Wat zijn de verschillende soorten ISO 27001 interne audits?

Introductie

Deze pagina is gemaakt om de verschillende soorten ISO 27001 interne audits uit te leggen. Om te beginnen zullen we de basis leggen door de vereisten in de ISO 27001-standaard zelf kort toe te lichten, en daarna zullen we praten over een ISMS, waarom het audit nodig heeft en wat de doelstellingen ervan zijn. Als u bekend bent met deze titels, scroll dan naar de tweede helft, waarin specifiek wordt gesproken over interne audits en methodologie.

 

Wat is ISO 27001?

ISO 27001 is een standaard opgesteld door de Internationale Organisatie voor Standaardisatie. Het wordt gebruikt als raamwerk voor die van een organisatie Informatiebeveiligingsbeheersysteem (ISMS). De norm bestaat uit twee eenvoudige delen, de clausules (vereisten, en daarom niet optioneel) en bijlage A controles (optioneel gebruikt om geïdentificeerde informatiebeveiligingsrisico's te beperken).

Het managementsysteem voor informatiebeveiliging (ISMS) moet worden ontworpen, onderhouden en voortdurend worden verbeterd in overeenstemming met ISO 27001. Het helpt de beste praktijken op het gebied van informatiebeveiliging aan te tonen, inclusief delen van de EU Algemene voorschriften voor gegevensbescherming, door te helpen bij het opzetten van sterke gegevensbeveiligingsprincipes en de daaruit voortvloeiende processen, systemen en infrastructuur in alle aspecten van uw bedrijf.

Wat is een informatiebeveiligingsbeheersysteem (ISMS)?

Een Information Security Management System beschrijft en demonstreert de aanpak van uw bedrijf of organisatie om gegevens te beschermen en de privacy te handhaven. Het legt het beleid, de procedures, de systemen en andere componenten vast die worden gebruikt om te handhaven informatiebeveiliging binnen een organisatie. Een ISMS houdt ook rekening met geïnteresseerde partijen (zoals leveranciers), de reikwijdte van uw organisatie (waar en waarop uw ISMS van toepassing is) en interne en externe vraagstukken. Voor dit laatste kunt u deze kwesties bepalen om risico's of kansen voor uw organisatie te introduceren, waar u vervolgens binnen uw ISMS naar handelt.

Waarom heb je een ISMS nodig?

An Het Information Security Management System helpt bij het identificeren en beperken van risico's die verband houden met uw meest waardevolle informatie en bijbehorende bedrijfsmiddelen. Uiteindelijk kan het beschikken over een functionerend ISMS ervoor zorgen dat een organisatie de verstoring veroorzaakt door veiligheidsbedreigingen tot een minimum kan beperken en ruimte kan bieden continue verbetering. Naast deze intern gerichte waarde heeft een succesvol ISMS vaak tastbare commerciële waarde.

cta-afbeelding

Ontdek hoe eenvoudig het is met ISMS.online

Boek uw demo

 

Waarom uw ISMS auditeren?

An audit van uw ISMS maakt het mogelijk dat het managementsysteem wordt beoordeeld door een objectieve en competente auditor. Het zal de elementen van het ISMS testen op basis van standaardvereisten. Het zal ook meer inzicht geven in de het huidige niveau van het bereiken van de behoeften van de organisatie en bedrijfsdoelstellingen. De efficiëntie en bruikbaarheid van het schriftelijke beleid en de procedures worden ook gemeten. Tenslotte, een audit van uw ISMS kan ook de positieve bevindingen noteren om ervoor te zorgen dat deze adequaat worden onderhouden en ontwikkeling bieden voor voortdurende verbetering.

Wat is een interne audit?

Tijdens een interne audit de auditor verzamelt en documenteert feiten in samenwerking met de gecontroleerde. Een interne audit meet de feitelijke praktijken (en de daaruit voortvloeiende uitkomsten, zoals gegevens) ten opzichte van uw organisatie ISMS, afgestemd op de ISO 27001 standaard. Het zorgt ervoor dat u de best practices volgt en processen om gevoelige gegevens te beschermen. Een competente auditor moet een interne audit uitvoeren van binnenuit of (eventueel van buitenaf, bijvoorbeeld een consultant) in nauwe samenwerking met de organisatie.

Waarom voeren wij interne audits uit?

Clausule 9.2 van ISO 27001 (en vele andere moderne ISO-normen) vereisen dat interne audits met “geplande tussenpozen” worden uitgevoerd. Ten eerste moeten we dus regelmatig interne audits uitvoeren. Overigens zijn de andere vereisten van artikel 9.2 vrij eenvoudig: we moeten onze auditresultaten documenteren en ervoor zorgen dat het auditprogramma gepland maar dynamisch is. Dit laatste punt zorgt ervoor dat u dit in overweging neemt en dienovereenkomstig reageert als uw organisatie en de externe zakelijke omgeving veranderen.

Naast de ISO-vereisten moet u ook audits uitvoeren op verschillende belangrijke organisatorische drijfveren:

  • Het signaleren van inefficiënties in processen
  • Om tekortkomingen op te sporen bij het voldoen aan de eisen van de norm
  • Om goede praktijken te identificeren die kunnen worden gerepliceerd
  • Om te zoeken naar mogelijke verbeteringen
  • Om naleving te signaleren

 

Soorten ISO 27001 interne audits

Terwijl u de ISO 27001-certificering behaalt en behoudt, zijn er vaak momenten waarop u een interne audit nodig heeft. Er zijn meerdere manieren om uw interne auditstrategie uit te voeren. Er zijn momenten tijdens uw certificeringstraject waarin een interne audit uw vertrouwen kan vergroten wanneer u een externe audit ondergaat. In de aanloop naar de eerste certificering zijn er twee mooie mogelijkheden voor een interne audit. Deze kunnen worden aangeduid als een prefase 1-audit (gereedheidsbeoordeling) en een prefase 2-audit.

Pre-fase 1 audit uitgelegd

Een pre-fase 1 is een audit die optioneel, maar zeer vaak, kan plaatsvinden voor ISO 27001 en draait om de vraag of de huidige beleid en procedures voldoen aan de eisen die in de norm zijn gesteld. Een pre-fase 1 audit kan ook wel een readiness review worden genoemd en kijkt doorgaans alleen naar de gedocumenteerde componenten (beleid, procedures, etc.) van uw ISMS die door uw organisatie zijn gecreëerd en controleert of deze aan de norm voldoen. Dit audit zorgt ervoor dat uw organisatie beter voorbereid is op een externe fase 1 documentbeoordeling door een certificerende instantie.

Het resultaat van een pre-fase 1-audit zou een document zijn met een lijst met controles en clausules en of de organisatie hieraan voldoet met elk standaardgebied. Er zullen ook mogelijkheden zijn voor verbeteringen (OFI's), waarbij het beleid met betrekking tot de clausule of bijlage wordt benadrukt dat mogelijk moet worden herzien. Ten slotte kunnen non-conformiteiten worden vermeld wanneer de auditor van mening is dat het ISMS niet aansluit bij de ISO 27001-norm.

Pre-fase 2 audit uitgelegd

De pre-fase 2-audit omvat doorgaans een ISO 27001-controle of -clausule naar keuze. Deze audit bewijst de effectiviteit van uw auditprocedures en beleid in de praktijk. Dit bouwt voort op de pre-fase 1-audit en zorgt ervoor dat uw organisatie de gedefinieerde processen implementeert en in de praktijk brengt. Deze gebieden worden door de auditor getest en onderzocht om het huidige niveau van uw organisatie weer te geven naleving van informatiebeveiliging. Bevindingen worden vastgelegd en opgeslagen binnen uw ISMS.

Aansluitend op clausule 10 van ISO 27001, waarin verbeteringen en corrigerende maatregelen aan de orde komen, documenteert een organisatie na voltooiing van een interne audit voorafgaand aan fase 2 de non-conformiteiten en verbeterpunten binnen het ISMS. Voor elke bevinding wordt een beoordelingsdatum vastgesteld zodra is vastgesteld dat er actie moet worden ondernomen.

Iedereen die we hebben geholpen om voor ISO 27001 te gaan, is de eerste keer geslaagd. Dat zou jij ook kunnen.
Boek uw demo

 

Auditprogramma

De De ISO 27001-norm vereist een audit programma. Een auditprogramma definieert doorgaans een driejarenplan tussen externe audits voor hercertificering. Een robuust ISMS-framework zoals ISMS.online geeft een projectgebied waarin de audittijdsbestekken worden uiteengezet, waarin gedetailleerd wordt beschreven wat er moet worden aangepakt en andere relevante details van de geplande audit.

Binnen deze drie jaar is het gebruikelijk dat alle standaardgebieden minimaal één keer aan bod komen. Auditprogramma's kunnen en moeten flexibel zijn om aan uw behoeften te voldoen behoeften van de organisatie en hoeven niet in een vast model te passen.

Elke audit is gepland en het auditplan bevat doorgaans details zoals:

  • Wanneer de audit moet worden uitgevoerd (verstoor de normale bedrijfsvoering niet)
  • Welke gebieden van de norm moeten worden gedekt
  • Wie gaat de audit doen?
  • Het doel – waarom wordt de audit uitgevoerd? Dit kan een geplande audit zijn of een heraudit van een eerder geïdentificeerd non-conformiteitsgebied.
  • De reikwijdte van de audit – welke onderdelen van het bedrijf moeten in de beschikbare tijd worden bestreken?

Er zijn subtiel verschillende auditmethoden:

  • Audits kunnen clausule voor clausule worden uitgevoerd en controle voor controle. Een goed voorbeeld van waar deze aanpak nuttig zou zijn, is voor meer algemene doeleinden bijlage A controles, waardoor een risico voor iedereen wordt beperkt. Dit houdt in dat u delen van de standaard kiest en een audit uitvoert voor een vooraf gedefinieerd deel of de gehele organisatie. Een voorbeeld hiervan zou zijn A.11 Fysieke beveiliging voor elk van uw kantoren of locaties.
  • Een andere auditmethode omvat het uitvoeren van afdelingsaudits. Bij deze methode wordt gekeken naar het uitvoeren van audits op basis van afdelingsstructuren en werkgebieden. Een afdelingsaudit kan passend zijn als afdelingen in verschillende regio's actief zijn. Een voorbeeld hiervan kan een audit van uw zijn human resources (HR)-afdeling en haar ISMS-componenten.
  • Audits kunnen ook worden gedaan op basis van producten/diensten. Hierbij wordt gekeken naar de taken en handelingen die nodig zijn om een ​​specifiek product te leveren. Een pragmatische manier om dit te doen is door te beginnen bij het eindproduct en terug te werken naar het moment waarop de acties voor het eerst werden gestart. In wezen is dit een audit van een proces.

 

Ongeplande/aanvullende audits

Soms heeft u misschien het gevoel dat u audits moet uitvoeren buiten uw initiële auditprogramma binnen uw organisatie. Dit kan verschillende redenen hebben die verband houden met de effectiviteit van uw ISMS. Geplande audits zijn een manier om te laten zien dat uw organisatie proactief is en voortdurende verbetering nastreeft. Het kan echter net zo belangrijk zijn om reactief te zijn op de omstandigheden van uw organisatie. Dit is uw keuze, want het is geen keuze. vereiste van ISO 27001.

Een andere reden waarom een ​​organisatie mogelijk een ongeplande audit moet uitvoeren, is om te reageren op een beveiligingsincident of een ramp. Als er via een phishing-e-mail een inbreuk op de beveiliging zou plaatsvinden, kan een organisatie het passend achten om bijlage A-controle A.7.2.2 te controleren, waarin wordt gekeken naar de bewustwording en training van het personeel. Dit zou ervoor moeten zorgen dat dit soort compromissen op het gebied van de veiligheid zich niet opnieuw voordoen.

Een voorbeeld van waarom u mogelijk aanvullende audits wilt uitvoeren, zijn de bevindingen van uw geplande audits. Stel dat u bijvoorbeeld non-conformiteiten aantreft binnen een bepaald auditgebied, dan kan het het beste zijn om die specifieke controle of clausule met regelmatigere tussenpozen te auditen totdat het probleem zich minder voordoet of het risico draaglijker wordt. Dit is afhankelijk van uw risicobereidheid, de potentiële schade en de frequentie van non-conformiteiten. Het kan ook nuttig en passend zijn om een ​​interne audit uit te voeren van eventuele corrigerende maatregelen om succes te garanderen.

 

Auditresultaten

Bij het uitvoeren van een audit is het van cruciaal belang om uw ontdekkingen te documenteren en te garanderen continue verbetering. Er worden ook positieve bevindingen genoteerd die helpen bij het ontwikkelen van ideeën en ervoor zorgen dat goede praktijken in stand worden gehouden. Non-conformiteiten worden geregistreerd om ervoor te zorgen dat corrigerende maatregelen worden genomen en dat problemen worden toegewezen aan een verantwoordelijke eigenaar. Een algemeen gestructureerde manier waarop auditresultaten worden gedocumenteerd is als volgt:

  • Conformiteit – Er wordt geoordeeld dat de regelingen op adequate wijze voldoen aan de vereisten van de toepasselijke clausule(s) of controle(s)
  • Kansen voor verbetering – Genoemde gebieden waar het ISMS kan mogelijk worden verbeterd, naar goeddunken van de organisatie. De organisatie moet de bevindingen zorgvuldig overwegen en, indien nodig, de wijzigingen in het ISMS documenteren.
  • Non-conformiteit – Een probleem dat in strijd is met een vereiste van ISO 27001. Dit vereist een volledige en juiste oplossing, onmiddellijk vóór de volgende externe audit.
  • Grote non-conformiteit – Het niet voldoen aan de norm op systemisch niveau zal waarschijnlijk aandacht van het senior management en een herstructurering van de informatiebeveiligingspraktijk vereisen.

Houd er rekening mee dat de bovenstaande aanpak geen vereiste is van ISO 27001, dus u kunt geheel andere benaderingen gebruiken als deze voor uw organisatie werken.

 

Hoe ISMS.online helpt bij interne audits

Met ISMS.online zorgt onze softwareservice ervoor dat uw informatiebeveiligingsbeheersysteem een ​​alles-in-één toegankelijke locatie wordt. Dit omvat een flexibel auditprogrammagebied dat auditrapporten tussen certificeringsperioden kan documenteren. Ten tweede helpt ISMS.online organisaties bij het beheren van hun auditbevindingen en deze dienovereenkomstig aan te pakken. Binnen onze softwareservice biedt het ook een ruimte om aan clausule 10 (Verbetering) te voldoen door een traject voor corrigerende acties en verbeteringen aan te bieden. Hierdoor kan uw organisatie proactiever zijn bij het aanpakken van non-conformiteiten en verbeteringen. Dit gebeurt door de status ervan te bekijken, een verantwoordelijke eigenaar en datums voor voltooiing en beoordeling toe te wijzen. Al deze functies zorgen ervoor dat een organisatie zich beter georganiseerd voelt voor een externe audit, omdat alle werkgebieden en rapporten gemakkelijk toegankelijk zijn om te tonen, waardoor het proces soepeler verloopt.

ISMS.online biedt ook interne auditdiensten aan, uitgevoerd door informatiebeveiligingsspecialisten. Dit zorgt ervoor dat organisaties over een competente auditor beschikken om hun interne audits uit te voeren in overeenstemming met bijlage A.18.2.1, waarin wordt vermeld dat processen en procedures onafhankelijk moeten worden beoordeeld. Hierdoor zijn uw auditbevindingen objectief, nauwkeurig en waardevol voor uw organisatie.

Om extra ondersteuning te bieden beschikt ISMS.online ook over een virtuele coach add-on, die video's, handleidingen en checklists bevat die informatie bieden over het aanpakken van de ISO 27001-norm. Er is een sectie met betrekking tot 9.2 (Interne audits) en andere relevante gebieden. Dit geeft richting aan uw organisatie en helpt tijd te besparen die u kunt gebruiken om u te concentreren op meer algemene werkzaamheden. Het gebruik van Virtual Coach zal uw organisatie helpen pragmatisch te worden en uw resultaten te vergroten informatiebeveiliging vertrouwen.

Klaar om actie te ondernemen?

Boek uw demo

cta-afbeelding

 

« Hoe u zich kunt voorbereiden op een interne ISO 27001-audit – Het perspectief van de gecontroleerde

Hoe u veelvoorkomende interne auditfouten in ISO 27001 kunt voorkomen »

Laatst bewerkt: 7 februari 2022
Auteur

Aäron Korpal

Aaron is een Information Management Security Specialist en helpt klanten bij het afstemmen en naleven van een reeks normen, waaronder ISO 27001.

Bekijk alle berichten van Aaron Korpal

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie