Onze beste tips voor een eerste succesvolle ISO 27001 Stage 2-audit

Als je gaat voor ISO 27001-certificering, zal uw Fase 2-audit een van de grote knelpunten zijn. U moet laten zien dat uw ISMS meer is dan alleen goedgeschreven documenten en algemene goede bedoelingen. Het moet in de praktijk net zo goed werken als op papier.

Door de jaren heen hebben we veel klanten geholpen bij het behalen van een eerste fase 2-auditsucces. En sommige van onze ISO 27001 De experts zijn zelf auditors van certificeringsinstanties geweest, dus we kennen het proces van beide kanten heel goed. We hebben hiervan gebruik gemaakt om onze:

  • Stage 2 controleren beste adviezen
  • ISO 27001 starter-voor-tien checklist

Zorg ervoor dat u alle essentiële zaken afdekt

Uw auditor zal naar elk onderdeel van uw ISMS kijken. Ze zullen zich vooral concentreren op de kerncomponenten ervan. Als deze niet op orde zijn, zullen ze u niet aanbevelen voor certificering. Wanneer u zich dus voorbereidt op uw audit, let er dan vooral op dat u het volgende afdekt:

Risicomanagement

Om uw infosec-verdediging te laten werken, moet u begrijpen waartegen u uzelf beschermt. Dus ga door je risicobeheer inhoud en processen met een fijne kam.

Zorg ervoor dat je:

Asset management

Uw ISMS kijkt zowel naar binnen als naar buiten. Uw auditor moet ervoor zorgen dat u precies begrijpt wat u beschermt. Controleer dus nogmaals of u al uw opmerkingen heeft opgenomen en begrepen informatie-activa.

Houd er rekening mee dat uw organisatie informatiemiddelen zijn meer dan alleen de IT-software en hardware. De lijst kan alles bevatten, van klant en leverancier tot contracten en immateriële activa zoals uw merk en reputatie. Zorg ervoor dat je alles hebt opgenomen!

Probleembehandeling

Uw auditor controleert of uw ISMS in de praktijk werkt. Ze moeten er dus voor zorgen dat jij en je collega's precies weten wat ze moeten doen als het ergste gebeurt en de – eh – suiker toeslaat.

U moet er absoluut zeker van zijn dat uw probleembehandeling processen zijn op orde. Dat betekent vastpinnen:

  • Wanneer en hoe ze worden geactiveerd
  • Wie doet wat, wanneer, als er een nieuw incident plaatsvindt
  • Hoe u uw reactie op elk incident vastlegt en daarvan leert, zodat u:
    • Verbeter uw ISMS
    • Zorg ervoor dat eventuele herhalingen minder of zelfs geen impact hebben

Zorg ervoor dat u uw ISMS goed inbedt

Uw auditor moet zien dat uw ISMS in de praktijk werkt. Om er zeker van te zijn dat dit het geval is, laat u het een tijdje draaien. Geef uzelf wat tijd en ruimte om vertrouwen in uw ISMS op te bouwen voordat u het aan uw auditor laat zien.

Je bouwt vertrouwen op twee manieren op. Gedeeltelijk komt dit vanzelf als u toezicht houdt op uw ISMS, ziet wat werkt en corrigeert wat niet werkt. Maar je moet ook wat meer formele vakjes aanvinken. Zorg ervoor dat u het volgende heeft uitgevoerd:

  • Een of meer interne audits en managementsysteembeoordelingen
  • Passende opleidings- en betrokkenheidsactiviteiten voor het personeel

Vooral die tweede kogel is belangrijk. Een ISMS is alleen effectief als mensen het begrijpen en naleven. Zorg er dus voor dat uw mensen weten:

  • Waar het voor is?
  • Waarom het zo belangrijk is
  • Welk beleid en welke controles ze moeten volgen
  • Precies hoe je ze moet volgen

Zorg ervoor dat uw ISMS echte veranderingen teweegbrengt

Organisaties creëren ISMS'en omdat ze zonder deze niet veilig genoeg zijn. Veilig worden betekent dat hun benadering van beveiliging verandert. Dat creëert een zeer eenvoudige manier om te controleren of uw ISMS auditklaar is. Vraag jezelf:

Is er daadwerkelijk iets veranderd?

Een effectief ISMS zal zichtbare, praktische veranderingen teweegbrengen in de manier waarop uw organisatie werkt. Deze veranderingen zullen zowel de interne als externe processen en relaties beïnvloeden. Ze moeten voor u heel duidelijk zijn.

Als uw ISMS praktische, positieve en voor de hand liggende veranderingen heeft teweeggebracht, bent u een stap dichter bij het gereed zijn voor een audit. Maar als het gewoon uw bestaande rebadge is beveiligingssystemen, heb je waarschijnlijk meer werk te doen.

Maak u geen zorgen over lockdowns die van invloed zijn op uw audit

Fase 2-audits zijn altijd diepgaand en ter plaatse geweest. Dat is moeilijk in onze moderne, door Covid geïnfecteerde wereld. Maar maak je er geen zorgen over.

Certificeringsinstanties zijn er heel duidelijk over dat het auditproces normaal moet doorgaan, ongeacht de lockdown-status van een organisatie. Zij controleren uw organisatie graag op afstand en werken met u samen alle uitdagingen overwinnen.

Auditing op afstand maakt het zelfs nog belangrijker om een ​​volledig transparant, gemakkelijk toegankelijk, alles-in-één-plaats ISMS te hebben, zoals (we vinden dat we dat moeten vermelden) ons platform kan je helpen creëren. En als je al bij ons bent, dan is dat wat je al hebt.

Stop niet zodra uw fase 2-audit is voltooid

'Veel organisaties slagen voor hun audit, vieren al hun harde werk en… vergeten eigenlijk alles over hun ISMS. Iedereen gaat terug naar zijn dagelijkse werk. Dan, zo'n tien maanden later, ontstaat er grote paniek als ze zich moeten klaarmaken voor hun eerste onderhoudsaudit.

Een ISMS is geen 'fire-and-forget'-systeem. Om de ISO 27001-certificering te behouden, moet het:

  • Leer van eventuele infosec-incidenten
  • Evolueer naarmate de moederorganisatie groeit en verandert
  • Houd rekening met eventuele nieuwe infosec-bedreigingen en ontwikkelingen

We zeggen vaak dat het onderhouden van uw ISMS net zo’n grote uitdaging is als het operationeel krijgen ervan. Zorg ervoor dat het een uitdaging is waar je klaar voor bent!

Volg onze starter-voor-tien ISO 27001-checklist

We hebben u enkele algemene tips gegeven om u voor te bereiden op uw fase 2-audit. We eindigen met enkele specifieke richtlijnen. Deze tabel is een startersgids voor tien waarmee u uw ISMS kunt vergelijken met de ISO 27001-norm. Het zal je helpen je te concentreren terwijl je over elk onderdeel ervan nadenkt.

 

ISO 27001 Ref. & Omschrijving

Artikel 10.1

Zijn alle bevindingen van uw Fase 1-audit geregistreerd, beheerd en bijgehouden?

Zijn alle belangrijke non-conformiteiten tot voltooiing gebracht?

Zijn kleine non-conformiteiten gesloten of op schema volgens hun? corrigerende maatregelen plan?

Artikel 5

Zijn alle geplande processen tijdig in werking zodat er voldoende middelen beschikbaar zijn?

Clausules 6.1, 8.2 en 8.3

Toont uw risicoregister een accuraat actueel beeld van de risiconiveaus (dat wil zeggen dat u bijwerken van risico's tegen veranderingen en verbeteringen in de risicobehandeling)?

Artikel 6.2

Bent u het bereiken van uw informatiebeveiligingsdoelstellingen?

Artikel 7.2

Sluit u er een? informatiebeveiliging competentielacunes?

Artikel 7.3

Beheer jij de informatiebeveiliging bewustzijn programma dat je hebt beschreven?

Artikel 9.1

Heeft u uw ISMS-prestatiemetingen?

Clausules 9.2, 10.1 en 10.2

Heb je er minimaal twee afgerond? interne audits uit het auditschema?

Heeft u al uw bevindingen geregistreerd, bijgehouden en beheerd?

U hoeft niet per se bevindingen af ​​te ronden die aanzienlijke verbetering vereisen, maar u moet wel aantonen dat er actie is gepland of gaande is.

Clausules 9.3, 10.1 en 10.2

Heeft ten minste één formeel ISMS Managementbeoordeling Heeft dit plaatsgevonden in overeenstemming met de eisen van de norm?

Heeft u alle bevindingen geregistreerd, bijgehouden en beheerd?

Bijlage A Controles

Kunt u aantonen dat u alle controles en relevante processen effectief uitvoert?

Als u verbeteringen moet aanbrengen, kunt u dan aantonen dat u deze bijhoudt en beheert?

A.16. Beheer van informatiebeveiligingsincidenten

Kunt u aantonen dat u, wanneer er incidenten plaatsvinden, deze in de loop van de tijd registreert, volgt, beheert en erop reageert?

Afsluiten... en veel succes!

We hebben veel over de fase 2-audit nagedacht omdat we hebben gebouwd ons platform om onze klanten er doorheen te helpen. Sterker nog, elke klant die ons heeft gevolgd Methode voor gegarandeerde resultaten is bij de eerste poging geslaagd voor de certificering.

En je hoeft niet alles opnieuw te beginnen. Het is eenvoudig om uw bestaande werk naar ons platform te migreren. U kunt overstappen wanneer het u uitkomt, ook als u uw Stage 1-audit heeft afgerond of daadwerkelijk heeft afgerond ISO 27001 behaald certificering.

En dat is dat. Als deze blogpost u door uw fase 2-audit helpt, laat het ons dan weten. We horen graag hoe organisaties daarmee omgaan. Rest ons niets anders dan u veel succes te wensen! We zijn er zeker van dat al uw harde werk vruchten zal afwerpen.

 

Klaar om te zien hoe wij u kunnen helpen om voor het eerst Fase 2-succes te behalen?

Boek een vrijblijvende demo om ons platform in actie te zien. En we zijn verrassend betaalbaar. U kunt uw offerte hier opvragen.

« Hoe u uw ISO 27001 Management Review uitvoert

5 toptips voor het behalen van ISO 27001-certificering »

Laatst bewerkt: 7 februari 2022
Auteur

Al Robertson

Al is een professionele schrijver en gepubliceerde auteur die een scala aan onderwerpen behandelt. Hij heeft een reeks artikelen geschreven over compliance en vooral over informatiebeveiliging en hoe ISO 27001-certificering organisaties kan helpen groeien.

Bekijk alle berichten van Al Robertson

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie