsekerheid hê. Van inligtingsekuriteitbeginners tot gesoute veterane, ons is gewoond daaraan om met kliënte van alle agtergronde te werk. Soos jou organisasie groei en verander, kom nuwe infosec-bedreigings voortdurend na vore. Ons het ons platform ontwerp om jou te help om dit by dit alles en meer aan te pas soos die wêreld aanhou ontwikkel.

 

Vorige ouditbevindings en regstellende aksies – Sal dit geoudit word?

Die doel is om die ISMS intern te oudit teen ISO 27001 wat nie enige nuwe nie-konformiteite sal veroorsaak nie. Daarom moet jy met die vertroue van ooreenstemming na die oudit gaan. Gevolglik is 'n hersiening van dokumentasie noodsaaklik. Ons moet seker maak dat al die beleide deur my bestuur ingedien en goedgekeur is. Andersins kan 'n ooreenstemming vir Cl.5.2 in gevaar gestel word.

Daarbenewens sal dit help as jy na die regstellende aksies in die ISMS kyk; hierdie data kan gebruik word om vir jou komende interne oudit voor te berei. Die inligting wat deur die GR verskaf word (regstellende aksies) sal jou voorheen geïdentifiseerde areas wys wat verbeter moet word. Soms kan die regstellende aksies van 'n bestuursoorsig of 'n reaksie op 'n sekuriteitsinsident wees. Ons gaan egter fokus op Korrektiewe Aksies wat uit 'n oudit spruit. Hierdie GR'e is noodsaaklik om te hersien aangesien dit byna seker in jou oudit nagegaan gaan word. Die volgende oudit moet die verbeteringsgeleenthede en enige afwykings wat uit u vorige oudit na vore gekom het, aanspreek. Dit is om jou voortdurende toewyding aan voortdurende ISMS-verbetering te demonstreer. Die term 'aangespreek' is vaag, so ons is byderhand om dinge op te klaar. Om voldoening op hierdie gebied te verkry, moet jy aan die ouditeur demonstreer dat jy op die aanbevole veranderinge opgetree het. Die manier waarop dit gedoen word, is die gebruik van ons spoorsnyer vir regstellende aksies en die gekoppelde werkkenmerk om die veranderinge wat jy gemaak het in reaksie op die bevinding te wys. As jy nie op die opleiding gereageer het nie, moenie paniekerig raak nie, nakoming is steeds moontlik. Daar moet bewyse wees dat daar oor die bevinding nagedink word en gevolg word. Oor die algemeen sal dit voldoende wees om die bevinding in die CA-spoorsnyer te dokumenteer en 'n sperdatum/toegewyser in te stel; dit wys dat jou maatskappy die voorstel oorweeg en besig is om te besluit oor die volgende aksie. Daarbenewens moet alle agterstallige GR'e voor enige oudit aangespreek word om die verbintenis tot voortdurende verbetering van die ISBS te demonstreer.

 

Hoekom kies ons?

Allianties, die maatskappy agter ISMS.online, is gesertifiseer volgens ISO 27001 deur 'n UKAS-geakkrediteerde sertifiseringsliggaam. Ons bied aan ons kliënte omvattende ISO- en ISMS-ondersteuning. Gebaseer op die pakket wat hulle kies, sal die vlak van ondersteuning wat hulle ontvang wissel, maar werklike mense sal altyd betrokke wees. Vir meer inligting, kyk na ons ondersteuningsbeleid of kontak gerus ons ondersteuningsafdeling. Voldoeningsekerheid en sertifiseringsekerheid is maklik om met ons dienste vir jou organisasie, kliënte en ander belanghebbendes te bereik. Ons is gewoond daaraan om met kliënte op alle vlakke te werk, van nuwelinge aan veterane.

Gereed om aksie te neem?

Bespreek jou demo

cta beeld

 

« Hoe om 'n interne ouditverslag vir ISO 27001 te skryf

Wat is die verskillende tipes ISO 27001 interne oudits? »

Laas geredigeer: 20 Junie 2022
skrywer

Sami Derfoufi

Sami het by die ISMS.online Akademie aangesluit en sy pad deur 'n reeks opleiding oor ISO 27001 en voldoening gewerk.

Bekyk alle plasings deur Sami Derfoufi

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind