Hoe een intern auditrapport voor ISO 27001 te schrijven

Als onderdeel van de managementsysteemvereisten Artikel 9.2 beschrijft wat er moet gebeuren met betrekking tot interne audits. Hierin is een bewaarplicht opgenomen gedocumenteerd bewijs van de audit resultaten, en dit gebeurt aan de hand van een auditrapport.

Hoe werken interne audits volgens ISO 27001?

Interne audits voor ISO 27001 werken door het volgen van een auditprogramma dat de audits identificeert die vóór de certificering en tijdens elke certificeringsperiode moeten worden uitgevoerd.

Ze vereisen dat voor elke interne audit een competente en objectieve auditor wordt geselecteerd het verifiëren van de naleving van de vereisten van de norm, de eigen informatievereisten en doelstellingen van de organisatie voor het ISMS, en of het beleid, de processen en andere controles effectief en efficiënt zijn.

Activiteiten inbegrepen binnen een interne audit:

• Documentatie beoordeling
• Bewijsmateriaal monstername
• Interviewen van personeel met sleutel verantwoordelijkheden op het gebied van informatiebeveiliging
• Interviewen met ander personeel (en mogelijk aannemers)
• Het beoordelen van de bevindingen
• Schrijven van het auditrapport.

Hoe vaak moet ik een audit uitvoeren?

Terwijl het binnen ISO 27001 zelf niet duidelijk is hoe vaak je interne audits moet uitvoeren. Er wordt verwacht dat het auditprogramma dezelfde eisen volgt als die welke aan de certificeringsinstanties worden gesteld voor het uitvoeren van hun audits volgens ISO/IEC 27006:2015 – Eisen voor instanties die audits en certificeringen van ISMS's verzorgen.

Binnen ISO 27006 eis 9.1.5.2 e stelt dat het auditprogramma “representatieve voorbeelden van de reikwijdte van de ISMS-certificering binnen de periode van drie jaar omvat.”

Daarom moet u interne audits uitvoeren die minimaal de gehele norm bestrijken gedurende de certificeringsperiode (3 jaar voor UKAS-geaccrediteerde certificaten).

U kunt dit in één audit doen, maar meestal wordt dit opgesplitst in kleinere audits over een periode van drie jaar.

Het is ook belangrijk om sommige gebieden vaker te controleren als de risiconiveaus hoog zijn of als het gebied regelmatig verandert.

Het wordt aanbevolen dat u het managementsysteem controleren vereisten (artikelen 4-10) jaarlijks. Dit kan worden gekoppeld aan uw ISMS-managementbeoordeling, die eveneens jaarlijks moet worden uitgevoerd.

Binnen ISMS.online bieden we een kant-en-klaar werkgebied voor het auditprogramma, dat het volgende omvat:

• Activiteiten voor 2 aanbevolen audits vóór certificering
• Een plan van interne audits voor de eerste 3-jarige certificeringsperiode
• Tijdelijke aanduidingen voor uw externe certificering en periodieke audits

Waarom moet ik een rapport maken voor een interne audit?

De norm vereist dat u de auditresultaten documenteert – Clausule 9.2 van ISO 27001 bevat de vereiste om “gedocumenteerde informatie te bewaren als bewijs van de … auditresultaten”.

Dit gebeurt in een auditrapport.

Wat moet er gebeuren bij het opstellen van het rapport?

Voordat u het auditrapport kunt documenteren, moet u uiteraard de audit plannen en uitvoeren. De bevindingen kunt u vervolgens vastleggen in het rapport.

Ga aan de slag met uw ISO 27001-auditplan

Voor elke audit moet u het volgende plannen:

• Wat de audit gaat behandelen – welke sectie(s) van de norm, locaties, bedrijfsprocessen etc
• Wie de auditor zal zijn, moet competent en objectief zijn.
• Wanneer de audit wordt uitgevoerd, mag deze geen significante, negatieve impact hebben op de bedrijfsvoering van de organisatie.
• De auditmethode(n) – documentatiebeoordeling, steekproeven, interviews enz
• Wie moet bij de audit worden betrokken?

Documentatie beoordeling

Elke audit vereist de beoordeling van relevante documentatie, inclusief beleid, procedures, normen en richtlijnen die relevant zijn voor de gebieden van de norm die wordt geaudit. Het is een goede praktijk om degenen die worden gecontroleerd te informeren over de te behandelen gebieden, om gemakkelijke en tijdige toegang tot de relevante documentatie te garanderen.

In ISMS.online wordt dit eenvoudig gemaakt door de documentatie in het systeem te hebben of te koppelen binnen de relevante sectie van de standaard.

Bewijsmateriaal en interviews

Bij de meeste audits zal in meer of mindere mate bewijsmateriaal moeten worden verzameld. Dit kan het interviewen van relevant sleutelpersoneel, eindgebruikers en soms zelfs tijdelijk personeel en contractanten omvatten.

Bronnen voor bemonstering kunnen bijvoorbeeld zijn:

• Interviews met medewerkers en andere personen
• Observaties van activiteiten en de omringende werkomgeving en omstandigheden
• Documenten, zoals beleid, doelstellingen, plannen, procedures, normen, instructies, licenties en vergunningen, specificaties, tekeningen, contracten en bestellingen
• Registratie, zoals inspectieregistraties, notulen van vergaderingen, auditrapporten, registraties van het monitoringprogramma en de resultaten van metingen
• Gegevenssamenvattingen, analyses en prestatie-indicatoren
• Informatie over de bemonsteringsplannen van de gecontroleerde en de procedures voor de controle van de bemonsterings- en meetprocessen
• Rapporten uit andere bronnen, bijvoorbeeld klantfeedback, externe onderzoeken en metingen, zijn extra relevant informatie van externe partijen en leverancier waarderingen
• Databases en websites
• Simulatie en modellering

Analyse

Zodra de gegevensverzameling voor de audit is voltooid, zal de auditor de bevindingen moeten beoordelen en analyseren om eventuele afwijkingen of mogelijkheden voor verbetering vast te stellen.

Bevindingen worden normaal gesproken gecategoriseerd als een van de volgende:

• Grote non-conformiteit
• Kleine non-conformiteit
• Mogelijkheid voor verbetering

Sommige certificatie-instellingen gebruiken ook:

• Observatie – als er vroege aanwijzingen zijn dat er een kleine non-conformiteit kan bestaan ​​of zich kan ontwikkelen als er geen actie wordt ondernomen.
• Positief punt – toegekend wanneer een organisatie verder is gegaan dan erkende goede praktijken of wanneer er sinds de vorige audit op een bepaald gebied aanzienlijke verbeteringen zijn opgetreden.

Rapport

Nadat de bevindingen zijn geanalyseerd, kan het auditrapport nu worden opgesteld en aan de persoon of het team worden gepresenteerd verantwoordelijk voor het ISMS voor evaluatie en opvolging.

Hoe wordt een intern auditrapport opgesteld?

Het auditrapport moet worden opgesteld als gedocumenteerde informatie, maar dit betekent niet dat het een afzonderlijk Word- of PDF-document moet zijn. Binnen de ISMS.online-platformproberen we het vermijden van het maken van dergelijke documenten aan te moedigen, maar in plaats daarvan een werkgebied te bieden waarin het rapport rechtstreeks kan worden gedocumenteerd. Dit gebied biedt extra functionaliteit, waaronder de mogelijkheid om eenvoudig te linken naar andere werkgebieden, beleid, controles, risico's, corrigerende maatregelen en verbeteringstickets, en meer.

Maak een managementsamenvatting

De samenvatting is nuttig zodat het senior management snel en eenvoudig een overzicht van de bevindingen kan zien, inclusief eventuele kritieke problemen, trends en mogelijkheden voor verbetering. Deze kan dan eenvoudig gekoppeld worden aan de ISMS-managementbeoordeling volgens artikel 9.3.

Dit omvat meestal:

• Een algemeen overzicht van de werking van de gebieden van het ISMS waarop de audit betrekking heeft.
• Een numerieke samenvatting van de categorieën bevindingen.
• Het onder de aandacht brengen van urgente/kritische bevindingen.
• Een korte beschrijving van de volgende stappen die moeten worden genomen om eventuele bevindingen op te lossen.

Introduceer de gebruikte terminologie

Om een ​​gemeenschappelijk begrip van de bevindingen van het rapport te garanderen, is het noodzakelijk om de definities op te nemen van bepaalde gebruikte terminologie die specifiek is voor de organisatie, het auditproces of de norm. Houd er rekening mee dat niet iedereen die het rapport moet lezen, beoordelen en begrijpen, noodzakelijkerwijs alle gebruikte terminologie zal begrijpen.

Beschrijf het auditplan

Dit omvat:

• De reikwijdte van de audit – te behandelen gebied(en), locaties, personeel, bedrijfsprocessen enz
• De naam van de auditor(s)
• De data, tijden en locaties van de audit

Beschrijf de gevonden feiten

Voor elk onderdeel van de audit moet u de bevindingen documenteren, inclusief aantekeningen van eventueel genomen bewijsmateriaal.*

Het is een goede gewoonte om naleving en positieve punten vast te leggen en eventuele afwijkingen of mogelijkheden voor verbetering te documenteren.

De bevindingen moeten de feiten vastleggen die relevant zijn voor het ISMS en de standaard en mogen geen meningen of vermoedens bevatten die verder gaan dan redelijke extrapolatie.

*Opmerking – indien bewijsmateriaal persoonlijk identificeerbare informatie bevatten, is het gebruikelijk om de gegevens te pseudonimiseren of te anonimiseren in overeenstemming met de vereisten van de privacywetgeving, zoals de AVG.

Documenteer non-conformiteiten en mogelijkheden voor verbetering

Wanneer non-conformiteiten en mogelijkheden voor verbetering worden geïdentificeerd, moeten deze duidelijk worden gedocumenteerd, zodat corrigerende acties en verbeterpunten kunnen worden vastgelegd en beheerd via de erkende processen van de organisatie, zoals gedocumenteerd in overeenstemming met artikel 10.1 Non-conformiteit en corrigerende maatregelen; en 10.2 Voortdurende verbeteringen.

Beschrijf aanbevelingen

Omdat dit een intern auditrapport is, is het toegestaan ​​dat een auditor aanbevelingen doet over hoe een organisatie met de bevindingen zou kunnen omgaan. Uiteindelijk moeten de beslissingen met betrekking tot corrigerende maatregelen en verbeteringen worden genomen door de relevante individuen of teams die verantwoordelijk zijn voor het ISMS en de informatiebeveiliging.