Als onderdeel van de managementsysteemvereisten Artikel 9.2 beschrijft wat er moet gebeuren met betrekking tot interne audits. Hierin is een bewaarplicht opgenomen gedocumenteerd bewijs van de audit resultaten, en dit gebeurt aan de hand van een auditrapport.
An ISO 27001 Bij interne audit wordt een competente en objectieve auditor betrokken die de ISMS of elementen ervan en testen dat:
Naast de algehele naleving en effectiviteit van het ISMS, zoals ISO 27001 is ontworpen om een organisatie in staat te stellen haar informatiebeveiliging te beheren risico's tot een aanvaardbaar niveau te brengen, zal het nodig zijn om te controleren of de geïmplementeerde controles het risico inderdaad terugbrengen tot een punt waarop de risico-eigenaar(s) het resterende risico graag tolereren.
Artikel 9.2 Interne auditmandaten:
“De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verschaffen over de vraag of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
b) effectief wordt geïmplementeerd en onderhouden.
De organisatie moet:
c) een of meer auditprogramma's plannen, opzetten, implementeren en onderhouden, inclusief de frequentie, methoden, verantwoordelijkheden, planningsvereisten en rapportage. In het (de) auditprogramma('s) wordt rekening gehouden met het belang van de betrokken processen en de resultaten van eerdere audits;
d) de auditcriteria en reikwijdte voor elke audit definiëren;
e) auditors selecteren en audits uitvoeren die de objectiviteit en de onpartijdigheid van het auditproces garanderen;
f) ervoor zorgen dat de resultaten van de audits worden gerapporteerd aan het relevante management; En
g) gedocumenteerde informatie bewaren als bewijs van het (de) auditprogramma('s) en de auditresultaten.”
Download uw gratis gids voor snelle en duurzame certificering
We hebben slechts een paar gegevens nodig, zodat we u per e-mail uw handleiding kunnen sturen voor het voor de eerste keer behalen van ISO 27001
Download nu uw gratis gids en als u vragen heeft, neem dan contact met ons op Boek een demo or Ons Contacten. We helpen je graag verder.
Interne audits voor ISO 27001 werken door het volgen van een auditprogramma dat de audits identificeert die vóór de certificering en tijdens elke certificeringsperiode moeten worden uitgevoerd.
Ze vereisen dat voor elke interne audit een competente en objectieve auditor wordt geselecteerd het verifiëren van de naleving van de vereisten van de norm, de eigen informatievereisten en doelstellingen van de organisatie voor het ISMS, en of het beleid, de processen en andere controles effectief en efficiënt zijn.
Activiteiten inbegrepen binnen een interne audit:
Terwijl het binnen ISO 27001 zelf niet duidelijk is hoe vaak je interne audits moet uitvoeren. Er wordt verwacht dat het auditprogramma dezelfde eisen volgt als die welke aan de certificeringsinstanties worden gesteld voor het uitvoeren van hun audits volgens ISO/IEC 27006:2015 – Eisen voor instanties die audits en certificeringen van ISMS's verzorgen.
Binnen ISO 27006 eis 9.1.5.2 e stelt dat het auditprogramma “representatieve voorbeelden van de reikwijdte van de ISMS-certificering binnen de periode van drie jaar omvat.”
Daarom moet u interne audits uitvoeren die minimaal de gehele norm bestrijken gedurende de certificeringsperiode (3 jaar voor UKAS-geaccrediteerde certificaten).
U kunt dit in één audit doen, maar meestal wordt dit opgesplitst in kleinere audits over een periode van drie jaar.
Het is ook belangrijk om sommige gebieden vaker te controleren als de risiconiveaus hoog zijn of als het gebied regelmatig verandert.
Het wordt aanbevolen dat u het managementsysteem controleren vereisten (artikelen 4-10) jaarlijks. Dit kan worden gekoppeld aan uw ISMS-managementbeoordeling, die eveneens jaarlijks moet worden uitgevoerd.
Binnen ISMS.online bieden we een kant-en-klaar werkgebied voor het auditprogramma, dat het volgende omvat:
Ons ISMS wordt vooraf geconfigureerd geleverd met tools, raamwerken en documentatie die u kunt overnemen, aanpassen of toevoegen. Eenvoudig.
Onze Assured Results-methode is ontworpen om u bij uw eerste poging te laten certificeren. 100% succespercentage.
Vergeet tijdrovende en dure trainingen. Onze Virtual Coach-videoserie is 24/7 beschikbaar om u te begeleiden.
De norm vereist dat u de auditresultaten documenteert – Clausule 9.2 van ISO 27001 bevat de vereiste om “gedocumenteerde informatie te bewaren als bewijs van de … auditresultaten”.
Dit gebeurt in een auditrapport.
Voordat u het auditrapport kunt documenteren, moet u uiteraard de audit plannen en uitvoeren. De bevindingen kunt u vervolgens vastleggen in het rapport.
Voor elke audit moet u het volgende plannen:
Elke audit vereist de beoordeling van relevante documentatie, inclusief beleid, procedures, normen en richtlijnen die relevant zijn voor de gebieden van de norm die wordt geaudit. Het is een goede praktijk om degenen die worden gecontroleerd te informeren over de te behandelen gebieden, om gemakkelijke en tijdige toegang tot de relevante documentatie te garanderen.
In ISMS.online wordt dit eenvoudig gemaakt door de documentatie in het systeem te hebben of te koppelen binnen de relevante sectie van de standaard.
Bij de meeste audits zal in meer of mindere mate bewijsmateriaal moeten worden verzameld. Dit kan het interviewen van relevant sleutelpersoneel, eindgebruikers en soms zelfs tijdelijk personeel en contractanten omvatten.
Bronnen voor bemonstering kunnen bijvoorbeeld zijn:
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Zodra de gegevensverzameling voor de audit is voltooid, zal de auditor de bevindingen moeten beoordelen en analyseren om eventuele afwijkingen of mogelijkheden voor verbetering vast te stellen.
Bevindingen worden normaal gesproken gecategoriseerd als een van de volgende:
Sommige certificatie-instellingen gebruiken ook:
Nadat de bevindingen zijn geanalyseerd, kan het auditrapport nu worden opgesteld en aan de persoon of het team worden gepresenteerd verantwoordelijk voor het ISMS voor evaluatie en opvolging.
Het auditrapport moet worden opgesteld als gedocumenteerde informatie, maar dit betekent niet dat het een afzonderlijk Word- of PDF-document moet zijn. Binnen de ISMS.online-platformproberen we het vermijden van het maken van dergelijke documenten aan te moedigen, maar in plaats daarvan een werkgebied te bieden waarin het rapport rechtstreeks kan worden gedocumenteerd. Dit gebied biedt extra functionaliteit, waaronder de mogelijkheid om eenvoudig te linken naar andere werkgebieden, beleid, controles, risico's, corrigerende maatregelen en verbeteringstickets, en meer.
De samenvatting is nuttig zodat het senior management snel en eenvoudig een overzicht van de bevindingen kan zien, inclusief eventuele kritieke problemen, trends en mogelijkheden voor verbetering. Deze kan dan eenvoudig gekoppeld worden aan de ISMS-managementbeoordeling volgens artikel 9.3.
Dit omvat meestal:
Om een gemeenschappelijk begrip van de bevindingen van het rapport te garanderen, is het noodzakelijk om de definities op te nemen van bepaalde gebruikte terminologie die specifiek is voor de organisatie, het auditproces of de norm. Houd er rekening mee dat niet iedereen die het rapport moet lezen, beoordelen en begrijpen, noodzakelijkerwijs alle gebruikte terminologie zal begrijpen.
Dit omvat:
Voor elk onderdeel van de audit moet u de bevindingen documenteren, inclusief aantekeningen van eventueel genomen bewijsmateriaal.*
Het is een goede gewoonte om naleving en positieve punten vast te leggen en eventuele afwijkingen of mogelijkheden voor verbetering te documenteren.
De bevindingen moeten de feiten vastleggen die relevant zijn voor het ISMS en de standaard en mogen geen meningen of vermoedens bevatten die verder gaan dan redelijke extrapolatie.
*Opmerking – indien bewijsmateriaal persoonlijk identificeerbare informatie bevatten, is het gebruikelijk om de gegevens te pseudonimiseren of te anonimiseren in overeenstemming met de vereisten van de privacywetgeving, zoals de AVG.
Wanneer non-conformiteiten en mogelijkheden voor verbetering worden geïdentificeerd, moeten deze duidelijk worden gedocumenteerd, zodat corrigerende acties en verbeterpunten kunnen worden vastgelegd en beheerd via de erkende processen van de organisatie, zoals gedocumenteerd in overeenstemming met artikel 10.1 Non-conformiteit en corrigerende maatregelen; en 10.2 Voortdurende verbeteringen.
Omdat dit een intern auditrapport is, is het toegestaan dat een auditor aanbevelingen doet over hoe een organisatie met de bevindingen zou kunnen omgaan. Uiteindelijk moeten de beslissingen met betrekking tot corrigerende maatregelen en verbeteringen worden genomen door de relevante individuen of teams die verantwoordelijk zijn voor het ISMS en de informatiebeveiliging.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Het ISMS.online-platform maakt het maken van Word-documenten, PDF's en spreadsheets overbodig door een alles-in-één-oplossing te bieden voor het eenvoudig documenteren en koppelen van alle aspecten van het ISMS, inclusief de documentatie van auditrapporten.
ISMS.online omvat een vooraf gebouwd auditprogrammaproject dat zowel interne als externe audits omvat.
Het vooraf gebouwde auditprogramma omvat:
Elke interne auditactiviteit bevat een sjabloon voor een gecombineerd auditplan en rapport.
Voordat de audit wordt uitgevoerd, fungeert het sjabloon als auditplan, inclusief de gebieden die moeten worden gecontroleerd en aanwijzingen voor het vastleggen wanneer de audit zal worden uitgevoerd en door wie.
Tijdens of na het uitvoeren van de audit kan de auditor rechtstreeks aantekeningen maken in de sjabloonauditactiviteit.
Naast het simpelweg aanbieden van de sjablonen voor auditactiviteiten, biedt ISMS.online de mogelijkheid om snel te linken naar andere werkgebieden binnen het platform, wat betekent dat het koppelen van auditbevindingen aan controles, corrigerende acties en verbeteringen, en zelfs aan risico's gemakkelijk en toegankelijk wordt gemaakt. Hiermee kunt u op eenvoudige wijze aan uw externe accountant aantonen dat er sprake is van een gezamenlijk beheer van de geïdentificeerde bevindingen.
Algemene inlichtingenen wij kunnen ondersteuning bieden.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meerGa moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meerNeem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meerMaak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meerSchijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meerSelecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meerKant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meerVoeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meerBetrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meerBeheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meerBreng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meerSterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meer