Osana hallintajärjestelmän vaatimuksia Lauseke 9.2 kerrotaan, mitä sisäisten tarkastusten osalta on tehtävä. Tämä sisältää säilytysvaatimuksen dokumentoitu näyttö tarkastuksesta ja tämä tehdään tilintarkastuskertomuksen avulla.
An ISO 27001 sisäiseen tarkastukseen kuuluu pätevä ja puolueeton tilintarkastaja, joka tarkastaa ISMS tai sen osia ja testaamalla, että:
ISMS:n yleisen vaatimustenmukaisuuden ja tehokkuuden lisäksi as ISO 27001 on suunniteltu antamaan organisaatiolle mahdollisuus hallita tietoturvaansa riskit siedettävälle tasolle, on tarpeen tarkistaa, että toteutetut tarkastukset todella vähentävät riskiä niin pitkälle, että riskinomistaja/riskinomistajat sietävät mielellään jäännösriskiä.
Kohta 9.2 Sisäisen tarkastuksen toimeksiannot:
"Organisaatio tekee suunnitelluin väliajoin sisäisiä auditointeja saadakseen tietoa siitä, onko tietoturvan hallintajärjestelmä:
a) vastaa
b) toteutetaan ja ylläpidetään tehokkaasti.
Organisaation tulee:
c) suunnitella, perustaa, toteuttaa ja ylläpitää auditointiohjelmaa (-ohjelmia), mukaan lukien tarkastustiheys, menetelmät, vastuut, suunnitteluvaatimukset ja raportointi. Tarkastusohjelmassa (-ohjelmissa) on otettava huomioon kyseisten prosessien tärkeys ja aikaisempien tarkastusten tulokset;
d) määritellä kunkin tarkastuksen tarkastuskriteerit ja laajuus;
e) valita tilintarkastajat ja suorittaa tarkastuksia, joilla varmistetaan tarkastusprosessin objektiivisuus ja puolueettomuus;
f) varmistaa, että tarkastusten tulokset raportoidaan asianomaiselle johdolle; ja
g) säilyttää dokumentoidut tiedot todisteena tarkastusohjelmista ja tarkastuksen tuloksista."
Lataa ilmainen opas nopeaan ja kestävään sertifiointiin
Tarvitsemme vain muutamia yksityiskohtia, jotta voimme lähettää sinulle sähköpostitse oppaasi ISO 27001 -standardin saavuttamiseksi ensimmäistä kertaa
Lataa ilmainen opas nyt ja jos sinulla on kysyttävää Varaa esittely or Ota yhteyttä . Autamme mielellämme.
ISO 27001 -standardin sisäiset auditoinnit toimivat noudattamalla auditointiohjelmaa, joka tunnistaa ennen sertifiointia ja kunkin sertifiointijakson aikana suoritettavat auditoinnit.
Ne edellyttää pätevän ja objektiivisen tilintarkastajan valitsemista jokaista sisäistä tarkastusta varten varmistetaan, että standardin vaatimukset, organisaation omat tietovaatimukset ja ISMS:n tavoitteet täyttyvät sekä politiikkojen, prosessien ja muiden kontrollien tehokkuus ja tehokkuus.
Sisäiseen tarkastukseen sisältyvät toiminnot:
Vaikka itse ISO 27001:ssä ei ole selvää, kuinka usein sisäisiä tarkastuksia on suoritettava. Auditointiohjelman odotetaan noudattavan samoja vaatimuksia kuin ne, jotka asetetaan sertifiointielimille suorittaessaan auditointejaan ISO/IEC 27006:2015 – Vaatimukset ISMS:ien auditointia ja sertifiointia toimittaville elimille.
Sisällä ISO 27006 Vaatimuksessa 9.1.5.2 e todetaan, että auditointiohjelma "kattaa edustavat otokset ISMS-sertifioinnin laajuudesta kolmen vuoden aikana".
Siksi sinun on suoritettava sisäisiä auditointeja, jotka kattavat koko standardin vähintään sertifiointijakson aikana (3 vuotta UKAS-akkreditoiduissa sertifikaateissa).
Voit tehdä tämän yhtenä tarkastuksena, mutta se jaetaan yleisemmin pienempiin tarkastuksiin 3 vuoden ajanjaksolla.
On myös tärkeää auditoida joitakin alueita useammin, jos riskitasot ovat korkeat tai alueella tapahtuu usein muutoksia.
On suositeltavaa, että sinä tarkastaa hallintajärjestelmä vaatimukset (kohdat 4-10) vuosittain. Tämä voidaan liittää ISMS:n johdon tarkastukseen, joka on myös tehtävä vuosittain.
