Voer ISO 27001-oudits uit in ISMS.online

Die ISO 27001:2013 Interne Oudit: Vereenvoudig

'n Vraag wat dikwels gevra word deur mense wat nuut is inligting-sekuriteit is “hoe voltooi ek 'n interne oudit van my ISMS? ".

Gegewe die frekwensie van die onderwerp wat opduik, het ons die antwoord in ons ingebou Virtuele Afrigter diens vir ISO 27001. Ons het ook gedink dit sal nuttig wees om van ons leiding en idees te deel oor hoe jy 'n pragmatiese besigheidsgeleide benadering kan volg om die doel te bereik.

Wat is die doel van die interne oudit vir ISO 27001?

Die doel van die interne oudit in artikel 9 van die bestuursvereistes vir Die ISO 27001: 2013 is prestasie-evaluering. 9.2 sê die organisasie sal interne oudits met beplande tussenposes uitvoer om inligting te verskaf oor of die inligting-sekuriteit bestuurstelsel:

1) voldoen aan

1.1) die organisasie se eie vereistes vir sy inligtingsekuriteitbestuurstelsel; en

1.2) die vereistes van hierdie Internasionale Standaard;

2) effektief geïmplementeer en onderhou word

3) beplan, implementeer en 'n ouditprogram in stand te hou

4) definieer die ouditkriteria en omvang vir elke oudit

5) ouditeure te kies wat objektief en onpartydig sal wees

6) verseker dat oudits word gerapporteer aan relevante bestuur

7) behou gedokumenteerde inligting as bewys

Samevattend, die interne oudit is een van die inisiatiewe wat jou demonstreer ISMS vertrou kan word en presteer soos verwag.

Die ISO 27001-standaard moedig jou aan om die ISMS te bestuur om aan jou besigheidsdoelwitte, omvang, interne en eksterne kwessies, ens. te voldoen. As sodanig wil jy ook verseker dat interne oudits word uitgevoer in die styl wat jou besigheid en sy risiko's weerspieël, terwyl die kultuur en hulpbronne wat jy in plek het, in ag geneem word.

Waar en wat moet jy in jou inligtingsekuriteitbestuurstelsel oudit?

Om dit werklik te maak, moet jou ouditprogram en filosofie afgelei word van die kwessies, die omvang, bv. liggings, afdelings, prosesse, produkte, ens., tesame met inagneming van die Verklaring van toepaslikheid, risiko's en so meer, nie net 'n regmerkie-oefening nie. Jy sal egter moet bewys dat jy teen die hele standaard – bestuursvereistes en Bylae A – geoudit het beheer – ten minste een keer gedurende die 3-jaar ISO 27001 sertifisering siklus, en waarvan u voorbeeldbewyse kan verskaf beheer werk volgens jou vereistes.

Ons het voortgebou op daardie benadering in die standaard ouditprogram in ISMS.aanlyn om te help verseker dat oudits verteenwoordig wat die besigheid nodig het. Na ons mening moet oudits sakegerig en 'werklik' wees sodat mense daarin kan inkoop as 'n geldige belegging en om die oudit sinvol te maak.

Hoe om op 3 pragmatiese en eenvoudige vlakke te oudit

Vlak 1 – Hersiening van beleide in ooreenstemming met A.5.1.2 en A.8.1.2 vir onafhanklike resensies

Hierdie vlak is 'n eenvoudige oorsig van hoe jy jou 'beskryf' beleide en kontroles, en verseker dat hulle relevant bly vir die organisasie gegewe 4.1 – 3 en in lyn met bogenoemde kwessies, partye, omvang, inligtingsbates, risiko's, ens.

In ISMS.online het ons die beleid vir A.5.1.2 en platform ontwikkel met dit in gedagte, sodat dit vir jou maklik is om ons beleid aan te neem en dit werklik in die praktyk te 'leef'.

Dit is duidelik nie interne oudit vir Sekte. 9.2 op sigself, maar is 'n belangrike deel van jou ISMS bestuur saam met ander aspekte soos bestuursoorsigte, voorval dop ens. en sal help om te verseker dat wanneer jy kom om jou formele interne oudit uit te voer, jy dit doen teen 'n soliede stel beleide en kontroles wat geskik is vir jou organisasie.

 

Vlak 2 – interne ouditplan wat die vereistes en beheermaatreëls dek

Dit is die vereiste, meer tradisionele benadering en sal ten minste in die loop van die sertifiseringsiklus uitgevoer moet word en dit kan die moeite werd wees om te oorweeg om dit jaarliks ​​te dek.

