Wat komt er kijken bij een ISO 27001-audit?

Wat is een ISO 27001-audit?

An ISO 27001 Bij een audit is een competente en objectieve auditor betrokken die het volgende beoordeelt:

• De ISMS of elementen ervan en testen of het voldoet aan de eisen van de norm,
• De eigen informatiebehoeften van de organisatie, doelstellingen voor het ISMS,
• Dat het beleid, de processen en andere controles praktisch en efficiënt zijn.

Naast de algehele naleving en effectiviteit van het ISMS, zoals ISO 27001 is ontworpen om een ​​organisatie in staat te stellen haar informatiebeveiligingsrisico's te beheersen tot een aanvaardbaar niveau is gekomen, zal het nodig zijn om te controleren of de geïmplementeerde controles het risico inderdaad terugbrengen tot een punt waarop de risico-eigenaar(s) het resterende risico graag tolereren.

Wat zijn de soorten audits?

De standaard vereist dat een organisatie een schema van “interne audits” moet plannen en uitvoeren om naleving van de standaard te kunnen claimen. Bovendien zal een organisatie, als zij certificering wil behalen, “externe audits” moeten uitvoeren door een “certificeringsinstantie” – een organisatie met competente auditmiddelen op basis van ISO 27001.

Om maximaal voordeel uit het ISMS te halen, wordt het sterk aanbevolen om ervoor te zorgen dat de geselecteerde certificeringsinstantie geaccrediteerd is door een erkende toezichthoudende autoriteit. Binnen Groot-Brittannië zijn certificatie-instellingen geaccrediteerd door UKAS – de United Kingdom Accreditation Service.

Interne audit

Interne audits zijn, zoals de naam doet vermoeden, audits die worden uitgevoerd met eigen middelen van de organisatie. Indien de organisatie niet beschikt over competente en objectieve auditors binnen haar eigen personeelsbestand, kunnen deze audits worden uitgevoerd door een gecontracteerde leverancier. Deze worden vaak ‘audits door derden’ genoemd, omdat de leverancier optreedt als ‘interne hulpbron’.

Externe audit

De term “externe audits” is meestal van toepassing op audits die door een certificeringsinstantie worden uitgevoerd om certificering te verkrijgen of te behouden. De term kan echter ook worden gebruikt om te verwijzen naar audits die worden uitgevoerd door andere geïnteresseerde partijen (bijvoorbeeld partners of klanten) die zelf zekerheid willen krijgen over het ISMS van de organisatie. Zeker als zo’n partij eisen stelt die verder gaan dan de norm.

Waarde van een ISO 27001-audit met/zonder certificering

Het besluit van de organisatie om iets te bereiken compliance en eventueel certificering volgens ISO 27001 zal afhangen van de implementatie en werking van een formeel, gedocumenteerd ISMS. Dit zal vaak worden gedocumenteerd in een business case waarin de verwachte doelstellingen en het rendement op de investering worden geïdentificeerd.

Zonder certificering kan de organisatie alleen aanspraak maken op “naleving” van de norm, en deze naleving wordt door geen enkele geaccrediteerde derde partij gegarandeerd. Als de reden voor de implementatie van het ISMS alleen het verbeteren van het veiligheidsmanagement en de interne zekerheid is, kan dit voldoende zijn.

Om maximaal voordeel en rendement op de investering te behalen uit het ISMS in termen van het bieden van zekerheid aan de externen van de organisatie geïnteresseerde partijen en stakeholdersis een onafhankelijk, extern, geaccrediteerd certificeringsauditprogramma vereist.

Bedenk dat het enige verschil in termen van inspanning tussen “compliance” en “certificering” het programma van externe certificeringsaudits is. Dit komt omdat om ‘naleving’ van de standaard te claimen, de organisatie feitelijk nog steeds alles zal moeten doen wat door de standaard wordt vereist – zelfgeteste ‘naleving’ vermindert niet de benodigde middelen en de inspanning die gepaard gaat met het implementeren en exploiteren van een ISMS.

Voorbereiden van een ISO 27001 certificeringsaudit

Bij de voorbereiding van een certificeringsaudit moeten de volgende belangrijke punten in overweging worden genomen:

• Zijn de sleutel proces van het ISMS geïmplementeerd en operationeel?
  • Organisatorische context – Het begrijpen en documenteren van de organisatorische context en vereisten voor informatiebeveiliging, inclusief geïnteresseerde partijen. Dit omvat ook het documenteren van de reikwijdte van het ISMS
  • Risico- en kansenbeheer – Heeft de organisatie geïdentificeerd en ingeschatte informatiebeveiligingsrisico's en mogelijkheden en een behandelplan gedocumenteerd?
  • Leiderschap – Kan sterk leiderschap op het hoogste niveau worden gedemonstreerd – bijvoorbeeld door het verstrekken van middelen en een gedocumenteerde commitment statement binnen de organisatie organisatorisch veiligheidsbeleid.
  • Interne audit – Is een programma van interne audits gedocumenteerd, overeengekomen en gestart in overeenstemming met artikel 9.2?
  • Managementbeoordeling – heeft het ISMS een formele managementbeoordeling ondergaan in overeenstemming met Artikel 9.3
  • Corrigerende actie en Continue verbetering – kan de organisatie aantonen dat corrigerende acties en verbeteringen op een effectieve en efficiënte manier worden beheerd en geïmplementeerd?
• Zijn de vereiste documenten aanwezig en goedgekeurd?
  • ISMS Scope-verklaring (Artikel 4.3)
  • Organisatorisch informatiebeveiligingsbeleid (Artikel 5.2)
  • Risicobeheermethode (Clausule 6.1.2 en 6.1.3)
  • Risicoregister & behandelplan (artikel 6.1.3 e)
  • Verklaring van toepasselijkheid (Artikel 6.1.3 d)
  • Beleid en processen vereist krachtens bijlage A waar controles plaatsvinden zijn van toepassing.
• Zijn bewijsstukken gemakkelijk te vinden en toegankelijk?
• Laat al het personeel en de betrokken aannemers ontvangen onderwijs op het gebied van informatiebeveiliging, training en bewustwording? Het is ook een goede gewoonte om ervoor te zorgen dat degenen die worden geïnterviewd, zijn geïnformeerd over wat ze tijdens de audit kunnen verwachten en hoe ze moeten reageren. Zorg er ook voor dat ze gemakkelijk toegang hebben tot documenten en bewijsmateriaal waar de auditor om kan vragen.

Wie voert een ISO 27001-audit uit?

Alle audits tegen ISO 27001 moeten worden uitgevoerd door competente en objectieve auditors.

Om de competentie voor een ISO 27001-audit aan te tonen, is het doorgaans vereist dat de auditor aantoonbare kennis heeft van de norm en hoe hij een audit moet uitvoeren. Dit kan door het volgen van een ISO 27001 Lead Auditor-cursus of door het hebben van een andere erkende auditkwalificatie en vervolgens aantoonbare kennis van de norm. Het kan mogelijk zijn om aan te tonen dat een auditor bekwaam is zonder formele training. Dit zal echter waarschijnlijk een moeilijker gesprek zijn met uw certificeringsinstantie.

Om de objectiviteit aan te tonen moet worden aangetoond dat de auditor zijn eigen werk niet controleert en dat hij/zij niet onnodig wordt beïnvloed via zijn rapportagelijnen.

Voor kleinere organisaties of organisaties die een duidelijkere objectiviteit wensen, kan het praktischer zijn om een ​​gecontracteerde auditor in te schakelen.

Certificatie-instellingen hebben hun auditors op bekwaamheid gecontroleerd en moeten bereid zijn dit desgevraagd aan u aan te tonen.

Hoe maakt ISMS.online het auditproces efficiënter?

ISMS.online bevat een vooraf gebouwd auditprogrammaproject dat zowel interne als externe audits omvat en kan ook audits op basis van de AVG omvatten als u voor deze optie heeft gekozen.

Het vooraf gebouwde auditprogramma omvat:

• Activiteiten voor 2 aanbevolen audits vóór certificering
• Een plan van interne audits voor de eerste 3-jarige certificeringsperiode
• Tijdelijke aanduidingen voor uw externe certificering en periodieke audits

Naast het verzorgen van het auditprogrammaproject betekent de mogelijkheid om snel te linken naar andere werkgebieden binnen het alles-in-één-platform ISMS.online het koppelen van auditbevindingen aan controles, corrigerende acties en verbeteringen, en zelfs risico's worden eenvoudig gemaakt en toegankelijk. Hiermee kunt u op eenvoudige wijze aan uw externe accountant aantonen dat er sprake is van een gezamenlijk beheer van de geïdentificeerde bevindingen.