Wat is het ISO 27001-auditproces?

Wat komt er kijken bij een ISO 27001-audit?

Audits worden vaak gebruikt om ervoor te zorgen dat een activiteit aan een reeks gedefinieerde criteria voldoet. Voor alle ISO-managementsysteemnormen wordt gebruik gemaakt van audits om er zeker van te zijn dat het managementsysteem voldoet aan de eisen van de betreffende norm, de eigen eisen en doelstellingen van de organisatie, en efficiënt en effectief blijft. Om dit te bevestigen zal een auditprogramma moeten worden uitgevoerd.

Wat is een ISO 27001-audit?

Een ISO 27001-audit houdt in dat een competente en objectieve auditor het ISMS of elementen ervan beoordeelt en test of het voldoet aan de eisen van de norm, de eigen informatievereisten en doelstellingen van de organisatie voor het ISMS en dat het beleid, de processen en andere controles effectief zijn. en efficiënt.

Naast de algehele naleving en effectiviteit van de ISMS, een ISO 27001-audit is ontworpen om een ​​organisatie in staat te stellen haar informatiebeveiligingsrisico's tot een aanvaardbaar niveau te beheersen, zal het nodig zijn om te controleren of de geïmplementeerde controles inderdaad de risico's verminderen tot een punt waarop de risico-eigenaar(s) dit graag tolereren het restrisico.

Wat zijn de soorten audits?

De norm vereist dat een organisatie dit moet doen een schema van “interne audits” plannen en uitvoeren om naleving te kunnen claimen naar de standaard. Als een organisatie certificering wil behalen, zal er bovendien sprake zijn van ‘externe audits’ die moeten worden uitgevoerd door een ‘certificeringsinstantie’ – een geaccrediteerde organisatie met de competente middelen voor audits op basis van ISO 27001.

Om maximaal voordeel uit het ISMS te halen, wordt het sterk aanbevolen om ervoor te zorgen dat de geselecteerde certificeringsinstantie geaccrediteerd is door een erkende toezichthoudende autoriteit. Binnen Groot-Brittannië zijn certificatie-instellingen geaccrediteerd door UKAS – de United Kingdom Accreditation Service. Dit is de enige door de overheid gemachtigde accreditatie-instantie in Groot-Brittannië.

Interne audit

Interne audits, zoals de naam doet vermoeden, zijn de audits die door de organisatie worden uitgevoerd op het ISMS van de organisatie. Als de organisatie dat niet heeft competent en objectieve auditors binnen de eigen staf, deze audits kunnen door een opdrachtnemer worden uitgevoerd.

Externe audit

De term “externe audits” is meestal van toepassing op audits die worden uitgevoerd door een certificeringsinstantie met als doel het verkrijgen of behouden van certificering. De term kan echter ook worden gebruikt om te verwijzen naar audits die worden uitgevoerd door andere organisaties. geïnteresseerde partijen (bijvoorbeeld partners of klanten) die dat willen hun eigen zekerheid krijgen over het ISMS van de organisatie. Zeker als zo’n partij eisen stelt die verder gaan dan de norm.

Waarom zijn ISO 27001-audits belangrijk?

Zonder te verifiëren hoe uw ISMS wordt beheerd en presteertbestaat er geen echte garantie dat het de doelstellingen zal verwezenlijken die het moet verwezenlijken. Audits kunnen deze zekerheid enigszins bieden.

Waarom moet ik mijn ISMS auditen?

Er zijn een aantal redenen om uw ISMS te laten auditen:

• De norm vereist dit – clausule 9.2, Interne audit stelt een programma van interne audits verplicht.
• Om ervoor te zorgen dat uw ISMS adequaat wordt geïmplementeerd en beheerd.
• Naar ervoor zorgen dat het ISMS aan de eisen voldoet van de standaard.
• Ervoor zorgen dat het ISMS voldoet aan de eigen eisen van de organisatie.
• Naar ervoor zorgen dat het ISMS voldoet aan de doelstellingen die de organisatie heeft gesteld voor informatiebeveiliging tegen clausule 6.2 Informatiebeveiligingsdoelstellingen en de planning om deze te bereiken.
• Ervoor zorgen dat het ISMS effectief is in het terugdringen risico's op het gebied van informatiebeveiliging tot een aanvaardbaar niveau.
• Om ervoor te zorgen dat eventuele afwijkingen en corrigerende maatregelen worden tijdig aangepakt.
• Verzekeren dat informatiebeveiliging zwakke punten, gebeurtenissen en incidenten worden effectief en efficiënt gerapporteerd, beheerd en opgelost.

Wat komt er kijken bij interne audits volgens ISO 27001?

Documentatie beoordeling – Dit is een beoordeling van het beleid, de procedures, de normen en de begeleidingsdocumentatie van de organisatie om ervoor te zorgen dat deze geschikt is voor het beoogde doel en wordt beoordeeld en onderhouden.

Bewijsmateriaalaudit (of veldonderzoek) – Dit is een auditactiviteit waarbij actief bewijsmateriaal wordt verzameld om aan te tonen dat het beleid wordt nageleefd, dat procedures en normen worden gevolgd en dat er begeleiding wordt overwogen.

Analyse – Na documentatieonderzoek en/of bewijssteekproef zal de auditor de bevindingen beoordelen en analyseren om vast te stellen of aan de eisen van de norm wordt voldaan.

Auditrapport – Er moet een auditrapport worden opgesteld zoals vereist door de norm in artikel 9.2 f) en aan het management worden verstrekt om de zichtbaarheid te garanderen.

Managementbeoordeling – Dit is een vereiste activiteit op grond van artikel 9.3 Managementbeoordeling, waarbij rekening moet worden gehouden met de bevindingen van de uitgevoerde audits om ervoor te zorgen dat corrigerende maatregelen en verbeteringen worden geïmplementeerd als dat nodig is.

Wat komt er kijken bij een externe ISO 27001-audit?

De processen voor externe audit zijn in essentie hetzelfde als voor het interne auditprogramma, maar worden doorgaans uitgevoerd met het doel de certificering te behalen en te behouden. Het programma van externe [certificerings]audits zal worden bepaald door de externe auditors [certificeringsinstantie], maar zal een systematische vereiste volgen.

De betreffende auditor zal een plan van de audit aanleveren en zodra dit door de organisatie is bevestigd, worden de middelen toegewezen en worden data, tijden en locaties overeengekomen. Vervolgens wordt de audit uitgevoerd volgens het auditplan.

Hoe vaak worden externe audits uitgevoerd?

Verschillende Accreditatie-instellingen over de hele wereld stellen verschillende eisen aan het certificeringsprogramma audits, in het geval van door UKAS geaccrediteerde certificaten omvat dit echter:

• Initiële certificeringsaudit – uitgevoerd in 2 fasen.
• Periodieke surveillance-audits – doorgaans om de zes maanden of minimaal jaarlijks.
• Hercertificeringsaudits worden elke 3 jaar uitgevoerd.

Wat zijn de soorten en fasen van externe audits?

• Fase 1-audit – “Documentatiebeoordeling” om vast te stellen dat de organisatie over de vereiste documentatie beschikt voor een operationeel ISMS.
• Fase 2-audit – “Certificatieaudit” – een bewijskrachtige audit om te bevestigen dat de organisatie dat is het exploiteren van het ISMS in overeenstemming met de standaard – dat wil zeggen dat het gedocumenteerde beleid, de procedures en de standaarden geïmplementeerd, operationeel en effectief zijn. Dit bewijsonderzoek wordt steekproefsgewijs uitgevoerd.
• Toezichtaudit – Ook bekend als “Periodische Audits”, deze worden op een geplande basis uitgevoerd tussen certificerings- en hercertificeringsaudits en zullen zich richten op een of meer gebieden van het ISMS.
• Hercertificeringsaudit – Wordt uitgevoerd vóór het verstrijken van de certificeringsperiode (3 jaar voor door UKAS geaccrediteerde certificaten) en is een grondigere beoordeling dan die welke wordt uitgevoerd tijdens een tussentijdse audit. Het omvat alle gebieden van de standaard.

Naast het programma van formele externe certificeringsaudits hierboven, kan het zijn dat u een externe audit moet ondergaan door een geïnteresseerde derde partij, zoals een klant, partner of toezichthouder. Normaal gesproken zal de relevante partij u voorzien van een auditplan en daarna een auditrapport dat in uw ISMS moet worden ingevoerd Managementbeoordeling.

De waarde van een ISO 27001-audit met/zonder certificering

Het besluit van de organisatie om iets te bereiken compliance en eventueel certificering volgens ISO 27001 zal afhangen van de redenen voor het implementeren en exploiteren van een formeel, gedocumenteerd ISMS en dit zal vaak worden gedocumenteerd in een business case waarin de verwachte doelstellingen en het rendement op de investering worden geïdentificeerd.

Zonder certificering kan de organisatie alleen aanspraak maken op “naleving” van de norm, en deze naleving wordt door geen enkele geaccrediteerde derde partij gegarandeerd. Als de reden voor de implementatie van het ISMS alleen het verbeteren van het veiligheidsmanagement en de interne zekerheid is, kan dit voldoende zijn.

Om maximaal voordeel en rendement op de investering te behalen uit het ISMS in termen van het bieden van zekerheid aan de externen van de organisatie geïnteresseerde partijen en belanghebbenden is een onafhankelijk, extern, geaccrediteerd certificeringsauditprogramma vereist.

Bedenk dat het enige verschil in termen van inspanning tussen “compliance” en “certificering” het programma van externe certificeringsaudits is. Dit komt doordat de organisatie, om werkelijk aanspraak te kunnen maken op ‘naleving’ van de standaard, nog steeds alles zal moeten doen wat door de standaard wordt vereist – zelfgeteste ‘naleving’ vermindert niet de benodigde middelen en de inspanning die gepaard gaat met het implementeren en exploiteren van een ISMS.

Voorbereiden van een ISO 27001 certificeringsaudit

Bij de voorbereiding van een certificeringsaudit moeten de volgende belangrijke punten in overweging worden genomen:

Zijn de belangrijkste processen van het ISMS geïmplementeerd en operationeel?

• Organisatorische context – Het begrijpen en documenteren van de organisatorische context en vereisten voor informatiebeveiliging, inclusief die van belanghebbenden. Dit zal ook omvatten het documenteren van de reikwijdte van het ISMS
• Risico- en kansenbeheer – Heeft de organisatie geïdentificeerd en beoordeeld informatiebeveiliging risico's en kansen en een behandelplan gedocumenteerd?
• Leadership – Kan sterk leiderschap op het hoogste niveau worden aangetoond – bijvoorbeeld door het ter beschikking stellen van middelen en een gedocumenteerde commitmentverklaring binnen de organisatie veiligheidsbeleid.
• Interne audit – Is er een programma van interne audits gedocumenteerd, overeengekomen en gestart in overeenstemming met artikel 9.2?
• Managementbeoordeling – Heeft het ISMS een formele managementbeoordeling ondergaan in overeenstemming met artikel 9.3
• Corrigerende maatregelen – Kan de organisatie aantonen dat corrigerende acties en verbeteringen op een effectieve en efficiënte manier worden beheerd en geïmplementeerd?

Zijn de vereiste documenten aanwezig en goedgekeurd?

• ISMS-reikwijdte verklaring (artikel 4.3)
• Organisatorisch informatiebeveiligingsbeleid (Clausule 5.2)
• Risicomanagement methode (clausule 6.1.2 en 6.1.3)
• Risicoregister & behandelplan (6.1.3 e)
• Verklaring van toepasselijkheid (Artikel 6.1.3 d)
• Beleid en processen vereist krachtens bijlage A waar controles plaatsvinden zijn van toepassing

Zijn bewijsstukken gemakkelijk te vinden en toegankelijk?

Laat al het personeel en de betrokken aannemers ontvangen informatiebeveiligingseducatie, -training en -bewustzijn?

Het is ook een goede praktijk om ervoor te zorgen dat degenen die worden geïnterviewd, zijn geïnformeerd over wat ze tijdens de audit kunnen verwachten en hoe ze moeten reageren. Zorg er ook voor dat ze gemakkelijk toegang hebben tot documenten en bewijsmateriaal waar de auditor om kan vragen.

Wie voert een ISO 27001-audit uit?

Alle audits volgens ISO 27001 moeten worden uitgevoerd door competente en objectieve auditors.

Om de competentie voor een ISO 27001-audit aan te tonen, is het doorgaans vereist dat de auditor aantoonbare kennis heeft van de norm en hoe hij een audit moet uitvoeren. Dit kan door het volgen van een ISO 27001 Lead Auditor-cursus of door het hebben van een andere erkende auditkwalificatie en vervolgens aantoonbare kennis van de norm. Het kan mogelijk zijn om aan te tonen dat een auditor bekwaam is zonder formele training, maar dit zal waarschijnlijk een moeilijker gesprek zijn met uw certificeringsinstantie.

Om objectiviteit aan te tonen moet worden aangetoond dat de auditor zijn eigen werk niet controleert en dat hij/zij niet onnodig wordt beïnvloed via zijn rapportagelijnen. Voor kleinere organisaties of organisaties die een duidelijkere objectiviteit wensen, kan het praktischer zijn om een ​​gecontracteerde auditor in te schakelen.

Certificatie-instellingen hebben hun auditors op bekwaamheid gecontroleerd en moeten bereid zijn dit desgevraagd aan u aan te tonen.

Hoe werkt
ISMS.online het auditproces efficiënter maken?

ISMS.online omvat een vooraf gebouwd auditprogrammaproject dat zowel interne als externe audits omvat en mogelijk ook audits omvat GDPR als u deze optie heeft genomen.

Het vooraf gebouwde auditprogramma omvat:

• Activiteiten voor 2 aanbevolen audits voorafgaand aan certificering
• A plan voor interne audits voor de eerste certificeringsperiode van drie jaar
• Tijdelijke aanduidingen voor uw externe certificering en periodieke audits

Naast het verzorgen van het auditprogrammaproject, de mogelijkheid om snel te linken naar andere werkgebieden binnen de all-in-one-place ISMS.online-platform betekent dat het koppelen van auditbevindingen aan controles, aan corrigerende maatregelen en verbeteringen en zelfs aan risico's eenvoudig en toegankelijk wordt gemaakt. Hiermee kunt u op eenvoudige wijze aan uw externe accountant aantonen dat er sprake is van een gezamenlijk beheer van de geïdentificeerde bevindingen.

meer informatie nodig? Neem dan contact op met spreek vandaag nog met een van onze experts.