Kuinka välttää yleiset ISO 27001 sisäisen tarkastuksen virheet
Sisällysluettelo:
- 1) Mikä on ISO 27001 -standardin mukainen sisäinen tarkastus?
- 2) Miksi sisäiset tarkastukset ovat tärkeitä?
- 3) Mitä ISO-standardin mukaan meidän on tehtävä?
- 4) Mitä ISO-standardi EI sano, että meidän on tehtävä?
- 5) Kuka suorittaa ISO 27001 -standardin mukaisen sisäisen tarkastuksen?
- 6) Mitä tilintarkastajat etsivät?
- 7) Sisäiset tarkastukset eivät ole subjektiivisia
- 8) Miksi valita ISMS.online auttamaan sinua?
- 9) « Mitä erityyppisiä ISO 27001 -sisäisiä auditointeja on?
- 10) Mikä on ISO 27001 -auditointiprosessi? »
Johtamisjärjestelmän sisäiset auditoinnit ovat ISO 27001:n ja kaikkien muiden yleisten ISO-standardien pakollinen vaatimus. Vaatimukset ovat hyvin minimaalisia, mutta objektiivisesti tarkasteltuna ja niiden yksityiskohdat ovat hyvin epämääräisiä. Tämä tarkoittaa, että auditointiprosessien tehostamiseen ja sisäisten tarkastusten avulla on paljon mahdollisuuksia. Valitettavasti joskus historiallisesti tarkastukset nähdään ei-arvoa lisäävänä kipuna; kuitenkin – selitämme, miksi näin voi tapahtua ja miten se vältetään sisäisen tarkastuksen tarkistuslistamme avulla.
Yleinen virhe: Ei omaksua sisäiset tarkastukset liiketoiminnan parantamisen työkaluna
Ajoittain objektiivinen näkemys prosesseistasi ja järjestelmistäsi voi vapauttaa paljon hyödyntämätöntä arvoa.
Mikä on ISO 27001 -standardin mukainen sisäinen tarkastus?
"Audit" on sana, jota kukaan ei halua kuulla – sillä on historiallisesti ja yleisesti negatiivinen ja raskas konnotaatio. Nämä ovat pääasiassa vanhentuneita; kuitenkin – valistuneet organisaatiot näkevät auditointeja johtamisjärjestelmiensä parantamisen välineenä ja prosessi. ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän (ISMS) osalta nämä auditoinnit keskittyvät tietoturvaan liittyviin järjestelyihin.
Yleinen virhe: Sertifiointiauditoinnin suorittaminen virallisesti ja liian muodollisesti
'sävy' sisäisen tarkastuksen raportti voi (ja meidän mielestämme pitää) saada tilintarkastaja olemaan ystävällinen ja yhteistyökykyinen. Niin kauan kuin asiaankuuluvat havainnot ilmenevät tarkastusprosessin lopussa, se on onnistunut tulos.
- ISMS koostuu tarvittavista prosesseista, menettelyistä, protokollista ja ihmisistä, jotka suojaavat sen tiedot ja tietojärjestelmät ISO 27001 -standardikehykseltä. ISO 27001 -standardin mukainen sisäinen tarkastus on prosessi, jossa määritetään, toimiiko ISMS-järjestelmäsi suunnitellulla tavalla, ja etsitään parannuksia (lausekkeen 10.2 mukaisesti – tarttuva otsikko "jatkuva parantaminen"). Käytännössä sisäinen ISO 27001 auditointi auttaa organisaatioita varmistamaan, että ne noudattavat itse asettamiaan vaatimuksia (jotka on myös määritelty ISMS:ssä) ja standardivaatimuksia.
Yleinen virhe: määrittelet ISMS:ssäsi, että jotain tapahtuu – kun sitä ei tapahdu todellisuudessa
Se on anteeksiantamatonta, kuten määrittelet omasi hallintajärjestelmä yrityksellesi sopivaksi. Olet siis suunnitellut tarkastusloukun hallintajärjestelmääsi. Kohdassa 9.2 ISO 27001 -standardin johtamisvaatimukset määräävät, että organisaation on suoritettava sisäisiä auditointeja "suunniteltuin väliajoin" – riippumatta siitä, miten voit määrittää nämä välit.
Yleinen virhe: Tarkastusohjelmassa ei ole määritelty asianmukaisia "suunniteltuja aikavälejä".
Tämä määritelmä on suunniteltu antamaan joustavuutta ohjelman määrittämisessä, mutta usein käy niin, että sopivaa "sweet-kohtaa" ei löydy, mikä johtaa ali- tai ylitarkastukseen.
Miksi sisäiset tarkastukset ovat tärkeitä?
Auditoinneilla varmistetaan ISMS:n suorituskyky sille asetettuihin tavoitteisiin nähden. Ilman tätä varmuutta ei ole aitoa takuuta siitä, kuinka hyvin se suojaa yrityksesi tietoja. Sisäiset auditoinnit ovat välttämättömiä, koska ne auttavat organisaatioita tunnistamaan ja korjaamaan heikkouksiaan tietoturvan hallintajärjestelmä. Tarkastuskriteerejä/tuloksia käytetään sitten useilla tavoilla:
- Arvioida ISMS:n suorituskyvyn johtamista/johtamista
- jotta parantaa ISMS:ää
- Etsiä synergiaetuja mahdollisten ongelmien ja korjausten suhteen
- Korjaa järjestelmien ja prosessien osia, jotka eivät toimi suunnittelussa
Yleinen virhe: Ei varoittaa johtoa tarpeeksi nopeasti, kun toimia tarvitaan
Ylin johto ei saa tehdä muutoksia suoraan ISMS-järjestelmääsi tarkastelun yhteydessä. Silti heidän on oltava mukana, tietoinen ongelmista, korjaustoimenpiteistä ja parannuksista.
Mitä ISO-standardin mukaan meidän on tehtävä?
ISO 9.2:n lauseke 27001 vaatii vain muutamia asioita sisäisistä auditoinneistasi
- Että ne ovat "suunniteltuja" – eli auditointiohjelma on määritelty ja dokumentoitu
- Auditointiohjelma on dynaaminen ja organisaatiollesi sopiva
- Tarkastustulokset dokumentoidaan
- Johto on arvioitu asianmukaisesti tarkastuksen tuloksista
Prosessin ei siis pitäisi olla liian vaativa, ja yleinen lähestymistapa vaatii maalaisjärkeä. Esimerkiksi yrityksesi osat, joilla on aiemmin ollut huonoja tilintarkastustuloksia, auditoidaan todennäköisesti perusteellisemmin, ehkä useammin ja mahdollisesti vanhin tilintarkastajasi toimesta. Päinvastoin, niillä alueilla, jotka ovat käyneet läpi aikaisemmat auditoinnit, tarkastusten syvyys, tiheys tai molemmat voivat olla asianmukaisesti pienennettyjä tulevassa ohjelmassa.
Useimmat organisaatiot tuottavat yritykselle auditointiohjelman tulevalle vuodelle, joskus pidemmälle, esimerkiksi sertifioinnin kolmen vuoden elinkaarelle.
Yleinen virhe: Tarkastusohjelman noudattamatta jättäminen
Sisäisten tarkastusten jälkeen jääminen on yksi helpoimmista tavoista laittaa omasi ISMS-sertifikaatti vaarassa. Jos näin tapahtuu, ratkaise se mahdollisimman nopeasti, on aina paras neuvo.
Yleinen virhe: Hallintajärjestelmän osien ali- tai ylitarkastus
Taajuutta on harkittava ja tasapaino on löydettävä. ISO-standardi edellyttää "prosessien tärkeyden" huomioon ottamista, mikä tarkoittaa, että jotkut ISMS:n osat auditoidaan tarvittaessa enemmän kuin toiset.
Yleinen virhe: Normaalin liiketoiminnan häiriintyminen sopimattomalla tarkastusohjelmalla
Jos yritykselläsi on kiireisiä aikoja, olisi typerää ajoittaa liikaa auditointia tähän aikaan. Samoin monet organisaatiot lopettavat toimintansa esimerkiksi pääsiäisenä tai jouluna, ja tämä voi olla tai ei ehkä olla hyvä aika tehdä sisäisiä tarkastuksia. Sinä päätät.
Mitä ISO-standardi EI sano, että meidän on tehtävä?
On kiehtovaa huomata mitä ISO-lauseke 9.2 EI sano, että vaaditaan. Ole hyvin selkeä, jos se ei ole ehdoton ISO-standardin vaatimus (etsi sanaa "shall"), voit asianmukaisesti harkiten määritellä järjestelysi ISMS:ssäsi organisaatiollesi sopiviksi. Esimerkiksi ISO-standardissa ei vaadita suunnittelemattomia tai satunnaisia sisäisiä auditointeja. Voit halutessasi tehdä joitain näistä.
Toinen esimerkki on sisäisen tarkastuksen syvyys ja kesto. Voit teoriassa suorittaa prosessin auditoinnin muutamassa minuutissa tai se voi kestää tunteja. Joka tapauksessa, koska se ei ole standardin vaatimus, sinulla on valinnanvaraa. Suosittelemme jakamaan pitkät auditoinnit pienempiin osiin (esim. tunnin), jotta sekä tarkastajalle että tarkastettavaksi jää ajatteluaikaa ja mahdollisuus virkistymiseen.
Älä unohda – useimmat sisäiset tarkastajat saavat ruokkia teestä, kahvista, vedestä ja hyvin usein keksistä ja kakuista…
Yleinen virhe: Yrität "ostaa" tai vaikuttaa liikaa sisäiseen tarkastajaasi
Tilintarkastajien tulee pysyä puolueettomina ja objektiivisina – mikään kakku ja ystävällisyys ei vaikuta tarkastuksen tuloksen objektiivisuuteen.
Yleinen virhe: Ei investoida tarpeeksi (tai tarkoituksenmukaista) aikaa ja resursseja
Vähimmäismäärän auditoinnit tai pintatarkastukset eivät vapauta arvoa eikä osoita sitoutumista ISMS:ään (mikä on ISO 27001:n vaatimus).
Yleinen virhe: Tilintarkastaja ei ole tervetullut
Jos sisäinen tarkastus suunnitellaan esimerkiksi yhdeksi tunniksi, sen ei pitäisi kestää enempää kuin tämä tunti. Ylitys voi vakavasti häiritä muuta suunniteltua liiketoimintaa kaikilla tämän skenaarion aiheuttamilla negatiivisilla vaikutuksilla. The ratkaisu on dokumentoida keskeneräiset osat, joita käsitellään tulevaisuudessa tarkastusraportissa.
Kuka suorittaa ISO 27001 -standardin mukaisen sisäisen tarkastuksen?
ISO 27001 -auditoinnit edellyttävät pätevyyttä (lausekkeen 7.2 mukaisesti) ja objektiiviset auditoijat, jotka ovat osoittaneet tuntemuksensa standardista ja kokemusta ISO 27001 -auditoinnin suorittamisesta. Usein sisäiset tarkastajat työskentelevät jo organisaatiossasi ja tietävät siten, kuinka yrityksesi toimii.
Objektiivisesti tarkasteltuna tämä voi olla vahvuus tai heikkous tilanteesta riippuen. Sisäinen tarkastaja voi osoittaa pätevyyttään osallistumalla ISO 27001 -päällisen tarkastajan kurssille tai käytännön kokemuksella, joka osoittaa hänen tuntemuksensa standardista ja suorittaa auditointeja.
Yleinen virhe: Sisäisten tarkastusten suorittaminen epäpätevien tarkastajien avulla
Et voi vain käyttää ketään. Et käyttäisi vastaanottovirkailijaa ydinreaktorin ohjaamiseen. Sama periaate koskee sisäisiä tarkastuksiasi.
Korkeilla kustannuksilla koulutuskursseja pitää mielessä, että voi olla parempi, että tilintarkastaja osoittaa pätevyyden tasonsa käytännön kokemuksella ISMS:n toteuttamisesta. ISMS.online voi auttaa lisäämään luottamustasi ja pätevyyttäsi auditoimaan ISMS:si ISO 27001 -standardin mukaisesti useiden arvokkaiden ominaisuuksien, kuten Virtual Coach -palvelun, avulla. Tämä ominaisuus on "aina päällä" sarja videoita, tarkistuslistoja ja oppaita, ja se keskittyy tarkastajan näkemyksiin monien lausekkeiden ja kontrollien osalta.
Pienemmille organisaatioille, joiden kapasiteetti on rajallinen, tai suurempaa objektiivisuutta tavoitteleville yrityksille voi olla käytännöllisempää käyttää ulkopuolista (kolmannen osapuolen) tilintarkastaja suorittaa sisäisiä tarkastuksia. Huomaa, että tämä on täysin hyväksyttävää ISO-vaatimusten kannalta. Tarkastaja voi olla konsultti tai ISMS.online voi auttaa; Tämä lähestymistapa antaa riippumattomuutta ja voi tarjota enemmän objektiivisuutta ja hyötyä laajemmasta kokemuksesta muissa vastaavissa organisaatioissa.
Yleinen virhe: Oman työn auditointi
Älä koskaan tee tätä, koska puolueettomuus ja riippumattomuus ovat heikentyneet voimakkaasti.
Mitä tilintarkastajat etsivät?
ISO-auditorin tavoitteena on ymmärtää tietoturvan hallintajärjestelmäsi tavoite ja hankkia todisteita sen noudattamisesta ISO 27001 -standardin kanssa. Vastoin yleistä käsitystä, tilintarkastajat etsivät (ja heidän tulee raportoida) positiivisia ja negatiivisia tuloksia.
ISO 27001 -auditoijat etsivät myös mahdollisia aukkoja tai puutteita tietoturvajärjestelmässäsi. Pohjimmiltaan tarkastajasi etsii todisteita ISO 27001 -standardin vaatimuksista koko liiketoiminnassasi. Voit osoittaa tämän toteuttamalla ennakoivasti käytäntöjä ja valvontatoimia, jotka vähentävät yrityksesi tietoihin kohdistuvia riskejä. Lopuksi kaikki mahdolliset parannukset ISMS:ään, joista on sovittu yhdessä tarkastajan ja tarkastettavan välillä, ovat osa tarkastusraporttia.
Yleinen virhe: Tarkastuksen pitäminen käynnissä, kunnes poikkeamat havaitaan
Tasapainoinen tarkastus raportoi, mitä löytyy. Jos poikkeamia ei ole havaittavissa, tämä EI ole osoitus huonosta auditoinnista. Objektiiviset (eli suurin osa) auditoijista ei saa lämmintä sumeaa tunnetta, kun he voivat liittää poikkeaman ISMS-järjestelmääsi…
Yleinen virhe: Ei raportoida vaatimustenmukaisuudesta
On yhtä tärkeää, että organisaatiot ovat tietoisia vaatimustenvastaisuuksista ja mahdollisista parannuksista. Miksi käyttää aikaa ja vaivaa tarkastuksen suunnitteluun ja suorittamiseen, mutta ei raportoida positiivisesta tuloksesta?
Sisäiset tarkastukset eivät ole subjektiivisia
Tarkastajana saatat haluta liikaa ehdottaa toteutuksia organisaatiosi ISMS:lle tai yleisille parannusalueille, joita kutsutaan parannusmahdollisuuksiksi (OFI). On kuitenkin tärkeää muistaa, että vaikka standardin sisällä on tulkinnanvaraa, standardivaatimuksen ulkopuoliset toimet eivät ole pakollisia. Tämä tarkoittaa, että organisaatiosi ainutlaatuinen tilanne saattaa pitää tietyt ehdotukset tarpeettomina tarkastajan näkökulmasta, varsinkin jos se on ISO 27001 -standardin vaatimusten ulkopuolella.
Yleinen virhe: Et "läpäise" tai "hylkää" tarkastusta
Tarkastusraportit ovat tosiasioita, ja niihin tulee suhtautua välinpitämättömästi eikä tunteella. Kaikki ISMS:ään vaadittavat muutokset tulee määrittää ja toteuttaa (ja tarvittaessa auditoida uudelleen). Todisteet ovat keskeisessä asemassa ISO 27001 -sertifikaatin saavuttamisessa; lauseke 10.1 vaatii nimenomaisesti organisaatioita säilyttää todisteet vaatimustenvastaisuuksista ja niiden seurauksena toteutetuista toimista. Tarkastajana tämä tarkoittaa, että havaintosi poikkeavuuksista tulee perustua näyttöön, joka hahmottelee selkeästi parannuksia tai järjestelmällisiä korjauksia vaativat alueet.
Yleinen virhe: Faktoja ei käytetä tarkastuksen tulosten määrittämiseen
tilintarkastajien mielipiteet ja uskomukset voivat vääristää tarkastuksen tulosta negatiivisesti. Objektiiviset ja puolueettomat tarkastuksen tulokset määräytyvät vain tosiasioiden ja kokemuksen perusteella.
Miksi valita ISMS.online auttamaan sinua?
Saadaksesi ISO 27001 -yhteensopiva tai sertifioitu ensimmäistä kertaa, ISMS.online Varmennettujen tulosten menetelmä (ARM) tarjoaa yksinkertaisen, aikaa säästävän ja käytännöllisen sovelluksen. ARM auttaa sinua määrittämään, mitkä omaisuudet, järjestelmät, ihmiset, sijainnit jne. sopivat tietohallinnon suojausjärjestelmääsi. Tämän seurauksena ARM antaa sinun ajatella heidän kohtaamiaan riskejä.
- Hyväksy Adapt Add (AAA) lausekkeen 9.2 filosofia tarjoaa testatun ja testatun prosessin, jota on noudatettava sisäisissä tarkastuksissa. Esikonfiguroidun ISMS:n avulla voit nopeasti ja helposti todistaa kohdan 9.2 vaatimukset. Saat myös auditointiohjelman sisäisen tarkastuksen suorittamiseen. Voit käyttää auditointiprojektiamme asettaaksesi tavoitteet ja laajuuden jokaiselle auditoinnille, tallentaa sitten havainnot ja korjata auditoinnin aikana havaitut poikkeamat alustan kehityspolulla.
Lauseke 10.1 kattaa standardin ISO IEC 27001 vaatimustenvastaisuuden ja korjaavien toimenpiteiden vaatimuksen. Sinun on toimitettava tarkastajalle todisteet siitä, kuinka organisaatiosi tunnistaa, reagoi, arvioi, arvioi ja dokumentoi poikkeamat. ISMS.online-alustallamme voit käyttää Adopt Adapt Add -filosofiaa lausekkeen 10.1 ennalta ehdottaman käytäntömme kanssa. ISMS.online-alusta tarjoaa käytännöllisen korjaavien toimenpiteiden ja parannusten jäljityksen, joka osoittaa, kuinka organisaatiosi hallitsee korjaavia toimia ja parannuksia helposti. Voit myös linkittää korjaavia toimia ja parannuksia muihin alustan alueisiin, kuten käytäntöihin, samalla kun annat tehtäviä kollegoille ja lisäät määräaikoja.
ISMS.online-alustamme tarjoaa myös puitteet, joiden avulla organisaatiot, jotka aikovat noudattaa kolmivuotista tarkastusohjelmaa kaikille valvontatoimille sertifiointikautensa aikana, voivat tehdä niin.
Todistaminen on tehty yksinkertaiseksi ISMS.online-alustallamme; Voit tallentaa tietoja, käytäntöjä, valvontatoimia, menettelytapoja, riskinarviointeja, tunnistettuja riskejä, toimia, hankkeita, niihin liittyvää dokumentaatiota ja raportteja alustaan, mikä luo helpon arvioinnin tarkastajille.
Lisäapua on saatavilla Service Development and Delivery (SDD) -tiimiltä
Tietoturvajärjestelmäsi käyttöönotosta vastaavilla työntekijöillä voi olla vaikeuksia ja kyselyitä standardista; täällä tukitiimimme voivat opastaa sinua prosessin läpi. Organisaatiossamme palvelukehitys- ja toimitustiimillä on laaja kokemus ja asiantuntemus tietoturvasta. He voivat tukea tietoturvan hallintajärjestelmän käyttöönottoa ja ohjeita merkittävissä vakioongelmissa.