Ons ouditprojek kan gebruik word om die doelwitte en omvang van elke oudit te stel en jou bevindinge aan te teken. Enige nie-nakominge wat geïdentifiseer word, kan dan in die Verbeteringsspoor.

Vir daardie organisasies wat 'n drie-jaar ouditprogram van alle beheermaatreëls wil volg, het ons 'n raamwerk ingesluit om te volg in ISMS.aanlyn ook.

 

Vlak 3 – 'n holistiese benadering om die doeltreffendheid te demonstreer

Ons moedig ook 'n meer holistiese benadering tot interne oudits aan en het 'n program in die platform gebou wat 'n oudit fokus rondom die 'demonstreer' van 'n spesifieke deel van jou ISMS omvang voldoen aan, bv. 'n departement, 'n ligging, 'n produk, stelsel of 'n proses.

Dit gee jou die geleentheid om te kyk hoe die besigheid in die praktyk werk, verder InfoSec per se, en sien geleenthede vir verbetering of, inderdaad, ontbloot risiko's wat dalk nie maklik gesien kan word as jy deur 'n beheerlens kyk nie.

Dit stel 'n organisasie ook in staat om 'n groter aantal te oudit beheer in een slag, op 'n saamgevoegde wyse.

In ons ISO 27001 virtuele afrigter, sluit ons 'n voorbeeld in om 'n geur te gee van wat jy kan doen wat 'n deel van jou ISMS omvang werk goed en bereik sy doelwitte, met die kontroles werk (of nie).

Hoe om te beplan vir die ISO 27001 ouditprogram

Dit is nie maklik om 'n ouditplan 3 jaar vooruit vir die hele sertifiseringstydperk te ontwikkel as jy 'n vinnig veranderende organisasie is nie. As dit die geval is, moet jy daardie omvangareas oorweeg wat geoudit moet word en 'n 12-maande-plan skep om aan die verwagtinge van 'n eksterne ouditeur te voldoen.

Wees dan duidelik dat jy sal wees die uitvoer van bestuursoorsigte in ooreenstemming met Afd. 9.3 wat verandering aan daardie skedule kan meebring. Dit is deel van waaroor 9.3 gaan – om proaktief te wees en ook op nuwes te reageer inligting wat die ISMS raak.

As jy besluit om die ouditskedule te verander, byvoorbeeld as gevolg van 'n snellergebeurtenis wat dit regverdig, skuif eenvoudig die ouditskedule rond en voeg 'n nota by jou relevante Bestuur hersiening om te regverdig waarom jy die veranderinge aangebring het.

Watter ouditbenadering jy ook al kies om aan te neem, wees bereid om die doeltreffendheid daarvan teenoor 'n eksterne ouditeur te regverdig, te demonstreer en te verdedig.

Hoeveel besonderhede moet jy in 'n ISO 27001-ouditoefening insluit?

Wanneer jy besluit hoe diep jy met jou ouditoefening moet gaan, oorweeg dit – Het jy genoeg inligting om te kan demonstreer dat jy die oudit gedoen het, uit die oefening geleer het, dit gedokumenteer het en enige daaropvolgende aksies geneem het?

Vanuit ons eie kulturele perspektief gaan dit ook daaroor om pittig, papierloos en digitaal te wees, en is daarop gefokus om te verseker dat ons die werk goed gedoen kry – vier sukses, leer en verbeter, en verminder risiko sonder om ter wille vasgevang te raak in burokrasie of vormvul. daarvan.

Almal met wie ons gepraat het (voordat ons ISMS.online gebou het) het hul eie manier van ouditering gehad. Ons het 'n paar baie lang ouditverslae gesien wat selde deur die regte gehoor gelees word, wat in werklikheid net 'n opsomming wil hê. Dit gaan dus vir ons daaroor om bewys te lewer, te leer, aksie te neem en enige verbeteringe in praktyk te bring, in ooreenstemming met die erns van die bedreiging of waarde van die geleentheid in verhouding tot die ander besigheidsprioriteite.

In ISMS.online kan jy dit in die ouditaktiwiteit self doen of die verbeteringswerk aan ons koppel Regstellende aksies en verbeterings spoor vir belyning met alle regstellende aksies en verbeterings, nie net dié wat uit 'n oudit kom nie.

Wat sê die ISO oor oudits en ouditering vir ISO 27001?

