De ISO 27001:2013 Interne audit: vereenvoudigd

Wat is het doel van de Interne audit voor ISO 27001?

Het doel van de interne audit in sectie 9 van de managementvereisten voor ISO 27001:2013 is prestatiebeoordeling. 9.2 zegt dat de organisatie met geplande tussenpozen interne audits moet uitvoeren om informatie te verschaffen over de vraag of de informatiebeveiliging beheersysteem:

1) voldoet aan

1.1) de eigen eisen van de organisatie aan haar managementsysteem voor informatiebeveiliging; En

1.2) de eisen van deze internationale norm;

2) effectief wordt geïmplementeerd en onderhouden

3) plannen, implementeren en een auditprogramma bijhouden

4) definieer de auditcriteria en reikwijdte voor elke audit

5) selecteer auditors die objectief en onpartijdig zijn

6) ervoor zorgen dat audits worden gerapporteerd aan het relevante management

7) behouden gedocumenteerde informatie als bewijs

Samenvattend is de interne audit een van de initiatieven die uw identiteit aantoont ISMS kan worden vertrouwd en presteert zoals verwacht.

De ISO 27001-norm moedigt u aan om het ISMS te gebruiken om te voldoen aan uw bedrijfsdoelstellingen, reikwijdte, interne en externe kwesties, enz. Als zodanig wilt u er ook voor zorgen dat interne audits worden uitgevoerd in de stijl die uw bedrijf en de risico's ervan weerspiegelt, waarbij rekening wordt gehouden met de cultuur en middelen waarover u beschikt.

Waar en wat moet u controleren in uw Information Security Management System?

Om het werkelijkheid te maken, moeten uw auditprogramma en -filosofie worden afgeleid van de problemen, de reikwijdte, bijvoorbeeld locaties, afdelingen, processen, producten enz., samen met het overwegen van de Verklaring van toepasbaarheid, risico's enzovoort, en niet alleen maar een aankruisvakje. U zult echter wel moeten aantonen dat u aan de gehele norm – managementeisen en bijlage A – heeft geaudit controles – minstens één keer gedurende de 3 jaar ISO 27001-certificering cyclus, en waarvan u voorbeeldbewijs kunt overleggen controles werken volgens uw wensen.

We hebben op die aanpak voortgebouwd in het standaard auditprogramma in ISMS.online om ervoor te zorgen dat audits representeren wat het bedrijf nodig heeft. Naar onze mening moeten audits door het bedrijfsleven worden geleid en 'echt' zijn, zodat mensen er een geldige investering in kunnen zien en de audit zinvol kunnen maken.

Hoe te auditeren op 3 pragmatische en eenvoudige niveaus

Niveau 1 – Toetsing van beleid in lijn met A.5.1.2 en A.8.1.2 voor onafhankelijke toetsingen

Dit niveau is een eenvoudig overzicht van hoe u uw situatie 'beschrijft' beleid en controles, en zorg ervoor dat ze relevant blijven voor de organisatie gegeven 4.1 – 3 en in lijn met de bovenstaande kwesties, partijen, reikwijdte, informatiemiddelen, risico’s etc.

In ISMS.online hebben we het beleid voor A.5.1.2 en ontwikkelde het platform met dat in gedachten, zodat u gemakkelijk ons ​​beleid kunt overnemen en het echt in de praktijk kunt 'leven'.

Dit is duidelijk geen interne audit Sekte. 9.2 op zichzelf, maar is een belangrijk onderdeel van uw ISMS management, samen met andere aspecten zoals managementbeoordelingen, het volgen van incidenten etc. en zal ervoor zorgen dat wanneer u uw formele interne audit gaat uitvoeren, u dit doet op basis van een solide reeks beleidslijnen en controles die geschikt zijn voor uw organisatie.

Niveau 2 – intern auditplan dat de vereisten en controles omvat

Dit is de vereiste, meer traditionele aanpak en zal minimaal in de loop van de certificeringscyclus moeten worden uitgevoerd. Het kan de moeite waard zijn om dit jaarlijks af te handelen.

Ons auditproject kan worden gebruikt om de doelstellingen en reikwijdte van elke audit vast te stellen en uw bevindingen vast te leggen. Eventuele geconstateerde non-conformiteiten kunnen vervolgens worden aangepakt in de Verbetertraject.

Voor organisaties die een driejarig auditprogramma van alle controles willen volgen, hebben we een raamwerk opgenomen om in te volgen ISMS.online ook.

Niveau 3 – een holistische benadering om de effectiviteit aan te tonen

We moedigen ook een meer holistische benadering van interne audits aan en hebben een programma in het platform gebouwd dat een audit richt op het 'demonstreren' van een specifiek onderdeel van uw ISMS-reikwijdte compliant is, bijvoorbeeld een afdeling, een locatie, een product, systeem of een proces.

Dit geeft je de mogelijkheid om te kijken hoe het bedrijf in de praktijk werkt, ook daarbuiten InfoSec per se, en kansen voor verbetering zien of zelfs risico's blootleggen die misschien niet gemakkelijk te zien zijn als je door een controlelens kijkt.

Hierdoor kan een organisatie ook een groter aantal audits uitvoeren controles in één keer, op een gezamenlijke manier.

In onze ISO 27001 Virtual Coach nemen we een voorbeeld op om een ​​idee te geven van wat u zou kunnen doen en dat een deel van uw ISMS de reikwijdte werkt goed en voldoet aan de doelstellingen, waarbij de controles werken (of niet).

Hoe u het ISO 27001-auditprogramma kunt plannen

Als je een snel veranderende organisatie bent, is het niet eenvoudig om drie jaar van tevoren een auditplan op te stellen voor de hele certificeringsperiode. Als dit het geval is, moet u overwegen welke reikwijdtegebieden moeten worden gecontroleerd en een plan voor twaalf maanden opstellen om aan de verwachtingen van een externe auditor te voldoen.

Wees dan duidelijk dat u dat zult zijn het uitvoeren van managementbeoordelingen in overeenstemming met Sectie. 9.3 dat zou een verandering in dat schema teweeg kunnen brengen. Dat maakt deel uit van waar 9.3 over gaat: proactief zijn en ook reageren op nieuwe ontwikkelingen informatie die van invloed is op het ISMS.

Als u besluit het auditschema te wijzigen, bijvoorbeeld vanwege een triggergebeurtenis die dit rechtvaardigt, kunt u eenvoudigweg het auditschema verplaatsen en een notitie toevoegen aan uw relevante directiebeoordeling om te rechtvaardigen waarom u de wijzigingen heeft aangebracht.

Welke controleaanpak u ook kiest, wees bereid om de effectiviteit ervan tegenover een externe auditor te rechtvaardigen, aan te tonen en te verdedigen.

Hoeveel details moet u opnemen in een ISO 27001-audit?

Wanneer u besluit hoe diep u moet gaan met uw auditoefening, overweeg dan het volgende: Beschikt u over voldoende informatie om aan te kunnen tonen dat u de audit heeft uitgevoerd, van de oefening heeft geleerd, deze heeft gedocumenteerd en eventuele vervolgacties heeft ondernomen?

Vanuit ons eigen culturele perspectief gaat dit ook over kernachtig, papierloos en digitaal zijn, en is het erop gericht ervoor te zorgen dat we de klus goed klaren – succes vieren, leren en verbeteren, en risico's verminderen zonder verwikkeld te raken in bureaucratie of het invullen van formulieren. ervan.

Iedereen met wie we spraken (voordat we ISMS.online bouwden) had zijn eigen manier van auditeren. We hebben een aantal zeer lange auditrapporten gezien die zelden worden gelezen door het juiste publiek, dat in werkelijkheid alleen maar een samenvatting wil. Voor ons gaat het dus om het bewijzen, leren, actie ondernemen en eventuele verbeteringen in de praktijk brengen, in overeenstemming met de ernst van de dreiging of de waarde van de kans in relatie tot de andere zakelijke prioriteiten.

In ISMS.online kunt u dat doen in de auditactiviteit zelf of de verbeterwerkzaamheden koppelen aan onze Corrigerende acties en verbeteringen volgen voor het afstemmen op alle corrigerende acties en verbeteringen, niet alleen die voortvloeien uit een audit.

Wat zegt de ISO over audits en auditing voor ISO 27001?

Naast de vereisten in ISO 27001 9.2, zijn de Internationale organisatie voor standaardisatie (ISO) biedt de volgende normen die relevant zijn voor auditing:

• ISO 27007 – Biedt richtlijnen voor het auditen van de managementsysteem(vereisten)-elementen van uw ISMS en maakt sterk gebruik van ISO 19011 (zie hieronder) met de toegevoegde lens van specifieke informatie met betrekking tot het auditen van een ISMS.
• ISO TR 27008 – Een technisch rapport (in plaats van standaard) dat richtlijnen biedt voor het auditen van de controles op informatiebeveiliging beheerd door uw ISMS.
• ISO 19011 – geeft richtlijnen voor auditing management systemen, inclusief de principes van auditing, het beheren van een auditprogramma en het uitvoeren ervan beheersysteem audits, evenals begeleiding bij de evaluatie van de competentie van personen die betrokken zijn bij het auditproces, inclusief de persoon die het auditprogramma beheert, auditors en auditteams.
• ISO 27006 & ISO 17021 – Deze zijn bedoeld voor de certificatie-instellingen die de externe audits uitvoeren. Hoewel ze een nuttige referentie kunnen zijn om te begrijpen waar de certificeringsinstanties naar op zoek zijn, is uw interne audit zal heel anders zijn, met een ander doel, en u moet niet op precies dezelfde manier naar audits streven.

Een consistent thema waar we over horen is dat auditors willen zien dat de organisatie leeft en ademt het ISMS en dat omvat de betrokkenheid van het leiderschap, het proactief laten zien van wat u in ISMS.online heeft en het zeer snel kunnen beantwoorden van hun specifieke vragen met bewijsmateriaal.

Een structuur hebben die de ISO 27001 : Methoden en labels uit 2013, zoals in ISMS.online, maken het ook gemakkelijk voor auditors om te volgen in hun eigen 'taal', en ze kunnen versiewijzigingen, werk met tijdstempel, samenwerkingen, goedkeuringen door onafhankelijke teamleden enz. zien, dus het is een geweldige hulp bij de bovenstaande reeks tests.

Vanzelfsprekend zult u nog steeds moeten aantonen dat het beleid in de praktijk buiten ISMS.online wordt nageleefd. Er wordt bijvoorbeeld een back-up gemaakt van informatie uit uw systemen, er worden vertrouwelijkheidsovereenkomsten met klanten en leveranciers gehouden, enz. (en u kunt ISMS.online natuurlijk ook gebruiken om de leverancier te laten zien ook afspraken!)

Moet u een lead auditor-cursus volgen om te helpen met ISO 27001?

Als u overweegt om een ​​lead auditor-cursus te volgen, is het de moeite waard om te bedenken dat wanneer u wordt opgeleid door iemand wiens fulltimebaan auditing is, deze zich richt op training om vanuit een extern perspectief te auditeren. Dit kan buiten de vereisten van uw organisatie vallen om te voldoen aan 9.2 en kan ertoe leiden dat u uit het oog verliest wat de bredere bedrijfsdoelstellingen zijn.

U moet goed genoeg kunnen auditen om uw leiderschap en uw leiderschap te demonstreren geïnteresseerde partijen (bijvoorbeeld auditors) dat de 9.2 interne audit effectief is als onderdeel van uw prestatie-evaluatie en in de praktijk werkt.

In ISMS.online hebben we een proces voor auditing voorgesteld in Sect. 9.2, en gegeven de ruimte om het te leveren die gemakkelijk genoeg is om over te nemen of aan te passen aan uw stijl en behoeften, en met de beperkingen van de interne middelen in gedachten. We hebben ook een pragmatisch voorbeeld opgenomen in de ISO 27001 Virtual Coach.

Veel klanten definiëren hun aanpak echter eenvoudig met behulp van ISMS.online en krijgen vervolgens een eenvoudige virtuele gezondheidscontrole, samen met advies en zelfs pragmatische doorlopende auditondersteuning, met onze gekwalificeerde Lead Auditor.

ISMS.online maakt het opzetten van het juiste auditprogramma eenvoudig voor u, door onze kant-en-klare programma's over te nemen of door snel en eenvoudig uw eigen programma's te maken.

Wij helpen u uw audits effectiever te beheren en deze te integreren met een holistische benadering van het bredere geheel ISMS.