ISO 27001:2013 sisäinen tarkastus: Yksinkertaistettu

Mikä on ISO 27001 -standardin sisäisen tarkastuksen tarkoitus?

Sisäisen tarkastuksen tavoite 9 §:n johtamisvaatimusten mukaisesti ISO 27001: 2013 on suorituskyvyn arviointi. 9.2 sanoo, että organisaation tulee suorittaa sisäisiä auditointeja suunnitelluin väliajoin saadakseen tietoa siitä, onko tietoturva hallintajärjestelmä:

1) vastaa

1.1) organisaation omat vaatimukset tietoturvan hallintajärjestelmälleen; ja

1.2) tämän kansainvälisen standardin vaatimukset;

2) toteutetaan ja ylläpidetään tehokkaasti

3) suunnitella, toteuttaa ja ylläpitää tarkastusohjelmaa

4) määritellä kunkin tarkastuksen tarkastuksen kriteerit ja laajuus

5) valita tilintarkastajat, jotka ovat objektiivisia ja puolueettomia

6) varmista, että tarkastukset raportoidaan asianomaiselle johdolle

7) säilyttää dokumentoidut tiedot todisteina

Yhteenvetona voidaan todeta, että sisäinen tarkastus on yksi aloitteista, jotka osoittavat sinun ISMS voidaan luottaa ja se toimii odotetusti.

ISO 27001 -standardi kannustaa sinua käyttämään ISMS:ää liiketoiminnan tavoitteiden, laajuuden, sisäisten ja ulkoisten kysymysten jne. saavuttamiseksi. Näin ollen haluat myös varmistaa, että sisäiset tarkastukset tehdään tyylillä, joka kuvastaa liiketoimintaasi ja sen riskejä, ottaen huomioon kulttuurisi ja resurssit.

Missä ja mitä sinun tulisi tarkastaa tietoturvajärjestelmässäsi?

Jotta se olisi totta, auditointiohjelmasi ja -filosofiasi tulee perustua aiheisiin, laajuuteen, esim. sijainnit, osastot, prosessit, tuotteet jne. Ilmoitus soveltuvuudesta, riskejä ja niin edelleen, ei vain rastiruutuharjoitusta. Sinun on kuitenkin osoitettava, että olet auditoinut koko standardin – hallintavaatimukset ja liitteen A – mukaisesti valvonta – vähintään kerran 3 vuoden aikana ISO 27001 -sertifikaatti sykli, ja voit toimittaa näytteitä valvonta työskentelee tarpeidesi mukaan.

Olemme käyttäneet tätä lähestymistapaa vakiotarkastusohjelmassa vuonna ISMS.online auttaa varmistamaan, että auditoinnit edustavat sitä, mitä yritys tarvitsee. Katsomme, että auditoinnin on oltava liiketoiminnallista ja "todellista", jotta ihmiset voivat ostaa sen pätevänä sijoituksena ja tehdä auditoinnista mielekästä.

Kuinka auditoida kolmella käytännöllisellä ja yksinkertaisella tasolla

Taso 1 – käytäntöjen tarkastelu kohtien A.5.1.2 ja A.8.1.2 mukaisesti riippumattomia arvioita varten

Tämä taso on yksinkertainen katsaus siihen, kuinka "kuvaat" omaasi politiikkoja ja valvontaa, ja varmista, että ne pysyvät merkityksellisinä organisaatiolle kohdissa 4.1 – 3 ja vastaavat yllä mainittuja asioita, osapuolia, laajuutta, tietovarallisuutta, riskejä jne.

Olemme sisällyttäneet ISMS.online-sivustoon käytännön A.5.1.2 ja kehittänyt alustan tämä mielessä, joten sinun on helppo omaksua käytäntömme ja todella "elätä" sitä käytännössä.

Tämä ei selvästikään ole sisäinen tarkastus Lahko. 9.2 itsessään, mutta on tärkeä osa sinua ISMS hallinta ja muut näkökohdat, kuten johdon arvioinnit, tapahtuman seuranta jne. ja auttaa varmistamaan, että kun tulet suorittamaan muodollista sisäistä tarkastusta, teet sen noudattaen vankkaa käytäntöä ja valvontaa, jotka sopivat organisaatiollesi.

Taso 2 – sisäisen tarkastuksen suunnitelma, joka kattaa vaatimukset ja tarkastukset

Tämä on vaadittu, perinteisempi lähestymistapa, ja se on suoritettava vähintään sertifiointisyklin aikana, ja saattaa olla syytä harkita tämän kattamista vuosittain.

Auditointiprojektiamme voidaan käyttää kunkin tarkastuksen tavoitteiden ja laajuuden asettamiseen sekä havaintojen kirjaamiseen. Kaikki havaitut poikkeamat voidaan sitten korjata Kehitysraita.

Organisaatioille, jotka haluavat noudattaa kolmen vuoden tarkastusohjelmaa kaikista valvontatoimista, olemme sisällyttäneet puitteet, joita seurataan ISMS.online liikaa.

Taso 3 – kokonaisvaltainen lähestymistapa tehokkuuden osoittamiseen

Kannustamme myös kokonaisvaltaisempaa lähestymistapaa sisäisiin auditointeihin ja olemme rakentaneet alustaan ​​ohjelman, joka keskittyy auditoinnissa "esittelemään" tiettyä osaa ISMS laajuus on vaatimusten mukainen, esim. osasto, sijainti, tuote, järjestelmä tai prosessi.

Tämä antaa sinulle mahdollisuuden tarkastella, miten yritys toimii käytännössä, pidemmälle InfoSec sinänsä ja nähdä mahdollisuuksia parantaa tai jopa paljastaa riskejä, joita ei ehkä ole helppo nähdä kontrollilinssin läpi katsomalla.

Tämä mahdollistaa myös suuremman määrän auditointeja valvonta yhdellä kertaa, yhtenäisellä tavalla.

ISO 27001 -virtuaalivalmentajaamme sisällytämme esimerkin, joka havainnollistaisi, mitä voisit tehdä. ISMS soveltamisala toimii hyvin ja täyttää tavoitteensa, hallintalaitteet toimivat (tai eivät).

Kuinka suunnitella ISO 27001 -auditointiohjelmaa

Ei ole helppoa laatia auditointisuunnitelmaa 3 vuotta etukäteen koko sertifiointikaudelle, jos olet nopeasti muuttuva organisaatio. Jos näin on, sinun tulee ottaa huomioon ne laajuusalueet, jotka on tarkastettava, ja luoda 12 kuukauden suunnitelma ulkoisen tarkastajan odotusten täyttämiseksi.

Ole sitten selvä, että olet Johdon arvioiden tekeminen osaston mukaisesti. 9.3 mikä saattaa muuttaa aikataulua. Se on osa 9.3:n tarkoitusta – ennakointia ja myös reagointia uuteen ISMS:ään vaikuttavat tiedot.

Jos päätät muuttaa tarkastusaikataulua esimerkiksi sen oikeuttavan laukaisutapahtuman vuoksi, siirrä tarkastusaikataulua ja lisää siihen huomautus. johdon tarkastelu perustella miksi teit muutokset.

Riippumatta siitä, minkä tarkastustavan valitset, ole valmis perustelemaan, osoittamaan ja puolustamaan sen tehokkuutta ulkopuoliselle tarkastajalle.

Kuinka paljon yksityiskohtia sinun tulee sisällyttää ISO 27001 -auditointiin?

Kun päätät, kuinka syvälle sinun tulisi mennä auditointitehtävässä, harkitse tätä – Onko sinulla tarpeeksi tietoa voidaksesi osoittaa, että olet suorittanut auditoinnin, oppinut harjoituksesta, dokumentoinut sen ja ryhtynyt myöhempään toimintaan?

Omasta kulttuurisesta näkökulmastamme tässä on kyse myös pitävästä, paperittomasta ja digitaalisuudesta, ja se keskittyy varmistamaan, että teemme työmme hyvin – juhli menestystä, opi ja kehittyy ja vähennä riskejä joutumatta byrokratiaan tai lomakkeiden täyttämiseen sen vuoksi. siitä.

Kaikilla, joiden kanssa puhuimme (ennen ISMS.onlinen rakentamista), oli oma tapansa auditoida. Olemme nähneet erittäin pitkiä tarkastusraportteja, joita harvoin lukee oikea yleisö, joka todellisuudessa haluaa vain yhteenvedon. Meille siis kyse on todistamisesta, oppimisesta, toimista ja mahdollisten parannusten siirtämisestä käytäntöön sen mukaan, kuinka vakavia uhkaa tai mahdollisuutta arvo on suhteessa muihin liiketoimintaprioriteettiin.

ISMS.onlinessa voit tehdä sen itse tarkastustoiminnassa tai linkittää parannustyön meidän Korjaavat toimet ja parannukset seurataan kaikkien korjaavien toimenpiteiden ja parannusten mukauttamiseksi, ei vain tarkastuksesta saatujen.

Mitä ISO sanoo auditoinneista ja auditoinnista ISO 27001:lle?

Standardin ISO 27001 9.2 vaatimusten lisäksi Kansainvälinen standardointijärjestö (ISO) tarjoaa seuraavat tilintarkastukseen liittyvät standardit:

• ISO 27007 – Tarjoaa ohjeita ISMS:n hallintajärjestelmän (vaatimusten) elementtien auditoimiseksi ja hyödyntää suuresti ISO 19011 -standardia (katso alla) lisättynä ISMS:n auditointiin liittyviin yksityiskohtiin.
• ISO TR 27008 – Tekninen raportti (standardin sijaan), joka antaa ohjeita tietoturvan valvonta ISMS:si hallinnoima.
• ISO 19011 – antaa ohjeita tilintarkastukseen hallintajärjestelmätmukaan lukien tilintarkastuksen, tarkastusohjelman johtamisen ja suorittamisen periaatteet hallintajärjestelmä tarkastukset sekä opastus tarkastusprosessiin osallistuvien henkilöiden, mukaan lukien tarkastusohjelman johtajan, tilintarkastajien ja tarkastusryhmien, pätevyyden arviointiin.
• ISO 27006 & ISO 17021 – Nämä ovat ulkoisia auditointeja suorittaville sertifiointielimille. Vaikka ne voivat tarjota hyödyllisen viittauksen ymmärtääksesi, mitä sertifiointielimet etsivät, sinun sisäinen tarkastus on hyvin erilainen, jolla on eri tarkoitus, eikä sinun pitäisi etsiä tarkastuksia täsmälleen samalla tavalla.

Johdonmukainen teema, josta kuulemme, on se, että tilintarkastajat haluavat nähdä, että organisaatio elää ja hengittää ISMS:ää ja siihen sisältyy johtajuuden osallistuminen, ISMS.online-sivustolla olevien asioiden ennakoiva näyttäminen ja kyky vastata heidän kysymyksiinsä erittäin nopeasti todistein.

jonka rakenne noudattaa ISO 27001: 2013 menetelmät ja merkinnät, kuten ISMS.onlinessa, tekevät myös tarkastajien helposti seurattavan omalla "kielellään", ja he voivat nähdä versiomuutokset, aikaleimatyöt, yhteistyöt, riippumattomien tiimin jäsenten hyväksynnät jne. yllä olevien testien apuna.

Ilmeisesti sinun on silti osoitettava, että käytäntöjä noudatetaan käytännössä ISMS.onlinen ulkopuolella, esim. järjestelmistäsi tiedot varmuuskopioidaan, asiakkaiden ja toimittajan luottamuksellisuussopimuksia on tehty jne (ja tietysti voit käyttää ISMS.onlinea näyttääksesi toimittajalle myös sopimuksia!)

Pitäisikö sinun osallistua pääaudittorikurssille, joka auttaa ISO 27001 -standardissa?

Jos harkitset päävastuullisen tilintarkastajan kurssin suorittamista, kannattaa ottaa huomioon, että kun sinut kouluttaa henkilö, jonka päätoiminen työ on tilintarkastus, hän keskittyy auditointikoulutukseen ulkoisesta näkökulmasta. Tämä saattaa ylittää organisaatiosi vaatimukset kohdan 9.2 noudattamiselle ja saattaa aiheuttaa sen, että menetät näkemättä laajemmat liiketoiminnan tavoitteet.

Sinun on kyettävä auditoimaan riittävän hyvin osoittaaksesi johtajuudellesi kiinnostuneet osapuolet (esim. tilintarkastajat), että 9.2 sisäinen tarkastus on tehokas osana suorituskyvyn arviointiasi ja toimii käytännössä.

ISMS.onlinessa olemme ehdottaneet auditointiprosessia kohdassa Sect. 9.2, ja sen toimittamiseen on riittävästi tilaa, joka on tarpeeksi helppo omaksua tai mukauttaa tyyliisi ja tarpeisiisi sisäisten resurssirajoitusten huomioon ottaen. Olemme myös sisällyttäneet käytännöllisen esimerkin ISO 27001 Virtual Coachiin.

Monet asiakkaat kuitenkin määrittävät lähestymistapansa helposti ISMS.onlinen avulla ja saavat sitten yksinkertaisen virtuaalisen terveystarkastuksen neuvoineen ja jopa käytännönläheisen jatkuvan auditointituen pätevän päätarkastajan kanssa.

ISMS.online Tekee oikean auditointiohjelman luomisesta helppoa joko ottamalla käyttöön valmiita ohjelmia tai luomalla omasi nopeasti ja helposti.

Autamme sinua hallitsemaan auditointejasi tehokkaammin ja yhdistämään ne kokonaisvaltaisella lähestymistavalla laajempaan ISMS.