Sisäiseen ISO 27001 auditointiin valmistautuminen – Tarkastettavan näkökulma

esittely

Kaikissa tarkastuksissa on mukana vähintään yksi tilintarkastaja (joskus useampi kuin yksi, jonka vastuuhenkilö tunnetaan yleisesti päävastuullisena tilintarkastajana) ja vähintään yksi tarkastettava. Tarkastettavien tehtävänä on tehdä yhteistyötä auditointiryhmän kanssa:

  • Selaa eri ISMS-asiakirjoja ja -järjestelmiä
  • Keskustele ja sovi osien tehokkuudesta ISMS auditoidaan
  • Esitä tarvittaessa todisteita ISMS toiminnot (yleensä tallenteet)
  • Selitä tarkastuksen taustaajattelu ja liiketoimintakonteksti

Tämän teoksen painopiste on tarkasteltavan sisäisen tarkastuksen valmistelun tarkastelussa tarkastettavan näkökulmasta

 

Mikä on ISO 27001 sisäinen tarkastus

ISO 27001 -standardin sisäiset auditoinnit auttavat organisaatioita varmistamaan, että niiden ja standardin edellyttämät vaatimukset täyttyvät. ISO 27001 -standardin sisäinen tarkastus on ensinnäkin prosessi, jossa selvitetään, onko yrityksellä tarvittavat menettelyt, prosessit, protokollat ​​ja ihmiset suojaamaan tietojaan ja tiedonhallintajärjestelmiään ISO 27001 -standardia vastaan. Toiseksi tarkastuksessa testataan asiakirjojen ja arkiston tarkastuksella ja tarkastettavan avustuksella, onko erilaisia ​​ISMS-komponentteja toimivat suunnitellusti ja noudattavat ISO-standardin vaatimuksia (etsi sanaa "shall").

Mihin tarvitsemme ISO 27001 -standardin mukaisia ​​sisäisiä auditointeja?

Useita kuljettajia valmistaa sisäisten tarkastusten tekeminen pakollinen. ISO 9.2:n lauseke 27001 määrää, että tarkastukset tehdään "suunniteltuin väliajoin". Useimmat yritykset pyrkivät vapauttamaan todellista arvoa ISMS-järjestelmästään, ja ylin johto johtaa tätä strategista tarkoitusta. Sisäiset auditoinnit nähdään ja niitä käytetään siksi kriittisenä liiketoiminnan kehittämistyökaluna.

Sisäisellä tarkastuksella varmistetaan, että yrityksen toimintatavat etenevät suunnitelmien mukaisesti. Positiivista ja negatiivista palautetta projektista sisäinen tarkastus on korvaamaton organisaatiosi tiedonhallintaprosessien parantamisessa.

Kaikki, joita olemme auttaneet ISO 27001 -standardin saavuttamisessa, läpäisivät ensimmäisen kerran. Sinäkin voisit.
Varaa esittelysi

 

Ero ulkoisten ja sisäisten ISO 27001 -auditointien välillä

- ulkoinen auditointiprosessi on pohjimmiltaan sama kuin sisäisen tarkastuksen prosessit, mutta yhteistä niille on viime kädessä tavoite saavuttaa ja ylläpitää ISO 27001 -sertifiointia. Tyypillisesti sertifioidut elimet suorittavat ulkoisia auditointeja käyttäen ammattimaisia ​​tarkastajia. Vaikka auditointiprosessit ovat pohjimmiltaan samat, ulkoiset tarkastukset ovat yleensä muodollisempia ja jäsenneltympiä kuin sisäiset tarkastukset.

Viitteeksi tässä on lyhyt yhteenveto eri tarkastustyypeistä

Kolmannen osapuolen tarkastukset

Tällöin toinen organisaatio auditoi organisaatiosi – ilmeinen esimerkki on, että valitsemasi sertifiointielin tarkastaa ISMS:si – joka tunnetaan yleisesti nimellä "ulkoinen auditointi".

Toisen osapuolen tarkastukset

Tämä voi tapahtua organisaatioosi sisäänpäin (asiakas auditoi sinut) tai ulospäin organisaatiostasi (esimerkiksi auditoit tulevaa tai nykyistä toimittajaa).

Ensimmäisen osapuolen tarkastukset

Ensimmäisen osapuolen auditoinneilla tarkoitetaan sitä, että organisaatio auditoi itsensä – eli sisäinen tarkastus.

 

Tarkastuksen määrittely

Jotta saat suurimman arvon tarkastuksestasi, sinun on määritettävä tarkastusparametrit etukäteen. Tämä sisältää tarkastuksen laajuuden, kriteerit ja tavoitteen. Tarkastuksen tavoite on tarkastuksen tarkoitus tai tavoite. Tarkastuksen laajuus määrittää, mitkä toiminnot ja tietueet ovat tarkastuksen kohteena. Tarkastuskriteerit koostuvat politiikoista, menettelytavoista ja vaatimuksista, joiden perusteella tarkastusta tarkastellaan tässä tapauksessa ISO 27001:2013 -standardin mukaisesti.

 

ISO 27001 auditoinnin valmistelun tärkeys

Jos on jokin hyödyke, josta me kaikki haluaisimme enemmän, on sen aika. Kuten Benjamin Franklin kerran sanoi: "Epäonnistuminen valmistautuu epäonnistumaan." Olen varma, että hän ei tuolloin viitannut ISO 27001 -tarkastuksiin, mutta relevanssi on edelleen olemassa. Koko tietoturvan hallintajärjestelmän auditointi, mukaan lukien sen teknologiat, prosessit ja menettelyt sekä ihmiset, osoittautuu lähes varmasti haastavaksi.

Mitä laajempi ja monimutkaisempi organisaatio on, sitä todennäköisemmin tarkastushavainnot viivästävät sertifiointia. On kuitenkin olemassa toimenpiteitä, joita voit tehdä etukäteen, jotta auditointisi tehostuu ja vähemmän koettelemus. Varmista, että keräät kaikki tarvittavat asiakirjat ennen auditointia osoittaaksesi noudattamisesi. Varmista lisäksi, että ymmärrät auditoitavien standardialueiden vaatimukset. Varmista lopuksi, että olet ajan tasalla kaikista jatkuvista työalueista, kuten korjaavat toimenpiteet, johdon arvioinnit ja tarkastusohjelma; Nämä tarkastetaan erittäin todennäköisesti osana sisäistä tarkastusta.

Kuinka valmistautua sisäiseen tarkastukseen käytännössä

Sekä tilintarkastajan että organisaation tulee olla riittävästi valmistautunut auditointiin. On helppo unohtaa, kun painottaa dokumentaatiota, että on monia käytännön asioita, joihin sinun on ehkä oltava valmis. Ennen auditointia (esimerkiksi kaksi viikkoa ennen) on yleensä hyvä idea varmistaa, että kaikki asiaankuuluvat käytännöt/menettelyt/järjestelmät/tietueet/valvontatoimenpiteet ovat mahdollisimman ajan tasalla ja sopivat hyväksyntäketjut ovat käytössä. Jos pidät sitä aiheellisena, voit lukea uudelleen asiaankuuluvat käytäntösi, prosessisi ja menettelyt tutustuaksesi uudelleen ja ehkä tarkistaa ne ennen tarkastusta, jos katsot sen tarpeelliseksi. Kun olet lukenut tämän asiakirjan, et yllätä sinua, että saatat joutua esittämään asiakirjat tarkastuksessa. Tästä johtuen on luultavasti hyvä idea varmistaa, että dokumentaatio on helposti saatavilla ennen auditointia tai ainakin sinun pitäisi tietää, miten niihin pääsee käsiksi. Viime hetken asioiden etsiminen ympäriinsä tuhlaa vain aikaasi ja tarkastajia; pääsy ja selvitys tulee selvittää etukäteen. Sinun tulee varmistaa kaikki tarvittavat turvaluvat, kuten pääsy palvelinhuoneeseen tai avainkortti varastoon. Vastaavasti saatat joutua tekemään etukäteen erityisjärjestelyjä, kuten sammuttamaan hälytyksen tai pysäyttämään tuotannon väliaikaisesti.

Lisäksi saatat tarvita tarkastajaa varten henkilönsuojaimia vaaralliselle ympäristölle, kuten suojakypärän tai jopa haalarin. Tämä on erityisen tärkeää, koska tämän järjestämättä jättäminen johtaa todennäköisesti siihen, että tilintarkastaja ei täytä tehtäviään. Samoin voi olla tietty osasto tai henkilö, joka auditoidaan, kuten Human Resources. Sinun on varmistettava se erikoistunut henkilökunta on tietoinen tilintarkastuksesta ja ovat tilintarkastajan käytettävissä. Varmista, että annat kollegoillesi/työntekijöillesi riittävän varoituksen. Tarkastussuunnitelma auttaa sinua selvittämään nämä järjestelyt.

Lopuksi saattaa olla joitain logistisia valmisteluja, joita sinun on tehtävä – esimerkiksi sopivan työtilan järjestäminen tarkastajalle. Tätä voitaisiin käyttää tarkastuksen havaintojen ja tulosten käsittelyyn. Vastaavasti tilintarkastaja saattaa tarvita Internet-yhteyden suorittaakseen joitakin tarkastuksen osa-alueita. Siksi sinun on neuvottava heitä tuomaan hotspot mukanaan, jos käytäntösi ei salli vieraiden liittymistä verkkoon. Toisaalta, jos sinulla on saatavilla Wi-Fi-yhteys ja salasana, se tekee asioista selkeämpiä tarkastajalle.

Mikään valmistautuminen ei ole paras valmistautuminen

Se voi tulla sinulle yllätyksenä, mutta ihanteellisen ISMS:n ei tarvitse valmistautua auditointiin. Onnistunut ISMS on ajan tasalla jatkuvat standardivaatimukset, kuten johdon arvioinnit, auditoinnit, korjaavat toimet jne. Näillä työalueilla pysyminen ajan tasalla toimii vain apuvälineenä liiketoimintakäytännöissäsi, koska ISMS:n jatkuvat parannukset. Ennen auditointia siivous saattaa olla kunnossa. Kuitenkin järjestelmä, joka muistuttaa sinua tehtävistä, tulevista tehtävistä, käytäntötarkistuksista ja muista jatkuvista tehtävistä, antaa sinulle parhaan mahdollisuuden välttää ISO-paniikki. Tässä tulemme sisään. Tarjoamme täydellisen alusta, jolla voit hallita ja rakentaa ISMS:ääsi. Kiitos ratkaisujemme, organisaatiosi, asiakkaat ja muut sidosryhmät voivat luottaa vaatimustenmukaisuuteen ja olla varmoja sertifioinnista. Tietoturva-aloittelijoista kokeneisiin veteraaneihin olemme tottuneet työskentelemään kaikentaustaisten asiakkaiden kanssa. Kun organisaatiosi kasvaa ja muuttuu, uusia infosec-uhkia ilmaantuu jatkuvasti. Suunnittelimme alustamme auttaa sinua mukautumaan siihen kaikkeen ja muuhun maailman kehittyessä.

 

Aiempien auditointien havainnot ja korjaavat toimet – Tarkastetaanko ne?

Tavoitteena on auditoida ISMS sisäisesti ISO 27001 -standardin mukaisesti, mikä ei aiheuta uusia poikkeamia. Siksi sinun on lähdettävä auditointiin luottavaisin mielin vaatimustenmukaisuudesta. Tästä syystä asiakirjojen tarkistaminen on välttämätöntä. Meidän on tarkistettava, että johtoni on lähettänyt ja hyväksynyt kaikki käytännöt. Muutoin kohdan Cl.5.2 vaatimustenmukaisuus voi vaarantua.

Lisäksi auttaisi, jos katsoisit ISMS:n korjaavia toimia; näitä tietoja voidaan käyttää tulevaan sisäiseen tarkastukseen valmistautumiseen. Varmentajan antamat tiedot (korjaavat toimet) näyttävät sinulle aiemmin tunnistetut alueet, jotka kaipaavat parantamista. Joskus korjaavat toimet voivat olla johdon arvioinnista tai vastauksesta tietoturvahäiriöön. Aiomme kuitenkin keskittyä korjaaviin toimiin, jotka johtuvat auditoinnista. Nämä CA:t ovat välttämättömiä tarkastettavaksi, koska ne tarkastetaan lähes varmasti tarkastuksessasi. Seuraavassa auditoinnissa on käsiteltävä edellisen tarkastuksen aikana esiin tulleita parannusmahdollisuuksia ja poikkeamia. Tämä osoittaa jatkuvaa omistautumistasi ISMS:n jatkuvaan parantamiseen. Käsite "osoiteltu" on epämääräinen, joten olemme valmiina selvittämään asioita. Saadaksesi vaatimustenmukaisuuden tällä alueella, sinun on osoitettava tilintarkastajalle, että olet toiminut suositeltujen muutosten mukaisesti. Tämä tehdään käyttämällä korjaavien toimien seurantaa ja linkitetty työominaisuus näyttääksesi muutokset, jotka olet tehnyt vastauksena havaintoon. Jos et ole toiminut koulutuksen mukaan, älä panikoi, noudattaminen on silti mahdollista. On oltava todisteita siitä, että löydöstä ajatellaan ja siihen ryhdytään. Yleensä pelkkä havainnon dokumentointi CA-seurantalaitteeseen ja eräpäivän/siirteensaajan asettaminen riittää; se osoittaa, että yrityksesi harkitsee ehdotusta ja on parhaillaan päättämässä seuraavasta toimintatavasta. Lisäksi kaikki myöhässä olevat CA:t on käsiteltävä ennen tarkastuksia, jotta voidaan osoittaa sitoutuminen ISMS:n jatkuvaan parantamiseen.

 

Miksi valita meidät?

AlliantistiISMS.onlinen takana oleva yritys on sertifioinut ISO 27001 -standardin mukaisesti UKAS:n akkreditoiman sertifiointielimen toimesta. Tarjoamme asiakkaillemme kattavan ISO- ja ISMS-tuen. Heidän saamansa tuen taso vaihtelee heidän valitsemansa paketin mukaan, mutta todelliset ihmiset ovat aina mukana. Saat lisätietoja tutustumalla tukikäytäntöömme tai ottamalla yhteyttä tukiosastoomme. Vaatimustenmukaisuusvarmuus ja sertifiointivarmuus on helppo saavuttaa palveluillamme organisaatiollesi, asiakkaillesi ja muille sidosryhmillesi. Olemme tottuneet työskentelemään asiakkaiden kanssa kaikilla tasoilla, alkaen tulokkaita veteraaneille.

Oletko valmis ryhtymään toimiin?

Varaa esittelysi

cta-kuva

 

« Kuinka kirjoittaa sisäisen tarkastuksen raportti ISO 27001 -standardille

Mitä erilaisia ​​ISO 27001 -standardin sisäisiä auditointeja on? »

Viimeksi muokattu: 20
kirjailija

Sami Derfoufi

Sami liittyi ISMS.online Academyyn ja kävi läpi erilaisia ​​koulutusta ISO 27001:n ja vaatimustenmukaisuuden osalta.

Näytä kaikki Sami Derfoufin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja