De fem etapperna i en framgångsrik ISO 27001-revision

Även om en internrevision är avgörande för överensstämmelse med ISO 27001. För vissa organisationer kan revisionsprocessen verka förvirrande.

De som vill planera, leda och genomföra en ISO 27001 informationssäkerhetshanteringssystem (ISMS) -revision bör följa dessa fem steg:

 

1. Avgränsning och förhandsrevision undersökning 

Revisorerna behöver göra en riskbaserad bedömning för att fastställa fokuset för revisionen, såväl som alla områden som uttryckligen är otillräckliga.Informationskällor kan innehålla branschforskning, tidigare ISMS-rapporter eller andra dokument, såsom ISMS policyn.

Se till att revisionens avgränsning är relevant gentemot organisationen – det ska normalt matcha omfattningen av ISMS som är certifierad.

För stora organisationer kan revisorer behöva granska ISMS som är i drift i alla (eller åtminstone ett representativt urval) affärslägen.

Under förgransknings-undersökningen ska revisorer också identifiera och kontakta de viktigaste intressenterna i ISMS för att begära all dokumentation som kommer att granskas under revisionen.

 

2. Planering och förberedelse

Efter att ha kommit överens om ISMS granskningsområdet, måste revisorer bryta ner det i större detalj genom att skapa en arbetsplan för ISMS granskning, där tidpunkten för och resursen av revisionen överenskommits med ledningen.Konventionella projektplaneringsscheman, som Gantt, kan vara till hjälp.

Revisionsplanerna identifierar och sätter gränser kring revisions-fasens återstående fas, och innehåller ofta “checkpoints” som specificerar särskilda möjligheter för revisorerna att tillhandahålla informella tillfälliga uppdateringar till ledare.Sådana uppdateringar gör det möjligt för revisorer att väcka farhågor angående tillgång till information eller personer, och för ledningen att väcka oro för revisionsprocessen.

Tidpunkten för det viktiga revisionsarbetet måste bestämmas för att prioritera alla aspekter som tros utgöra de största riskerna för organisationen om ISMS ska anses vara otillräcklig.

 

3. Fältarbete

När en ISMS granskningsplan har genererats måste revisorer samla bevis genom att intervjua personal, chefer och andra intressenter som är associerade med ISMS, granska ISMS-dokument, utskrift och data och följa ISMS-processer i aktion.Revisionstest måste utföras för att validera bevis som det samlats in, samt revisionsarbeten som dokumenterar de utförda testerna. Den inledande fasen av fältarbete involverar vanligtvis revisionsgransknings-dokumentationen avseende och uppstående från ISMS.Deras resultat kan tyda på behovet av specifika granskningstest för att avgöra hur nära ISMS följer dokumentationen i förhållande till ISO 27001.

 

4. Analys

Revisionsbeviset ska sorteras, arkiveras och granskas i förhållande till riskerna och kontrollmålen.Ibland kan analys identifiera luckor inom bevisen eller indikera behovet av fler granskningstest, vilket innebär att ytterligare fälttestning ska göras.

 

5. Rapportering

Denna väsentliga del av revisionsprocessen består typiskt av:

  • En introduktion som klargör omfattningen, målen, tidsplanen och omfattningen av det utförda arbetet;
  • En sammanfattning som visar de viktigaste resultaten, en kort analys och en slutsats;
  • De avsedda rapportmottagarna och, vid behov, riktlinjer för klassificering och cirkulation;
  • Detaljerade fynd och analys;
  • Slutsatser och rekommendationer; och
  • Ett uttalande från revisorn om rekommendationer eller områdesbegränsningar.

Utkastet till revisionsrapporten ska presenteras och diskuteras med ledningen.Ytterligare granskning och omprövning kan vara nödvändig eftersom den slutliga rapporten normalt innebär att ledningen förbinder sig till en handlingsplan.

Lär dig hur du utför revisioner

För ytterligare praktiska råd är vår ISO27001 Certified ISMS Lead Auditor Online Masterclass idealisk för alla som utför interna och externa granskningar.

Ta reda på hur du planerar, leder och genomför en ISO 27001 ISMS granskning genom att registrera dig idag >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.