Benewens die vereistes in ISO 27001 9.2, is die Internasionale Organisasie vir Standaardisering (ISO) verskaf die volgende standaarde wat relevant is vir ouditering:

  • ISO 27007 – Verskaf leiding oor hoe om die bestuurstelsel- (vereistes)-elemente van jou ISBS te oudit en trek baie van ISO 19011 (sien hieronder) met die bykomende lens van besonderhede wat verband hou met die ouditering van 'n ISMS.
  • ISO TR 27008 – 'n Tegniese verslag (eerder as standaard) wat leiding verskaf oor die ouditering van die inligtingsekuriteitskontroles bestuur deur jou ISMS.
  • ISO 19011 – verskaf leiding oor ouditering bestuurstelsels, insluitend die beginsels van ouditering, bestuur van 'n ouditprogram en uitvoering bestuurstelsel oudits, asook leiding oor die evaluering van die bevoegdheid van individue betrokke by die ouditproses, insluitend die persoon wat die ouditprogram bestuur, ouditeure en ouditspanne.
  • ISO 27006 & ISO 17021 – Dit is vir die sertifiseringsliggame wat die eksterne oudits uitvoer. Alhoewel hulle 'n nuttige verwysing kan verskaf om te verstaan ​​waarna die sertifiseringsliggame soek, is u interne Oudit sal baie anders wees, met 'n ander doel en jy moet nie op presies dieselfde manier kyk om te oudit nie.

 

'n Konsekwente tema waarvan ons hoor, is dat ouditeure wil sien dat die organisasie leef en asemhaal die ISMS en dit sluit in leierskapbetrokkenheid, proaktiewe wys van dinge wat jy in ISMS.online het en om baie vinnig hul spesifieke vrae met bewyse te beantwoord.

Met 'n struktuur wat volg die ISO 27001: 2013-metodes en etikettering, soos in ISMS.online, maak dit ook maklik vir ouditeure om in hul eie 'taal' te volg, en hulle kan weergaweveranderings, tydstempelwerk, samewerkings, goedkeurings deur onafhanklike spanlede, ens., so dit is 'n wonderlike hulp vir die stel toetse hierbo.

Uiteraard sal u steeds moet demonstreer dat beleide in die praktyk buite ISMS.online geleef word, bv. inligting word vanaf u stelsels gerugsteun, kliënt- en verskaffer-vertroulikheidsooreenkomste word gehou ens (en natuurlik kan u ISMS.online gebruik om die verskaffer te wys ooreenkomste ook!)

Moet jy 'n hoofouditeurkursus volg om te help met ISO 27001?

As jy daaraan dink om 'n hoofouditeurkursus te onderneem, is dit die moeite werd om te oorweeg dat, wanneer jy opgelei word deur iemand wie se voltydse werk ouditering is, hulle fokus op opleiding om te oudit vanuit 'n eksterne perspektief. Dit kan verder wees as jou organisasie se vereistes om aan 9.2 te voldoen en moontlik veroorsaak dat jy uit die oog verloor wat die breër besigheidsdoelwitte is.

Jy moet goed genoeg kan oudit om aan jou leierskap en jou belanghebbende partye (bv. ouditeure) dat die 9.2 interne oudit effektief is as deel van jou prestasie-evaluering en in die praktyk werk.

In ISMS.online het ons 'n proses vir ouditering in Afd. 9.2, en die ruimte gegee om dit te lewer wat maklik genoeg is om aan te neem of aan te pas by jou styl en behoeftes, en met interne hulpbronbeperkings in gedagte. Ons het ook 'n pragmatiese voorbeeld in die ISO 27001 Virtual Coach ingesluit.

Baie kliënte definieer egter hul benadering maklik deur ISMS.online te gebruik en kry dan 'n eenvoudige virtuele gesondheidsondersoek saam met advies, en selfs pragmatiese deurlopende ouditondersteuning, met ons gekwalifiseerde hoofouditeur.

ISMS.aanlyn maak die vestiging van die regte ouditprogram vir jou eenvoudig deur óf ons voorafgeboude programme aan te neem óf vinnig en maklik jou eie te skep.

Ons sal jou help om jou oudits meer effektief te bestuur en dit te integreer met 'n holistiese benadering tot die breër ISMS.

Laas geredigeer: 20 Junie 2022
skrywer

Julia Heron

Julia is die ISMS.online Solutions Specialist vir ondernemingskliënte en werk saam met organisasies om hulle te help met hul voldoeningsdoelwitte.

Sien alle plasings deur Julia Heron

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind