כיצד להימנע מטעויות נפוצות של ביקורת פנימית ISO 27001

ביקורת פנימית של מערכת הניהול היא דרישת חובה של ISO 27001 וכל שאר תקני ISO מיינסטרים. הדרישות הן מאוד מינימליות, אולם כאשר בוחנים אותן בצורה אובייקטיבית והפירוט שלהן מאוד לא מחייב. המשמעות היא שיש מקום ניכר לייעול תהליכי הביקורת ולהשיג תועלות עסקיות אמיתיות מהביקורות הפנימיות שלכם. למרבה הצער, לפעמים היסטורית, ה ביקורת נתפסים ככאב שאינו מוסיף ערך; עם זאת – נסביר מדוע זה יכול לקרות וכיצד להימנע מכך בעזרת רשימת הביקורת הפנימית שלנו.

טעות נפוצה: לא לחבק את ביקורת פנימית ככלי לשיפור עסקי

מדי פעם הסתכלות אובייקטיבית על התהליכים והמערכות שלך יכולה לשחרר הרבה ערך לא מנוצל.

מהי ביקורת פנימית ISO 27001?

"ביקורת" היא מילה שאף אחד לא אוהב לשמוע - מבחינה היסטורית ובאופן כללי יש לה קונוטציות שליליות ומכבידות. אלה מיושנים בעיקר; אולם - ארגונים נאורים רואים ביקורת ככלי שיפור למערכות הניהול שלהם ותהליך. במקרה של מערכת ניהול אבטחת מידע ISO 27001 (ISMS), ביקורות אלו מתמקדות בהסדרים הקשורים לאבטחת מידע.

טעות נפוצה: ביצוע ביקורת הסמכה באופן רשמי ופורמלי מדי

ה'טון' של ה דו"ח ביקורת פנימית יכול (ואנחנו חושבים שחייב) להיות מונע על ידי המבקר להיות ידידותי ומשתף פעולה. כל עוד הממצאים הרלוונטיים עולים בסוף תהליך הביקורת, אזי זו תוצאה מוצלחת.

השמיים האיזמים מורכב מהתהליכים, הנהלים, הפרוטוקולים והאנשים הדרושים כדי להגן על מערכות המידע והמידע שלה נגד מסגרת התקן ISO 27001. ביקורת פנימית של ISO 27001 היא תהליך של קביעה אם ה-ISMS שלך עובד כפי שתוכנן ומחפש שיפורים (לפי סעיף 10.2 - המכונה הקליטה "שיפור מתמיד"). למעשה, פנימי ISO 27001 ביקורת מסייעת לארגונים להבטיח שהם עומדים בדרישות שנקבעו בעצמם (מוגדרות גם ב-ISMS) ובדרישות הסטנדרטיות.

טעות נפוצה: הגדרת ב-ISMS שלך שמשהו קורה - כשהוא לא קורה במציאות

זה בלתי נסלח כפי שאתה מגדיר את שלך מערכת ניהול שתתאים לעסק שלך. לכן הנדסת מלכודת ביקורת במערכת הניהול שלך. במסגרת סעיף 9.2, דרישות הניהול של ISO 27001 קובעות כי על הארגון לערוך ביקורות פנימיות ב"מרווחים מתוכננים" - אולם אתה בוחר להגדיר את המרווחים הללו.

טעות נפוצה: אי הגדרת "מרווחים מתוכננים" מתאימים בתוכנית הביקורת

הגדרה זו נועדה לתת גמישות בקביעת התוכנית שלך, אך לעתים קרובות קורה שהנקודה המתוקה המתאימה לא נמצאה, מה שמוביל לביקורת תת או יתרה.

 

מדוע ביקורת פנימית חשובה?

ביקורות מבטיחות את הביצועים של ISMS מול היעדים שנקבעו לו. ללא הבטחה זו, אין ערובה אמיתית למידת היעילות שלו בהגנה על המידע של החברה שלך. ביקורת פנימית חיונית מכיוון שהן עוזרות לארגונים לזהות ולתקן חולשות בהם מערכת ניהול אבטחת מידע. לאחר מכן נעשה שימוש בקריטריונים/תוצאות הביקורת בכמה דרכים:

• להעריך מנהיגות/ניהול ביצועי ה-ISMS
• ל לשפר את ה-ISMS
• לחפש סינרגיות מבחינת בעיות ותיקונים פוטנציאליים
• לתקן חלקים מהמערכות והתהליכים שאינם פועלים לתכנון

טעות נפוצה: לא מתריע מספיק מהר להנהלה כאשר יש צורך בפעולה

ההנהלה הבכירה עשויה שלא ליישם ישירות שינויים ב-ISMS שלך לאחר בדיקה. ובכל זאת, הם צריכים להיות מעורבים, מודע של בעיות, פתרונות כונן ושיפורים.

מה אומר תקן ISO שעלינו לעשות?

סעיף 9.2 של ISO 27001 דורש רק כמה דברים מהביקורות הפנימיות שלך

• שהם "מתוכננים" - כלומר, מוגדרת ומתועדת תוכנית ביקורת
• תוכנית הביקורת היא דינמית ומתאימה לארגון שלך
• תוצאות הביקורת מתועדות
• ההנהלה מוערכת כראוי של תוצאות הביקורת

התהליך, לפיכך, לא צריך להיות תובעני מדי, והגישה הכללית דורשת יישום של שכל ישר. לדוגמה, חלקים בעסק שלך שהיו להם תוצאות ביקורת גרועות בעבר ייבדקו כנראה לעומק יותר, אולי בתדירות גבוהה יותר ואולי על ידי המבקר הבכיר ביותר שלך בעתיד. לעומת זאת, לאותם אזורים שעברו ביקורת קודמות, עומק, תדירות הביקורת או שניהם יכולים להיות מופחתים כראוי בתוכנית קדימה.

רוב הארגונים מייצרים תוכנית ביקורת לעסק לשנה הקרובה, לפעמים יותר, נניח למחזור החיים בן שלוש השנים של ההסמכה שלהם.

טעות נפוצה: אי הקפדה על תוכנית הביקורת

פיגור בביקורות הפנימיות שלך היא אחת הדרכים הקלות ביותר לשים את שלך הסמכת ISMS בסיכון. אם זה קורה, לטפל בזה מהר ככל האפשר זו תמיד העצה הטובה ביותר.

טעות נפוצה: ביקורת חלקים ממערכת הניהול שלך תת-או יתרה

צריך לתת את הדעת על התדר, ולהגיע לאיזון. תקן ה-ISO דורש התחשבות ב"חשיבותם של תהליכים", כלומר חלקים מסוימים של ה-ISMS שלך ייבדקו יותר מאחרים, לפי הצורך.

טעות נפוצה: שיבוש פעילות עסקית רגילה עם תוכנית ביקורת לא מתאימה

אם לעסק שלך יש תקופות עמוסות, אז זה יהיה טיפשי לתזמן יותר מדי ביקורת בשלב זה. באופן דומה, ארגונים רבים מפסיקים את הפעילות בחג הפסחא או בחג המולד, ויכול להיות שזה זמן טוב לעשות כמה ביקורות פנימיות, ואולי לא. אתה תחליט.

 

מה תקן ISO לא אומר שעלינו לעשות?

מרתק לציין מה סעיף ISO 9.2 לא אומר שנדרש. היה ברור מאוד, אם זה לא מוחלט דרישה בתקן ISO (חפש את המילה "יעשה"), ואז תוכל, תוך התחשבות מתאימה, להגדיר את ההסדרים שלך ב-ISMS שלך כך שיתאימו לארגון שלך. כדוגמה, אין דרישה לביקורות פנימיות לא מתוכננות או אקראיות בתקן ISO. אתה יכול, אם תבחר בכך, לעשות כמה מאלה.

דוגמה נוספת היא העומק ומשך הביקורת הפנימית שלך. אתה יכול, בתיאוריה, לבצע ביקורת של תהליך תוך דקות, או שהוא יכול להימשך שעות. כך או כך, מכיוון שזו לא דרישה מהתקן, יש לך אפשרויות בחירה. היינו ממליצים לחלק את הביקורות הארוכות לחלקים קטנים יותר (למשל של שעה) כדי לתת גם למבקר וגם למבוקר קצת זמן חשיבה והזדמנות להתרענן.

אל תשכח - רוב המבקרים הפנימיים מונעים מתה, קפה, מים ולעתים קרובות מאוד, ביסקוויטים ועוגות...

טעות נפוצה: ניסיון 'לקנות' או להשפיע יתר על המידה על המבקר הפנימי שלך

על המבקרים להישאר חסרי פניות ואובייקטיביות - שום עוגה וטוב לב לא ישפיעו על האובייקטיביות של תוצאת הביקורת.

טעות נפוצה: לא משקיעים מספיק (או מתאימים) זמן ומשאבים

ניסיון לבצע את הכמות המינימלית של ביקורת או ביצוע ביקורת שטחית לא ישחרר שום ערך ויפגין מחויבות כלשהי ל-ISMS (שהיא דרישה של ISO 27001).

טעות נפוצה: המבקר מתגבר על קבלת הפנים

אם מתוכננת ביקורת פנימית למשך שעה אחת, היא לא אמורה להימשך יותר משעה זו. ריצת יתר עלולה לשבש קשות פעילויות עסקיות מתוכננות אחרות עם כל השליליות שתרחיש זה יביא. ה פִּתָרוֹן הוא לתעד את החלקים הבלתי גמורים שיש לטפל בהם בעתיד בדוח הביקורת.

מי עורך ביקורת פנימית ISO 27001?

ביקורות ISO 27001 דורשות מיומנות (לפי סעיף 7.2) ומבקרים אובייקטיביים, שהוכיחו ידע בתקן וניסיון בביצוע ביקורת ISO 27001. לעתים קרובות, מבקרים פנימיים כבר יעבדו בארגון שלך ולכן יידעו איך העסק שלך עובד.

בהסתכלות על זה באופן אובייקטיבי, זה יכול להיות חוזק או חולשה, תלוי במצב. מבקר פנימי יכול להפגין יכולת על ידי השתתפות בקורס מבקר מוביל ISO 27001 או ניסיון מעשי המוכיח את הידע שלו בתקן וביצוע ביקורת מוצלחת.

טעות נפוצה: ביצוע ביקורות פנימיות באמצעות מבקרים לא מוכשרים

אתה לא יכול פשוט להשתמש באף אחד. לא היית משתמש בפקידת הקבלה כדי לשלוט בכור הגרעיני שלך. אותו עיקרון חל על הביקורות הפנימיות שלך.

עם העלויות הגבוהות של קורסי הכשרה לזכור, ייתכן שעדיף שמבקר יוכיח את רמת הכשירות שלו באמצעות ניסיון מעשי ביישום ISMS. ISMS.online יכול לעזור להגביר את הביטחון והיכולת שלך בביקורת ה-ISMS שלך מול ISO 27001 באמצעות מספר תכונות חשובות כמו המאמן הוירטואלי שלנו. תכונה זו היא קבוצה "תמיד פעילה" של סרטונים, רשימות ביקורת ומדריכים, המתמקדת בנקודות המבט של המבקר לגבי סעיפים ובקרות רבות.

זה עשוי להיות מעשי יותר עבור ארגונים קטנים יותר עם יכולת מוגבלת או חברות המחפשות אובייקטיביות רבה יותר להשתמש בגורם חיצוני (צד שלישי) מבקר לביצוע ביקורות פנימיות. שים לב שזה מקובל לחלוטין מבחינת דרישות ISO. המבקר יכול להיות יועץ, או ISMS.online יכול לעזור; גישה זו מעניקה עצמאות ויכולה לספק יותר אובייקטיביות ואת היתרונות של ניסיון רחב יותר בארגונים דומים אחרים.

טעות נפוצה: ביקורת העבודה שלך

לעולם אל תעשה זאת מכיוון שחוסר משוא פנים ועצמאות נפגעים מאוד.

מה מחפשים רואי חשבון?

המטרה של מבקר ISO היא להבין את המטרה של מערכת ניהול אבטחת המידע שלך ולקבל ראיות התומכות בעמידתה בתקן ISO 27001. בניגוד לאמונה הרווחת, מבקרים מחפשים (וצריכים לדווח) תוצאות חיוביות ושליליות.

מבקרי ISO 27001 מחפשים גם פערים או ליקויים במערכת אבטחת המידע שלכם. בעיקרו של דבר, המבקר שלך יחפש ראיות לדרישות התקן ISO 27001 בכל העסק שלך. אתה יכול להדגים זאת על ידי הפעלת מדיניות ובקרות באופן יזום המפחיתים את הסיכונים העומדים בפני המידע של החברה שלך. לבסוף, כל שיפורים פוטנציאליים ל-ISMS שהוסכם בשיתוף פעולה בין המבקר והמבוקר יהוו חלק מדוח הביקורת.

טעות נפוצה: שמירה על הביקורת פועלת עד שנמצא אי התאמה

ביקורת מאוזנת תדווח על מה שנמצא. אם לא ניכרות אי התאמה, אין זו אינדיקציה לביקורת לקויה. המבקרים האובייקטיביים (כלומר, רובם של) אינם מקבלים תחושה חמימה מטושטשת כאשר הם יכולים להצמיד אי התאמה ל-ISMS שלך...

טעות נפוצה: אי דיווח על תאימות

חשוב לא פחות לארגונים להיות מודעים אליהם כאי ציות ושיפורים פוטנציאליים. מדוע להקדיש זמן וטרחה לתכנן ולבצע את הביקורת אך לא לדווח על תוצאה חיובית?

ביקורות פנימיות אינן סובייקטיביות

כמבקר, ייתכן שתרצה להציע יתר על המידה יישומים ב-ISMS של הארגון שלך או תחומים כלליים לשיפור הידועים בשם הזדמנויות לשיפור (OFI). עם זאת, חיוני לזכור כי בעוד שיש מקום לפרשנות במסגרת התקן, פעולות מחוץ לדרישת התקן אינן מחייבות. המשמעות היא שהמצב הייחודי של הארגון שלך עשוי לראות בהצעות מסוימות מיותרות מנקודת מבט של מבקר, במיוחד אם זה מחוץ לדרישות ISO 27001.

טעות נפוצה: אינך "עובר" או "נכשל" בביקורת

דוחות ביקורת הם הצהרות עובדתיות ויש להתייחס אליהם בחוסר אפקטיביות ולא רגשית. יש לקבוע וליישם את כל השינויים הנדרשים ל-ISMS שלך (ובמידת הצורך, לבחון מחדש). לראיות יש תפקיד חיוני בהשגת הסמכת ISO 27001; סעיף 10.1 מחייב במפורש ארגונים לשמור ראיות לגבי אי התאמות ופעולות שננקטו כתוצאה מכך. כמבקר, זה אומר שהממצאים שלך לגבי אי-התאמות צריכים להתבסס על ראיות שיפרטו בבירור את התחומים הטעונים שיפור או תיקון שיטתי.

טעות נפוצה: אי שימוש בעובדות כדי לקבוע את תוצאות הביקורת

דעותיהם ואמונותיהם של המבקרים עלולות להטות לרעה את תוצאת הביקורת. תוצאות ביקורת אובייקטיביות וחסרות פניות נקבעות רק על ידי ראיות עובדתיות וניסיון.

למה לבחור ב-ISMS.online כדי לעזור לך?

כדי להיות תואם או מוסמך ISO 27001 בפעם הראשונה, ה-ISMS.online שלנו שיטת תוצאות מובטחות (ARM) מציע יישום פשוט, יעיל בזמן ומעשי. ARM תסייע לך לקבוע אילו נכסים, מערכות, אנשים, מיקומים וכו', מתאימים לטווח של מערכת אבטחת ניהול המידע שלך. כתוצאה מכך, ARM תאפשר לך לחשוב על הסיכונים העומדים בפניהם.

השמיים לאמץ את התאם הוסף פילוסופיית (AAA) עבור סעיף 9.2 מספקת תהליך בדוק ומנוסה לביצוע עבור ביקורות פנימיות. באמצעות ה-ISMS המוגדר מראש שלנו, תוכל להוכיח במהירות ובקלות את הדרישות של סעיף 9.2. כמו כן תקבלו תכנית ביקורת לביצוע ביקורות פנימיות. אתה יכול להשתמש בפרויקט הביקורת שלנו כדי להגדיר את היעדים וההיקף של כל ביקורת, ולאחר מכן לרשום את הממצאים ולטפל בכל אי התאמה שנמצאה במהלך הביקורת במסלול השיפור של הפלטפורמה.

סעיף 10.1 מכסה את דרישת אי התאמה ופעולות מתקנות עבור ISO IEC 27001. תצטרך לספק ראיות למבקר על האופן שבו הארגון שלך מזהה, מגיב אליהם, מעריך, סוקר ומתעד אי התאמה. באמצעות פלטפורמת ה-ISMS.online שלנו, תוכל להשתמש בפילוסופיית Adopt Adapt Add עם המדיניות המוצעת מראש עבור סעיף 10.1. פלטפורמת ISMS.online מספקת מסלול פעולות מתקנות ושיפור מעשי כדי להדגים כיצד הארגון שלך מנהל פעולות מתקנות ושיפורים בקלות. אתה יכול גם לקשר פעולות מתקנות ושיפורים לתחומים אחרים בפלטפורמה, כגון מדיניות, תוך הקצאת מטלות לעמיתים והוספת תאריכי יעד.

פלטפורמת ה-ISMS.online שלנו מספקת גם מסגרת המאפשרת לארגונים המתכוונים לבצע תוכנית ביקורת של שלוש שנים עבור כל הבקרות לתקופת ההסמכה שלהם לעשות זאת.
הוכחה פשוטה באמצעות פלטפורמת ה-ISMS.online שלנו; אתה יכול לתעד נתונים, מדיניות, בקרות, נהלים, הערכות סיכונים, סיכונים שזוהו, פעולות, פרויקטים, תיעוד קשור ודוחות בתוך הפלטפורמה, וליצור הערכה קלה למבקרים.

עזרה נוספת זמינה מצוות פיתוח ואספקה ​​של שירותים (SDD).

לעובדים האחראים על הטמעת מערכת אבטחת המידע שלך עלולים להיות קשיים ושאלות סביב התקן; זה המקום שבו צוותי התמיכה שלנו יכולים להדריך אותך בתהליך. בתוך הארגון שלנו, לצוות פיתוח ואספקת שירותים יש ניסיון רב ומומחיות באבטחת מידע. הם יכולים לתמוך ביישום הראשוני של מערכת ניהול אבטחת המידע שלך וליווי בכל קושי סטנדרטי משמעותי.