Wat is betrokke by 'n ISO 27001 oudit?

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

gemaklik, man,, vryskut, werk, op, skootrekenaar, rekenaar, en, klik, draadloos

casual,man,,freelance,working,on,laptop,computer,and,clicking,wireless

Oudits word algemeen gebruik om te verseker dat 'n aktiwiteit aan 'n stel gedefinieerde kriteria voldoen. Vir alle ISO-bestuurstelselstandaarde word oudits gebruik om te verseker dat die bestuurstelsel aan die betrokke standaard se vereistes, die organisasie se eie vereistes en doelwitte voldoen, en doeltreffend en doeltreffend bly. Dit sal nodig wees om 'n program van oudits uit te voer om dit te bevestig.

Wat is 'n ISO 27001 oudit?

An ISO 27001 oudit behels 'n bevoegde en objektiewe ouditeur wat nagaan:

Die ISMS of elemente daarvan en toets dat dit aan die standaard se vereistes voldoen,
Die organisasie se eie inligtingsvereistes, doelwitte vir die ISMS,
Dat die beleide, prosesse en ander beheermaatreëls prakties en doeltreffend is.

Benewens die algehele nakoming en doeltreffendheid van die ISMS, as ISO 27001 is ontwerp om 'n organisasie in staat te stel om sy inligtingsekuriteitsrisiko's te bestuur tot 'n aanvaarbare vlak, sal dit nodig wees om te kontroleer dat die geïmplementeerde beheermaatreëls wel risiko verminder tot 'n punt waar die risiko-eienaar(s) gelukkig is om die oorblywende risiko te duld.

Wat is die tipe oudits?

Die standaard vereis dat daar van 'n organisasie vereis word om 'n skedule van "interne oudits" te beplan en uit te voer om voldoening aan die standaard te kan eis. Verder, as 'n organisasie sertifisering wil behaal, sal dit vereis dat "eksterne oudits" deur 'n "Sertifiseringsliggaam" uitgevoer moet word - 'n organisasie met bevoegde oudithulpbronne teen ISO 27001.

Om maksimum voordeel uit die ISMS te verseker, word dit sterk aanbeveel om te verseker dat die geselekteerde sertifiseringsliggaam deur 'n erkende toesighoudende owerheid geakkrediteer is. Binne die VK is sertifiseringsliggame geakkrediteer deur UKAS – die Verenigde Koninkryk Akkreditasiediens.

Interne Oudit

Interne oudits, soos die naam aandui, is daardie oudits wat deur die organisasie se eie hulpbronne uitgevoer word. Indien die organisasie nie bevoegde en objektiewe ouditeure binne sy eie personeel het nie, kan hierdie oudits deur 'n gekontrakteerde verskaffer uitgevoer word. Dit word dikwels na verwys as "2de party oudits" aangesien die verskaffer as 'n "interne hulpbron" optree.

Eksterne oudit

Die term "eksterne oudits" is die algemeenste van toepassing op daardie oudits wat deur 'n sertifiseringsliggaam uitgevoer word om sertifisering te verkry of in stand te hou. Die term kan egter ook gebruik word om te verwys na daardie oudits wat uitgevoer word deur ander belanghebbende partye (bv. vennote of kliënte) wat hul eie versekering van die organisasie se ISBS wil verkry. Dit is veral waar wanneer so 'n party vereistes het wat verder gaan as dié van die standaard.

Ons het meer ISO 27001-vordering gemaak in die afgelope 2 weke met behulp van ISMS.online as wat ons die afgelope jaar gedoen het.

Tom Woolrych

Diens- en Ondersteuningsbestuurder, Die Werksmag
Ontwikkelingstrust

Bespreek jou demo

Almal wat ons gehelp het om vir 'n ISO 27001-oudit te gaan het die eerste keer geslaag. Jy kon ook.

Bespreek jou demo

Waarom is ISO 27001-oudits belangrik?

Sonder om te verifieer hoe jou ISMS bestuur en presteer, is daar geen werklike waarborg van versekering dat dit lewer teen die doelwitte wat dit gestel is om te bereik nie.

Oudits lewer 'n mate van hierdie versekering.

Hoekom moet ek my ISMS oudit?

Daar is baie redes om jou ISMS te oudit:

Die standaard vereis dit – Klousule 9.2 Interne oudit mandaat 'n program van interne oudits.
Om te verseker dat jou ISMS voldoende geïmplementeer en bedryf word.
Om te verseker dat die ISMS aan die vereistes van die standaard.
Om te verseker dat die ISMS aan die organisasie se eie vereistes voldoen.
Om te verseker dat die ISMS voldoen aan die doelwitte gestel deur die organisasie vir inligtingsekuriteit teen Klousule 6.2 Inligtingsekuriteitsdoelwitte en beplanning om hulle te bereik.
Om te verseker dat die ISMS doeltreffend is om te verminder inligtingsekuriteitsrisiko's tot 'n aanvaarbare vlak.
Om te verseker dat enige nie-konformiteite en regstellende aksies word betyds aangespreek.
Om te verseker dat swakhede, gebeure en voorvalle in inligtingsekuriteit gerapporteer, bestuur en doeltreffend en doeltreffend opgelos word.

Wat is betrokke by ISO 27001 interne oudits?

Dokumentasie hersiening – Dit is 'n hersiening van die organisasie se beleide, prosedures, standaarde en leidingdokumentasie om te verseker dat dit geskik is vir die doel en hersien en onderhou word.
Bewysoudit (of veldoorsig) – Dit is 'n ouditaktiwiteit wat aktief bewyse neem om te wys dat beleide nagekom word, dat prosedures en standaarde gevolg word en dat leiding oorweeg word.
Analise – Na aanleiding van dokumentasie-oorsig en/of bewyssteekproefneming, sal die ouditeur die bevindinge assesseer en ontleed om te bevestig of aan die standaardvereistes voldoen word.
Ouditverslag – 'n Ouditverslag sal voorberei moet word soos vereis deur die standaard in Klousule 9.2 f) en aan die bestuur verskaf moet word om sigbaarheid te verseker.
Bestuur hersiening – is 'n vereiste aktiwiteit onder Klousule 9.3 Bestuursoorsig, wat die bevindinge van die oudits wat uitgevoer is, moet oorweeg om te verseker dat regstellende aksies en verbeterings geïmplementeer word soos nodig.

Bereik jou eerste ISO 27001

Laai jou gratis gids vir vinnige en volhoubare sertifisering af

As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!

Mark Wightman

Hoof Tegniese Beampte Aluma

100% van ons gebruikers slaag die eerste keer sertifisering

Bespreek jou demo

Wat is betrokke by 'n eksterne ISO 27001-oudit?

Die prosesse vir eksterne oudit is in wese dieselfde as vir die interne ouditprogram, maar word gewoonlik uitgevoer om sertifisering te bereik en in stand te hou.

Die program van eksterne [sertifisering] oudits sal deur die eksterne ouditeure [sertifiseringsliggaam] bepaal word, maar sal 'n sistematiese vereiste volg (sien hieronder).

Die betrokke ouditeur sal 'n plan van die oudit verskaf, en sodra die organisasie dit bevestig, sal hulpbronne toegewys word en datums, tye en plekke ooreengekom word.

Die oudit sal dan uitgevoer word volgens die ouditplan.

Hoe gereeld word eksterne oudits uitgevoer?

Verskillende akkreditasie-liggame regoor die wêreld stel verskillende vereistes vir die program van sertifiseringsoudits uiteen; in die geval van UKAS-geakkrediteerde sertifikate, sal dit egter insluit:

Aanvanklike sertifiseringsoudit – uitgevoer in 2 fases.
Periodieke toesigoudits - tipies met 6 maandelikse of, met 'n minimum, jaarlikse intervalle.
Hersertifiseringsoudits word elke 3 jaar uitgevoer.

Wat is die tipes en stadiums van eksterne oudits?

Fase 1 Oudit – “Documentation Review” stel vas dat die organisasie het die vereiste dokumentasie vir 'n operasionele ISMS.
Fase 2 Oudit – “Sertifiseringsoudit” – 'n bewysoudit om te bevestig dat die organisasie die ISMS in ooreenstemming met die standaard bedryf – dit wil sê dat die gedokumenteerde beleide, prosedures en standaarde geïmplementeer, operasioneel en effektief is. Hierdie bewysoudit word op 'n steekproefbasis uitgevoer.
Toesig Oudit – ook bekend as "Periodic Audits", word op 'n geskeduleerde basis tussen sertifisering en hersertifisering oudits uitgevoer en sal op een of meer ISMS-areas fokus.
Hersertifisering Oudit – Uitgevoer voordat die sertifiseringstydperk verstryk (3 jaar vir UKAS-geakkrediteerde sertifikate) en is 'n meer deeglike hersiening as dié wat tydens 'n toesigoudit uitgevoer is. Dit dek alle areas van die standaard.

Benewens die formele sertifisering eksterne ouditprogram hierbo, kan daar van jou verwag word om 'n eksterne oudit te ondergaan deur 'n belangstellende derde party soos 'n kliënt, vennoot of reguleerder. Die betrokke party sal gewoonlik aan jou 'n ouditplan verskaf en opvolg met 'n ouditverslag wat in jou ISMS Bestuursoorsig ingevoer moet word.

Sien ons platformkenmerke in aksie

'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte

Bespreek jou demo

Vind jy ISO 27001 verwarrend?

Praat met 'n spesialis

Waarde van 'n ISO 27001-oudit met/sonder sertifisering

Die organisasie se besluit om te bereik nakoming en moontlik sertifisering aan ISO 27001 sal afhang van die implementering en bedryf van 'n formele, gedokumenteerde ISMS. Dit sal dikwels gedokumenteer word in 'n sakesaak wat die verwagte doelwitte en opbrengs op belegging sal identifiseer.

Sonder sertifisering kan die organisasie slegs aanspraak maak op "voldoening" aan die standaard, en hierdie voldoening word nie deur enige geakkrediteerde derde party verseker nie. As die rede vir die implementering van die ISMS slegs vir verbeterde sekuriteitsbestuur en interne versekering is, kan dit voldoende wees.

Vir maksimum voordeel en opbrengs op belegging wat uit die ISMS verkry kan word in terme van die verskaffing van versekering aan die organisasie se eksterne belanghebbende partye en belanghebbendes, 'n onafhanklike, eksterne, geakkrediteerde sertifiseringsouditprogram sal vereis word.

Onthou dat die enigste verskil in terme van moeite tussen "nakoming" en "sertifisering" die program van eksterne sertifisering-oudits is. Dit is omdat om werklik aanspraak te maak op "voldoening" aan die standaard, sal die organisasie steeds alles moet doen wat deur die standaard vereis word - selfgetoetste "nakoming" verminder nie die hulpbronne wat benodig word en die moeite verbonde aan die implementering en bedryf van 'n ISMS nie.

Voorbereiding vir 'n ISO 27001 sertifisering oudit

Wanneer u vir 'n sertifiseringsoudit voorberei, moet die volgende sleutelpunte in ag geneem word:

Is die sleutel proses van die ISMS geïmplementeer en operasioneel?
- Organisatoriese konteks – Begrip en dokumentasie van die organisatoriese konteks en vereistes vir inligtingsekuriteit, insluitend belanghebbende partye. Dit sal ook die dokumentasie van die omvang van die ISMS insluit
- Risiko- en geleentheidbestuur – Het die organisasie geïdentifiseer en geassesseer inligtingsekuriteitsrisiko's en geleenthede en 'n behandelingsplan gedokumenteer?
- Leierskap – Kan sterk topvlakleierskap gedemonstreer word – bv deur die verskaffing van hulpbronne en 'n gedokumenteerde verbintenisverklaring binne die organisatoriese veiligheidsbeleid.
- Interne oudit – Is 'n program van interne oudit gedokumenteer, ooreengekom en begin in ooreenstemming met Klousule 9.2?
- Bestuursoorsig – het die ISMS 'n formele bestuursoorsig ondergaan ooreenkomstig Klousule 9.3
- Regstellende aksie en Voortdurende verbetering – kan die organisasie aantoon dat regstellende aksies en verbeterings op 'n effektiewe en doeltreffende wyse bestuur en geïmplementeer word?
Is die vereiste dokumente in plek en goedgekeur?
- ISMS-omvangverklaring (Klousule 4.3)
- Organisatoriese inligtingsekuriteitsbeleid (Klousule 5.2)
- Risikobestuursmetode (Klousule 6.1.2 & 6.1.3)
- Risikoregister en behandelingsplan (klousule 6.1.3 e)
- Verklaring van toepaslikheid (Klousule 6.1.3 d)
- Beleide en prosesse vereis kragtens Bylae A waar kontroles van toepassing is.
Is bewysrekords maklik om op te spoor en toegang te verkry?
Laat alle personeel en relevante kontrakteurs ontvang inligting sekuriteit onderwys, opleiding en bewustheid?Dit is ook goeie praktyk om te verseker dat diegene met wie onderhoude gevoer gaan word ingelig is oor wat om te verwag tydens die oudit en hoe om te reageer. Maak ook seker dat hulle maklik toegang tot dokumente en bewyse het wat deur die ouditeur versoek kan word.

Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.

Andrew Bud

stigter, iproov

Bespreek jou demo

Ons maak dit maklik om ISO 27001 te bereik

Kry 'n voorsprong van 77%.

Ons ISMS is vooraf gekonfigureer met gereedskap, raamwerke en dokumentasie wat jy kan aanneem, aanpas of by kan voeg. Eenvoudig.

U pad na sukses

Ons metode vir versekerde resultate is ontwerp om jou met jou eerste poging gesertifiseer te kry. 100% suksessyfer.

Kyk en leer

Vergeet van tydrowende en duur opleiding. Ons Virtual Coach-videoreeks is 24/7 beskikbaar om jou deur te lei.

Bespreek jou demo

Wie voer 'n ISO 27001-oudits uit?

Alle oudits teen ISO 27001 moet deur bekwame en objektiewe ouditeure uitgevoer word.

Om bevoegdheid vir ISO 27001 oudit te demonstreer, word dit gewoonlik vereis dat die ouditeur aantoonbare kennis van die standaard en hoe om 'n oudit te doen het. Dit kan wees deur 'n ISO 27001-hoofouditeurkursus by te woon of deur 'n ander erkende ouditiekwalifikasie te hê en dan bewysbare kennis van die standaard. Dit kan moontlik wees om aan te toon dat 'n ouditeur bevoeg is sonder formele opleiding. Dit sal egter waarskynlik 'n moeiliker gesprek met jou sertifiseringsliggaam wees.

Om objektiwiteit te demonstreer, moet aangetoon word dat die ouditeur nie hul eie werk oudit nie en dat hulle nie onnodig beïnvloed word deur hul verslagdoeningslyne nie.

Dit kan meer prakties wees vir kleiner organisasies of diegene wat duideliker objektiwiteit wil hê om 'n gekontrakteerde ouditeur in te bring.

Sertifiseringsliggame sal hul ouditeure vir bevoegdheid nagegaan het en moet bereid wees om dit op versoek aan jou te demonstreer.

Hoe maak ISMS.online die ouditproses doeltreffender?

ISMS.online sluit 'n voorafgeboude ouditprogramprojek in wat beide interne en eksterne oudits dek en kan ook oudits teen GDPR insluit as jy hierdie opsie geneem het.

Die voorafgeboude ouditprogram sluit in:

Aktiwiteite vir 2 aanbevole oudits voor sertifisering
'n Plan van interne oudits vir die eerste 3-jaar sertifiseringsperiode
Plekhouers vir jou eksterne sertifisering en periodieke oudits

Benewens die verskaffing van die ouditprogramprojek, beteken die vermoë om vinnig na ander werkareas binne die alles-in-een-plek ISMS.aanlyn-platform te skakel, die koppeling van ouditbevindings aan kontroles, regstellende aksies en verbeterings, en selfs risiko's word maklik gemaak en toeganklik. Dit sal jou in staat stel om die gesamentlike bestuur van geïdentifiseerde bevindings maklik aan jou eksterne ouditeur te demonstreer.