Wat is die verskillende tipes ISO 27001 interne oudits?

Inleiding

Hierdie bladsy is gemaak om die verskillende tipes ISO 27001 interne oudits te verduidelik. Om mee te begin, sal ons die grondslag lê deur kortliks die vereistes in die ISO 27001-standaard self te verduidelik, en dan sal ons praat oor 'n ISMS, waarom dit ouditering benodig en sy doelwitte. As jy vertroud is met hierdie titels, blaai asseblief na die tweede helfte, wat spesifiek oor interne oudits en metodologie praat.

Wat is ISO 27001?

ISO 27001 is 'n standaard wat deur die Internasionale Organisasie vir Standaardisering geskep is. Dit word gebruik as 'n raamwerk vir 'n organisasie se Inligtingsekuriteitbestuurstelsel (ISMS). Die standaard is in twee eenvoudige afdelings, die klousules (vereistes, en dus nie opsioneel nie) en bylae A beheer (opsioneel gebruik om geïdentifiseerde inligtingsekuriteitsrisiko's te versag).

Die inligtingsekuriteitbestuurstelsel (ISMS) moet ontwerp, onderhou en voortdurend verbeter word volgens ISO 27001. Dit help om beste praktyke in inligtingsekuriteit te demonstreer, insluitend dele van die EU Algemene Databeskermingsregulasies, deur te help om sterk datasekuriteitsbeginsels en gevolglike prosesse, stelsels en infrastruktuur deur alle aspekte van jou besigheid te vestig.

Wat is 'n inligtingsekuriteitbestuurstelsel (ISMS)?

'n Inligtingsekuriteitbestuurstelsel beskryf en demonstreer jou maatskappy of organisasie se benadering tot die beskerming van data en die handhawing van privaatheid. Dit lê die beleide, prosedures, stelsels en ander komponente uiteen wat gebruik word om af te dwing inligting-sekuriteit regdeur 'n organisasie. An ISMS neem ook belanghebbende partye (soos verskaffers) in ag, die omvang van jou organisasie (waar en waarop jou ISMS van toepassing is) en interne en eksterne kwessies. Vir laasgenoemde kan jy hierdie kwessies bepaal om risiko's of geleenthede aan jou organisasie bekend te stel, waarna jy dan binne jou ISMS sal optree.

Hoekom het jy 'n ISMS nodig?

An Inligtingsekuriteitsbestuurstelsel help met die identifisering en versagting van risiko's gekoppel aan jou mees waardevolle inligting en gepaardgaande bates. Uiteindelik kan 'n funksionerende ISMS 'n organisasie toelaat om die ontwrigting wat veroorsaak word deur sekuriteitsbedreigings te minimaliseer en voorsiening te maak vir voortdurende verbetering. Benewens hierdie intern gefokusde waarde, het 'n suksesvolle ISMS dikwels tasbare kommersiële waarde.

Hoekom oudit jou ISMS?

An oudit van jou ISMS laat toe dat die bestuurstelsel deur 'n objektiewe en bevoegde ouditeur hersien word. Dit sal die elemente van die ISMS toets op grond van standaardvereistes. Dit sal ook meer insig in die organisasie se huidige vlak om sy behoeftes te bereik en korporatiewe doelwitte. Die doeltreffendheid en uitvoerbaarheid van die geskrewe beleide en prosedures word ook gemeet. Laastens, 'n oudit van jou ISMS kan ook kennis neem van die positiewe bevindings om te verseker dat dit voldoende onderhou word en ontwikkeling vir voortdurende verbetering verskaf.

Wat is 'n interne oudit?

Tydens 'n interne oudit, die ouditeur versamel en dokumenteer feite in samewerking met die geouditeerde. 'n Interne oudit meet werklike praktyke (en die gevolglike uitkomste, soos rekords) aan jou ISMS, in lyn met die ISO 27001 standaard. Dit verseker dat jy beste praktyke volg en prosesse om sensitiewe data te beskerm. 'n Bekwame ouditeur moet 'n interne oudit van binne of (opsioneel van buite, bv. 'n konsultant) uitvoer, nou saam met die organisasie.

Hoekom doen ons interne oudits?

Klousule 9.2 van ISO 27001 (en baie ander moderne ISO-standaarde) vereis dat interne oudits met “beplande tussenposes” uitgevoer word. So eerstens moet ons gereelde interne oudits doen. Terloops, die ander vereistes van klousule 9.2 is redelik eenvoudig – ons moet ons oudituitkomste dokumenteer en verseker dat die ouditprogram beplan maar dinamies is. Hierdie laaste punt verseker dat jy dit oorweeg en dienooreenkomstig reageer soos jou organisasie en die eksterne besigheidsomgewing verander.

Afgesien van ISO-vereistes, moet jy gedryf word om te oudit vir verskeie kern organisatoriese drywers:

• Om ondoeltreffendheid in prosesse raak te sien
• Om gebreke raak te sien in die voldoening aan die vereistes van die standaard
• Om goeie praktyke te identifiseer wat herhaal kan word
• Om potensiële verbeterings te soek
• Om voldoening raak te sien

Tipes ISO 27001 interne oudits

Terwyl u ISO 27001-sertifisering behaal en handhaaf, is daar baie kere waar u 'n interne oudit benodig. Daar is verskeie maniere om jou interne ouditstrategie uit te voer. Daar is tye binne jou sertifiseringsreis waar 'n interne oudit jou selfvertroue kan verhoog wanneer jy 'n eksterne oudit ondergaan. Tydens die opbou tot die eerste keer sertifisering is daar twee groot geleenthede vir 'n interne oudit. Daar kan na hulle verwys word as 'n voorstadium 1 oudit (gereedheidsoorsig) en 'n voorstadium 2 oudit.

Voorstadium 1 oudit verduidelik

'n Voorstadium 1 is 'n oudit wat opsioneel, maar baie algemeen, kan plaasvind vir ISO 27001 en sentreer rondom of die huidige beleide en prosedures voldoen aan die vereistes wat in die standaard gestel word. Daar kan ook na 'n voorstadium 1-oudit verwys word as 'n gereedheidsoorsig en kyk gewoonlik net na die gedokumenteerde komponente (beleide, prosedures, ens.) van jou ISMS wat deur jou organisasie geskep is en kyk of dit aan die standaard voldoen. Hierdie oudit sal help verseker jou organisasie is meer voorbereid vir 'n eksterne stadium 1 dokument hersiening van 'n sertifiseringsliggaam.

Die resultaat van 'n voorstadium 1 oudit sou 'n dokument wees wat 'n lys van kontroles en klousules en of die organisasie daaraan voldoen met elke standaard area. Dit sal ook geleenthede vir verbeterings (OFI's) hê, wat die beleide beklemtoon wat die klousule of aanhangsel aanspreek wat dalk hersien moet word. Laastens kan nie-konformiteite gelys word wanneer die ouditeur voel dat die ISMS nie in lyn is met die ISO 27001-standaard nie.

Voorstadium 2 oudit verduidelik

Die voorstadium 2 oudit dek gewoonlik 'n ISO 27001 beheer of klousule van jou keuse. Hierdie oudit bewys die doeltreffendheid van u ouditprosedures en -beleide in die praktyk. Dit bou voort op die voorstadium 1 oudit, om te verseker dat jou organisasie die gedefinieerde prosesse implementeer en beoefen. Hierdie areas word deur die ouditeur getoets en ondersoek om jou organisasie se huidige vlak van te verteenwoordig nakoming van inligtingsekuriteit. Bevindinge word aangeteken en in jou ISMS gestoor.

Koppeling aan klousule 10 van ISO 27001, wat verbeterings en regstellende aksies aanspreek, na voltooiing van 'n voorstadium 2 interne oudit, dokumenteer 'n organisasie hul nie-konformiteite en areas vir verbetering binne hul ISMS. 'n Hersieningsdatum word vir elke bevinding vasgestel sodra 'n behoefte aan aksie vasgestel is.

Ouditprogram

Die ISO 27001-standaard vereis 'n oudit program. 'n Ouditprogram definieer tipies 'n driejaarplan tussen hersertifisering van eksterne oudits. 'n Robuuste ISMS-raamwerk soos ISMS.online gee 'n projekarea wat oudittydraamwerke uiteensit, met besonderhede oor wat aangespreek moet word en ander pertinente besonderhede van die beplande oudit.

Binne hierdie drie jaar is dit algemeen dat alle standaardareas ten minste een keer aangespreek moet word. Ouditprogramme kan en moet buigsaam wees om aan jou organisasie se behoeftes en hoef nie 'n vaste model te pas nie.

Elke oudit word beplan, en die ouditplan bevat tipies besonderhede soos:

• Wanneer die oudit gedoen moet word (moenie normale sakebedrywighede versteur nie)
• Watter areas van die standaard gedek moet word
• Wie sal die oudit doen?
• Die doelwit – hoekom word die oudit gedoen? Dit kan 'n beplande oudit of 'n heroudit van 'n voorheen geïdentifiseerde nie-nakomingsgebied wees.
• Die omvang van die oudit – watter dele van die besigheid is bedoel om in die beskikbare tyd gedek te word?

Daar is subtiel verskillende ouditmetodes:

• Oudits kan klousule vir klousule uitgevoer word en beheer deur kontrole. 'n Goeie voorbeeld van waar hierdie benadering nuttig sal wees, is vir meer algemeen bylae A kontroles, wat 'n risiko wat met almal verband hou, verminder. Dit behels die keuse van dele van die standaard en ouditering oor 'n voorafbepaalde deel of die hele organisasie. 'n Voorbeeld hiervan sou wees A.11 Fisiese sekuriteit vir elk van jou kantore of liggings.
• Nog 'n ouditmetode sluit in die uitvoer van departementele oudits. Hierdie metode sal kyk na die uitvoering van oudits gebaseer op departementele strukture en werkareas. 'n Departementele oudit kan gepas wees as departemente in verskillende streke werksaam is. 'n Voorbeeld kan 'n oudit van jou menslike hulpbronne (HR)-afdeling en sy ISMS-komponente.
• Oudits kan ook op grond van produkte/dienste gedoen word. Dit sal kyk na die take en operasies wat geneem word om 'n spesifieke produk te lewer. ’n Pragmatiese manier waarop dit gedoen kan word, is om van die finale produk te begin en terug te werk tot wanneer aksies die eerste keer begin is. In wese is dit 'n oudit van 'n proses.

Onbeplande/bykomende oudits

Soms voel jy dalk dat jy oudits buite jou aanvanklike ouditprogram binne jou organisasie moet uitvoer. Dit kan om verskeie redes wees wat verband hou met die doeltreffendheid van jou ISMS. Beplande oudits is 'n manier om te wys dat jou organisasie proaktief is en voortdurende verbetering soek. Dit kan egter net so belangrik wees om reageer op die omstandighede van jou organisasie te wees – dit is jou keuse aangesien dit nie 'n vereiste van ISO 27001.

Nog 'n rede waarom 'n organisasie dalk 'n onbeplande oudit moet uitvoer, is om op 'n veiligheidsvoorval of rampgebeurtenis te reageer. As 'n sekuriteitskending deur 'n uitvissing-e-pos sou plaasvind, sal 'n organisasie dit dalk goed ag om aanhangsel A kontrole A.7.2.2 te oudit, wat kyk na personeelbewustheid en opleiding. Dit sou wees om te verseker dat hierdie soort kompromie in sekuriteit nie weer voorkom nie.

'n Voorbeeld van hoekom jy dalk bykomende oudits wil uitvoer, is as gevolg van die bevindinge van jou beplande oudits. Gestel jy sou byvoorbeeld nie-konformiteite binne 'n sekere ouditarea vind, dit kan die beste wees om daardie spesifieke kontrole of klousule met meer gereelde tussenposes te oudit totdat die probleem minder voorkom of die risiko meer draaglik word. Dit sal afhang van jou risiko-aptyt, die potensiële skade en die frekwensie van nie-konformiteite. Dit kan ook nuttig en gepas wees om 'n interne oudit van enige regstellende aksies te doen om sukses te verseker.

Oudituitkomste

Wanneer 'n oudit uitgevoer word, is dit van kardinale belang om jou ontdekkings te dokumenteer en te verseker voortdurende verbetering. Positiewe bevindings word ook opgemerk om idees te help bou en te verseker dat goeie praktyke gehandhaaf word. Nie-konformiteite word aangeteken om te verseker dat regstellende stappe geneem word en kwessies aan 'n verantwoordelike eienaar toegewys word. 'n Algemene gestruktureerde manier waarop oudituitkomste gedokumenteer word, is soos volg:

• Ooreenstemming – Die reëlings word beoordeel om voldoende aan die vereistes van die toepaslike klousule(s) of kontrole(s) te voldoen.
• Geleenthede vir verbetering – Gemerkte gebiede waar die ISMS kan moontlik verbeter word, volgens die organisasie se diskresie. Die organisasie moet die bevinding noukeurig oorweeg en die veranderinge aan die ISMS soos toepaslik dokumenteer.
• Nie ooreenstemming – 'n Kwessie wat in stryd is met 'n vereiste van ISO 27001. Dit sal volledige en behoorlike oplossing vereis stiptelik voor die volgende eksterne oudit.
• Groot nie-nakoming – Versuim om op sistemiese vlak aan die standaard te voldoen, sal waarskynlik aandag van senior bestuur en herstrukturering van inligtingsekuriteitspraktyk verg.

Let daarop dat die bogenoemde benadering nie 'n vereiste van ISO 27001 is nie, so jy kan heeltemal verskillende benaderings gebruik as dit vir jou organisasie werk.

Hoe ISMS.online help met interne oudits

Met ISMS.online laat ons sagtewarediens jou inligtingsekuriteitbestuurstelsel toe om 'n alles-in-een toeganklike ligging te wees. Dit sluit 'n buigsame ouditprogramarea in wat ouditverslae tussen sertifiseringsperiodes kan dokumenteer. Tweedens help ISMS.online organisasies om hul ouditbevindinge te bestuur en dienooreenkomstig aan te spreek. Binne ons sagtewarediens bied dit ook 'n gebied om aan klousule 10 (Verbetering) te voldoen deur 'n regstellende aksies en verbeteringsbaan te verskaf. Dit laat jou organisasie toe om meer proaktief te wees wanneer nie-konformiteite en verbeterings aangespreek word. Dit doen dit deur sy status te sien, 'n verantwoordelike eienaar toe te wys en datums vir voltooiing en hersiening. Al hierdie kenmerke laat 'n organisasie beter georganiseer voel vir 'n eksterne oudit, aangesien alle werkareas en verslae maklik toeganklik is om te wys, wat die proses gladder laat verloop.

ISMS.online bied ook interne ouditdienste aan wat deur inligtingsekuriteitspesialiste uitgevoer word. Dit verseker dat organisasies 'n bevoegde ouditeur het om hul interne oudits uit te voer in ooreenstemming met aanhangsel A.18.2.1, wat noem dat prosesse en prosedures onafhanklik hersien moet word. Dit sal toelaat dat jou ouditbevindinge objektief, akkuraat en waardevol vir jou organisasie is.

Om bykomende ondersteuning te bied, beskik ISMS.online ook oor 'n virtuele afrigter byvoeging, wat video's, gidse en kontrolelyste insluit wat inligting verskaf oor die aanspreek van die ISO 27001-standaard. Daar is 'n afdeling wat verband hou met 9.2 (Interne Oudits) en ander relevante areas. Dit gee rigting aan jou organisasie en help om tyd te bespaar wat gebruik kan word om op meer algemene bedrywighede te fokus. Die gebruik van Virtual Coach sal jou organisasie help om pragmaties te word en jou inligting-sekuriteit vertroue.