Die interne Prüfung der ISO 27001: 2013: vereinfacht

Was ist der Zweck des internen Audits für ISO 27001?

Das Ziel des Internen Audits in Abschnitt 9 der Managementanforderungen für ISO 27001:2013 ist die Leistungsbewertung. 9.2 besagt, dass die Organisation in geplanten Abständen interne Audits durchführen soll, um Informationen darüber bereitzustellen, ob die Informationssicherheit Management System:

1) entspricht

1.1) die eigenen Anforderungen der Organisation an ihr Informationssicherheitsmanagementsystem; Und

1.2) die Anforderungen dieser Internationalen Norm;

2) wird effektiv umgesetzt und aufrechterhalten

3) planen, umsetzen und ein Auditprogramm pflegen

4) Definieren Sie die Auditkriterien und den Umfang für jedes Audit

5) Wählen Sie Prüfer aus, die objektiv und unparteiisch sind

6) Stellen Sie sicher, dass Audits werden gemeldet an das zuständige Management

7) behalten dokumentierte Informationen als Beweis

Zusammenfassend ist das interne Audit eine der Initiativen, die Ihre Qualität unter Beweis stellt ISMS kann vertrauenswürdig sein und funktioniert wie erwartet.

Der ISO 27001-Standard ermutigt Sie, das ISMS so zu betreiben, dass es Ihren Geschäftszielen, Ihrem Umfang, internen und externen Problemen usw. entspricht. Daher möchten Sie dies auch sicherstellen interne Audits werden in einem Stil durchgeführt, der Ihr Unternehmen und seine Risiken widerspiegelt und gleichzeitig die Kultur und die Ressourcen berücksichtigt, über die Sie verfügen.

Wo und was sollten Sie in Ihrem Informationssicherheits-Managementsystem prüfen?

Um dies zu verwirklichen, sollten Ihr Auditprogramm und Ihre Auditphilosophie von den Themen, dem Umfang, z. B. Standorten, Abteilungen, Prozessen, Produkten usw., sowie unter Berücksichtigung der Aspekte abgeleitet werden Erklärung zur Anwendbarkeit, Risiken usw., nicht nur eine Übung zum Ankreuzen. Sie müssen jedoch nachweisen, dass Sie den gesamten Standard – Managementanforderungen und Anhang A – geprüft haben Steuerung – mindestens einmal während des 3-Jahres ISO Zertifizierung 27001 Zyklus, und Sie können einen Musternachweis vorlegen Steuerung arbeiten nach Ihren Anforderungen.

Auf diesem Ansatz haben wir im Standard-Auditprogramm von aufgebaut ISMS.online um sicherzustellen, dass Audits den Anforderungen des Unternehmens entsprechen. Unserer Ansicht nach müssen Prüfungen geschäftsorientiert und „real“ sein, damit die Menschen sie als sinnvolle Investition akzeptieren und die Prüfung sinnvoll macht.

Wie man auf drei pragmatischen und einfachen Ebenen auditiert

Stufe 1 – Überprüfung der Richtlinien gemäß A.5.1.2 und A.8.1.2 für unabhängige Überprüfungen

Dieses Level ist eine einfache Überprüfung dessen, wie Sie Ihr „beschreiben“. Richtlinien und Kontrollenund stellen Sie sicher, dass sie für die Organisation gemäß 4.1 – 3 relevant bleiben und mit den oben genannten Themen, Parteien, Umfang, Informationsressourcen, Risiken usw. im Einklang stehen.

In ISMS.online haben wir die Richtlinie für A.5.1.2 und eingefügt hat die Plattform entwickelt Vor diesem Hintergrund fällt es Ihnen leicht, unsere Richtlinien zu übernehmen und sie tatsächlich in die Praxis umzusetzen.

Hierfür ist eindeutig keine interne Revision zuständig Sekte. 9.2 an sich, ist aber ein wichtiger Teil Ihres ISMS Management zusammen mit anderen Aspekten wie Managementbewertungen, Vorfallverfolgung usw. und trägt dazu bei, sicherzustellen, dass Sie bei der Durchführung Ihres formellen internen Audits eine solide Reihe von Richtlinien und Kontrollen berücksichtigen, die für Ihre Organisation geeignet sind.

Stufe 2 – Interner Auditplan, der die Anforderungen und Kontrollen abdeckt

Dies ist der erforderliche, traditionellere Ansatz und muss mindestens im Laufe des Zertifizierungszyklus durchgeführt werden. Es kann sich lohnen, darüber nachzudenken, dies jährlich durchzuführen.

Mit unserem Audit-Projekt können Sie die Ziele und den Umfang jedes Audits festlegen und Ihre Ergebnisse protokollieren. Eventuell festgestellte Nichtkonformitäten können dann in der behoben werden Verbesserungspfad.

Für Organisationen, die ein dreijähriges Prüfprogramm für alle Kontrollen befolgen möchten, haben wir einen Rahmen hinzugefügt, dem sie folgen können ISMS.online Auch.

Stufe 3 – ein ganzheitlicher Ansatz zum Nachweis der Wirksamkeit

Wir fördern außerdem einen ganzheitlicheren Ansatz für interne Audits und haben auf der Plattform ein Programm entwickelt, das den Schwerpunkt eines Audits auf die „Demonstration“ eines bestimmten Teils Ihres Unternehmens legt ISMS-Geltungsbereich konform ist, z. B. eine Abteilung, ein Standort, ein Produkt, System oder ein Prozess.

Dies gibt Ihnen die Möglichkeit, auch darüber hinaus einen Blick in die Praxis des Unternehmens zu werfen InfoSec per se, und erkennen Sie Möglichkeiten zur Verbesserung oder decken Sie sogar Risiken auf, die durch die Kontrolllinse möglicherweise nicht leicht zu erkennen sind.

Dies ermöglicht einer Organisation auch die Prüfung einer größeren Anzahl von Steuerung auf einmal, in zusammenhängender Form.

In unserem virtuellen ISO 27001-Coach fügen wir ein Beispiel ein, um einen Eindruck davon zu vermitteln, was Sie tun könnten und das einen Teil Ihrer Fähigkeiten veranschaulichen würde ISMS Der Scope funktioniert gut und erfüllt seine Ziele, wobei die Kontrollen funktionieren (oder auch nicht).

So planen Sie das ISO 27001-Auditprogramm

Wenn Sie eine sich schnell verändernde Organisation sind, ist es nicht einfach, drei Jahre im Voraus einen Auditplan für den gesamten Zertifizierungszeitraum zu entwickeln. Wenn dies der Fall ist, sollten Sie die Bereiche berücksichtigen, die geprüft werden müssen, und einen 3-Monats-Plan erstellen, um die Erwartungen eines externen Prüfers zu erfüllen.

Dann machen Sie sich klar, dass Sie es sein werden Durchführung von Management-Reviews gemäß § 9.3 Abs. XNUMX Das könnte zu einer Änderung dieses Zeitplans führen. Darum geht es bei 9.3 – proaktiv zu sein und auch auf Neues zu reagieren Informationen, die das ISMS betreffen.

Wenn Sie sich dazu entschließen, den Prüfungsplan zu ändern, beispielsweise aufgrund eines auslösenden Ereignisses, das dies rechtfertigt, verschieben Sie einfach den Prüfungsplan und fügen Sie einen entsprechenden Hinweis hinzu Management Review um zu begründen, warum Sie die Änderungen vorgenommen haben.

Für welchen Prüfungsansatz Sie sich auch entscheiden, seien Sie darauf vorbereitet, seine Wirksamkeit gegenüber einem externen Prüfer zu begründen, nachzuweisen und zu verteidigen.

Wie viele Details sollten Sie in ein ISO 27001-Audit einbeziehen?

Berücksichtigen Sie bei der Entscheidung, wie tiefgreifend Sie mit Ihrer Prüfungsmaßnahme vorgehen sollten: Verfügen Sie über genügend Informationen, um nachweisen zu können, dass Sie die Prüfung durchgeführt, aus der Prüfung gelernt, sie dokumentiert und Folgemaßnahmen ergriffen haben?

Aus unserer eigenen kulturellen Perspektive geht es auch darum, prägnant, papierlos und digital zu sein und sicherzustellen, dass wir die Arbeit gut erledigen – Erfolge feiern, lernen und uns verbessern und Risiken reduzieren, ohne uns in Bürokratie zu verstricken oder Formulare um des Willens willen auszufüllen davon.

Jeder, mit dem wir gesprochen haben (vor der Erstellung von ISMS.online), hatte seine eigene Art der Prüfung. Wir haben einige sehr lange Prüfungsberichte gesehen, die selten von der richtigen Zielgruppe gelesen werden, die in Wirklichkeit nur eine Zusammenfassung möchte. Für uns geht es also darum, Erkenntnisse zu gewinnen, zu lernen, Maßnahmen zu ergreifen und Verbesserungen in die Praxis umzusetzen, entsprechend der Schwere der Bedrohung oder dem Wert der Chance im Verhältnis zu den anderen Geschäftsprioritäten.

In ISMS.online können Sie dies in der Audit-Aktivität selbst tun oder die Verbesserungsarbeit mit unserer verknüpfen Korrekturmaßnahmen und Verbesserungen verfolgen für die Abstimmung mit allen Korrekturmaßnahmen und Verbesserungen, nicht nur denen, die sich aus einem Audit ergeben.

Was sagt die ISO zu Audits und Auditierungen nach ISO 27001?

Zusätzlich zu den Anforderungen in ISO 27001 9.2 gilt die Internationale Organisation für Normung (ISO) stellt die folgenden prüfungsrelevanten Standards bereit:

• ISO 27007 – Bietet Anleitungen zur Prüfung der Managementsystemelemente (Anforderungen) Ihres ISMS und orientiert sich stark an ISO 19011 (siehe unten) mit zusätzlichen Besonderheiten im Zusammenhang mit der Prüfung eines ISMS.
• ISO TR 27008 – Ein technischer Bericht (anstelle eines Standards), der Leitlinien für die Prüfung bietet Informationssicherheitskontrollen verwaltet durch Ihr ISMS.
• ISO 19011 – bietet Leitlinien zur Prüfung Verwaltungs-Systeme, einschließlich der Grundsätze der Prüfung, der Verwaltung eines Prüfungsprogramms und der Durchführung Management System Audits sowie Leitlinien zur Bewertung der Kompetenz der am Auditprozess beteiligten Personen, einschließlich der Person, die das Auditprogramm verwaltet, der Auditoren und Auditteams.
• ISO 27006 & ISO 17021 – Diese gelten für die Zertifizierungsstellen, die die externen Audits durchführen. Sie können zwar eine nützliche Referenz sein, um zu verstehen, wonach die Zertifizierungsstellen suchen, aber Ihre interne Anhörung wird sehr unterschiedlich sein und einen anderen Zweck haben, und Sie sollten nicht versuchen, die Prüfung auf genau die gleiche Weise durchzuführen.

Ein ständiges Thema, von dem wir hören, ist, dass Prüfer das sehen wollen Die Organisation lebt und lebt das ISMS Dazu gehört die Einbindung der Führung, die proaktive Darstellung der Dinge, die Sie in ISMS.online haben, und die Fähigkeit, ihre spezifischen Fragen sehr schnell mit Beweisen zu beantworten.

Eine Struktur haben, die dem folgt ISO 27001 : 2013-Methoden und -Bezeichnungen, wie in ISMS.online, machen es Prüfern auch einfach, in ihrer eigenen „Sprache“ zu folgen, und sie können Versionsänderungen, zeitgestempelte Arbeit, Zusammenarbeit, Genehmigungen durch unabhängige Teammitglieder usw. sehen, also ist es großartig Hilfe für die oben genannten Tests.

Selbstverständlich müssen Sie weiterhin nachweisen, dass Richtlinien außerhalb von ISMS.online in die Praxis umgesetzt werden, z. B. werden Informationen von Ihren Systemen gesichert, es werden Vertraulichkeitsvereinbarungen mit Kunden und Lieferanten eingehalten usw. (und natürlich können Sie ISMS.online verwenden, um den Lieferanten zu zeigen). Vereinbarungen auch!)

Sollten Sie einen Kurs für leitende Auditoren belegen, um bei ISO 27001 zu helfen?

Wenn Sie darüber nachdenken, einen Kurs für leitende Auditoren zu absolvieren, sollten Sie bedenken, dass sich jemand, der sich von jemandem ausbilden lässt, der hauptberuflich im Auditing tätig ist, auf die Ausbildung zum Auditor aus einer externen Perspektive konzentriert. Dies geht möglicherweise über die Anforderungen Ihrer Organisation zur Einhaltung von 9.2 hinaus und führt möglicherweise dazu, dass Sie die übergeordneten Geschäftsziele aus den Augen verlieren.

Sie müssen in der Lage sein, gut genug zu auditieren, um es Ihrer Führung und Ihrem Unternehmen zu demonstrieren interessierte Parteien (z. B. Auditoren), dass das 9.2 Interne Audit im Rahmen Ihrer Leistungsbewertung wirksam ist und in der Praxis funktioniert.

In ISMS.online haben wir einen Prozess zur Prüfung im Abschnitt vorgeschlagen. 9.2 und geben Ihnen den nötigen Raum, um es so bereitzustellen, dass es einfach genug ist, es an Ihren Stil und Ihre Bedürfnisse anzupassen oder anzupassen, und zwar unter Berücksichtigung interner Ressourcenbeschränkungen. Wir haben auch ein pragmatisches Beispiel in den ISO 27001 Virtual Coach aufgenommen.

Viele Kunden definieren ihren Ansatz jedoch ganz einfach über ISMS.online und erhalten anschließend einen einfachen virtuellen Gesundheitscheck mit Beratung und sogar pragmatischer laufender Auditunterstützung durch unseren qualifizierten Lead Auditor.

ISMS.online macht die Einrichtung des richtigen Auditprogramms für Sie einfach, indem Sie entweder unsere vorgefertigten Programme übernehmen oder schnell und einfach Ihr eigenes erstellen.

Wir helfen Ihnen, Ihre Audits effektiver zu verwalten und sie in einen ganzheitlichen Ansatz zu integrieren ISMS.