Hoe een intern auditrapport voor ISO 27001 te schrijven

Een interne auditrapportstructuur voor ISO 27001 is iets dat u moet kennen.

Het creëren van een effectief en professioneel intern auditrapport is essentieel voor elke succesvolle ISO 27001-implementatie.

Een intern auditrapport van goede kwaliteit is een momentopname van het algehele implementatieproces en registreert de status van uw ISO 27001-implementatie in de aanloop naar de certificering, samen met details van gebieden die nog moeten worden aangepakt.

Als onderdeel van de eisen aan het managementsysteemIn artikel 9.2 wordt beschreven wat er moet gebeuren met betrekking tot interne audits. Dit omvat een vereiste voor het bewaren van gedocumenteerd bewijsmateriaal van het geheel auditproces en de auditresultaten, en dit gebeurt aan de hand van een auditrapport.

cta-afbeelding

Ontdek hoe eenvoudig het is met ISMS.online

Boek uw demo

Wat is een ISO 27001 interne audit?

Bij een interne audit van ISO 27001 is sprake van een competente en objectieve auditor die het ISMS of elementen ervan beoordeelt en test of het voldoet aan de vereisten van de norm, de eigen informatievereisten en doelstellingen van de organisatie voor het ISMS en dat het beleid, de processen en andere controles zijn uitgevoerd. effectief en efficient.

Naast de algehele naleving en effectiviteit van het ISMSOmdat ISO 27001 is ontworpen om een ​​organisatie in staat te stellen haar informatiebeveiligingsrisico's tot een aanvaardbaar niveau te beheersen, zal het nodig zijn om te controleren of de geïmplementeerde controles inderdaad de risico's terugbrengen tot een punt waarop de risico-eigenaar(s) de risico's graag tolereren. restrisico.

Interne audit voor ISO 27001-vereiste 9.2

Clausule 9.2 interne auditmandaten:

De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verschaffen over de vraag of het managementsysteem voor informatiebeveiliging:

  • Voldoet aan de eigen eisen van de organisatie voor haar informatiebeveiliging managementsysteem en de eisen van deze internationale norm.
  • Wordt effectief geïmplementeerd en onderhouden.

De organisatie moet:

  • Plan, stel vast, implementeer en onderhoud een of meer auditprogramma's, inclusief de frequentie, methoden, verantwoordelijkheden, planningsvereisten en rapportage. In het auditprogramma('s) wordt rekening gehouden met het belang van de betrokken processen en de resultaten van eerdere audits.
  • Definieer de auditcriteria en reikwijdte voor elke audit.
  • Selecteer auditors en voer audits uit die de objectiviteit en de onpartijdigheid van het auditproces garanderen.
  • Zorg ervoor dat de resultaten van de audits worden gerapporteerd aan het relevante management en worden bewaard gedocumenteerde informatie als bewijs van het (de) auditprogramma('s) en de auditresultaten.

Het doel van een interne audit is om te bevestigen dat de organisatie alle redelijke voorzorgsmaatregelen heeft genomen om te garanderen dat haar informatiebeveiligingsmanagementsysteem (ISMS) voldoet aan de normen van ISO 27001 en de eigen ISMS-normen van de organisatie.

Interne audits moeten worden uitgevoerd door een onafhankelijke en onpartijdige auditor om dit te bereiken, aldus de Standaard.

Hoe werken interne audits volgens ISO 27001?

Interne audits voor ISO 27001 werkt door het volgen van een auditprogramma waarin de audits worden geïdentificeerd die voorafgaand aan de certificering en tijdens elke certificeringsperiode moeten worden uitgevoerd.

Ze vereisen de selectie van a bekwaam en objectief De auditor moet bij elke interne audit de naleving van de vereisten van de norm, de eigen informatievereisten en doelstellingen van de organisatie voor het ISMS verifiëren, en dat het beleid, de processen en andere controles effectief en efficiënt zijn.

Activiteiten die vallen onder de interne audit:

Hoe vaak moet ik een audit uitvoeren?

Hoewel het binnen ISO 27001 zelf niet duidelijk is hoe vaak interne audits moeten worden uitgevoerd, wordt verwacht dat het auditprogramma dezelfde eisen volgt als die welke aan de certificeringsinstellingen worden gesteld voor het uitvoeren van hun audits in overeenstemming met ISO / IEC 27006: 2015 – Eisen voor instanties die audits en certificeringen van ISMS'en verzorgen.

Binnen ISO 27006 stelt eis 9.1.5.2e dat het auditprogramma “representatieve voorbeelden omvat van de reikwijdte van de ISMS-certificering binnen de periode van drie jaar.”

Daarom moet je gedrag vertonen interne audits die de gehele norm bestrijkenminimaal gedurende de certificeringsperiode (3 jaar voor door UKAS geaccrediteerde certificaten).

U kunt dit in één audit doen, maar meestal wordt dit opgesplitst in kleinere audits over een periode van drie jaar. Het is ook belangrijk om sommige gebieden vaker te controleren als de risiconiveaus hoog zijn of als het gebied regelmatig verandert.

Het wordt aanbevolen dat u het managementsysteem controleren vereisten (artikelen 4-10) op jaarbasis en dit kan worden gekoppeld aan uw ISMS-managementbeoordeling, die ook jaarlijks moet worden uitgevoerd. Bepaalde organisaties met geavanceerde en gevestigde managementsystemen willen wellicht audits organiseren met een cyclus van drie jaar in plaats van jaarlijks.

Elk bedrijf moet echter zijn processen, managementsystemen en andere relevante criteria zorgvuldig onderzoeken om een ​​verstandig tijdschema te ontwikkelen dat aan zijn eisen voldoet en geschikt voor hem is. Bij ISMS.online is ons cloudgebaseerde platform ontworpen om te helpen bij het auditproces.

Wij bieden een kant-en-klaar werkgebied voor het auditprogramma, dat het volgende omvat:

  • Activiteiten voor 2 aanbevolen audits voorafgaand aan certificering
  • Een plan van interne audits voor de eerste 3-jarige certificeringsperiode
  • Tijdelijke aanduidingen voor uw externe certificering en periodieke audits

Vraag vandaag nog een demo aan om te zien hoe onze oplossing kan uw organisatie helpen om naleving van ISO 27001 aan te tonen.

Iedereen die we hebben geholpen om voor ISO 27001 te gaan, is de eerste keer geslaagd. Dat zou jij ook kunnen.
Boek uw demo

Waarom moet ik een rapport maken voor een interne audit?

De norm vereist dat u de auditresultaten documenteert – Clausule 9.2 van ISO 27001 bevat de vereiste om “gedocumenteerde informatie te bewaren als bewijs van de … auditresultaten”. Dit gebeurt in een auditrapport.

Wat er moet gebeuren bij het opstellen van het rapport

Voor elke audit moet u het volgende plannen:

  • Wat de audit gaat behandelen – welke sectie(s) van de norm, locaties, bedrijfsprocessen etc
  • Wie de auditor zal zijn, moet competent en objectief zijn.
  • Wanneer de audit zal worden uitgevoerd – mag geen significante, negatieve impact hebben op de werking van de organisatie.
  • De auditmethode(n) – documentatiebeoordeling, steekproeven, interviews enz
  • Wie moet bij de audit worden betrokken?

Documentatie beoordeling

Elke audit vereist de beoordeling van relevante documentatie, inclusief beleid, procedures, normen en richtlijnen die relevant zijn voor de gebieden van de norm die wordt geaudit. Het is een goede praktijk om degenen die worden gecontroleerd te informeren over de te behandelen gebieden, zodat zij gemakkelijk en tijdig toegang kunnen krijgen tot de relevante documentatie

In ISMS.online wordt dit eenvoudig gemaakt door de documentatie in het systeem te hebben of ernaar te linken binnen het relevante onderdeel van de standaard.

Bewijsmateriaal en interviews

Bij de meeste audits zal in meer of mindere mate bewijsmateriaal moeten worden verzameld. Dit kan onder meer het interviewen van relevant sleutelpersoneel, eindgebruikers en soms zelfs tijdelijk personeel en contractanten omvatten.

Bronnen voor bemonstering kunnen bijvoorbeeld zijn:

  • Interviews met medewerkers en andere personen.
  • Observaties van activiteiten en de omringende werkomgeving en omstandigheden.
  • Documenten, zoals beleid, doelstellingen, plannen, procedures, normen, instructies, licenties en vergunningen, specificaties, tekeningen, contracten en orders.
  • Documenten, zoals inspectieverslagen, notulen van vergaderingen, auditrapporten, verslagen van monitoringprogramma en de resultaten van metingen.
  • Gegevenssamenvattingen, analyses en prestatie-indicatoren.
  • Informatie over de bemonsteringsplannen van de gecontroleerde en over de procedures voor de controle van bemonsterings- en meetprocessen.
  • Rapporten uit andere bronnen, bijvoorbeeld feedback van klanten, externe onderzoeken en metingen, andere relevante bronnen informatie van externe partijen en leverancier ratings.
  • Databases en websites.
  • Simulatie en modellering.

Analyse

Zodra de gegevensverzameling voor de audit is voltooid, is het voor de auditor noodzakelijk om de bevindingen te beoordelen en te analyseren om te bepalen of er sprake is van afwijkingen of mogelijkheden voor verbetering.

Bevindingen worden normaal gesproken gecategoriseerd als een van de volgende:

  • Grote non-conformiteit
  • Kleine non-conformiteit
  • Mogelijkheid voor verbetering

Sommige certificatie-instellingen gebruiken ook:

  • Observatie – dit is waar er vroege aanwijzingen zijn dat er een kleine non-conformiteit kan bestaan ​​of zich kan ontwikkelen als er geen actie wordt ondernomen.
  • Positief punt – toegekend wanneer een organisatie verder is gegaan dan erkende goede praktijken of wanneer er sinds de vorige audit op een bepaald gebied sprake is van aanzienlijke verbetering.

Rapport

Nadat de bevindingen zijn geanalyseerd, kan het auditrapport nu worden opgesteld en voorgelegd aan de persoon of het team dat verantwoordelijk is voor het ISMS, ter beoordeling en follow-up.

Hoe wordt een intern auditrapport opgesteld?

Het auditrapport moet worden opgesteld als gedocumenteerde informatie, maar dit betekent niet dat het een afzonderlijk Word- of PDF-document moet zijn. Binnen de ISMS.online-platform we proberen het vermijden van het maken van dergelijke documenten aan te moedigen, maar bieden in plaats daarvan een werkgebied waarin het rapport direct kan worden gedocumenteerd en dit gebied biedt extra functionaliteit, waaronder de mogelijkheid om eenvoudig te linken naar andere werkgebieden, beleid, controles, risico's en corrigerende maatregelen en verbetering “tickets”, en meer.

Maak een managementsamenvatting

De samenvatting is nuttig zodat het senior management snel en gemakkelijk een overzicht kan zien van de bevindingen, inclusief eventuele kritieke problemen, trends en mogelijkheden voor verbetering. Dit kan vervolgens eenvoudig worden gekoppeld aan de ISMS-managementbeoordeling overeenkomstig artikel 9.3.

Dit omvat meestal:

  • Een algemeen overzicht van de werking van de gebieden van het ISMS waarop de audit betrekking heeft.
  • Een numerieke samenvatting van de categorieën bevindingen.
  • Het onder de aandacht brengen van urgente/kritische bevindingen.
  • Een korte beschrijving van de volgende stappen die moeten worden genomen om eventuele bevindingen op te lossen.

Introduceer de gebruikte terminologie

Om ervoor te zorgen dat er een gemeenschappelijk begrip is van de bevindingen van het rapport, is het noodzakelijk om de definities op te nemen van bepaalde gebruikte terminologie die specifiek is voor de organisatie, het auditproces of de norm. Houd er rekening mee dat niet iedereen die het rapport moet lezen, beoordelen en begrijpen, noodzakelijkerwijs alle gebruikte terminologie zal begrijpen.

Beschrijf het auditplan

Dit omvat:

  • De reikwijdte van de audit – te behandelen gebied(en), locaties, personeel, bedrijfsprocessen enz.
  • De naam van de auditor(s)
  • De data, tijden en locaties van de audit

Beschrijf de gevonden feiten

Voor elk onderdeel van de audit moeten de bevindingen worden gedocumenteerd, inclusief aantekeningen van eventueel genomen bewijsmateriaal.*

Het is een goede gewoonte om naleving en positieve punten vast te leggen en eventuele afwijkingen of mogelijkheden voor verbetering te documenteren. De bevindingen moeten de feiten vastleggen die relevant zijn voor het ISMS en de standaard en mogen geen meningen of vermoedens bevatten die verder gaan dan redelijke extrapolatie.

 

*Opmerking – als bewijsmateriaal persoonlijk identificeerbare informatie bevat, is het gebruikelijk om de gegevens te pseudonimiseren of te anonimiseren in overeenstemming met de vereisten van de privacywetgeving, zoals GDPR.

 

Documenteer afwijkingen en mogelijkheden voor verbetering

Wanneer non-conformiteiten en mogelijkheden voor verbetering worden geïdentificeerd, moeten deze duidelijk worden gedocumenteerd, zodat corrigerende acties en verbeterpunten kunnen worden vastgelegd en beheerd via de erkende processen van de organisatie, zoals gedocumenteerd in overeenstemming met artikel 10.1 Non-conformiteit en corrigerende maatregelen; en 10.2 Continue verbetering.

Beschrijf aanbevelingen

Omdat dit een intern auditrapport is, is het toegestaan ​​dat een auditor aanbevelingen doet over hoe de bevindingen kunnen worden aangepakt, maar uiteindelijk moeten de beslissingen met betrekking tot corrigerende maatregelen en verbeteringen worden genomen door de relevante individuen of teams die verantwoordelijk zijn voor het ISMS en de informatiebeveiliging. .

Hoe ISMS.online rapporteren eenvoudig maakt

Het ISMS.online-platform maakt de noodzaak voor het maken van Word-documenten, PDF's en spreadsheets overbodig door een alles-in-één-oplossing te bieden voor het eenvoudig documenteren en koppelen van alle aspecten van het ISMS, inclusief de documentatie van auditrapporten.

ISMS.online omvat een vooraf gebouwd auditprogrammaproject dat zowel interne als externe audits omvat.

Het vooraf gebouwde auditprogramma omvat:

  • Activiteiten voor 2 aanbevolen audits voorafgaand aan certificering
  • Een plan van interne audits voor de eerste 3-jarige certificeringsperiode
  • Tijdelijke aanduidingen voor uw externe certificering en periodieke audits

Elke interne auditactiviteit bevat een sjabloon voor een gecombineerd auditplan en rapport.

Voordat de audit wordt uitgevoerd, fungeert het sjabloon als auditplan, inclusief de gebieden die moeten worden gecontroleerd en aanwijzingen voor het vastleggen van wanneer de audit zal worden uitgevoerd en door wie.

Tijdens of na het uitvoeren van de audit kan de auditor rechtstreeks aantekeningen maken in de opgestelde auditactiviteit.

Naast het simpelweg aanbieden van de sjablonen voor auditactiviteiten, biedt ISMS.online de mogelijkheid om snel te linken naar andere werkgebieden binnen het platform, wat betekent dat het koppelen van auditbevindingen aan controles, corrigerende acties en verbeteringen, en zelfs aan risico's gemakkelijk en toegankelijk wordt gemaakt. Hiermee kunt u op eenvoudige wijze aan uw externe accountant aantonen dat er sprake is van een gezamenlijk beheer van de geïdentificeerde bevindingen.

Hulp nodig bij uw ISO 27001-audit?

Start u binnenkort met een ISO 27001-audit en ervaart u stress? Het is normaal dat u dit zo ervaart, aangezien het uitvoeren van een ISO 27001-audit een zeer serieuze stap is.

De experts hier bij ISMS.online kunnen u de best mogelijke service bieden. Wij kunnen uw managementsysteemaudit en -rapportage ondersteunen, u advies geven over informatiebeveiliging en strategieën voor risicobeperking, trainingen verzorgen voor uw personeel of u helpen met een gap-analyse van uw bestaande controles.

Vraag vandaag nog een demo aan.

Klaar om actie te ondernemen?

Boek uw demo

cta-afbeelding

 

« ISO 27001 – Bijlage A.9: Toegangscontrole

Hoe u zich kunt voorbereiden op een interne ISO 27001-audit – Het perspectief van de gecontroleerde »

Laatst gewijzigd: 20 juni 2022
Auteur

Mark Sharron

Mark werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001 en compliance te maken heeft.

Bekijk alle berichten van Mark Sharron

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie