Wat is die ISO 27001-ouditproses?

Wat is betrokke by 'n ISO 27001 oudit?

Oudits word algemeen gebruik om te verseker dat 'n aktiwiteit aan 'n stel gedefinieerde kriteria voldoen. Vir alle ISO-bestuurstelselstandaarde word oudits gebruik om te verseker dat die bestuurstelsel aan die vereistes van die betrokke standaard, die organisasie se eie vereistes en doelwitte voldoen, en doeltreffend en doeltreffend bly. Dit sal nodig wees om 'n program van oudits uit te voer om dit te bevestig.

Wat is 'n ISO 27001 oudit?

'n ISO 27001-oudit behels dat 'n bekwame en objektiewe ouditeur die ISBS of elemente daarvan hersien en toets dat dit voldoen aan die vereistes van die standaard, die organisasie se eie inligtingsvereistes en doelwitte vir die ISMS en dat die beleide, prosesse en ander beheermaatreëls doeltreffend is en doeltreffend.

Benewens die algehele nakoming en doeltreffendheid van die ISMS, 'n ISO 27001-oudit is ontwerp om 'n organisasie in staat te stel om sy inligtingsekuriteitsrisiko's tot 'n aanvaarbare vlak te bestuur, sal dit nodig wees om seker te maak dat die geïmplementeerde beheermaatreëls wel risiko verminder tot 'n punt waar die risiko-eienaar(s) graag duld. die oorblywende risiko.

Wat is die tipe oudits?

Die standaard vereis dat 'n organisasie moet beplan en voer 'n skedule van "interne oudits" uit om nakoming te kan eis aan die standaard. Verder, as 'n organisasie sertifisering wil behaal, sal dit vereis dat "eksterne oudits" deur 'n "Sertifiseringsliggaam" uitgevoer moet word - 'n geakkrediteerde organisasie met die bevoegde hulpbronne vir ouditering teen ISO 27001.

Om maksimum voordeel uit die ISMS te verseker, word dit sterk aanbeveel om te verseker dat die geselekteerde sertifiseringsliggaam deur 'n erkende toesighoudende owerheid geakkrediteer is. Binne die VK is sertifiseringsliggame geakkrediteer deur UKAS – die Verenigde Koninkryk Akkreditasiediens. Dit is die enigste akkreditasie-liggaam wat deur die regering gemagtig is in die Verenigde Koninkryk.

Interne Oudit

Interne oudits, soos die naam aandui, is daardie oudits wat deur die organisasie op die organisatoriese ISBS uitgevoer word. As die organisasie nie het nie bevoegde en objektiewe ouditeure binne sy eie personeel, kan hierdie oudits deur 'n kontrakteur uitgevoer word.

Eksterne oudit

Die term "eksterne oudits" is meestal van toepassing op daardie oudits wat deur 'n sertifiseringsliggaam uitgevoer word met die doel om sertifisering te bekom of in stand te hou, maar dit kan ook gebruik word om te verwys na daardie oudits wat deur ander belanghebbende partye (bv. vennote of kliënte) wat wil hul eie versekering van die organisasie se ISMS verkry. Dit is veral waar wanneer so 'n party vereistes het wat verder gaan as dié van die standaard.

Waarom is ISO 27001-oudits belangrik?

Sonder om te verifieer hoe jou ISMS bestuur en presteer, is daar geen werklike waarborg van versekering dat dit lewer teen die doelwitte wat dit gestel is om te bereik nie. Oudits lewer 'n mate van hierdie versekering.

Hoekom moet ek my ISMS oudit?

Daar is 'n aantal redes vir die ouditering van jou ISMS:

Wat is betrokke by ISO 27001 interne oudits?

Dokumentasie hersiening – Dit is 'n hersiening van die organisasie se beleide, prosedures, standaarde en leidingdokumentasie om te verseker dat dit geskik is vir die doel en hersien en onderhou word.

Bewysoudit (of veldoorsig) – Dit is 'n ouditaktiwiteit wat aktief bewyse neem om te wys dat beleide nagekom word, dat prosedures en standaarde gevolg word en dat leiding oorweeg word.

