Introductie
Bij alle audits is ten minste één auditor betrokken (soms meer dan één, waarbij de verantwoordelijke persoon gewoonlijk de hoofdauditor wordt genoemd) en ten minste één gecontroleerde. De rol van de gecontroleerden bestaat erin samen te werken met het auditteam om:
- Navigeer door de verschillende ISMS-documenten en -systemen
- Bespreek en kom tot overeenstemming over de effectiviteit van de onderdelen van de ISMS wordt gecontroleerd
- Zorg waar nodig voor bewijsmateriaal van de ISMS bewerkingen (meestal records)
- Leg het achtergronddenken en de zakelijke context van de audit uit
De focus van dit stuk ligt op het bekijken van de voorbereiding op interne audits vanuit het perspectief van de gecontroleerde
Wat is een ISO 27001 interne audit
Interne audits van ISO 27001 helpen organisaties ervoor te zorgen dat aan hun eisen en de vereisten van de norm wordt voldaan. De interne audit van ISO 27001 is in de eerste plaats het proces waarbij wordt bepaald of een bedrijf over de noodzakelijke procedures, processen, protocollen en mensen beschikt om zijn informatie en informatiemanagementsystemen te beschermen tegen de ISO 27001-norm. Ten tweede zal de audit, door inspectie van documenten en bescheiden en met de hulp van de gecontroleerde, testen of de verschillende ISMS-componenten presteren zoals ontworpen en voldoen aan de vereisten (zoek naar het woord “shall”) van de ISO-norm.
Wat hebben we nodig voor interne ISO 27001-audits?
Verschillende chauffeurs maken het uitvoeren van interne audits verplicht. Clausule 9.2 van ISO 27001 schrijft voor dat audits met “geplande tussenpozen” worden uitgevoerd. De meeste bedrijven zijn gedreven om echte waarde uit hun ISMS te halen, en het topmanagement leidt deze strategische intentie. Interne audits worden daarom gezien en gebruikt als een cruciaal instrument voor bedrijfsverbetering.
Het uitvoeren van een interne audit zorgt ervoor dat de procedures van een bedrijf volgens plan worden uitgevoerd. Positieve en negatieve feedback van een project interne audit is van onschatbare waarde voor het verbeteren van de informatiebeheerprocessen van uw organisatie.
Het verschil tussen externe en interne ISO 27001-audits
De extern auditproces is in wezen hetzelfde als de interne auditprocessen, maar wat ze uiteindelijk gemeen hebben is het doel: het behalen en behouden van de ISO 27001-certificering. Normaal gesproken voeren gecertificeerde instanties externe audits uit met behulp van professionele auditors. Terwijl de auditprocessen in wezen hetzelfde zijn, extern audits zijn doorgaans formeler en gestructureerder dan interne audits.
Ter referentie vindt u hier een kort overzicht van de verschillende soorten audits
Audits door derden
Dit is wanneer een andere organisatie uw organisatie auditeert – het voor de hand liggende voorbeeld is dat uw ISMS wordt geaudit door de door u gekozen certificeringsinstantie – algemeen bekend als een 'externe audit'.
Audits door derden
Dit kan binnen uw organisatie zijn (een klant controleert u) of buiten uw organisatie (u controleert bijvoorbeeld een potentiële of huidige leverancier).
Audits door de eerste partij
First-party audits zijn wanneer een organisatie zichzelf auditeert, dat wil zeggen een interne audit.
Het definiëren van de audit
Om de maximale waarde uit uw audit te halen, moet u de auditparameters vooraf definiëren. Dit omvat de reikwijdte, criteria en doelstelling van de audit. De auditdoelstelling is het doel van de audit. De auditscope geeft aan welke activiteiten en documenten onderworpen zijn aan een audit. De auditcriteria bestaan uit beleid, procedures en vereisten waaraan de audit wordt getoetst aan, in dit geval, de ISO 27001:2013-norm.
Het belang van ISO 27001-auditvoorbereiding
Als er één product is waar we allemaal meer van zouden willen, dan is het tijd. Zoals Benjamin Franklin ooit zei: 'Falen om je voor te bereiden, is voorbereiden om te falen.' Ik weet zeker dat hij destijds niet verwees naar ISO 27001-audits, maar de relevantie bestaat nog steeds. Een audit van uw gehele managementsysteem voor informatiebeveiliging, inclusief de technologieën, processen en procedures, en de mensen, zal vrijwel zeker een uitdaging blijken te zijn.
