Kuinka kirjoittaa sisäisen tarkastuksen raportti ISO 27001 -standardille

Osana hallintajärjestelmän vaatimuksia Lauseke 9.2 kerrotaan, mitä sisäisten tarkastusten osalta on tehtävä. Tämä sisältää säilytysvaatimuksen dokumentoitu näyttö tarkastuksesta ja tämä tehdään tilintarkastuskertomuksen avulla.

Miten ISO 27001 -sisäiset auditoinnit toimivat?

ISO 27001 -standardin sisäiset auditoinnit toimivat noudattamalla auditointiohjelmaa, joka tunnistaa ennen sertifiointia ja kunkin sertifiointijakson aikana suoritettavat auditoinnit.

Ne edellyttää pätevän ja objektiivisen tilintarkastajan valitsemista jokaista sisäistä tarkastusta varten varmistetaan, että standardin vaatimukset, organisaation omat tietovaatimukset ja ISMS:n tavoitteet täyttyvät sekä politiikkojen, prosessien ja muiden kontrollien tehokkuus ja tehokkuus.

Sisäiseen tarkastukseen sisältyvät toiminnot:

• Dokumentaation tarkistus
• Todistettava näytteenotto
• Henkilökunnan haastattelu avaimella tietoturvavastuut
• Muun henkilöstön (ja mahdollisesti urakoitsijoiden) haastattelu
• Löydösten arvioiminen
• Tarkastusraportin kirjoittaminen.

Kuinka usein minun on suoritettava tarkastus?

Vaikka itse ISO 27001:ssä ei ole selvää, kuinka usein sisäisiä tarkastuksia on suoritettava. Auditointiohjelman odotetaan noudattavan samoja vaatimuksia kuin ne, jotka asetetaan sertifiointielimille suorittaessaan auditointejaan ISO/IEC 27006:2015 – Vaatimukset ISMS:ien auditointia ja sertifiointia toimittaville elimille.

Sisällä ISO 27006 Vaatimuksessa 9.1.5.2 e todetaan, että auditointiohjelma "kattaa edustavat otokset ISMS-sertifioinnin laajuudesta kolmen vuoden aikana".

Siksi sinun on suoritettava sisäisiä auditointeja, jotka kattavat koko standardin vähintään sertifiointijakson aikana (3 vuotta UKAS-akkreditoiduissa sertifikaateissa).

Voit tehdä tämän yhtenä tarkastuksena, mutta se jaetaan yleisemmin pienempiin tarkastuksiin 3 vuoden ajanjaksolla.

On myös tärkeää auditoida joitakin alueita useammin, jos riskitasot ovat korkeat tai alueella tapahtuu usein muutoksia.

On suositeltavaa, että sinä tarkastaa hallintajärjestelmä vaatimukset (kohdat 4-10) vuosittain. Tämä voidaan liittää ISMS:n johdon tarkastukseen, joka on myös tehtävä vuosittain.

ISMS.onlinessa tarjoamme valmiiksi rakennetun tarkastusohjelman työalueen, joka sisältää:

• Toiminnot kahdelle suositellulle auditoinnille ennen sertifiointia
• Suunnitelma sisäisistä auditoinneista ensimmäiselle 3 vuoden sertifiointijaksolle
• Paikkamerkit ulkoista sertifiointia ja määräaikaisia ​​tarkastuksia varten

Miksi minun pitää luoda raportti sisäistä tarkastusta varten?

Standardi edellyttää auditointitulosten dokumentointia – ISO 9.2:n lauseke 27001 sisältää vaatimuksen "säilytettävä dokumentoitu tieto todisteena ……… auditointituloksista".

Tämä tehdään tarkastusraportissa.

Mitä raporttia laadittaessa tulee tehdä?

On selvää, että ennen kuin voit dokumentoida tarkastusraportin, sinun on suunniteltava ja suoritettava tarkastus. Voit sitten dokumentoida havainnot raporttiin.

Aloita ISO 27001 -tarkastussuunnitelmasi kanssa

Jokaista tarkastusta varten sinun on suunniteltava:

• Mitä auditointi kattaa – mitkä standardin osat, sijainnit, liiketoimintaprosessit jne
• Kenestä tilintarkastaja tulee – on oltava pätevä ja objektiivinen.
• Kun auditointi suoritetaan, sillä ei saa olla merkittävää, haitallista vaikutusta organisaation toimintaan.
• Tarkastusmenetelmä(t) – asiakirjojen tarkistus, otanta, haastattelut jne
• Kenen tulee olla mukana tarkastuksessa?

Dokumentaation tarkistus

Jokainen tarkastus edellyttää asiaankuuluvan dokumentaation tarkistamista, mukaan lukien periaatteet, menettelyt, standardit ja ohjeet, jotka liittyvät auditoitavan standardin osa-alueisiin. Hyvä käytäntö on neuvoa auditoitavia kattavia alueita, jotta asiaankuuluvat asiakirjat ovat helposti ja oikea-aikaisesti saatavilla.

ISMS.onlinessa tämä on helppoa joko pitämällä dokumentaatio järjestelmän sisällä tai linkittämällä se standardin asiaankuuluvaan osioon.

Todistusnäytteenotto ja haastattelut

Useimmat auditoinnit edellyttävät todisteiden otoksen ottamista pienemmässä tai suuremmassa määrin. Tähän voi kuulua asiaankuuluvien avainhenkilöiden, loppukäyttäjien ja joskus jopa väliaikaisten työntekijöiden ja urakoitsijoiden haastattelu.

Näytteenottolähteitä voivat olla esimerkiksi:

• Haastattelut työntekijöiden ja muiden henkilöiden kanssa
• Toiminnan ja ympäröivän työympäristön ja -olosuhteiden havainnot
• Asiakirjat, kuten periaatteet, tavoitteet, suunnitelmat, menettelyt, standardit, ohjeet, lisenssit ja luvat, eritelmät, piirustukset, sopimukset ja tilaukset
• Tallenteet, kuten tarkastuspöytäkirjat, kokouspöytäkirjat, tarkastusraportit, seurantaohjelman pöytäkirjat ja mittaustulokset
• Tietojen yhteenvedot, analyysit ja suoritusindikaattorit
• Tiedot tarkastettavan näytteenottosuunnitelmista sekä näytteenotto- ja mittausprosessien valvontamenettelyistä
• Raportit muista lähteistä, esim. asiakaspalaute, ulkopuoliset kyselyt ja mittaukset, muuta asiaankuuluvaa tiedot ulkopuolisilta osapuolilta ja toimittajalta arviot
• Tietokannat ja verkkosivustot
• Simulointi ja mallinnus

analyysi

Kun tiedonkeruu auditointia varten on tehty, tarkastajan on arvioitava ja analysoitava havainnot mahdollisten poikkeamien tai parannusmahdollisuuksien määrittämiseksi.

Havainnot luokitellaan yleensä johonkin seuraavista:

• Suuri epäsäännöllisyys
• Pieni epäsäännöllisyys
• Mahdollisuus parantaa

Jotkut sertifiointielimet käyttävät myös:

• Havainto – jos on varhaisia ​​merkkejä, pieni poikkeama saattaa esiintyä tai kehittyä, jos toimenpiteisiin ei ryhdytä.
• Positiivinen piste – myönnetään, jos organisaatio on ylittänyt tunnustetun hyvän käytännön tai jos jollakin alueella on tapahtunut merkittävää parannusta edellisen auditoinnin jälkeen.

raportti

Kun havainnot on analysoitu, tarkastusraportti voidaan nyt laatia ja esittää henkilölle tai ryhmälle vastuussa ISMS:stä tarkistusta ja seurantaa varten.

Miten sisäisen tarkastuksen raportti laaditaan?

Tarkastuskertomus on laadittava ns dokumentoidut tiedot, mutta tämä ei tarkoita, että sen on oltava erillinen Word- tai PDF-dokumentti. Sisällä ISMS.online-alusta, yritämme kannustaa välttämään tällaisten asiakirjojen luomista, mutta tarjoamme sen sijaan työalueen, jossa raportti voidaan suoraan dokumentoida. Tämä alue tarjoaa lisätoimintoja, kuten mahdollisuuden helposti linkittää muihin työalueisiin, käytäntöihin, valvontaan, riskeihin, korjaaviin toimiin ja parannus "lippuihin" ja muihin.

Luo yhteenveto

Tiivistelmä on hyödyllinen, jotta ylin johto näkee nopeasti ja helposti yleiskatsauksen havainnoista, mukaan lukien mahdolliset kriittiset ongelmat, trendit ja parannusmahdollisuudet. Tämä voidaan sitten helposti linkittää ISMS:n johdon tarkastus kohdan 9.3 mukaisesti.

Tämä sisältää yleensä:

• Yleiskatsaus tarkastuksen kattamien ISMS-alueiden toiminnasta.
• Numeerinen yhteenveto löydöskategorioista.
• Kaikkien kiireellisten/kriittisten havaintojen korostaminen.
• Lyhyt kuvaus seuraavista toimista, jotka on toteutettava mahdollisten havaintojen korjaamiseksi.

Esittele käytetty terminologia

Raportin havaintojen yhteisymmärryksen varmistamiseksi on tarpeen sisällyttää määritelmät käytetystä terminologiasta, joka liittyy joko organisaatioon, auditointiprosessiin tai standardiin. Muista, että kaikki, joiden on ehkä luettava, arvioitava ja ymmärrettävä raporttia, eivät välttämättä ymmärrä kaikkea käytettyä terminologiaa.

Kuvaile tarkastussuunnitelmaa

Tähän sisältyy:

• Tarkastuksen laajuus – katettavat alueet, paikat, henkilökunta, liiketoimintaprosessit jne
• tilintarkastajan nimi
• Tarkastuksen päivämäärät, ajat ja paikat

Kuvaile löydetyt faktat

Sinun tulee dokumentoida tarkastuksen kunkin osan havainnot, mukaan lukien muistiinpanot kaikista otetuista todisteena olevista näytteistä.*

On hyvä käytäntö kirjata yhteensopivuus ja positiiviset kohdat ja dokumentoida kaikki poikkeamat tai parannusmahdollisuudet.

Havaintojen tulee kirjata ISMS:n ja standardin kannalta merkityksellisiksi todetut tosiasiat, eivätkä ne saa sisältää mielipiteitä tai olettamuksia, jotka ylittävät kohtuullisen ekstrapoloinnin.

*Huomaa – jos kyseessä on todisteellinen näyte sisältää henkilökohtaisia ​​tunnistetietoja, on tavallinen käytäntö pseudonyymisoida tai anonymisoida tiedot tietosuojalainsäädännön, kuten GDPR:n, mukaisesti.

Dokumentoi poikkeamat ja parannusmahdollisuudet

Jos havaitaan poikkeavuuksia ja parannusmahdollisuuksia, ne on dokumentoitava selkeästi, jotta korjaavat toimet ja parannuskohteet voidaan tallentaa ja hallita organisaation tunnustettujen prosessien kautta kohdan 10.1 Poikkeus ja korjaavat toimenpiteet dokumentoidun mukaisesti; ja 10.2 Jatkuvat parannukset.

Kuvaile suosituksia

Koska kyseessä on sisäisen tarkastuksen raportti, tilintarkastaja voi antaa suosituksia siitä, miten organisaatio voisi käsitellä havaintoja. Korjaaviin toimenpiteisiin ja parannuksiin liittyvät päätökset tulee viime kädessä tehdä ISMS:stä ja tietoturvasta vastaavien asianomaisten henkilöiden tai tiimien toimesta.