Hoe u veelvoorkomende interne auditfouten in ISO 27001 kunt voorkomen
Inhoudsopgave:
- 1) Wat is een ISO 27001 interne audit?
- 2) Waarom zijn interne audits belangrijk?
- 3) Wat zegt de ISO-norm dat we moeten doen?
- 4) Wat zegt de ISO-norm NIET dat we moeten doen?
- 5) Wie voert een ISO 27001 interne audit uit?
- 6) Waar zijn accountants naar op zoek?
- 7) Interne audits zijn niet subjectief
- 8) Waarom kiezen voor ISMS.online om u te helpen?
- 9) « Wat zijn de verschillende soorten ISO 27001 interne audits?
- 10) Wat is het ISO 27001-auditproces? »
Interne audits van het managementsysteem zijn een verplichte vereiste van ISO 27001 en alle andere reguliere ISO-normen. De vereisten zijn zeer minimaal, maar als ze objectief worden onderzocht, zijn de details ervan zeer weinig prescriptief. Dit betekent dat er aanzienlijke mogelijkheden zijn om de auditprocessen te stroomlijnen en echte zakelijke voordelen te behalen uit uw interne audits. Helaas, soms historisch gezien, is de audits worden gezien als pijn die geen waarde toevoegt; echter – we leggen uit waarom dit kan gebeuren en hoe u dit kunt voorkomen met behulp van onze interne auditchecklist.
Veelgemaakte fout: het niet omarmen van de interne audits als hulpmiddel voor bedrijfsverbetering
Af en toe een objectieve kijk op uw processen en systemen kan veel onbenutte waarde opleveren.
Wat is een ISO 27001 interne audit?
‘Audit’ is een woord dat niemand graag hoort – het heeft historisch gezien en in het algemeen een negatieve en belastende connotatie. Deze zijn voornamelijk verouderd; echter – verlichte organisaties zien het audits als verbeteringsinstrument voor hun managementsystemen en proces. In het geval van een ISO 27001 Information Security Management System (ISMS) zijn deze audits gericht op informatiebeveiligingsgerelateerde regelingen.
Veelgemaakte fout: een certificeringsaudit op een officiële en te formele manier uitvoeren
De ‘toon’ van de intern auditrapport kan (en wij denken dat dit moet) door de auditor worden gestimuleerd om vriendelijk en collaboratief te zijn. Zolang de relevante bevindingen aan het einde van het auditproces naar voren komen, is dat een succesvol resultaat.
De ISMS bestaat uit de noodzakelijke processen, procedures, protocollen en mensen om haar informatie en informatiesystemen te beschermen tegen het ISO 27001-standaardraamwerk. Een interne ISO 27001-audit is het proces waarbij wordt bepaald of uw ISMS werkt zoals ontworpen en op zoek is naar verbeteringen (zoals beschreven in clausule 10.2 – met de treffende titel “voortdurende verbetering”). Praktisch gezien een interne ISO 27001 audit helpt organisaties ervoor te zorgen dat zij zich houden aan hun zelf voorgeschreven eisen (ook gedefinieerd in het ISMS) en de standaardeisen.
Veelgemaakte fout: in uw ISMS definiëren dat er iets gebeurt – terwijl dit in werkelijkheid niet gebeurt
Het is onvergeeflijk zoals jij jouw definitie definieert managementsysteem dat bij uw bedrijf past. U heeft daarom een audit trap in uw managementsysteem ingebouwd. In artikel 9.2 stellen de managementvereisten van ISO 27001 dat de organisatie interne audits moet uitvoeren met “geplande intervallen” – hoe u deze intervallen ook definieert.
Veelgemaakte fout: het niet definiëren van de juiste “geplande intervallen” in het auditprogramma
Deze definitie is bedoeld om flexibiliteit te bieden bij het bepalen van uw programma, maar het is vaak zo dat de juiste 'sweet spot' niet wordt gevonden, wat leidt tot onder- of overauditing.
Waarom zijn interne audits belangrijk?
Audits verzekeren de prestaties van een ISMS ten opzichte van de doelstellingen die ervoor zijn gesteld. Zonder deze zekerheid is er geen echte garantie over hoe goed het programma zal presteren bij het beschermen van de informatie van uw bedrijf. Interne audits zijn essentieel omdat ze organisaties helpen zwakke punten in hun organisatie te identificeren en te corrigeren managementsysteem voor informatiebeveiliging. De auditcriteria/uitkomsten worden vervolgens op verschillende manieren gebruikt:
- Om het leiderschap/management van de prestaties van het ISMS te beoordelen
- Naar het ISMS verbeteren
- Zoeken naar synergieën in termen van potentiële problemen en correcties
- Om delen van de systemen en processen te repareren die niet werken volgens ontwerp
Veelgemaakte fout: het management niet snel genoeg waarschuwen wanneer actie nodig is
Het is mogelijk dat het senior management wijzigingen in uw ISMS niet rechtstreeks doorvoert na beoordeling. Toch moeten ze betrokken worden, bewust van problemen, oplossingen en verbeteringen stimuleren.
Wat zegt de ISO-norm dat we moeten doen?
Clausule 9.2 van ISO 27001 eist slechts een paar dingen van uw interne audits
- Dat ze “gepland” zijn – dat wil zeggen dat er een programma van audits is gedefinieerd en gedocumenteerd
- Het auditprogramma is dynamisch en passend bij uw organisatie
- Auditresultaten worden gedocumenteerd
- Het management wordt op passende wijze beoordeeld op de auditresultaten
Het proces mag daarom niet te veeleisend zijn, en de algemene aanpak vereist de toepassing van gezond verstand. Delen van uw bedrijf die in het verleden slechte auditresultaten hebben gehad, zullen in de toekomst waarschijnlijk diepgaander worden gecontroleerd, misschien vaker en mogelijk door uw oudste auditor. Omgekeerd zouden voor die gebieden die eerdere audits hebben doorstaan, de auditdiepte, -frequentie of beide op passende wijze kunnen worden verminderd in het toekomstige programma.
De meeste organisaties stellen een auditprogramma op voor het bedrijf voor het komende jaar, soms langer, bijvoorbeeld voor de driejarige levenscyclus van hun certificering.
Veelgemaakte fout: het niet naleven van het auditprogramma
Achterop raken bij uw interne audits is een van de gemakkelijkste manieren om uw werk te doen ISMS-certificering op risico. Als dit gebeurt, zo snel mogelijk aanpakken is altijd het beste advies.
Veelgemaakte fout: te weinig of te weinig audit van delen van uw managementsysteem
Er moet over de frequentie worden nagedacht en er moet een evenwicht worden gevonden. De ISO-norm vereist dat er rekening wordt gehouden met “het belang van processen”, wat betekent dat sommige delen van uw ISMS vaker zullen worden gecontroleerd dan andere, indien van toepassing.
Veelgemaakte fout: het verstoren van de normale bedrijfsvoering met een ongepast auditprogramma
Als uw bedrijf drukke periodes heeft, zou het dom zijn om op dit moment te veel audits in te plannen. Op dezelfde manier beëindigen veel organisaties hun activiteiten met bijvoorbeeld Pasen of Kerstmis, en dit kan wel of niet een goed moment zijn om wat interne audits uit te voeren. Jij beslist.
Wat zegt de ISO-norm NIET dat we moeten doen?
Het is fascinerend om op te merken wat ISO-clausule 9.2 zegt NIET dat dit vereist is. Wees heel duidelijk als het niet absoluut is vereiste in de ISO-norm (zoek naar het woord “zal”), dan kunt u, met de nodige overweging, uw regelingen in uw ISMS definiëren, passend bij uw organisatie. Er is bijvoorbeeld geen vereiste voor ongeplande of willekeurige interne audits in de ISO-norm. Je zou, als je dat wilt, een aantal van deze dingen kunnen doen.
Een ander voorbeeld is de diepgang en duur van uw interne audit. In theorie zou je een proces binnen enkele minuten kunnen auditen, maar het kan ook uren duren. Hoe dan ook, aangezien het geen vereiste van de norm is, heb je keuzes. Wij adviseren langdurige audits op te delen in kleinere delen (bijvoorbeeld een uur) om zowel de auditor als de auditee wat denktijd en een kans te geven om zich op te frissen.
Vergeet niet: de meeste interne auditors worden gevoed door thee, koffie, water en heel vaak koekjes en gebak...
Veelgemaakte fout: proberen uw interne auditor te 'kopen' of overdreven te beïnvloeden
Auditors moeten onpartijdig en objectief blijven; geen enkele hoeveelheid taarten en vriendelijkheid zal de objectiviteit van het auditresultaat aantasten.
Veelgemaakte fout: niet genoeg (of passende) tijd en middelen investeren
Proberen om zo weinig mogelijk audits uit te voeren of vluchtige audits uit te voeren, levert geen enkele waarde op en toont geen enkele toewijding aan het ISMS (wat een vereiste is van ISO 27001).
Veelgemaakte fout: de auditor overschrijdt zijn welkom
Als een interne audit bijvoorbeeld voor een uur is gepland, mag deze niet langer duren dan dat uur. Een overschrijding kan andere geplande bedrijfsactiviteiten ernstig verstoren, met alle negatieve gevolgen van dit scenario. De oplossing is het documenteren van de onvoltooide stukken die in de toekomst in het auditrapport zullen worden behandeld.
Wie voert een ISO 27001 interne audit uit?
ISO 27001-audits vereisen bekwaamheid (volgens clausule 7.2) en objectieve auditors, die blijk hebben gegeven van kennis van de norm en ervaring met het uitvoeren van een ISO 27001-audit. Vaak zullen internal auditors al in uw organisatie werkzaam zijn en dus weten hoe uw bedrijf werkt.
Als je dit objectief bekijkt, kan dit een sterkte of een zwakte zijn, afhankelijk van de situatie. Een interne auditor kan zijn bekwaamheid aantonen door een ISO 27001-cursus voor hoofdauditors te volgen of door praktijkervaring op te doen, waarmee hij zijn kennis van de norm aantoont en met succes audits uitvoert.
Veelgemaakte fout: het uitvoeren van interne audits met behulp van incompetente auditors
Je kunt niet zomaar iemand gebruiken. Je zou de receptioniste niet gebruiken om je kernreactor te controleren. Hetzelfde principe geldt voor uw interne audits.
Met de hoge kosten van opleidingen in gedachten kan het de voorkeur verdienen dat een auditor zijn competentieniveau aantoont door praktische ervaring met het implementeren van een ISMS. ISMS.online kan u helpen uw vertrouwen en competentie bij het auditen van uw ISMS tegen ISO 27001 te vergroten via verschillende waardevolle functies, zoals onze virtuele coach. Deze functie is een 'always-on'-reeks video's, checklists en handleidingen, waarbij de nadruk ligt op de perspectieven van de auditor voor veel clausules en controles.
Voor kleinere organisaties met beperkte capaciteit of bedrijven die meer objectiviteit zoeken, kan het praktischer zijn om gebruik te maken van een externe (derde partij) auditor die interne audits uitvoert. Merk op dat dit volkomen acceptabel is in termen van ISO-vereisten. De auditor kan een consultant zijn, maar ISMS.online kan helpen; deze aanpak zorgt voor onafhankelijkheid en kan zorgen voor meer objectiviteit en de voordelen van een bredere ervaring bij andere soortgelijke organisaties.
Veelgemaakte fout: uw eigen werk controleren
Doe dit nooit, aangezien de onpartijdigheid en onafhankelijkheid ernstig worden aangetast.
Waar zijn accountants naar op zoek?
Het doel van een ISO-auditor is om het doel van uw informatiebeveiligingsbeheersysteem te begrijpen en bewijsmateriaal te verkrijgen ter ondersteuning van de naleving van de ISO 27001-norm. In tegenstelling tot wat vaak wordt gedacht, zoeken auditors naar positieve en negatieve uitkomsten (en moeten ze deze rapporteren).
ISO 27001-auditors zoeken ook naar eventuele hiaten of tekortkomingen in uw informatiebeveiligingssysteem. In wezen zal uw auditor binnen uw hele bedrijf bewijs zoeken van de ISO 27001-standaardvereisten. U kunt dit aantonen door proactief beleid en controles in te voeren die de risico's voor de informatie van uw bedrijf beperken. Ten slotte zullen alle mogelijke verbeteringen aan het ISMS die in samenwerking tussen de auditor en de gecontroleerde zijn overeengekomen, deel uitmaken van het auditrapport.
Veelgemaakte fout: de audit laten doorgaan totdat er non-conformiteiten worden gevonden
Een evenwichtige audit rapporteert wat er wordt gevonden. Als er geen afwijkingen zichtbaar zijn, is dit GEEN indicatie voor een slechte audit. Objectieve (dat wil zeggen, de meerderheid van de) auditors krijgen geen warm, vaag gevoel als ze een non-conformiteit met uw ISMS kunnen constateren…
Veelgemaakte fout: het niet melden van naleving
Het is net zo belangrijk dat organisaties zich bewust zijn van niet-nalevingen en mogelijke verbeteringen. Waarom zou u de tijd en moeite steken in het plannen en uitvoeren van de audit, maar geen positief resultaat rapporteren?
Interne audits zijn niet subjectief
Als auditor wilt u misschien overdreven implementaties voorstellen voor het ISMS van uw organisatie of voor algemene verbeteringsgebieden die bekend staan als mogelijkheden voor verbetering (OFI). Het is echter essentieel om te onthouden dat er weliswaar ruimte is voor interpretatie binnen de norm, maar dat handelingen buiten de standaardvereiste niet verplicht zijn. Dit betekent dat de unieke situatie van uw organisatie bepaalde suggesties overbodig kan achten vanuit het perspectief van een auditor, vooral als deze buiten de ISO 27001-vereisten vallen.
Veelgemaakte fout: u slaagt of faalt niet voor een audit
Auditrapporten zijn feitelijke verklaringen en moeten onbewogen en niet emotioneel worden bekeken. Alle daaruit voortvloeiende wijzigingen die aan uw ISMS nodig zijn, moeten worden bepaald en geïmplementeerd (en, indien nodig, opnieuw gecontroleerd). Bewijsmateriaal speelt een essentiële rol bij het behalen van de ISO 27001-certificering; artikel 10.1 vereist expliciet organisaties om bewijsmateriaal te bewaren met betrekking tot non-conformiteiten en de acties die naar aanleiding daarvan zijn genomen. Als auditor betekent dit dat uw bevindingen over non-conformiteiten gebaseerd moeten zijn op bewijsmateriaal dat duidelijk aangeeft op welke gebieden verbetering of systematische correctie nodig is.
Veelgemaakte fout: het niet gebruiken van feiten om de auditresultaten te bepalen
De meningen en overtuigingen van auditors kunnen de audituitkomst negatief beïnvloeden. Objectieve en onpartijdige auditresultaten worden alleen bepaald door feitelijk bewijsmateriaal en ervaring.
Waarom kiezen voor ISMS.online om u te helpen?
Om voor het eerst ISO 27001-conform of gecertificeerd te worden, onze ISMS.online Methode voor gegarandeerde resultaten (ARM) biedt een eenvoudige, tijdbesparende en praktische toepassing. ARM helpt u bij het bepalen welke middelen, systemen, mensen, locaties, etc. binnen de reikwijdte van uw informatiemanagementbeveiligingssysteem vallen. Als gevolg hiervan kunt u met ARM nadenken over de risico's waarmee zij worden geconfronteerd.
De Overnemen Aanpassen Toevoegen (AAA)-filosofie voor clausule 9.2 biedt een beproefd proces dat moet worden gevolgd voor interne audits. Met behulp van ons vooraf geconfigureerde ISMS kunt u snel en eenvoudig de vereisten van clausule 9.2 aantonen. Ook ontvangt u een auditprogramma voor het uitvoeren van interne audits. U kunt ons auditproject gebruiken om de doelstellingen en reikwijdte voor elke audit vast te stellen, vervolgens de bevindingen vast te leggen en eventuele tekortkomingen die tijdens de audit zijn gevonden, aan te pakken in de Verbeteringstrack van het platform.
Clausule 10.1 behandelt de vereisten voor non-conformiteit en corrigerende maatregelen voor ISO IEC 27001. U moet aan de auditor bewijs leveren over de manier waarop uw organisatie non-conformiteiten identificeert, erop reageert, evalueert, beoordeelt en documenteert. Met behulp van ons ISMS.online-platform kunt u de Adopt Adapt Add-filosofie gebruiken met ons vooraf voorgestelde beleid voor clausule 10.1. Het ISMS.online platform biedt een praktisch Corrective Actions & Improvement Track om aan te tonen hoe uw organisatie correctieve acties en verbeteringen eenvoudig beheert. Je kunt corrigerende acties en verbeteringen ook koppelen aan andere gebieden binnen het platform, zoals beleid, terwijl je taken aan collega's toewijst en deadlines toevoegt.
Ons ISMS.online-platform biedt ook een raamwerk waarmee organisaties die van plan zijn om gedurende hun certificeringsperiode een driejarig auditprogramma voor alle controles te volgen, dit kunnen doen.
Bewijsvoering wordt eenvoudig gemaakt met ons ISMS.online-platform; u kunt gegevens, beleid, controles, procedures, risicobeoordelingen, geïdentificeerde risico's, acties, projecten, gerelateerde documentatie en rapporten binnen het platform vastleggen, waardoor een eenvoudige beoordeling voor auditors ontstaat.
Extra hulp beschikbaar van het Service Development and Delivery (SDD)-team
Medewerkers die verantwoordelijk zijn voor de implementatie van uw informatiebeveiligingssysteem kunnen problemen en vragen hebben over de standaard; Dit is waar onze ondersteuningsteams u door het proces kunnen begeleiden. Binnen onze organisatie beschikt het Service Development and Delivery Team over ruime ervaring en expertise op het gebied van informatiebeveiliging. Zij kunnen de initiële implementatie van uw informatiebeveiligingsbeheersysteem ondersteunen en u begeleiden bij eventuele significante standaardproblemen.