Hoe uitgebreider en complexer de organisatie, hoe waarschijnlijker het is dat auditbevindingen de certificering zullen vertragen. Er zijn echter stappen die u vooraf kunt nemen om uw audit efficiënter en minder belastend te maken. Zorg ervoor dat u vóór de audit alle benodigde documenten verzamelt om uw compliance-inspanningen aan te tonen. Zorg er bovendien voor dat u de vereisten begrijpt van de relevante standaardgebieden die aan een audit onderworpen zijn. Zorg er ten slotte voor dat u op de hoogte bent van alle doorlopende werkgebieden, zoals corrigerende acties, managementreviews en het auditprogramma; het is zeer waarschijnlijk dat deze worden gecontroleerd als onderdeel van de interne audit.
Hoe u zich praktisch kunt voorbereiden op de interne audit
Zowel de auditor als de organisatie moeten voldoende voorbereid zijn op de audit. Terwijl u zich druk maakt over uw documentatie, vergeet u gemakkelijk dat er veel praktische zaken zijn waar u zich mogelijk op moet voorbereiden. Vóór de audit (laten we zeggen twee weken ervoor) is het doorgaans een goed idee om ervoor te zorgen dat alle relevante beleidslijnen/procedures/systemen/registraties/controles zo actueel mogelijk zijn en dat er geschikte audittrajecten voor goedkeuring aanwezig zijn. Als u dit gepast acht, kunt u uw relevante beleidslijnen, processen en procedures opnieuw lezen om er opnieuw vertrouwd mee te raken en eventueel voorafgaand aan de audit nog eens doornemen als u dat nodig acht. Na het lezen van dit document zal het u niet verbazen dat u tijdens de audit mogelijk documentatie moet overleggen. Daarom is het waarschijnlijk een goed idee om ervoor te zorgen dat u vóór de audit over de documentatie beschikt, of dat u in ieder geval weet hoe u deze kunt openen. Op het laatste moment rondrennen op zoek naar dingen zal alleen maar uw tijd en de auditors verspillen; toegang en goedkeuring moeten vooraf worden geregeld. U moet zorgen voor alle noodzakelijke beveiligingsmachtigingen, zoals toegang tot de serverruimte of een sleutelkaart voor het magazijn. Het kan ook zijn dat u vooraf speciale afspraken moet maken, zoals het uitschakelen van een alarm of het tijdelijk stopzetten van de productie.
Bovendien heeft u mogelijk PBM’s nodig voor de auditor bij blootstelling aan een gevaarlijke omgeving, zoals een veiligheidshelm of zelfs een overall. Dit is vooral van belang omdat het niet regelen hiervan er waarschijnlijk toe zal leiden dat de accountant zijn taken niet vervult. Op dezelfde manier kan er een specifieke afdeling of persoon zijn die wordt gecontroleerd, zoals Human Resources. Dat moet je zeker weten gespecialiseerd personeel is op de hoogte van de audit en zijn beschikbaar voor de auditor om mee te praten. Zorg ervoor dat u uw collega's/werknemers hiervan ruim op de hoogte stelt. Het auditplan helpt u bij het uitwerken van deze afspraken.
Tot slot zijn er mogelijk nog enkele logistieke voorbereidingen die u moet treffen, bijvoorbeeld het regelen van een geschikte werkruimte voor de auditor. Dit kan worden gebruikt om aan de auditbevindingen en het verslag te werken. Op dezelfde manier kan het zijn dat de auditor een internetverbinding nodig heeft om bepaalde aspecten van de audit uit te voeren. Daarom moet u hen instrueren een hotspot mee te nemen als uw beleid niet toestaat dat gasten lid worden van het netwerk. Aan de andere kant zal het bij de hand hebben van een gastenwifi en wachtwoord de zaken eenvoudiger maken voor de auditor.
Geen enkele voorbereiding is de beste voorbereiding
Het komt misschien als een verrassing voor u, maar het ideale ISMS hoeft zich niet voor te bereiden op een audit. Een succesvol ISMS is up-to-date met de voortdurende standaardvereisten zoals managementbeoordelingen, audits, corrigerende maatregelen etc. Het op de hoogte blijven van deze werkgebieden zal alleen dienen als hulpmiddel voor uw bedrijfspraktijken vanwege de voortdurende verbeteringen van uw ISMS. Voordat u aan uw audit begint, kan het zijn dat er wat huiswerk op zijn plaats is. Een systeem dat u herinnert aan de taken, komende taken, beleidsevaluaties en andere doorlopende taken, geeft u echter de beste kans om ISO-paniek te voorkomen. Dit is waar wij in beeld komen. Wij bieden een compleet platform waarmee u uw ISMS kunt beheren en bouwen. Dankzij onze oplossingenkunnen uw organisatie, klanten en andere belanghebbenden vertrouwen hebben in naleving en certificeringszekerheid. Van nieuwelingen op het gebied van informatiebeveiliging tot doorgewinterde veteranen: we zijn gewend om met klanten van alle achtergronden te werken. Naarmate uw organisatie groeit en verandert, ontstaan er voortdurend nieuwe infosec-bedreigingen. Wij hebben ons platform ontworpen om u te helpen het aan dat alles en meer aan te passen naarmate de wereld blijft evolueren.
Bevindingen uit eerdere audits en corrigerende maatregelen – Zullen deze worden gecontroleerd?
Het doel is om het ISMS intern te auditen op basis van ISO 27001, zodat er geen nieuwe non-conformiteiten ontstaan. Daarom moet u de audit ingaan met het vertrouwen van conformiteit. Daarom is een beoordeling van de documentatie essentieel. We moeten controleren of al het beleid is ingediend en goedgekeurd door mijn management. Anders zou de conformiteit voor Cl.5.2 in gevaar kunnen komen.
Bovendien zou het helpen als u naar de corrigerende maatregelen in het ISMS zou kijken; deze gegevens kunnen worden gebruikt ter voorbereiding op uw aanstaande interne audit. De door de CA verstrekte informatie (corrigerende maatregelen) laat u eerder geïdentificeerde gebieden zien die verbetering behoeven. Soms kunnen de corrigerende maatregelen voortvloeien uit een managementbeoordeling of een reactie op een beveiligingsincident. We gaan ons echter concentreren op corrigerende maatregelen die voortkomen uit een audit. Deze CA's zijn van essentieel belang om te beoordelen, aangezien ze vrijwel zeker tijdens uw audit zullen worden gecontroleerd. De volgende audit moet de verbetermogelijkheden en eventuele afwijkingen die naar voren kwamen tijdens uw vorige audit aanpakken. Dit is om uw voortdurende toewijding aan voortdurende ISMS-verbetering te demonstreren. De term 'geadresseerd' is vaag, dus wij staan klaar om de zaken op te helderen. Om naleving op dit gebied te verkrijgen, moet u aan de auditor aantonen dat u gevolg heeft gegeven aan de aanbevolen wijzigingen. De manier waarop dit wordt gedaan, is door gebruik te maken van onze tracker voor corrigerende acties en de gekoppelde werkfunctie om de wijzigingen weer te geven die u naar aanleiding van de bevinding hebt aangebracht. Als u geen gevolg heeft gegeven aan de training, raak dan niet in paniek, naleving is nog steeds mogelijk. Er moet bewijs zijn dat er over de bevinding wordt nagedacht en dat er naar wordt gehandeld. Over het algemeen is het voldoende om de bevindingen simpelweg in de CA-tracker te documenteren en een vervaldatum/ontvanger in te stellen; het laat zien dat uw bedrijf de suggestie in overweging neemt en bezig is met het beslissen over de volgende handelwijze. Bovendien moeten alle achterstallige CA's vóór elke audit worden aangepakt om de inzet voor voortdurende verbetering van het ISMS aan te tonen.
Waarom Diamond Brothers?
Alliantistisch, het bedrijf achter ISMS.online, is gecertificeerd volgens ISO 27001 door een door UKAS geaccrediteerde certificeringsinstantie. Wij bieden onze klanten uitgebreide ISO- en ISMS-ondersteuning. Afhankelijk van het pakket dat zij kiezen, zal de mate van ondersteuning die zij ontvangen variëren, maar er zullen altijd echte mensen bij betrokken zijn. Bekijk voor meer informatie ons supportbeleid of neem gerust contact op met onze supportafdeling. Compliance zekerheid en certificeringszekerheid realiseert u met onze dienstverlening eenvoudig voor uw organisatie, klanten en andere stakeholders. Wij zijn gewend om met klanten op alle niveaus te werken nieuwkomers aan veteranen.
