Ons beste wenke vir die eerste keer ISO 27001 Fase 2 oudit sukses

As jy gaan vir ISO 27001 sertifisering, sal jou Fase 2-oudit een van die groot knertpunte wees. Jy sal moet wys dat jou ISMS meer is as net goedgeskrewe dokumente en algemene goeie bedoelings. Dit moet in die praktyk net so goed werk as op papier.

Oor die jare het ons baie kliënte gehelp om die eerste keer Fase 2-ouditsukses te behaal. En sommige van ons ISO 27001 kundiges was self ouditeure van die sertifiseringsliggaam, so ons ken die proses baie goed van beide kante. Ons het daarop gebruik gemaak om ons:

  • Stadium 2 oudit top wenke
  • ISO 27001 beginner-vir-tien kontrolelys

Maak seker dat jy al die noodsaaklikhede bedek

Jou ouditeur sal na elke deel van jou ISMS kyk. Hulle sal veral op die kernkomponente daarvan fokus. As dit nie op datum is nie, sal hulle jou nie aanbeveel vir sertifisering nie. Wanneer jy dus vir jou oudit voorberei, moet jy veral versigtig wees om:

Risiko bestuur

Vir jou infosec-verdediging om te werk, moet jy verstaan ​​waarteen jy jouself beskerm. So gaan deur jou risiko bestuur inhoud en prosesse met 'n fyn tand kam.

Maak seker jy het:

Bate bestuur

Jou ISMS kyk na binne sowel as na buite. Jou ouditeur moet sien dat jy presies verstaan ​​wat jy beskerm. Maak dus dubbel seker dat jy alles opgeneem en verstaan ​​het inligtingsbates.

Hou in gedagte dat jou organisasie s'n inligtingsbates is meer as net sy IT-sagteware en hardeware. Die lys kan alles insluit van kliënt en verskaffer tot kontrakte tot ontasbare goed soos jou handelsmerk en reputasie. Maak seker jy het dit alles ingesluit!

Voorvalbestuur

Jou ouditeur kyk of jou ISMS in die praktyk werk. Hulle sal dus moet sien dat jy en jou kollegas presies weet wat om te doen wanneer die ergste gebeur en die – eh – suiker die waaier tref.

Jy sal absoluut seker moet wees dat jou voorvalbestuur prosesse is tot dusver. Dit beteken om vas te pen:

  • Wanneer en hoe hulle geaktiveer word
  • Wie doen wat, wanneer, as 'n nuwe voorval gebeur
  • Hoe jy opteken en leer uit jou reaksie op elke voorval, sodat jy kan:
    • Verbeter jou ISMS
    • Maak seker dat enige herhalings minder of selfs geen impak het nie

Behoorlik bed in jou ISMS

Jou ouditeur moet sien dat jou ISMS in die praktyk werk. Om seker te maak dat dit die geval is, laat dit 'n bietjie loop. Gee jouself 'n bietjie tyd en ruimte om vertroue in jou ISMS te bou voordat jy dit aan jou ouditeur wys.

Jy sal selfvertroue op twee maniere bou. Dit sal deels natuurlik kom soos jy toesig hou oor jou ISMS, kyk wat werk en regstel wat nie werk nie. Maar jy moet ook 'n paar meer formele blokkies merk. Maak seker jy het uitgevoer:

  • Een of meer interne oudits en bestuurstelseloorsigte
  • Toepaslike personeelopvoeding en -betrokkenheidsaktiwiteite

Daardie tweede koeël is besonder belangrik. 'n ISMS is slegs effektief wanneer mense dit verstaan ​​en daaraan voldoen. Maak dus seker jou mense weet:

  • Waarvoor is dit
  • Hoekom dit so belangrik is
  • Watter beleide en kontroles hulle moet volg
  • Presies hoe om hulle te volg

Maak seker dat jou ISMS werklike veranderinge maak

Organisasies skep ISMS'e omdat hulle nie veilig genoeg is daarsonder nie. Om veilig te word beteken om hul benadering tot sekuriteit te verander. Dit skep 'n baie eenvoudige manier om te kyk of jou ISMS ouditgereed is. Vra jouself:

Het enigiets werklik verander?

'N Effektiewe ISMS sal sigbare, praktiese veranderinge skep in hoe jou organisasie werk. Daardie veranderinge sal beide sy interne en eksterne prosesse en verhoudings beïnvloed. Hulle behoort vir jou baie duidelik te wees.

As jou ISMS praktiese, positiewe, ooglopende veranderinge geskep het, is dit een stap nader daaraan om ouditgereed te wees. Maar as dit net jou bestaande herteken is sekuriteit stelsels, jy het waarskynlik meer werk om te doen.

Moenie bekommerd wees oor inperkings wat jou oudit beïnvloed nie

Fase 2-oudits was nog altyd in-diepte en ter plaatse. Dit is moeilik in ons moderne, Covid-besmette wêreld. Maar moenie dat dit jou bekommer nie.

Sertifiseringsliggame is baie duidelik dat die ouditproses soos normaal moet voortgaan, ongeag 'n organisasie se inperkingstatus. Hulle sal graag jou organisasie op afstand oudit en saam met jou werk enige uitdagings te oorkom.

Afstandouditering maak dit selfs belangriker om 'n volledig deursigtige, maklik toeganklike, alles-in-een-plek ISMS te hê, soos (ons voel ons moet noem) die een ons platform kan jou help skep. En as jy reeds by ons is, is dit wat jy reeds sal hê.

Moenie ophou sodra jou Fase 2 oudit klaar is nie

'Baie organisasies slaag hul oudit, vier al hul harde werk en ... vergeet basies alles van hul ISMS. Almal gaan terug na hul dagtaak. Dan, tien maande of wat later, is daar groot paniek wanneer hulle gereed moet maak vir hul eerste instandhoudingsoudit.

'n ISMS is nie 'n vuur-en-vergeet-stelsel nie. Om ISO 27001-sertifisering te handhaaf, moet dit:

  • Leer uit enige infosec-voorvalle
  • Ontwikkel soos sy moederorganisasie groei en verander
  • Neem enige nuwe infosec-bedreigings en -ontwikkelings in ag

Ons sê dikwels dat die instandhouding van jou ISMS net soveel van 'n uitdaging is as om dit aan die gang te kry. Maak seker dit is 'n uitdaging waarvoor jy gereed is!

Volg ons beginner-vir-tien ISO 27001 kontrolelys

Ons het vir jou 'n paar algemene wenke gegee om gereed te maak vir jou Fase 2-oudit. Ons gaan afsluit met 'n paar spesifieke leiding. Hierdie tabel is 'n beginners-vir-tien-gids om jou ISMS teen die ISO 27001 standaard. Dit sal jou help om te fokus terwyl jy deur elke deel daarvan dink.

 

ISO 27001 Verw & Beskrywing

Klousule 10.1

Is al die bevindinge van jou Fase 1-oudit aangeteken, bestuur en nagespoor?

Is alle groot nie-konformiteite aangespreek tot voltooiing?

Is geringe-nie-konformiteite óf gesluit óf op koers volgens hul korrektiewe aksie beplan?

Klousule 5

Werk alle geskeduleerde prosesse betyds om voldoende hulpbronvlakke te toon?

Klousules 6.1, 8.2 en 8.3

Toon jou risikoregister 'n akkurate huidige prentjie van risikovlakke (dws jy is opdatering van risiko's teen verandering en verbeterings in risikobehandeling)?

Klousule 6.2

Is jy die bereiking van u inligtingsekuriteitsdoelwitte?

Klousule 7.2

Maak jy enige inligting-sekuriteit bevoegdheidsgapings?

Klousule 7.3

Bedryf jy die inligtingsekuriteit bewustheid program wat jy beskryf het?

Klousule 9.1

Het jy jou geneem en beoordeel ISMS prestasiemetings?

Klousules 9.2, 10.1 en 10.2

Het jy ten minste twee voltooi interne oudits vanaf die ouditskedule?

Het jy al jou bevindings aangeteken, opgespoor en bestuur?

Jy hoef nie noodwendig bevindinge te voltooi wat aansienlike verbetering vereis nie, maar jy moet wys dat aksie beplan is of aan die gang is.

Klousules 9.3, 10.1 en 10.2

Het ten minste een formele ISMS Bestuur hersiening in ooreenstemming met die standaard se vereistes plaasgevind het?

Het u alle bevindings aangeteken, opgespoor en bestuur?

Bylae A Kontroles

Kan jy bewyse toon dat jy elke kontrole en relevante proses doeltreffend bedryf?

Waar jy verbeteringe moet aanbring, kan jy wys dat jy dit dop en bestuur?

A.16. Bestuur van inligtingsekuriteitsinsidente

Kan jy wys dat, wanneer voorvalle plaasvind, jy dit mettertyd aanteken, dop, bestuur en daarop reageer?

Sluit af ... en sterkte!

Ons het baie oor die Fase 2-oudit gedink omdat ons gebou het ons platform om ons kliënte daardeur te help. Trouens, elke kliënt wat ons gevolg het Metode van versekerde resultate het die sertifisering met hul eerste poging geslaag.

En jy hoef nie alles weer van voor af te begin nie. Dit is maklik om jou bestaande werk na ons platform te migreer. Jy kan beweeg wanneer dit jou pas, selfs al het jy jou Fase 1-oudit voltooi of eintlik ISO 27001 behaal sertifisering.

En dit is dit. As hierdie blogplasing jou deur jou Fase 2-oudit help, laat weet ons – ons hou daarvan om te hoor hoe organisasies daarmee oorgaan. Al wat oorbly is vir ons om jou sterkte toe te wens! Ons is seker dat al jou harde werk vrugte afwerp.

 

Gereed om te sien hoe ons jou kan help om vir die eerste keer Fase 2 sukses te behaal?

Bespreek 'n no-strings demo om ons platform in aksie te sien. En ons is verbasend bekostigbaar. Jy kan jou kwotasie hier kry.

« Hoe om jou ISO 27001 Bestuursoorsig uit te voer

5 topwenke vir die bereiking van ISO 27001-sertifisering »

Laas geredigeer: 7 Februarie 2022
skrywer

Al Robertson

Al is 'n professionele skrywer en gepubliseerde skrywer wat 'n reeks onderwerpe dek. Hy het 'n reeks artikels geskryf oor voldoening en veral oor inligtingsekuriteit en hoe ISO 27001-sertifisering organisasies kan help om te groei.

Sien alle plasings deur Al Robertson

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind