Mikä on ISO 27001 -auditointiprosessi?

Mitä ISO 27001 -auditointi sisältää?

Auditointeja käytetään yleisesti varmistamaan, että toiminta täyttää tietyt kriteerit. Kaikkien ISO-johtamisjärjestelmästandardien osalta auditoinneilla varmistetaan, että johtamisjärjestelmä täyttää asiaankuuluvan standardin vaatimukset, organisaation omat vaatimukset ja tavoitteet sekä pysyy tehokkaana ja tuloksellisena. Tämän vahvistamiseksi on suoritettava tarkastusohjelma.

Mikä on ISO 27001 -auditointi?

ISO 27001 -auditointi sisältää pätevän ja objektiivisen auditoijan, joka tarkastaa ISMS:n tai sen osat ja testaa, että se täyttää standardin vaatimukset, organisaation omat tietovaatimukset ja tavoitteet ISMS:lle ja että politiikat, prosessit ja muut kontrollit ovat tehokkaita. ja tehokas.

Yleisen vaatimustenmukaisuuden ja tehokkuuden lisäksi ISMSISO 27001 -auditointi on suunniteltu antamaan organisaatiolle mahdollisuus hallita tietoturvariskinsä siedettävälle tasolle, on tarpeen tarkistaa, että toteutetut kontrollit todella vähentävät riskiä pisteeseen, jonka riskinomistaja(t) sietävät mielellään jäännösriski.

Millaisia ​​auditointityyppejä on?

Standardi edellyttää, että organisaatiolta vaaditaan suunnitella ja toteuttaa "sisäisten tarkastusten" aikataulu voidakseen vaatia vaatimustenmukaisuutta standardiin. Lisäksi, jos organisaatio haluaa saada sertifioinnin, se edellyttää "ulkoisten auditointien" suorittamista "sertifiointielimeltä" - akkreditoidulta organisaatiolta, jolla on pätevät resurssit ISO 27001 -standardin mukaiseen auditointiin.

Jotta ISMS:stä saadaan mahdollisimman suuri hyöty, on erittäin suositeltavaa varmistaa, että valitulla sertifiointielimellä on tunnustetun valvontaviranomaisen akkreditointi. Isossa-Britanniassa sertifiointielimet ovat akkreditoineet UKAS:n eli Yhdistyneen kuningaskunnan akkreditointipalvelun. Tämä on ainoa hallituksen valtuuttama akkreditointielin Isossa-Britanniassa.

Sisäinen tarkastus

Sisäiset tarkastukset, kuten nimestä voi päätellä, ovat organisaation organisaation ISMS:ssä suorittamia auditointeja. Jos organisaatiolla ei ole pätevä ja objektiiviset tarkastajat omassa henkilöstössä, nämä tarkastukset voi suorittaa urakoitsija.

Ulkoinen tarkastus

Termi "ulkoiset auditoinnit" koskee yleisimmin niitä auditointeja, jotka sertifiointielin suorittaa sertifioinnin hankkimiseksi tai ylläpitämiseksi, mutta sitä voidaan käyttää myös muiden tahojen suorittamiin auditointeihin. kiinnostuneet osapuolet (esim. kumppanit tai asiakkaat). saavat oman varmuutensa organisaation ISMS:stä. Tämä pätee erityisesti silloin, kun tällaisella osapuolella on standardin vaatimuksia pidemmälle meneviä vaatimuksia.

Miksi ISO 27001 -auditoinnit ovat tärkeitä?

Vahvistamatta miten ISMS:ääsi hallitaan ja toimii, ei ole todellista varmuutta siitä, että se saavuttaa tavoitteita, jotka se on asetettu saavuttamaan. Tarkastukset antavat jollain tavalla tämän varmuuden.

Miksi minun on tarkastettava ISMS?

ISMS-auditointiin on useita syitä:

• Standardi vaatii sitä – kohta 9.2, Sisäinen tarkastus määrää sisäisen tarkastuksen ohjelman.
• Varmistaaksesi, että ISMS-järjestelmäsi on asianmukaisesti toteutettu ja käytössä.
• jotta varmistaa, että ISMS täyttää vaatimukset standardista.
• Varmistaa, että ISMS täyttää organisaation omat vaatimukset.
• jotta varmistaa, että ISMS täyttää organisaation asettamat tietoturvatavoitteet kohdan 6.2 vastaisesti Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu.
• Sen varmistamiseksi, että ISMS vähentää tehokkaasti tietoturvariskejä siedettävälle tasolle.
• Sen varmistamiseksi, että mikä tahansa poikkeamat ja korjaavat toimenpiteet käsitellään ajoissa.
• Varmistaakseen tietoturva heikkoudet, tapahtumat ja tapaukset raportoidaan, hallitaan ja ratkaistaan ​​tehokkaasti ja tehokkaasti.

Mitä ISO 27001 -standardin sisäisiin auditointeihin liittyy?

Dokumentaation tarkistus – Tämä on organisaation käytäntöjen, menettelytapojen, standardien ja ohjedokumentaation katsaus sen varmistamiseksi, että se on tarkoituksenmukainen ja että se tarkistetaan ja ylläpidetään.

Todistustarkastus (tai kenttätarkastus) – Tämä on tarkastustoiminta, jossa aktiivisesti otetaan näytteitä todisteista osoittaakseen, että periaatteita noudatetaan, että menettelyjä ja standardeja noudatetaan ja että ohjeistusta harkitaan.

analyysi – Asiakirjojen tarkastelun ja/tai todisteiden otoksen jälkeen tilintarkastaja arvioi ja analysoi havainnot varmistaakseen, täyttyvätkö standardin vaatimukset.

Tarkastuskertomus – Tarkastusraportti on laadittava kohdan 9.2 f) standardin mukaisesti ja toimitettava johdolle näkyvyyden varmistamiseksi.

Johdon katsaus – Tämä on kohdan 9.3 edellyttämä toimenpide, jossa on otettava huomioon suoritettujen auditointien tulokset sen varmistamiseksi, että korjaavat toimenpiteet ja parannukset toteutetaan tarvittaessa.

Mitä ulkoinen ISO 27001 -auditointi sisältää?

Ulkoisen tarkastuksen prosessit ovat olennaisilta osiltaan samat kuin sisäisen tarkastuksen ohjelmassa, mutta yleensä ne suoritetaan sertifioinnin saavuttamiseksi ja ylläpitämiseksi. Ulkoiset auditoijat [sertifiointielin] määrittelevät ulkoisten [sertifiointi]-auditointien ohjelman, mutta siinä noudatetaan systemaattista vaatimusta.

Asianomainen tarkastaja toimittaa suunnitelman tarkastuksesta, ja kun organisaatio on vahvistanut sen, resurssit kohdistetaan ja päivämäärät, kellonajat ja paikat sovitaan. Tämän jälkeen tarkastus suoritetaan tarkastussuunnitelman mukaisesti.

Kuinka usein ulkoisia auditointeja tehdään?

Toisin akkreditointielimet ympäri maailmaa asettavat erilaisia ​​vaatimuksia sertifiointiohjelmalle auditoinnit, mutta UKAS-akkreditoitujen sertifikaattien osalta tämä sisältää:

• Ensimmäinen sertifiointiauditointi – suoritetaan kahdessa vaiheessa.
• Säännölliset valvontaauditoinnit – tyypillisesti kuuden kuukauden välein tai vähintään vuosittain.
• Uudelleensertifiointitarkastukset suoritetaan kolmen vuoden välein.

Mitkä ovat ulkoisten auditointien tyypit ja vaiheet?

• Vaihe 1 auditointi – "Dokumentoinnin tarkistus" varmistaakseen, että organisaatiolla on tarvittavat dokumentaatiot toimivaa ISMS:ää varten.
• Vaihe 2 auditointi – “Certification Audit” – todisteellinen tarkastus, joka vahvistaa, että organisaatio on ISMS:n käyttö standardin mukaisesti – eli että dokumentoidut politiikat, menettelytavat ja standardit ovat toteutettuja, toimivia ja tehokkaita. Tämä todisteellinen tarkastus suoritetaan otantaperiaatteella.
• Valvontatarkastus – Tunnetaan myös nimellä "kausittaiset auditoinnit", ne suoritetaan aikataulun mukaisesti sertifiointi- ja uudelleensertifiointiauditointien välillä, ja ne keskittyvät yhteen tai useampaan ISMS:n osa-alueeseen.
• Uudelleensertifiointiauditointi – Suoritettu ennen sertifiointiajan umpeutumista (3 vuotta UKAS-akkreditoiduilla sertifikaateilla) ja se on perusteellisempi tarkistus kuin valvontatarkastuksen aikana suoritetut. Se kattaa kaikki standardin osa-alueet.

Yllä olevan virallisen sertifioinnin ulkoisten auditointien ohjelman lisäksi saatat joutua suorittamaan ulkoisen tarkastuksen, jonka suorittaa kiinnostunut kolmas osapuoli, kuten asiakas, kumppani tai sääntelyviranomainen. Asianomainen osapuoli toimittaa sinulle tavallisesti auditointisuunnitelman ja seuraa tarkastusraportin, joka tulee syöttää ISMS-järjestelmääsi. Johdon katsaus.

ISO 27001 -auditoinnin arvo sertifioinnilla tai ilman

Organisaation päätös saavuttaa vaatimustenmukaisuus ja mahdollisesti ISO 27001 -sertifikaatti riippuu muodollisen, dokumentoidun ISMS:n käyttöönoton ja käytön syistä, ja tämä dokumentoidaan usein liiketoimintatapauksessa, jossa yksilöidään odotetut tavoitteet ja sijoitetun pääoman tuotto.

Ilman sertifiointia organisaatio voi vain väittää olevansa standardin mukainen, eikä mikään akkreditoitu kolmas osapuoli takaa tätä vaatimustenmukaisuutta. Jos syy ISMS:n käyttöönotolle on vain parannettu turvallisuuden hallinta ja sisäinen varmistus, tämä saattaa riittää.

Maksimaalisen hyödyn ja sijoitetun pääoman tuoton saamiseksi ISMS:stä, kun se tarjoaa varmuuden organisaation ulkopuolisille kiinnostuneet osapuolet ja sidosryhmille tarvitaan riippumaton, ulkopuolinen, akkreditoitu sertifiointiauditointiohjelma.

Muista, että ainoa ero "vaatimustenmukaisuuden" ja "sertifioinnin" välillä on ulkoisten sertifiointitarkastusten ohjelma. Tämä johtuu siitä, että voidakseen todella väittää olevansa standardin mukainen, organisaation on silti tehtävä kaikki standardin edellyttämä - itsetestattu "yhteensopivuus" ei vähennä vaadittuja resursseja ja vaivaa ISMS:n käyttöönotossa ja käytössä.

Valmistaudutaan ISO 27001 -sertifiointiauditointiin

Kun valmistaudut sertifiointiauditointiin, tulee ottaa huomioon seuraavat avainkohdat:

Ovatko ISMS:n keskeiset prosessit toteutettu ja toiminnassa?

• Organisaation konteksti – Organisatorisen kontekstin ja tietoturvavaatimusten ymmärtäminen ja dokumentointi, mukaan lukien kiinnostuneiden osapuolten vaatimukset. Tämä sisältää myös dokumentoi ISMS:n laajuuden
• Riskien ja mahdollisuuksien hallinta – Onko organisaatio tunnistanut ja arvioinut tietoturva riskit ja mahdollisuudet sekä dokumentoitu hoitosuunnitelma?
• Johto – Voidaanko vahva huippujohtajuus osoittaa – esim. tarjoamalla resursseja ja dokumentoidulla sitoutumislausumalla organisaatiossa turvallisuuspolitiikka.
• Sisäinen tarkastus – Onko sisäisten tarkastusten ohjelma dokumentoitu, hyväksytty ja aloitettu kohdan 9.2 mukaisesti?
• Johdon katsaus – Onko ISMS:lle tehty muodollinen johdon tarkastus kohdan 9.3 mukaisesti?
• Korjaava toimenpide – Voiko organisaatio osoittaa, että korjaavia toimia ja parannuksia johdetaan ja toteutetaan tehokkaasti ja tehokkaasti?

Ovatko vaaditut asiakirjat olemassa ja hyväksytty?

• ISMS laajuus lausunto (lauseke 4.3)
• organisatorinen tietoturvapolitiikka (lauseke 5.2)
• Riskienhallinta menetelmä (kohdat 6.1.2 ja 6.1.3)
• Riskirekisteri ja hoitosuunnitelma (6.1.3 e)
• Ilmoitus soveltuvuudesta (Kohta 6.1.3 d)
• Käytännöt ja prosessit vaaditaan liitteessä A, jos valvontaa ovat sovellettavissa

Ovatko todisteet helposti löydettävissä ja käytettävissä?

Pyydä koko henkilökunta ja asiaankuuluvat urakoitsijat vastaanottamaan tietoturvakoulutus, koulutus ja tietoisuus?

Hyvä käytäntö on myös varmistaa, että haastateltaville on kerrottu, mitä auditoinnin aikana on odotettavissa ja miten niihin vastataan. Varmista myös, että he pääsevät helposti käsiksi asiakirjoihin ja todisteisiin, joita tilintarkastaja saattaa pyytää.

Kuka suorittaa ISO 27001 -auditoinnin?

Kaikki auditoinnit ISO 27001 -standardin mukaan pätevien ja objektiivisten tilintarkastajien tulee suorittaa.

ISO 27001 -auditoinnin pätevyyden osoittaminen edellyttää yleensä, että auditoijalla on todistettavasti tieto standardista ja auditoinnin suorittamisesta. Tämä voi tapahtua osallistumalla ISO 27001 -pääauditorin kurssille tai hankkimalla jokin muu tunnustettu auditointipätevyys ja sitten todistettavissa oleva standardin tuntemus. On mahdollista osoittaa, että tilintarkastaja on pätevä ilman muodollista koulutusta, mutta tämä on todennäköisesti vaikeampi keskustelu sertifiointielimen kanssa.

Objektiivisuuden osoittamiseksi on osoitettava, että tilintarkastaja ei tarkasta omaa työtään ja ettei häneen aiheettomasti vaikuteta raportointilinjoillaan. Pienemmille organisaatioille tai niille, jotka haluavat selvempää objektiivisuutta, voi olla käytännöllisempää ottaa mukaan sopimus tilintarkastaja.

Sertifiointielimet ovat tarkastaneet tilintarkastajiensa pätevyyden ja niiden tulee olla valmiita osoittamaan se sinulle pyynnöstä.

Miten
ISMS.online tekee auditointiprosessista tehokkaamman?

ISMS.online sisältää valmiiksi rakennetun tarkastusohjelmaprojektin, joka kattaa sekä sisäiset että ulkoiset tarkastukset ja voi sisältää myös tarkastuksia vastaan GDPR jos olet valinnut tämän vaihtoehdon.

Valmiiksi rakennettu auditointiohjelma sisältää:

• Toiminnot kahdelle suositellulle auditoinnille ennen sertifiointia
• A suunnitelma sisäisiä tarkastuksia varten ensimmäiselle 3 vuoden sertifiointijaksolle
• Paikkamerkit ulkoista sertifiointia ja määräaikaisia ​​tarkastuksia varten

Tarkastusohjelmaprojektin tarjoamisen lisäksi mahdollisuus yhdistää nopeasti muihin työalueisiin kaikki yhdessä paikassa ISMS.online-alusta tarkoittaa, että tarkastushavaintojen yhdistäminen valvontaan, korjaaviin toimenpiteisiin ja parannuksiin ja jopa riskeihin on tehty helpoksi ja saavutettavaksi. Näin voit helposti osoittaa ulkoiselle tarkastajallesi tunnistettujen löydösten yhteisen hallinnan.

Tarvitsetko lisätietoja? Ole hyvä ja ota yhteyttä keskustele asiantuntijamme kanssa tänään.