Kuinka kirjoittaa sisäisen tarkastuksen raportti ISO 27001 -standardille

ISO 27001 -standardin sisäisen tarkastuksen raporttirakenne on jotain, joka sinun on tiedettävä.

Tehokkaan ja ammattimaisen sisäisen tarkastuksen raportin luominen on välttämätöntä ISO 27001 -standardin onnistumisen kannalta.

Hyvälaatuinen sisäisen tarkastuksen raportti on tilannekuva yleisestä toteutusprosessista, ja se tallentaa ISO 27001 -toteutuksen tilan sertifiointiprosessissa sekä yksityiskohdat alueista, jotka kaipaavat vielä käsittelyä.

Osana hallintajärjestelmän vaatimukset, Kohdassa 9.2 kerrotaan, mitä on tehtävä sisäisten tarkastusten osalta. Tämä sisältää vaatimuksen dokumentoidun todisteen säilyttämisestä kokonaisuudesta tarkastusprosessi ja tarkastuksen tulokset, ja tämä tehdään tarkastusraportin avulla.

Mikä on ISO 27001 -standardin mukainen sisäinen tarkastus?

ISO 27001 -standardin mukaisessa sisäisessä auditoinnissa pätevä ja puolueeton auditoija tarkastaa ISMS:n tai sen osat ja testaa, että se täyttää standardin vaatimukset, organisaation omat tietovaatimukset ja tavoitteet ISMS:lle ja että politiikat, prosessit ja muut kontrollit ovat vaikuttavaa ja tehokasta.

Lisäksi ISMS:n yleistä yhdenmukaisuutta ja tehokkuutta, koska ISO 27001 on suunniteltu antamaan organisaatiolle mahdollisuus hallita tietoturvariskejä siedettävälle tasolle, on tarpeen tarkistaa, että toteutetut kontrollit todella vähentävät riskiä pisteeseen, jossa riskinomistaja(t) sietävät mielellään jäännösriski.

ISO 27001 -vaatimusten sisäinen auditointi 9.2

Kohdan 9.2 sisäisen tarkastuksen toimeksiannot:

Organisaation tulee suorittaa suunnitelluin väliajoin sisäisiä auditointeja saadakseen tietoa siitä, onko tietoturvan hallintajärjestelmä:

• Täyttää organisaation omia vaatimuksiaan sille tietoturva hallintajärjestelmä ja tämän kansainvälisen standardin vaatimukset.
• Toteutetaan ja ylläpidetään tehokkaasti.

Organisaation tulee:

• Suunnittele, luo, toteuta ja ylläpidä auditointiohjelmaa (-ohjelmia), mukaan lukien tiheys, menetelmät, vastuut, suunnitteluvaatimukset ja raportointi. Tarkastusohjelmassa (-ohjelmissa) on otettava huomioon kyseisten prosessien tärkeys ja aikaisempien tarkastusten tulokset.
• Määritä kunkin tarkastuksen tarkastuskriteerit ja laajuus.
• Valitse tilintarkastajat ja suorita auditointeja, jotka varmistavat tarkastusprosessin objektiivisuuden ja puolueettomuuden.
• Varmista, että tarkastusten tulokset raportoidaan asianomaiselle johdolle ja säilytetään dokumentoidut tiedot todisteena tarkastusohjelmista ja tarkastustuloksista.

Sisäisen tarkastuksen tavoitteena on varmistaa, että organisaatio on ryhtynyt kaikkiin kohtuullisiin varotoimiin varmistaakseen, että sen tietoturvan hallintajärjestelmä (ISMS) on ISO 27001 -standardin ja organisaation omien ISMS-standardien mukainen.

Sisäiset tarkastukset tulee tehdä riippumattoman ja puolueettoman tarkastajan toimesta tämän saavuttamiseksi standardin mukaisesti.

Miten ISO 27001 -sisäiset auditoinnit toimivat?

Sisäiset tarkastukset ISO 27001 toimii noudattamalla auditointiohjelmaa joka yksilöi ennen sertifiointia ja kunkin sertifiointijakson aikana suoritettavat auditoinnit.

Ne edellyttävät a pätevä ja objektiivinen auditoija suorittaa jokaisen sisäisen tarkastuksen, joka varmistaa, että standardin vaatimukset, organisaation omat tietovaatimukset ja ISMS:n tavoitteet noudatetaan sekä että toimintaperiaatteet, prosessit ja muut kontrollit ovat tehokkaita ja vaikuttavia.

Sisäiseen tarkastukseen sisältyvät toiminnot:

• Dokumentaation tarkistus
• Todistettava näytteenotto
• Henkilökunnan haastattelu avaimella tietoturvavastuut
• Muun henkilöstön (ja mahdollisesti urakoitsijoiden) haastattelu
• Löydösten arvioiminen
• Tarkastusraportin kirjoittaminen

Kuinka usein minun on suoritettava tarkastus

Vaikka ISO 27001:ssä itsessään ei ole selvää, kuinka usein sisäisiä auditointeja on suoritettava, auditointiohjelman odotetaan noudattavan samoja vaatimuksia kuin ne, jotka asetetaan sertifiointielimille suorittaessaan auditointejaan ISO / IEC 27006: 2015 – Vaatimukset ISMS:ien auditoinnista ja sertifioinnista vastaaville elimille.

ISO 27006 vaatimuksessa 9.1.5.2e todetaan, että auditointiohjelma "kattaa edustavat otokset ISMS-sertifioinnin laajuudesta kolmen vuoden aikana".

Siksi sinun on suoritettava koko standardin kattavat sisäiset auditoinnit, vähintään sertifiointijakson aikana (3 vuotta UKAS-akkreditoiduille sertifikaateille).

Voit tehdä tämän yhtenä tarkastuksena, mutta se jaetaan yleisemmin pienempiin tarkastuksiin 3 vuoden ajanjaksolla. On myös tärkeää auditoida joitakin alueita useammin, jos riskitasot ovat korkeat tai alueella tapahtuu usein muutoksia.

On suositeltavaa, että sinä tarkastaa hallintajärjestelmä vaatimukset (kohdat 4-10) vuosittain, ja tämä voidaan liittää ISMS:n johdon tarkastukseen, joka on myös suoritettava vuosittain. Tietyt organisaatiot, joilla on pitkälle kehitetyt ja vakiintuneet johtamisjärjestelmät, saattavat haluta järjestää auditoinnit kolmen vuoden jakson sijaan vuosittain.

Jokaisen yrityksen on kuitenkin tarkasteltava huolellisesti prosessejaan, johtamisjärjestelmiään ja muita asiaankuuluvia kriteerejä kehittääkseen järkevän aikataulun, joka vastaa heidän vaatimuksiaan ja on heille sopiva. ISMS.onlinessa pilvipohjainen alustamme on suunniteltu auttamaan auditointiprosessissa.

Tarjoamme valmiiksi rakennetun tarkastusohjelman työalueen, joka sisältää:

• Toiminnot kahdelle suositellulle auditoinnille ennen sertifiointia
• Suunnitelma sisäisistä auditoinneista ensimmäiselle 3 vuoden sertifiointijaksolle
• Paikkamerkit ulkoista sertifiointia ja määräaikaisia ​​tarkastuksia varten

Pyydä esittely tänään nähdäksesi kuinka meidän ratkaisu voi auttaa organisaatiotasi osoittamaan noudattavansa ISO 27001 -standardia.

Miksi minun pitää luoda raportti sisäistä tarkastusta varten?

Standardi edellyttää auditointitulosten dokumentointia – ISO 9.2:n lauseke 27001 sisältää vaatimuksen "säilytettävä dokumentoitu tieto todisteena ……… auditointituloksista". Tämä tehdään tarkastusraportissa.

Mitä tulee tehdä raporttia laadittaessa

Jokaista tarkastusta varten sinun on suunniteltava:

• Mitä auditointi kattaa – mitkä standardin osat, sijainnit, liiketoimintaprosessit jne
• Kenestä tilintarkastaja tulee – on oltava pätevä ja objektiivinen.
• Milloin auditointi suoritetaan – ei saa vaikuttaa merkittävästi, haitallisesti organisaation toimintaan.
• Tarkastusmenetelmä(t) – asiakirjojen tarkistus, otanta, haastattelut jne
• Kenen tulee olla mukana tarkastuksessa?

Dokumentaation tarkistus

Jokainen tarkastus edellyttää asiaankuuluvan dokumentaation tarkistamista, mukaan lukien periaatteet, menettelyt, standardit ja ohjeet, jotka liittyvät auditoitavan standardin osa-alueisiin. On hyvä käytäntö neuvoa auditoitavia alueita, jotta he voivat varmistaa helpon ja oikea-aikaisen pääsyn asiaankuuluviin asiakirjoihin.

ISMS.onlinessa tämä on helppoa joko pitämällä dokumentaatio järjestelmän sisällä tai linkittämällä siihen standardin asiaankuuluvasta osiosta.

Todistusnäytteenotto ja haastattelut

Useimmat auditoinnit edellyttävät todisteiden otoksen ottamista pienemmässä tai suuremmassa määrin, ja tähän voi kuulua asiaankuuluvien avainhenkilöiden, loppukäyttäjien ja joskus jopa väliaikaisten työntekijöiden ja urakoitsijoiden haastattelu.

Näytteenottolähteitä voivat olla esimerkiksi:

• Haastattelut työntekijöiden ja muiden henkilöiden kanssa.
• Toiminnan ja ympäröivän työympäristön ja -olosuhteiden havainnot.
• Asiakirjat, kuten toimintaperiaatteet, tavoitteet, suunnitelmat, menettelyt, standardit, ohjeet, lisenssit ja luvat, eritelmät, piirustukset, sopimukset ja tilaukset.
• Asiakirjat, kuten tarkastuspöytäkirjat, kokouspöytäkirjat, tarkastusraportit, pöytäkirjat seurantaohjelma ja mittaustulokset.
• Tietojen yhteenvedot, analyysit ja suoritusindikaattorit.
• Tiedot tarkastettavan näytteenottosuunnitelmista sekä näytteenotto- ja mittausprosessien valvontamenettelyistä.
• Raportit muista lähteistä, esim. asiakaspalaute, ulkopuoliset kyselyt ja mittaukset, muut asiaankuuluvat tiedot ulkopuolisilta osapuolilta ja toimittajalta arviota.
• Tietokannat ja verkkosivustot.
• Simulointi ja mallinnus.

analyysi

Kun tiedonkeruu auditointia varten on tehty, tarkastajan on arvioitava ja analysoitava havainnot määrittääkseen, onko niissä poikkeamia tai parannusmahdollisuuksia.

Havainnot luokitellaan yleensä johonkin seuraavista:

• Suuri epäsäännöllisyys
• Pieni epäsäännöllisyys
• Mahdollisuus parantaa

Jotkut sertifiointielimet käyttävät myös:

• Havainto – jossa on varhaisia ​​merkkejä vähäisestä poikkeamasta tai saattaa kehittyä, jos toimenpiteisiin ei ryhdytä.
• Positiivinen pointti – myönnetään joko silloin, kun organisaatio on ylittänyt tunnustetut hyvät käytännöt tai jos jollakin alueella on tapahtunut merkittäviä parannuksia edellisen tarkastuksen jälkeen.

raportti

Kun havainnot on analysoitu, tarkastusraportti voidaan nyt laatia ja esittää ISMS:stä vastaavalle henkilölle tai ryhmälle tarkastelua ja seurantaa varten.

Miten sisäisen tarkastuksen raportti laaditaan?

Tarkastusraportti on laadittava dokumentoituna tietona, mutta tämä ei tarkoita, että sen tulee olla erillinen Word- tai PDF-dokumentti. Sisällä ISMS.online-alusta yritämme kannustaa välttämään tällaisten asiakirjojen luomista, mutta tarjoamme sen sijaan työalueen, jossa raportti voidaan suoraan dokumentoida ja tämä alue tarjoaa lisätoimintoja, mukaan lukien mahdollisuuden helposti linkittää muihin työalueisiin, käytäntöihin, valvontaan, riskeihin, korjaaviin toimenpiteisiin. ja parantamisen "liput" ja paljon muuta.

Luo yhteenveto

Tiivistelmä on hyödyllinen, jotta ylin johto näkee nopeasti ja helposti yleiskatsauksen havainnoista, mukaan lukien mahdolliset kriittiset ongelmat, trendit ja parannusmahdollisuudet. Tämä voidaan sitten helposti linkittää ISMS:n johdon tarkastukseen kohdan 9.3 mukaisesti.

Tämä sisältää yleensä:

• Yleiskatsaus tarkastuksen kattamien ISMS-alueiden toiminnasta.
• Numeerinen yhteenveto löydöskategorioista.
• Kaikkien kiireellisten/kriittisten havaintojen korostaminen.
• Lyhyt kuvaus seuraavista toimista, jotka on toteutettava mahdollisten havaintojen korjaamiseksi.

Esittele käytetty terminologia

Jotta varmistetaan, että raportin havainnot ymmärretään yhtäläisesti, on tarpeen sisällyttää määritelmät käytetystä terminologiasta, joka liittyy joko organisaatioon, auditointiprosessiin tai standardiin. Muista, että kaikki, joiden on ehkä luettava, arvioitava ja ymmärrettävä raporttia, eivät välttämättä ymmärrä kaikkea käytettyä terminologiaa.

Kuvaa auditointisuunnitelma

Tähän sisältyy:

• Tarkastuksen laajuus – katettavat alueet, paikat, henkilökunta, liiketoimintaprosessit jne.
• tilintarkastajan nimi
• Tarkastuksen päivämäärät, ajat ja paikat

Kuvaile löydetyt faktat

Kunkin tarkastuksen osan havainnot on dokumentoitava, mukaan lukien muistiinpanot kaikista otetuista todisteena olevista näytteistä.*

On hyvä käytäntö kirjata yhteensopivuus ja positiiviset kohdat sekä dokumentoida kaikki poikkeamat tai parannusmahdollisuudet. Havaintojen tulee kirjata ISMS:n ja standardin kannalta merkityksellisiksi todetut tosiasiat, eivätkä ne saa sisältää mielipiteitä tai olettamuksia, jotka ylittävät kohtuullisen ekstrapoloinnin.

*Huomaa – jos todisteena olevat näytteet sisältävät henkilökohtaisia ​​tunnistetietoja, on tavanomainen käytäntö pseudonymisoida tai anonymisoida tiedot tietosuojalainsäädännön vaatimusten mukaisesti, kuten esim. GDPR.

Dokumentoi epäsäännöllisyydet ja parannusmahdollisuudet

Jos havaitaan poikkeavuuksia ja parannusmahdollisuuksia, ne on dokumentoitava selkeästi, jotta korjaavat toimet ja parannuskohteet voidaan tallentaa ja hallita organisaation tunnustettujen prosessien kautta kohdan 10.1 Poikkeus ja korjaavat toimenpiteet dokumentoidun mukaisesti; ja 10.2 Jatkuva parantaminen.

Kuvaile suosituksia

Koska kyseessä on sisäisen tarkastuksen raportti, tarkastaja voi antaa suosituksia siitä, miten havainnot voitaisiin käsitellä, mutta viime kädessä korjaaviin toimenpiteisiin ja parannuksiin liittyvät päätökset on tehtävä ISMS:stä ja tietoturvasta vastaavien henkilöiden tai ryhmien toimesta. .

Kuinka ISMS.online tekee raportoinnista helppoa

ISMS.online-alusta Ei tarvitse luoda Word-asiakirjoja, PDF-tiedostoja ja laskentataulukoita tarjoamalla all-in-one-ratkaisun ISMS:n kaikkien osa-alueiden dokumentointiin ja linkittämiseen, mukaan lukien tarkastusraporttien dokumentointi.

ISMS.online sisältää valmiiksi rakennetun auditointiohjelman, joka kattaa sekä sisäiset että ulkoiset auditoinnit.

Valmiiksi rakennettu auditointiohjelma sisältää:

• Toiminnot kahdelle suositellulle auditoinnille ennen sertifiointia
• Suunnitelma sisäisistä auditoinneista ensimmäiselle 3 vuoden sertifiointijaksolle
• Paikkamerkit ulkoista sertifiointia ja määräaikaisia ​​tarkastuksia varten

Jokainen sisäisen tarkastuksen toiminto sisältää mallin yhdistetylle tarkastussuunnitelmalle ja -raportille.

Ennen tarkastuksen suorittamista malli toimii auditointisuunnitelmana – mukaan lukien tarkastettavat alueet sekä kehotteet kirjaamaan, milloin auditointi suoritetaan ja kuka tekee.

Tarkastuksen aikana tai sen jälkeen tilintarkastaja voi kirjoittaa huomautuksia suoraan mallin mukaiseen tarkastustoimintaan.

Sen lisäksi, että ISMS.online tarjoaa yksinkertaisesti tarkastustoimintopohjia, se tarjoaa mahdollisuuden nopeasti linkittää alustan muihin työalueisiin, mikä tarkoittaa, että tarkastushavaintojen linkittäminen valvontaan, korjaaviin toimenpiteisiin ja parannuksiin sekä jopa riskeihin on helppoa ja saavutettavissa. Näin voit helposti osoittaa ulkoiselle tarkastajallesi tunnistettujen löydösten yhteisen hallinnan.

Tarvitsetko apua ISO 27001 -tarkastuksessa?

Aloitatko pian ISO 27001 -auditoinnin ja oletko stressaantunut siitä? On luonnollista tuntea näin, sillä ISO 27001 -auditoinnin suorittaminen on erittäin vakava askel.

ISMS.onlinen asiantuntijat voivat tarjota sinulle parasta mahdollista palvelua. Voimme tukea johtamisjärjestelmän auditointia ja raportointia, antaa neuvoja tietoturva- ja riskienhallintastrategioista, kouluttaa henkilöstöäsi tai auttaa sinua analysoimaan olemassa olevia valvontajärjestelmiäsi.

Pyydä demo tänään.