ISMS.onlinessa tarjoamme valmiiksi rakennetun tarkastusohjelman työalueen, joka sisältää:
ISMS-järjestelmämme on esikonfiguroitu työkaluilla, kehyksillä ja dokumentaatiolla, joita voit ottaa käyttöön, mukauttaa tai lisätä. Yksinkertainen.
Varmennettujen tulosten menetelmämme on suunniteltu saamaan sinulle sertifikaatti ensimmäisellä yritykselläsi. 100 % onnistumisprosentti.
Unohda aikaa vievä ja kallis koulutus. Virtual Coach -videosarjamme on saatavilla 24/7 opastamassa sinua.
Standardi edellyttää auditointitulosten dokumentointia – ISO 9.2:n lauseke 27001 sisältää vaatimuksen "säilytettävä dokumentoitu tieto todisteena ……… auditointituloksista".
Tämä tehdään tarkastusraportissa.
On selvää, että ennen kuin voit dokumentoida tarkastusraportin, sinun on suunniteltava ja suoritettava tarkastus. Voit sitten dokumentoida havainnot raporttiin.
Jokaista tarkastusta varten sinun on suunniteltava:
Jokainen tarkastus edellyttää asiaankuuluvan dokumentaation tarkistamista, mukaan lukien periaatteet, menettelyt, standardit ja ohjeet, jotka liittyvät auditoitavan standardin osa-alueisiin. Hyvä käytäntö on neuvoa auditoitavia kattavia alueita, jotta asiaankuuluvat asiakirjat ovat helposti ja oikea-aikaisesti saatavilla.
ISMS.onlinessa tämä on helppoa joko pitämällä dokumentaatio järjestelmän sisällä tai linkittämällä se standardin asiaankuuluvaan osioon.
Useimmat auditoinnit edellyttävät todisteiden otoksen ottamista pienemmässä tai suuremmassa määrin. Tähän voi kuulua asiaankuuluvien avainhenkilöiden, loppukäyttäjien ja joskus jopa väliaikaisten työntekijöiden ja urakoitsijoiden haastattelu.
Näytteenottolähteitä voivat olla esimerkiksi:
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
Kun tiedonkeruu auditointia varten on tehty, tarkastajan on arvioitava ja analysoitava havainnot mahdollisten poikkeamien tai parannusmahdollisuuksien määrittämiseksi.
Havainnot luokitellaan yleensä johonkin seuraavista:
Jotkut sertifiointielimet käyttävät myös:
Kun havainnot on analysoitu, tarkastusraportti voidaan nyt laatia ja esittää henkilölle tai ryhmälle vastuussa ISMS:stä tarkistusta ja seurantaa varten.
Tarkastuskertomus on laadittava ns dokumentoidut tiedot, mutta tämä ei tarkoita, että sen on oltava erillinen Word- tai PDF-dokumentti. Sisällä ISMS.online-alusta, yritämme kannustaa välttämään tällaisten asiakirjojen luomista, mutta tarjoamme sen sijaan työalueen, jossa raportti voidaan suoraan dokumentoida. Tämä alue tarjoaa lisätoimintoja, kuten mahdollisuuden helposti linkittää muihin työalueisiin, käytäntöihin, valvontaan, riskeihin, korjaaviin toimiin ja parannus "lippuihin" ja muihin.
Tiivistelmä on hyödyllinen, jotta ylin johto näkee nopeasti ja helposti yleiskatsauksen havainnoista, mukaan lukien mahdolliset kriittiset ongelmat, trendit ja parannusmahdollisuudet. Tämä voidaan sitten helposti linkittää ISMS:n johdon tarkastus kohdan 9.3 mukaisesti.
Tämä sisältää yleensä:
Raportin havaintojen yhteisymmärryksen varmistamiseksi on tarpeen sisällyttää määritelmät käytetystä terminologiasta, joka liittyy joko organisaatioon, auditointiprosessiin tai standardiin. Muista, että kaikki, joiden on ehkä luettava, arvioitava ja ymmärrettävä raporttia, eivät välttämättä ymmärrä kaikkea käytettyä terminologiaa.
Tähän sisältyy:
Sinun tulee dokumentoida tarkastuksen kunkin osan havainnot, mukaan lukien muistiinpanot kaikista otetuista todisteena olevista näytteistä.*
On hyvä käytäntö kirjata yhteensopivuus ja positiiviset kohdat ja dokumentoida kaikki poikkeamat tai parannusmahdollisuudet.
Havaintojen tulee kirjata ISMS:n ja standardin kannalta merkityksellisiksi todetut tosiasiat, eivätkä ne saa sisältää mielipiteitä tai olettamuksia, jotka ylittävät kohtuullisen ekstrapoloinnin.
*Huomaa – jos kyseessä on todisteellinen näyte sisältää henkilökohtaisia tunnistetietoja, on tavallinen käytäntö pseudonyymisoida tai anonymisoida tiedot tietosuojalainsäädännön, kuten GDPR:n, mukaisesti.
Jos havaitaan poikkeavuuksia ja parannusmahdollisuuksia, ne on dokumentoitava selkeästi, jotta korjaavat toimet ja parannuskohteet voidaan tallentaa ja hallita organisaation tunnustettujen prosessien kautta kohdan 10.1 Poikkeus ja korjaavat toimenpiteet dokumentoidun mukaisesti; ja 10.2 Jatkuvat parannukset.
Koska kyseessä on sisäisen tarkastuksen raportti, tilintarkastaja voi antaa suosituksia siitä, miten organisaatio voisi käsitellä havaintoja. Korjaaviin toimenpiteisiin ja parannuksiin liittyvät päätökset tulee viime kädessä tehdä ISMS:stä ja tietoturvasta vastaavien asianomaisten henkilöiden tai tiimien toimesta.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
ISMS.online-alustalla ei tarvitse luoda Word-asiakirjoja, PDF-tiedostoja ja laskentataulukoita tarjoamalla all-in-one-ratkaisun, jolla dokumentoidaan ja linkitetään helposti kaikki ISMS:n osa-alueet, mukaan lukien tarkastusraporttien dokumentointi.
ISMS.online sisältää valmiiksi rakennetun auditointiohjelman, joka kattaa sekä sisäiset että ulkoiset auditoinnit.
Valmiiksi rakennettu auditointiohjelma sisältää:
Jokainen sisäisen tarkastuksen toiminto sisältää mallin yhdistetylle tarkastussuunnitelmalle ja -raportille.
Ennen tarkastuksen suorittamista malli toimii auditointisuunnitelmana – se sisältää tarkastettavat alueet sekä kehotteet kirjaamaan, milloin auditointi suoritetaan ja kuka tekee.
Tarkastuksen aikana tai sen jälkeen tilintarkastaja voi kirjoittaa muistiinpanoja suoraan mallin mukaiseen tarkastustoimintaan.
Sen lisäksi, että ISMS.online tarjoaa yksinkertaisesti tarkastustoimintopohjia, se tarjoaa mahdollisuuden nopeasti linkittää alustan muihin työalueisiin, mikä tarkoittaa, että tarkastushavaintojen linkittäminen valvontaan, korjaaviin toimenpiteisiin ja parannuksiin sekä jopa riskeihin on helppoa ja saavutettavissa. Näin voit helposti osoittaa ulkoiselle tarkastajallesi tunnistettujen löydösten yhteisen hallinnan.
Ota yhteyttä, ja voimme tarjota tukea.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Tee yhteistyötä, luo ja näytä, että olet aina dokumentaatiosi kärjessä
Lue lisääTartu uhkiin ja mahdollisuuksiin vaivattomasti ja raportoi suorituskyvystä dynaamisesti
Lue lisääTee parempia päätöksiä ja näytä hallitsevasi hallintapaneelien, KPI:iden ja niihin liittyvän raportoinnin avulla
Lue lisääTee kevyttä työtä korjaavista toimista, parannuksista, auditoinneista ja johdon arvioinneista
Lue lisääValaise kriittisiä suhteita ja yhdistä tyylikkäästi alueet, kuten omaisuus, riskit, valvonta ja toimittajat
Lue lisääValitse omaisuus omaisuuspankista ja luo omaisuusluettelo helposti
Lue lisääKäyttövalmiit integraatiot muihin keskeisiin liiketoimintajärjestelmiisi yksinkertaistamaan vaatimustenmukaisuuttasi
Lue lisääLisää siististi muita vaatimustenmukaisuuden osa-alueita, jotka vaikuttavat organisaatioosi, jotta saavutat vielä enemmän
Lue lisääSitouta henkilöstö, toimittajat ja muut dynaamiseen päästä päähän -säännösten noudattamiseen aina
Lue lisääHallitse due diligencea, sopimuksia, kontakteja ja suhteita koko elinkaarensa ajan
Lue lisääKartoita ja hallitse kiinnostuneita osapuolia visuaalisesti varmistaaksesi, että heidän tarpeisiinsa vastataan selvästi
Lue lisääVahva suunnittelun yksityisyys ja suojaustoiminnot tarpeidesi ja odotusten mukaan
Lue lisää