Analise – Na aanleiding van dokumentasie-oorsig en/of bewyssteekproefneming, sal die ouditeur die bevindinge assesseer en ontleed om te bevestig of daar aan die vereistes van die standaard voldoen word.

Ouditverslag – 'n Ouditverslag sal voorberei moet word soos vereis deur die standaard in Klousule 9.2 f) en aan die bestuur verskaf moet word om sigbaarheid te verseker.

Bestuur hersiening – Dit is 'n vereiste aktiwiteit onder Klousule 9.3 Bestuursoorsig wat die bevindinge van die oudits wat uitgevoer is, moet oorweeg om te verseker dat regstellende aksies en verbeterings geïmplementeer word soos nodig.

Wat is betrokke by 'n eksterne ISO 27001-oudit?

Die prosesse vir eksterne oudit is in wese dieselfde as vir die interne ouditprogram maar word gewoonlik uitgevoer met die doel om sertifisering te bereik en te handhaaf. Die program van eksterne [sertifisering] oudits sal deur die eksterne ouditeure [sertifiseringsliggaam] bepaal word, maar sal 'n sistematiese vereiste volg.

Die betrokke ouditeur sal 'n plan van die oudit verskaf en sodra dit deur die organisasie bevestig is, sal hulpbronne toegewys word en datums, tye en plekke ooreengekom word. Die oudit sal dan uitgevoer word volgens die ouditplan.

Hoe gereeld word eksterne oudits uitgevoer?

Verskillende akkreditasie-liggame regoor die wêreld stel verskillende vereistes vir die program van sertifisering uiteen oudits, in die geval van UKAS-geakkrediteerde sertifikate, sal dit egter die volgende insluit:

  • Aanvanklike sertifiseringsoudit – uitgevoer in 2 fases.
  • Periodieke toesigoudits - tipies met 6 maandelikse of, met 'n minimum, jaarlikse intervalle.
  • Hersertifiseringsoudits word elke 3 jaar uitgevoer.

Wat is die tipes en stadiums van eksterne oudits?

  • Fase 1 oudit – “Dokumentasie-oorsig” om vas te stel dat die organisasie die vereiste dokumentasie vir 'n operasionele ISBS het.
  • Fase 2 oudit – “Sertifiseringsoudit” – 'n bewysoudit om te bevestig dat die organisasie is die ISMS te bedryf in ooreenstemming met die standaard – dit wil sê dat die gedokumenteerde beleide, prosedures en standaarde geïmplementeer, operasioneel en effektief is. Hierdie bewysoudit word op 'n steekproefbasis uitgevoer.
  • Toesig oudit – Ook bekend as "Periodiese oudits", word dit op 'n geskeduleerde basis uitgevoer tussen sertifisering en hersertifisering oudits en sal op een of meer areas van die ISBS fokus.
  • Hersertifisering oudit – Uitgevoer voordat die sertifiseringstydperk verstryk (3 jaar vir UKAS-geakkrediteerde sertifikate) en is 'n meer deeglike hersiening as dié wat tydens 'n toesigoudit uitgevoer is. Dit dek alle areas van die standaard.

Benewens die program van formele sertifisering eksterne oudits hierbo, kan daar van jou verwag word om 'n eksterne oudit te ondergaan deur 'n belangstellende derde party soos 'n kliënt, vennoot of reguleerder. Die betrokke party sal gewoonlik vir jou 'n ouditplan verskaf en opvolg met 'n ouditverslag wat in jou ISMS ingevoer moet word Bestuur hersiening.

Die waarde van 'n ISO 27001 oudit met/sonder sertifisering

Die organisasie se besluit om te bereik nakoming en moontlik sertifisering aan ISO 27001 sal afhang van die redes vir die implementering en bedryf van 'n formele, gedokumenteerde ISMS en dit sal dikwels gedokumenteer word binne 'n besigheidsgeval wat die verwagte doelwitte en opbrengs op belegging sal identifiseer.

Sonder sertifisering kan die organisasie slegs aanspraak maak op "voldoening" aan die standaard, en hierdie voldoening word nie deur enige geakkrediteerde derde party verseker nie. As die rede vir die implementering van die ISMS slegs vir verbeterde sekuriteitsbestuur en interne versekering is, kan dit voldoende wees.

Vir maksimum voordeel en opbrengs op belegging wat uit die ISMS verkry kan word in terme van die verskaffing van versekering aan die organisasie se eksterne belanghebbende partye en belanghebbendes sal 'n onafhanklike, eksterne, geakkrediteerde sertifiseringsouditprogram vereis word.

Onthou dat die enigste verskil in terme van moeite tussen "nakoming" en "sertifisering" die program van eksterne sertifisering-oudits is. Dit is omdat om werklik aanspraak te maak op "voldoening" aan die standaard, sal die organisasie steeds alles moet doen wat deur die standaard vereis word - selfgetoetste "nakoming" verminder nie die hulpbronne wat benodig word en die moeite verbonde aan die implementering en bedryf van 'n ISMS nie.

Voorbereiding vir 'n ISO 27001 sertifisering oudit

By die voorbereiding vir 'n sertifiseringsoudit moet die volgende sleutelpunte in ag geneem word:

Is die sleutelprosesse van die ISMS geïmplementeer en operasioneel?

  • Organisatoriese konteks – Begrip en dokumentasie van die organisatoriese konteks en vereistes vir inligtingsekuriteit, insluitend dié van belanghebbende partye. Dit sal ook insluit dokumentasie van die omvang van die ISMS
  • Risiko- en geleentheidbestuur – Het die organisasie geïdentifiseer en geassesseer inligting-sekuriteit risiko's en geleenthede en 'n behandelingsplan gedokumenteer?
  • Leierskap – Kan sterk topvlakleierskap gedemonstreer word – bv deur die verskaffing van hulpbronne en 'n gedokumenteerde verbintenisverklaring binne die organisasie veiligheidsbeleid.
  • Interne Oudit – Is 'n program van interne oudits gedokumenteer, ooreengekom en begin in ooreenstemming met Klousule 9.2?
  • Bestuur hersiening – Het die ISMS 'n formele bestuursoorsig ondergaan in ooreenstemming met Klousule 9.3
  • Korrektiewe aksie – Kan die organisasie aantoon dat regstellende aksies en verbeterings op 'n effektiewe en doeltreffende wyse bestuur en geïmplementeer word?

Is die vereiste dokumente in plek en goedgekeur?

Is bewysrekords maklik om op te spoor en toegang te verkry?

Laat alle personeel en relevante kontrakteurs ontvang inligtingsekuriteit onderwys, opleiding en bewustheid?

Dit is ook goeie praktyk om te verseker dat diegene met wie onderhoude gevoer gaan word ingelig is oor wat om te verwag tydens die oudit en hoe om te reageer. Maak ook seker dat hulle maklik toegang tot dokumente en bewyse het wat deur die ouditeur versoek kan word.

Wie voer 'n ISO 27001-oudit uit?

Alle oudits teen ISO 27001 moet deur bekwame en objektiewe ouditeure uitgevoer word.

Om bevoegdheid vir ISO 27001 oudit te demonstreer, word dit gewoonlik vereis dat die ouditeur aantoonbare kennis van die standaard en hoe om 'n oudit te doen het. Dit kan wees deur 'n ISO 27001-hoofouditeurkursus by te woon of deur 'n ander erkende ouditiekwalifikasie te hê en dan bewysbare kennis van die standaard. Dit kan moontlik wees om te wys dat 'n ouditeur bevoeg is sonder formele opleiding, maar dit sal waarskynlik 'n moeiliker gesprek met jou sertifiseringsliggaam wees.

Om objektiwiteit te demonstreer, moet aangetoon word dat die ouditeur nie hul eie werk oudit nie en dat hulle nie onnodig beïnvloed word deur hul verslagdoeningslyne nie. Vir kleiner organisasies of diegene wat duideliker objektiwiteit wil hê, kan dit meer prakties wees om 'n gekontrakteerde ouditeur in te bring.

Sertifiseringsliggame sal hul ouditeure vir bevoegdheid nagegaan het en moet bereid wees om dit op versoek aan jou te demonstreer.

Hoe
ISMS.online die ouditproses doeltreffender maak?

ISMS.online sluit 'n voorafgeboude ouditprogramprojek in wat beide interne en eksterne oudits dek en kan ook oudits teen BBP as jy hierdie opsie geneem het.

Die voorafgeboude ouditprogram sluit in:

  • Aktiwiteite vir 2 aanbevole oudits voor sertifisering
  • A plan vir interne oudits vir die eerste 3-jaar sertifiseringsperiode
  • Plekhouers vir jou eksterne sertifisering en periodieke oudits

Benewens die verskaffing van die ouditprogramprojek, die vermoë om vinnig met ander werkareas binne die alles-in-een-plek te skakel ISMS.aanlyn platform beteken dat die koppeling van ouditbevindinge aan kontroles, aan regstellende aksies en verbeterings en selfs aan risiko's maklik en toeganklik gemaak word. Dit sal jou in staat stel om die gesamentlike bestuur van geïdentifiseerde bevindings maklik aan jou eksterne ouditeur te demonstreer.

Het jy meer inligting nodig? Kontak asseblief vir praat vandag met een van ons kundiges.

Hoe gereeld moet ek 'n interne oudit uitvoer?

U moet interne oudits uitvoer wat ten minste die hele standaard dek oor die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifikate).

Jy kan dit as 'n enkele oudit doen, maar dit word meer algemeen in kleiner oudits oor die 3-jaar tydperk opgedeel.

Dit is ook belangrik om sommige areas meer gereeld te oudit as die risikovlakke hoog is of die area onderhewig is aan gereelde veranderinge.

Dit word aanbeveel dat jy die bestuurstelselvereistes (klousule 4-10) op 'n jaarlikse basis oudit en dit kan gekoppel word aan jou ISMS-bestuursoorsig wat ook jaarliks ​​uitgevoer moet word.

Hoeveel besonderhede moet jy in 'n ISO 27001 interne ouditoefening insluit?

Die minimum wat vereis word, is dat jy die areas wat geoudit is dokumenteer, enige bewyse wat gemonster is, en enige afwykings en geleenthede vir verbetering geïdentifiseer is, maar dit is goeie praktyk en bied aansienlik meer voordeel as jy alle bevindings dokumenteer, insluitend waar iets reg werk – en dit sal 'n meer positiewe gevoel aan die ouditverslag gee.

Wat behels 'n ISO 27001-sertifiseringsoudit?

'n Aanvanklike ISO 27001-sertifiseringsoudit behels:

Fase 1 oudit - "Dokumentasie-oorsig" om vas te stel dat die organisasie die vereiste dokumentasie vir 'n operasionele ISBS het.

Fase 2 oudit - “Sertifiseringsoudit” – 'n bewysoudit om te bevestig dat die organisasie die ISMS in ooreenstemming met die standaard bedryf – dit wil sê dat die gedokumenteerde beleide, prosedures en standaarde geïmplementeer, operasioneel en effektief is. Hierdie bewysoudit word op 'n steekproefbasis uitgevoer.

Om jou sertifisering vorentoe te behou, behels dit:

Toesig oudits - Ook bekend as "Periodic Audits" hierdie word uitgevoer op 'n geskeduleerde basis tussen sertifisering en hersertifisering oudits en sal fokus op een of meer areas van die ISMS.

Hersertifisering oudit - Uitgevoer voordat die sertifiseringstydperk verstryk (3 jaar vir UKAS-geakkrediteerde sertifikate) en is 'n meer deeglike hersiening as dié wat tydens 'n toesigoudit uitgevoer is. Dit dek alle areas van die standaard.

 

« Hoe om algemene ISO 27001 interne ouditfoute te vermy

Hoe verduidelik ek 'n ISMS aan my kollegas? »

Laas geredigeer: 17 Januarie 2022
skrywer

Mark Sharron

Mark werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001 en voldoening.

Bekyk alle plasings deur Mark Sharron

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind