Mitä erilaisia ​​ISO 27001 -standardin sisäisiä auditointeja on?

esittely

Tämä sivu on tehty selostamaan erityyppisiä ISO 27001 -sisäisiä auditointeja. Aluksi luomme pohjan selittämällä lyhyesti itse ISO 27001 -standardin vaatimukset ja sitten puhumme ISMS:stä, miksi se tarvitsee auditointia ja sen tavoitteita. Jos tunnet nämä otsikot, siirry toiseen puoliskoon, jossa puhutaan erityisesti sisäisistä tarkastuksista ja menetelmistä.

Mikä on ISO 27001?

ISO 27001 on kansainvälisen standardointijärjestön luoma standardi. Sitä käytetään organisaation viitekehyksenä Tietoturvan hallintajärjestelmä (ISMS). Standardi koostuu kahdesta yksinkertaisesta osasta, lausekkeista (vaatimukset, joten se ei ole valinnainen) ja liite A valvonta (valinnaisesti käytetään tunnistettujen tietoturvariskien vähentämiseen).

Tietoturvan hallintajärjestelmä (ISMS) on suunniteltava, ylläpidettävä ja jatkuvasti parannettava ISO 27001 -standardin mukaisesti. Se auttaa esittelemään parhaita tietoturvakäytäntöjä, myös osissa EU:ta Yleiset tietosuojamääräykset, auttamalla luomaan vahvat tietoturvaperiaatteet ja niistä johtuvat prosessit, järjestelmät ja infrastruktuurin kaikilla liiketoimintasi osa-alueilla.

Mikä on tietoturvan hallintajärjestelmä (ISMS)?

Tietoturvan hallintajärjestelmä kuvaa ja esittelee yrityksesi tai organisaatiosi lähestymistapaa tietojen suojaamiseen ja yksityisyyden säilyttämiseen. Siinä esitetään käytännöt, menettelyt, järjestelmät ja muut täytäntöönpanoon käytetyt osat tietoturva koko organisaatiossa. An ISMS ottaa huomioon myös asianosaiset (kuten tavarantoimittajat), organisaatiosi laajuus (missä ja mitä ISMS:si koskee) sekä sisäiset ja ulkoiset asiat. Jälkimmäisen osalta voit määrittää nämä asiat tuodaksesi riskejä tai mahdollisuuksia organisaatiollesi, ja sitten toimit niiden mukaisesti ISMS:ssäsi.

Miksi tarvitset ISMS:n?

An Tietoturvan hallintajärjestelmä auttaa tunnistamaan ja vähentämään riskejä, jotka liittyvät arvokkaimpiin tietoihisi ja niihin liittyviin varoihin. Viime kädessä toimiva ISMS voi antaa organisaatiolle mahdollisuuden minimoida turvallisuusuhkien aiheuttamat häiriöt ja mahdollistaa jatkuva parantaminen. Tämän sisäisesti kohdistetun arvon lisäksi onnistuneella ISMS:llä on usein konkreettista kaupallista arvoa.

Miksi tarkastaa ISMS-tietosi?

An ISMS-tarkastus mahdollistaa sen, että objektiivinen ja pätevä tilintarkastaja voi tarkistaa johtamisjärjestelmän. Se testaa ISMS:n elementtejä standardivaatimusten perusteella. Se antaa myös enemmän tietoa organisaation nykyinen taso tarpeidensa saavuttamisessa ja yrityksen tavoitteet. Myös kirjallisten toimintatapojen ja menettelytapojen tehokkuutta ja käytännöllisyyttä mitataan. Lopuksi an ISMS-tarkastus voi myös huomioida positiiviset havainnot varmistaakseen, että niitä ylläpidetään asianmukaisesti ja tarjotakseen kehitystä jatkuvaa parantamista varten.

Mikä on sisäinen tarkastus?

Sisäisen tarkastuksen aikana tilintarkastaja kerää ja dokumentoi tosiasiat yhteistyössä tarkastettavan kanssa. Sisäinen tarkastus mittaa todellisia käytäntöjä (ja niistä aiheutuvia tuloksia, kuten tietueita) verrattuna sinun ISMS, yhdenmukaistettu ISO 27001:n kanssa standardi. Se varmistaa, että noudatat parhaita käytäntöjä ja prosesseja arkaluonteisten tietojen suojaamiseksi. Pätevän tarkastajan on suoritettava sisäinen tarkastus organisaation sisältä tai (valinnaisesti ulkopuolelta, esim. konsultti) tiiviissä yhteistyössä organisaation kanssa.

Miksi teemme sisäisiä tarkastuksia?

ISO 9.2:n lauseke 27001 (ja monet muut nykyaikaiset ISO-standardit) edellyttävät, että sisäiset auditoinnit suoritetaan "suunniteltuin väliajoin". Ensinnäkin meidän on tehtävä säännöllisiä sisäisiä tarkastuksia. Muuten lauseen 9.2 muut vaatimukset ovat varsin yksinkertaisia ​​– meidän on dokumentoitava tarkastustuloksemme ja varmistettava, että tarkastusohjelma on suunniteltu mutta dynaaminen. Tämä viimeinen kohta varmistaa, että otat tämän huomioon ja reagoit sen mukaisesti organisaatiosi ja ulkoisen liiketoimintaympäristön muuttuessa.

ISO-vaatimusten lisäksi sinun pitäisi tarttua useisiin organisaation ydintekijöihin:

• Prosessien tehottomuuden havaitseminen
• Havaitsemaan puutteet standardin vaatimusten täyttämisessä
• Tunnistaa hyviä käytäntöjä, jotka voidaan toistaa
• Etsimään mahdollisia parannuksia
• Todetakseen noudattamisen

ISO 27001 -standardin sisäisten auditointien tyypit

ISO 27001 -sertifikaatin saavuttamisen ja ylläpitämisen aikana saatat usein vaatia sisäisen tarkastuksen. Sisäisen tarkastuksen strategian toteuttamiseen on useita tapoja. Sertifiointimatkallasi on aikoja, jolloin sisäinen tarkastus voi lisätä luottamustasi ulkoiseen auditointiin. Ensimmäisen sertifioinnin aikana on kaksi suurta mahdollisuutta sisäiseen tarkastukseen. Näitä voidaan kutsua esivaiheen 1 auditoinneiksi (valmiustarkastus) ja esivaiheen 2 auditoinniksi.

Esivaiheen 1 auditointi selitetty

Esivaihe 1 on tarkastus, joka valinnaisesti, mutta hyvin usein, voi tapahtua ISO 27001:lle ja keskittyy siihen, onko nykyiset politiikat ja menettelyt täyttää standardin vaatimukset. Esivaiheen 1 auditointia voidaan kutsua myös valmiustarkastukseksi, ja siinä tarkastellaan yleensä vain organisaatiosi luomia ISMS:n dokumentoituja osia (käytännöt, menettelyt jne.) ja tarkistetaan, ovatko ne standardin mukaisia. Tämä auditointi auttaa varmistamaan, että organisaatiosi on paremmin valmistautunut ulkoiseen vaiheeseen 1 asiakirjatarkastus sertifiointielimeltä.

Esivaiheen 1 tarkastuksen tulos olisi asiakirja, joka sisältää luettelon valvonnasta ja lausekkeet ja onko organisaatio vaatimusten mukainen jokaisen vakioalueen kanssa. Sillä on myös mahdollisuuksia parannuksiin (OFI), jotka tuovat esiin politiikkoja, jotka koskevat lauseketta tai liitettä, joita on ehkä tarkasteltava uudelleen. Lopuksi poikkeamat voidaan listata, jos tarkastaja katsoo, että ISMS ei ole ISO 27001 -standardin mukainen.

Esivaiheen 2 auditointi selitetty

Esivaihe 2 auditointi kattaa yleensä ISO 27001 -säädin tai lauseke valintasi mukaan. Tämä tarkastus todistaa tarkastusmenettelyjesi ja -käytäntöjesi tehokkuuden käytännössä. Tämä perustuu esivaiheen 1 auditointiin ja varmistaa, että organisaatiosi toteuttaa määritellyt prosessit ja harjoittaa niitä. Auditoija testaa ja tutkii nämä alueet edustamaan organisaatiosi nykyistä tasoa tietoturvan noudattaminen. Löydökset tallennetaan ja tallennetaan ISMS:ään.

Linkki ISO 10 -standardin lausekkeeseen 27001, joka koskee parannuksia ja korjaavia toimenpiteitä, suoritettuaan esivaiheen 2 sisäisen tarkastuksen, organisaatio dokumentoi ISMS:nsä poikkeamat ja parannettavat alueet. Jokaiselle löydökselle asetetaan tarkastelupäivä, kun toimenpiteiden tarve on todettu.

Tarkastusohjelma

- ISO 27001 -standardi vaatii auditoinnin ohjelmoida. Auditointiohjelma määrittelee tyypillisesti kolmen vuoden suunnitelman uudelleensertifiointien ulkopuolisten auditointien välillä. Vankka ISMS-kehys, kuten ISMS.online antaa hankealueen, jossa määritellään tarkastuksen aikakehykset, yksityiskohtaisesti, mitä on käsiteltävä, ja muut suunnitellun tarkastuksen olennaiset tiedot.

Näiden kolmen vuoden aikana on yleistä, että kaikki standardialueet tulee käsitellä vähintään kerran. Tarkastusohjelmat voivat ja niiden täytyy olla joustavia vastaamaan tarpeitasi organisaation tarpeisiin eikä niiden tarvitse sopia asetettuun malliin.

Jokainen tarkastus on suunniteltu, ja tarkastussuunnitelma sisältää tyypillisesti yksityiskohtia, kuten:

• Milloin tarkastus on tehtävä (älä häiritse normaalia liiketoimintaa)
• Mitkä standardin alueet tulee kattaa
• Kuka tekee auditoinnin?
• Tavoite – miksi auditointi tehdään? Tämä voi olla suunniteltu tarkastus tai aiemmin tunnistetun poikkeaman alueen uudelleentarkastus.
• Tarkastuksen laajuus – mitkä liiketoiminnan osat on tarkoitus kattaa käytettävissä olevassa ajassa?

On olemassa hienovaraisesti erilaisia ​​auditointimenetelmiä:

• Tarkastukset voidaan suorittaa lausekkeelta ja valvonta kontrollilta. Hyvä esimerkki siitä, missä tämä lähestymistapa olisi hyödyllinen, on yleisempi liitteen A valvontalaitteet, mikä pienentää kaikkiin liittyvää riskiä. Tämä tarkoittaisi standardin osien valitsemista ja auditointia ennalta määritellyn osan tai koko organisaatiossasi. Esimerkki tästä olisi A.11 Fyysinen turvallisuus jokaiselle toimistollesi tai sijaintillesi.
• Toinen tarkastusmenetelmä sisältää osastotarkastusten suorittamisen. Tässä menetelmässä tarkasteltaisiin osastorakenteisiin ja työalueisiin perustuvia auditointeja. Osastotarkastus voi olla tarkoituksenmukaista, jos osastot toimivat eri alueilla. Esimerkkinä voi olla sinun tarkastus henkilöresurssit (HR) -osasto ja sen ISMS-komponentit.
• Tarkastuksia voidaan tehdä myös tuotteiden/palveluiden perusteella. Tämä tarkastelee tietyn tuotteen toimittamiseen tarvittavia tehtäviä ja operaatioita. Pragmaattinen tapa tehdä tämä on aloittaa lopputuotteesta ja työskennellä taaksepäin siihen hetkeen, jolloin toimet aloitettiin. Pohjimmiltaan tämä on prosessin auditointi.

Suunnittelemattomat/lisätarkastukset

Joskus saatat tuntea, että sinun on suoritettava auditointeja organisaatiosi alkuperäisen auditointiohjelman ulkopuolella. Tämä voi johtua useista syistä, jotka liittyvät ISMS:n tehokkuuteen. Suunnitellut auditoinnit ovat tapa osoittaa, että organisaatiosi on aktiivinen ja pyrkii jatkuvaan parantamiseen. Voi kuitenkin olla yhtä tärkeää reagoida organisaatiosi olosuhteisiin – tämä on sinun valintasi, koska se ei ole ISO 27001 -standardin vaatimus.

Toinen syy, miksi organisaatio saattaa joutua suorittamaan suunnittelemattoman auditoinnin, on reagoida turvavälikohtaukseen tai katastrofitapahtumaan. Jos tietoturvaloukkaus tapahtuisi phishing-sähköpostin kautta, organisaatio saattaa katsoa sopivaksi tarkastaa liitteen A valvonta A.7.2.2, jossa tarkastellaan henkilöstön tietoisuutta ja koulutusta. Tällä varmistetaan, ettei tällainen turvallisuuden vaarantuminen toistu.

Esimerkki siitä, miksi saatat haluta suorittaa lisätarkastuksia, on suunniteltujen auditointiesi havainnot. Oletetaan esimerkiksi, että havaitset poikkeavuuksia tietyllä auditointialueella, saattaa olla parasta tarkastaa kyseinen kontrolli tai lauseke säännöllisemmin, kunnes ongelma vähenee tai riskistä tulee siedettävämpi. Tämä riippuu riskinhalustasi, mahdollisista vaurioista ja vaatimustenvastaisuuksien esiintymistiheydestä. Saattaa myös olla hyödyllistä ja tarkoituksenmukaista tehdä sisäinen tarkastus kaikista korjaavista toimista onnistumisen varmistamiseksi.

Tarkastuksen tulokset

Auditointia suoritettaessa on tärkeää dokumentoida löydöt ja varmistaa jatkuva parantaminen. Positiiviset havainnot auttavat myös ideoimaan ja varmistamaan hyvien käytäntöjen säilymisen. Poikkeamat kirjataan, jotta varmistetaan, että korjaavat toimenpiteet suoritetaan ja asiat osoitetaan vastuulliselle omistajalle. Yleisesti jäsennelty tapa, jolla tarkastuksen tulokset dokumentoidaan, ovat seuraavat:

• Vaatimustenmukaisuus – Järjestelyjen katsotaan täyttävän asianmukaisesti sovellettavien lausekkeiden tai valvontatoimenpiteiden vaatimukset
• Mahdollisuudet parannus – Huomatut alueet, joilla ISMS voidaan mahdollisesti parantaa organisaation harkinnan mukaan. Organisaation tulee harkita tarkkaan havaintoa ja dokumentoida muutokset ISMS:ään tarvittaessa.
• Vaatimustenvastaisuus – Ongelma, joka on vastoin ISO 27001:n vaatimuksia. Tämä vaatii täydellisen ja asianmukaisen ratkaisun välittömästi ennen seuraavaa ulkoista auditointia.
• Merkittävä poikkeama – Standardin noudattamatta jättäminen järjestelmätasolla vaatii todennäköisesti ylimmän johdon huomiota ja tietoturvakäytännön uudelleenjärjestelyä.

Huomaa, että yllä oleva lähestymistapa ei ole ISO 27001 -standardin vaatimus, joten voit käyttää täysin erilaisia ​​lähestymistapoja, jos ne toimivat organisaatiossasi.

Kuinka ISMS.online auttaa sisäisissä tarkastuksissa

Ohjelmistopalvelumme ISMS.onlinen avulla mahdollistaa tietoturvan hallintajärjestelmän olevan all-in-one-paikka, johon pääsee käsiksi. Tämä sisältää joustavan auditointiohjelman alueen, joka voi dokumentoida auditointiraportit sertifiointijaksojen välillä. Toiseksi ISMS.online auttaa organisaatioita hallitsemaan tarkastushavaintojaan ja käsittelemään niitä niiden mukaisesti. Ohjelmistopalvelussamme se tarjoaa myös kohdan 10 (Parannukset) täyttämiseen tarjoamalla korjaustoimenpiteitä ja parannuksia koskevan kappaleen. Näin organisaatiosi voi olla ennakoivampi poimiessaan poikkeavuuksia ja parannuksia. Se tekee tämän näkemällä sen tilan, määrittämällä vastuullisen omistajan ja päivämäärät valmistumiselle ja tarkistamiselle. Kaikki nämä ominaisuudet antavat organisaatiolle mahdollisuuden tuntea olonsa paremmaksi ulkoista auditointia varten, koska kaikki työalueet ja raportit ovat helposti nähtävissä, mikä mahdollistaa prosessin sujuvan.

ISMS.online tarjoaa myös tietoturvaasiantuntijoiden suorittamia sisäisen tarkastuksen palveluita. Näin varmistetaan, että organisaatioilla on pätevä tilintarkastaja suorittamaan sisäiset auditoinnit liitteen A.18.2.1 mukaisesti, jossa mainitaan, että prosessit ja menettelyt on tarkastettava riippumattomasti. Näin tarkastushavaintosi ovat objektiivisia, tarkkoja ja arvokkaita organisaatiollesi.

Lisätuen tarjoamiseksi ISMS.online sisältää myös a virtuaalinen valmentaja lisäosa, joka sisältää videoita, oppaita ja tarkistuslistoja, jotka tarjoavat tietoa ISO 27001 -standardin noudattamisesta. Siinä on osio, joka liittyy kohtaan 9.2 (Sisäinen tarkastus) ja muihin asiaankuuluviin alueisiin. Tämä ohjaa organisaatiotasi ja säästää aikaa, jonka voit käyttää yleisempään toimintoon keskittymiseen. Virtuaalivalmentajan käyttäminen auttaa organisaatiotasi muuttumaan pragmaattisiksi ja lisäämään omaa toimintaasi tietoturva luottamusta.