De fem stadier af en succesrig ISO 27001 auditering

Selvom en intern auditering er afgørende for en ISO 27001 konformitet, kan auditeringsprocessen virke forvirrende for nogle organisationer.

Dem, der ønsker at planlægge, lede og udføre en auditering af et ISO 27001 system til forvaltning af informationssikkerheden(ISMS)  bør følge disse fem stadier:

 

1. Anvendelsesområde og præ-auditeringssurvey 

Auditører skal gennemføre en risiko-baseret vurdering for at bestemme fokus for auditeringen lige så vel som områder, som eksplicit ligger udenfor anvendelsesområdet. Informationskilder kan inkludere industriforskning, tidligere ISMS rapporter eller andre dokumenter, såsom ISMS-politikken.

Vær sikker på, at auditeringens anvendelsesområde er relevant i forhold til organisationen – det bør sædvanligvis være lig anvendelsesområdet for certificeringen af ISMS’et. Ved større organisationer kan det ske, at auditører skal bedømme ISMS’et i funktion i alle (eller i det mindste et repræsentativt udvalg af) forretningssteder.

Mens præ-auditeringssurveyen står på, bør auditører også identificere og tage kontakt til hovedaktørerne blandt de interesserede parter i ISMS’et for at anmode om enhver dokumentation, som vil blive gennemset ved auditeringen.

 

2. Planlægning og forberedelse

Efter at være blevet enige om anvendelsesområdet for ISMS auditeringen, er auditører nødt til at dele det op i mere dybdegående detaljer ved at generere en arbejdsplan for ISMS auditeringen, hvor man bliver enig om timing og forsyning af auditeringen med ledelsen. Konventionelle projektplanlægningslister, såsom Gantt, kan ske at være en god hjælp.

Auditeringsplaner identificerer og sætter begrænsninger op omkring de øvrige faser af auditeringen og inkluderer tit ‘checkpoints’, som detaljeret beskriver specifikke muligheder for auditører at give uformelle interimsopdateringer til managere. Sådanne opdateringer gør det muligt for auditører at udtrykke bekymring angående adgang til informationer eller mennesker, og for managementet til at give udtryk for bekymringer angående auditeringsprocessen.

Timingen af vigtigt auditeringsarbejde skal fastsættes for at priorisere alle aspekter mistænkt for at udgøre de største risici for organisationen, hvis ISMS’et bliver vurderet som værende utilstrækkelig.

 

3. Feltarbejde

Når først en arbejdsplan for ISMS auditeringen er bleveet lavet, skal auditører samle beviser ved at interviewe personale, managere og andre berørte parter associeret med ISMS’et, gennemgå ISMS dokumenter, print og data og observere ISMS processer i funktion. Auditeringstests er nødt til at blive udført for at validere beviser, efterhånden som det bliver samlet, så vel som auditeringsarbejdspapirer, som dokumenterer de udførte tests.

Det første stadie af feltarbejde involverer typisk, at auditøren gennemgår dokumentation relaterende til og hidrørende fra ISMS’et. Deres befund kan indikere et behov for specifikke auditeringstest for at bestemme, hvor tæt ISMS’et følger dokumentationen i henhold til ISO 27001.

 

4. Analyse

Auditeringsbeviserne bør blive sorteret, arkiveret og gennemset i forhold til risici og målsætninger for kontrol. Af og til kan det ske, at analysen identificerer mangler i beviserne eller indikerer et behov for flere auditeringstests, hvilket vil indebære flere tests i feltet.

 

5. Rapportering

Den essentielle komponent af auditeringsprocessen består typisk af:

  • En introduktion, der forklarer anvendelsesområdet, målsætninger, timing og omfang af det gjorte arbejde;
  • Et resumé, som opfører nøgleresultaterne, en kort analyse og en konklusion;
  • De påtænkte modtagere af rapporten og, når hensigtsmæssigt, retningslinjer om klassificering og cirkulation;
  • Detaljerede resultater og analyse;
  • Konklusioner og anbefalinger; og
  • En erklæring fra auditøren, som detaljeret beskriver anbefalinger og begrænsninger af anvendelsesområdet.

Udkastet til auditeringsrapporten bør blive præsenteret for og diskuteret med ledelsen. Yderligere evalueringer og revisioner kan være nødvendige, fordi den endelige rapport typisk involverer, at ledelsen forpligter sig til en aktionsplan.

Lær hvordan at udføre auditeringer

For yderligere praktiske råd, er ISO27001 certificderet ISMS ledende auditør online Masterclass ideel for enhver, der udfører interne eller eksterne auditeringer.

Find ud af hvordan at planlægge, lede og udføre en ISO 27001 ISMS auditering ved at registrere dig i dag >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.