Audits worden vaak gebruikt om ervoor te zorgen dat een activiteit aan een reeks gedefinieerde criteria voldoet. Voor alle ISO-managementsysteemnormen wordt gebruik gemaakt van audits om ervoor te zorgen dat het managementsysteem voldoet aan de eisen van de relevante norm, de eigen eisen en doelstellingen van de organisatie, en efficiënt en effectief blijft. Om dit te bevestigen zal een auditprogramma moeten worden uitgevoerd.
An ISO 27001 Bij een audit is een competente en objectieve auditor betrokken die het volgende beoordeelt:
Naast de algehele naleving en effectiviteit van het ISMS, zoals ISO 27001 is ontworpen om een organisatie in staat te stellen haar informatiebeveiligingsrisico's te beheersen tot een aanvaardbaar niveau is gekomen, zal het nodig zijn om te controleren of de geïmplementeerde controles het risico inderdaad terugbrengen tot een punt waarop de risico-eigenaar(s) het resterende risico graag tolereren.
De standaard vereist dat een organisatie een schema van “interne audits” moet plannen en uitvoeren om naleving van de standaard te kunnen claimen. Bovendien zal een organisatie, als zij certificering wil behalen, “externe audits” moeten uitvoeren door een “certificeringsinstantie” – een organisatie met competente auditmiddelen op basis van ISO 27001.
Om maximaal voordeel uit het ISMS te halen, wordt het sterk aanbevolen om ervoor te zorgen dat de geselecteerde certificeringsinstantie geaccrediteerd is door een erkende toezichthoudende autoriteit. Binnen Groot-Brittannië zijn certificatie-instellingen geaccrediteerd door UKAS – de United Kingdom Accreditation Service.
Interne audits zijn, zoals de naam doet vermoeden, audits die worden uitgevoerd met eigen middelen van de organisatie. Indien de organisatie niet beschikt over competente en objectieve auditors binnen haar eigen personeelsbestand, kunnen deze audits worden uitgevoerd door een gecontracteerde leverancier. Deze worden vaak ‘audits door derden’ genoemd, omdat de leverancier optreedt als ‘interne hulpbron’.
De term “externe audits” is meestal van toepassing op audits die door een certificeringsinstantie worden uitgevoerd om certificering te verkrijgen of te behouden. De term kan echter ook worden gebruikt om te verwijzen naar audits die worden uitgevoerd door andere geïnteresseerde partijen (bijvoorbeeld partners of klanten) die zelf zekerheid willen krijgen over het ISMS van de organisatie. Zeker als zo’n partij eisen stelt die verder gaan dan de norm.
We hebben de afgelopen twee weken meer vooruitgang geboekt op het gebied van ISO 27001 met behulp van ISMS.online dan in het afgelopen jaar.
Zonder te verifiëren hoe uw ISMS wordt beheerd en presteert, is er geen echte garantie dat het voldoet aan de doelstellingen die het moet vervullen.
Audits kunnen deze zekerheid enigszins bieden.
Er zijn veel redenen om uw ISMS te auditen:
Download uw gratis gids voor snelle en duurzame certificering
We hebben slechts een paar gegevens nodig, zodat we u per e-mail uw handleiding kunnen sturen voor het voor de eerste keer behalen van ISO 27001
Download nu uw gratis gids en als u vragen heeft, neem dan contact met ons op Boek een demo or Ons Contacten. We helpen je graag verder.
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
De processen voor externe audit zijn in wezen hetzelfde als voor het interne auditprogramma, maar worden meestal uitgevoerd om certificering te behalen en te behouden.
Het programma van externe [certificerings]audits zal worden bepaald door de externe auditors [certificeringsinstantie], maar zal een systematische vereiste volgen (zie hieronder).
De betreffende auditor zal een plan van de audit aanleveren, en zodra de organisatie dit bevestigt, zullen de middelen worden toegewezen en zullen data, tijden en locaties worden overeengekomen.
Vervolgens wordt de audit uitgevoerd volgens het auditplan.
Verschillende accreditatie-instanties over de hele wereld stellen verschillende eisen aan het programma van certificeringsaudits; in het geval van door UKAS geaccrediteerde certificaten omvat dit echter:
Naast het bovenstaande formele certificeringsprogramma voor externe audits, kan het zijn dat u een externe audit moet ondergaan door een geïnteresseerde derde partij, zoals een klant, partner of toezichthouder. Normaal gesproken zal de relevante partij u voorzien van een auditplan en daarna een auditrapport dat moet worden opgenomen in uw ISMS Management Review.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Het besluit van de organisatie om iets te bereiken compliance en eventueel certificering volgens ISO 27001 zal afhangen van de implementatie en werking van een formeel, gedocumenteerd ISMS. Dit zal vaak worden gedocumenteerd in een business case waarin de verwachte doelstellingen en het rendement op de investering worden geïdentificeerd.
Zonder certificering kan de organisatie alleen aanspraak maken op “naleving” van de norm, en deze naleving wordt door geen enkele geaccrediteerde derde partij gegarandeerd. Als de reden voor de implementatie van het ISMS alleen het verbeteren van het veiligheidsmanagement en de interne zekerheid is, kan dit voldoende zijn.
Om maximaal voordeel en rendement op de investering te behalen uit het ISMS in termen van het bieden van zekerheid aan de externen van de organisatie geïnteresseerde partijen en stakeholdersis een onafhankelijk, extern, geaccrediteerd certificeringsauditprogramma vereist.
Bedenk dat het enige verschil in termen van inspanning tussen “compliance” en “certificering” het programma van externe certificeringsaudits is. Dit komt omdat om ‘naleving’ van de standaard te claimen, de organisatie feitelijk nog steeds alles zal moeten doen wat door de standaard wordt vereist – zelfgeteste ‘naleving’ vermindert niet de benodigde middelen en de inspanning die gepaard gaat met het implementeren en exploiteren van een ISMS.
Bij de voorbereiding van een certificeringsaudit moeten de volgende belangrijke punten in overweging worden genomen:
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
Ons ISMS wordt vooraf geconfigureerd geleverd met tools, raamwerken en documentatie die u kunt overnemen, aanpassen of toevoegen. Eenvoudig.
Onze Assured Results-methode is ontworpen om u bij uw eerste poging te laten certificeren. 100% succespercentage.
Vergeet tijdrovende en dure trainingen. Onze Virtual Coach-videoserie is 24/7 beschikbaar om u te begeleiden.
Alle audits tegen ISO 27001 moeten worden uitgevoerd door competente en objectieve auditors.
Om de competentie voor een ISO 27001-audit aan te tonen, is het doorgaans vereist dat de auditor aantoonbare kennis heeft van de norm en hoe hij een audit moet uitvoeren. Dit kan door het volgen van een ISO 27001 Lead Auditor-cursus of door het hebben van een andere erkende auditkwalificatie en vervolgens aantoonbare kennis van de norm. Het kan mogelijk zijn om aan te tonen dat een auditor bekwaam is zonder formele training. Dit zal echter waarschijnlijk een moeilijker gesprek zijn met uw certificeringsinstantie.
Om de objectiviteit aan te tonen moet worden aangetoond dat de auditor zijn eigen werk niet controleert en dat hij/zij niet onnodig wordt beïnvloed via zijn rapportagelijnen.
Voor kleinere organisaties of organisaties die een duidelijkere objectiviteit wensen, kan het praktischer zijn om een gecontracteerde auditor in te schakelen.
Certificatie-instellingen hebben hun auditors op bekwaamheid gecontroleerd en moeten bereid zijn dit desgevraagd aan u aan te tonen.
ISMS.online bevat een vooraf gebouwd auditprogrammaproject dat zowel interne als externe audits omvat en kan ook audits op basis van de AVG omvatten als u voor deze optie heeft gekozen.
Het vooraf gebouwde auditprogramma omvat:
Naast het verzorgen van het auditprogrammaproject betekent de mogelijkheid om snel te linken naar andere werkgebieden binnen het alles-in-één-platform ISMS.online het koppelen van auditbevindingen aan controles, corrigerende acties en verbeteringen, en zelfs risico's worden eenvoudig gemaakt en toegankelijk. Hiermee kunt u op eenvoudige wijze aan uw externe accountant aantonen dat er sprake is van een gezamenlijk beheer van de geïdentificeerde bevindingen.
ISMS.online is een
one-stop-oplossing die onze implementatie radicaal heeft versneld.
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meerGa moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meerNeem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meerMaak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meerSchijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meerSelecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meerKant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meerVoeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meerBetrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meerBeheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meerBreng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meerSterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meerDownload onze gratis gids voor snelle en duurzame certificering