מבנה דוחות ביקורת פנימית עבור ISO 27001 הוא משהו שאתה צריך לדעת.
יצירת דוח ביקורת פנימי יעיל ומקצועי חיונית לכל יישום מוצלח של ISO 27001.
דוח ביקורת פנימית באיכות טובה הוא תמונת מצב של תהליך ההטמעה הכולל ומתעד את מצב הטמעת ISO 27001 שלך בהקדמת ההסמכה, יחד עם פרטים של תחומים שעדיין צריכים לטפל בהם.
כחלק מ דרישות מערכת הניהול, סעיף 9.2 מפרט מה יש לעשות בנוגע לביקורות פנימיות. זה כולל דרישה לשמירת ראיות מתועדות של כולה תהליך הביקורת ותוצאות הביקורת, והדבר נעשה בדרך של דוח ביקורת.
מהי ביקורת פנימית ISO 27001?
ביקורת פנימית ISO 27001 כוללת מבקר מוסמך ואובייקטיבי הסוקר את ה-ISMS או מרכיביו ובודק שהוא עומד בדרישות התקן, דרישות המידע והיעדים של הארגון עצמו עבור ה-ISMS וכי המדיניות, התהליכים והבקרות האחרות הם אפקטיבי ויעיל.
בנוסף תאימות כללית ואפקטיביות של ISMS, מכיוון ש-ISO 27001 נועד לאפשר לארגון לנהל את סיכוני אבטחת המידע שלו לרמה נסבלת, יהיה צורך לבדוק שהבקרות המיושמות אכן מפחיתות את הסיכון עד לנקודה שבה בעלי הסיכון שמחים לסבול את סיכון מזערי.
ביקורת פנימית לדרישת ISO 27001 9.2
סעיף 9.2 מחייב ביקורת פנימית:
הארגון יבצע ביקורות פנימיות בפרקי זמן מתוכננים על מנת לספק מידע האם מערכת ניהול אבטחת המידע:
- תואם את הדרישות של הארגון עצמו לגביו אבטחת מידע מערכת הניהול והדרישות של תקן בינלאומי זה.
- מיושם ומתוחזק ביעילות.
על הארגון:
- לתכנן, להקים, ליישם ולתחזק תוכניות ביקורת, כולל התדירות, השיטות, האחריות, דרישות התכנון והדיווח. תוכניות הביקורת ייקח בחשבון את חשיבות התהליכים הנוגעים בדבר ואת התוצאות של ביקורות קודמות.
- הגדר את קריטריוני הביקורת וההיקף עבור כל ביקורת.
- בחר רואי חשבון וערוך ביקורות המבטיחות אובייקטיביות וחוסר משוא פנים של תהליך הביקורת.
- ודא שתוצאות הביקורות מדווחות להנהלה הרלוונטית ושומרות אותן מידע מתועד כראיה לתוכניות הביקורת ולתוצאות הביקורת.
מטרת הביקורת הפנימית היא לאשר שהארגון נקט בכל אמצעי הזהירות הסבירים כדי להבטיח שמערכת ניהול אבטחת המידע (ISMS) שלו תואמת את התקנים של ISO 27001 ותקני ה-ISMS של הארגון עצמו.
ביקורת פנימית חייבת להיעשות על ידי מבקר בלתי תלוי וחסר פניות כדי להשיג זאת, על פי התקן.
כיצד פועלות הביקורות הפנימיות של ISO 27001?
ביקורות פנימיות עבור ISO 27001 עבודה על ידי ביצוע תוכנית ביקורת המזהה את הביקורות שיש לבצע לפני ההסמכה ובמהלך כל תקופת הסמכה.
הם דורשים בחירה של א מוכשר ואובייקטיבי מבקר יבצע כל ביקורת פנימית המוודאת עמידה בדרישות התקן, דרישות המידע והיעדים של הארגון עצמו עבור ה-ISMS, וכי המדיניות, התהליכים והבקרות האחרות יעילים ויעילים.
פעילויות הכלולות במסגרת הביקורת הפנימית:
- סקירת תיעוד
- דגימה ראייתית
- מראיין צוות עם מפתח אחריות אבטחת מידע
- ראיון עם צוות אחר (ואולי קבלנים)
- הערכת הממצאים
- כתיבת דוח הביקורת
באיזו תדירות אני צריך לערוך ביקורת
על אף שלא ברור בתוך ISO 27001 עצמו באיזו תדירות יש לבצע ביקורת פנימית, צפוי שתוכנית הביקורת עומדת באותן הדרישות המוטלות על גופי ההסמכה לביצוע הביקורות שלהם בהתאם ISO / IEC 27006: 2015 – דרישות לגופים המספקים ביקורת והסמכה של ISMS.
במסגרת דרישת ISO 27006 9.1.5.2e קובע כי תוכנית הביקורת "מכסה מדגמים מייצגים של היקף הסמכת ה-ISMS במהלך שלוש השנים".
לכן, אתה צריך להתנהל ביקורות פנימיות המכסות את כל התקן, לכל הפחות, במהלך תקופת ההסמכה (3 שנים עבור תעודות מוסמכות של UKAS).
אתה יכול לעשות זאת כביקורת יחידה, אבל זה נפוץ יותר לביקורות קטנות יותר על פני תקופה של 3 שנים. כמו כן, חשוב לבצע ביקורת על אזורים מסוימים בתדירות גבוהה יותר אם רמות הסיכון גבוהות או שהאזור נתון לשינויים תכופים.
מומלץ לך ביקורת על מערכת הניהול דרישות (סעיפים 4-10) על בסיס שנתי וניתן לקשור זאת לסקירת ניהול ה-ISMS שלך, שגם היא צריכה להתבצע מדי שנה. ארגונים מסוימים עם מערכות ניהול מתוחכמות ומבוססות עשויים לרצות לארגן ביקורת במחזור של שלוש שנים ולא מדי שנה.
עם זאת, על כל עסק לבחון היטב את התהליכים, מערכות הניהול ושאר הקריטריונים הרלוונטיים שלו על מנת לפתח לוח זמנים הגיוני העונה על דרישותיו ומתאים להם. ב-ISMS.online, הפלטפורמה מבוססת הענן שלנו נועדה לסייע בתהליך הביקורת.
אנו מספקים אזור עבודה נבנה מראש של תוכנית הביקורת הכולל:
- פעילויות ל-2 ביקורות מומלצות לפני ההסמכה
- תכנית מבדקים פנימיים לתקופת ההסמכה הראשונה בת 3 שנים
- מצייני מקום להסמכה החיצונית שלך ולביקורות תקופתיות
בקש הדגמה היום כדי לראות איך שלנו הפתרון יכול לעזור לארגון שלך להפגין תאימות ל-ISO 27001.
מדוע אני צריך ליצור דוח עבור ביקורת פנימית?
התקן מחייב אותך לתעד את תוצאות הביקורת - סעיף 9.2 של ISO 27001 כולל את הדרישה "לשמור מידע מתועד כראיה לתוצאות הביקורת ...". זה נעשה במסגרת דוח ביקורת.
מה צריך לעשות בעת הכנת הדוח
עבור כל ביקורת, תצטרך לתכנן:
- מה הביקורת הולכת לכסות - איזה סעיף(ים) בתקן, מיקומים, תהליכים עסקיים וכו'
- מי יהיה המבקר - חייב להיות מוכשר ואובייקטיבי.
- מתי תיערך הביקורת - לא אמורה להיות השפעה שלילית משמעותית על פעולת הארגון.
- שיטות הביקורת - סקירת תיעוד, דגימה, ראיונות וכו'
- מי יצטרך להיות מעורב בביקורת?
סקירת תיעוד
כל ביקורת תדרוש סקירה של התיעוד הרלוונטי לרבות מדיניות, נהלים, תקנים והנחיות הרלוונטיות לתחום/ים של התקן המבוקרים. נוהג טוב לייעץ לנבדקים לגבי התחומים שיש לכסות, כך שיוכלו להבטיח גישה קלה ובזמן לתיעוד הרלוונטי.
ב-ISMS.online, זה מקל על ידי קיום התיעוד בתוך המערכת או קישור אליו בתוך הסעיף הרלוונטי של התקן.
דגימות ראיות וראיונות
רוב הביקורות ידרשו דגימת ראיות במידה פחותה או יותר, וזה עשוי לכלול ראיון עם צוות מפתח רלוונטי, משתמשי קצה ולעיתים אף צוותים וקבלנים זמניים.
מקורות לדגימה עשויים לכלול, למשל:
- ראיונות עם עובדים ואנשים אחרים.
- תצפיות בפעילויות ובסביבת העבודה והתנאים שמסביב.
- מסמכים, כגון מדיניות, יעדים, תוכניות, נהלים, תקנים, הוראות, רישיונות והיתרים, מפרטים, שרטוטים, חוזים והזמנות.
- רשומות, כגון רישומי בדיקה, פרוטוקולים של פגישות, דוחות ביקורת, רישומים של תוכנית ניטור ותוצאות המדידות.
- סיכומי נתונים, ניתוחים ומדדי ביצועים.
- מידע על תכניות הדגימה של המבוקר ועל נהלי בקרה של תהליכי דגימה ומדידה.
- דיווחים ממקורות אחרים, למשל משוב מלקוחות, סקרים ומדידות חיצוניים, רלוונטי אחר מידע מגורמים חיצוניים וספק דירוגים.
- מאגרי מידע ואתרי אינטרנט.
- סימולציה ומודלים.
אָנָלִיזָה
לאחר ביצוע איסוף הנתונים עבור הביקורת, יהיה צורך עבור המבקר להעריך ולנתח את הממצאים כדי לקבוע אם יש אי התאמות או הזדמנויות לשיפור.
ממצאים מסווגים בדרך כלל כאחד מהבאים:
- אי התאמה גדולה
- אי התאמה קלה
- הזדמנות לשיפור
חלק מגופי הסמכה משתמשים גם ב:
- תצפית - זה המקום שבו יש אינדיקציות מוקדמות על אי התאמה קלה עלולה להתקיים או להתפתח אם לא תינקט פעולה.
- נקודה חיובית - מוענק אם ארגון חרג מעבר לשיטות עבודה טובות מוכרות או כאשר חל שיפור משמעותי בתחום מאז הביקורת הקודמת.
להגיש תלונה
לאחר ניתוח הממצאים, ניתן כעת להכין את דוח הביקורת ולהציג אותו לאדם או לצוות האחראים על ה-ISMS לצורך בדיקה ומעקב.
כיצד מכינים דו"ח ביקורת פנימית?
דוח הביקורת חייב להיות מוכן כמידע מתועד, אך אין זה אומר שהוא חייב להיות מסמך Word או PDF נפרד. בתוך ה פלטפורמת ISMS.online אנו מנסים לעודד הימנעות מיצירת מסמכים כאלה, אך במקום זאת מספקים אזור עבודה בו ניתן לתעד את הדוח באופן ישיר ותחום זה מספק פונקציונליות נוספת לרבות היכולת לקשר בקלות לאזורי עבודה אחרים, מדיניות, בקרות, סיכונים, פעולות מתקנות ושיפור "כרטיסים", ועוד.
צור תקציר מנהלים
תקציר המנהלים שימושי כדי שההנהלה הבכירה תוכל לראות במהירות ובקלות סקירה כללית של הממצאים כולל כל נושא קריטי אפשרי, מגמות והזדמנויות לשיפור. לאחר מכן ניתן לקשר זאת בקלות לסקירת ניהול ISMS בהתאם לסעיף 9.3.
זה יכלול בדרך כלל:
- סקירה כללית של פעולת תחומי ה-ISMS הנכללים בביקורת.
- סיכום מספרי של קטגוריות הממצאים.
- הדגשת כל ממצא דחוף/קריטי.
- תיאור קצר של הצעדים הבאים שיש לנקוט כדי לטפל בכל ממצא.
הצג את הטרמינולוגיה שבה נעשה שימוש
כדי להבטיח שקיימת הבנה משותפת של ממצאי הדו"ח, יש צורך לכלול את ההגדרות של מינוח כלשהו בשימוש שהוא ספציפי לארגון, לתהליך הביקורת או לתקן. זכור, לא כל מי שיצטרך לקרוא, להעריך ולהבין את הדוח, בהכרח יבין את כל הטרמינולוגיה שבה נעשה שימוש.
תאר תוכנית ביקורת
זה יכלול:
- היקף הביקורת – תחומים שיש לכסות, מיקומים, צוות עובדים, תהליכים עסקיים וכו'.
- שם המבקר/ים
- התאריכים, השעות והמקומות של הביקורת
תאר עובדות שנמצאו
עבור כל סעיף בביקורת, יש לתעד את הממצאים כולל הערות על כל דגימות ראיות שנלקחו.*
נוהג טוב לרשום ציות ונקודות חיוביות, כמו גם לתעד כל אי-התאמה או הזדמנויות לשיפור. הממצאים צריכים לרשום את העובדות שנמצאו רלוונטיות ל-ISMS ולתקן, ולא לכלול דעה או השערה מעבר לאקסטרפולציה סבירה.
*הערה – אם דגימות ראיות מכילות מידע אישי מזהה, נהוג לעשות פסאודונימיזציה או אנונימיות של הנתונים בהתאם לדרישות חקיקת הפרטיות כגון GDPR.
תיעוד אי התאמה והזדמנויות לשיפור
כאשר מזוהות אי התאמה והזדמנויות לשיפור, יש לתעד אותן בבירור כך שניתן יהיה לרשום ולנהל פעולות מתקנות ופריטי שיפור באמצעות התהליכים המוכרים של הארגון כפי שתועדו בהתאם לסעיף 10.1 אי התאמה ופעולה מתקנת; ו-10.2 שיפור מתמיד.
תאר המלצות
מכיוון שמדובר בדוח ביקורת פנימית, מותר למבקר להמליץ על האופן שבו ניתן לטפל בממצאים, אך בסופו של דבר ההחלטות הנוגעות לפעולות מתקנות ושיפורים חייבות להיעשות על ידי האנשים או הצוותים הרלוונטיים האחראים על ה-ISMS ואבטחת המידע .
כיצד ISMS.online מקל על הדיווח
פלטפורמת ISMS.online מבטל את הצורך ביצירת מסמכי Word, קובצי PDF וגיליונות אלקטרוניים על ידי מתן פתרון הכל-במקום אחד לתיעוד וקישור בקלות של כל ההיבטים של ה-ISMS כולל תיעוד דוחות ביקורת.
ISMS.online כולל פרויקט תוכנית ביקורת שנבנה מראש המכסה ביקורת פנימית וחיצונית כאחד.
תוכנית הביקורת הבנויה מראש כוללת:
- פעילויות ל-2 ביקורות מומלצות לפני ההסמכה
- תכנית מבדקים פנימיים לתקופת ההסמכה הראשונה בת 3 שנים
- מצייני מקום להסמכה החיצונית שלך ולביקורות תקופתיות
כל פעילות ביקורת פנימית מכילה תבנית לתוכנית ביקורת משולבת ודוח.
לפני ביצוע הביקורת, התבנית משמשת כתכנית הביקורת - לרבות אילו אזורים יש לביקורת ומתן הנחיה לרישום מתי תיערך הביקורת ועל ידי מי.
במהלך או לאחר ביצוע הביקורת, המבקר יכול לכתוב הערות ישירות לפעילות הביקורת בתבנית.
בנוסף לספק פשוט את תבניות פעילות הביקורת, ISMS.online מספק את היכולת לקשר במהירות לאזורי עבודה אחרים בתוך הפלטפורמה, מה שאומר שקישור ממצאי הביקורת לבקרות, פעולות מתקנות ושיפורים, ואפילו לסיכונים נעשה קל ונגיש. זה יאפשר לך להדגים בקלות למבקר החיצוני שלך את הניהול המשותף של הממצאים שזוהו.
זקוק לעזרה עם ביקורת ISO 27001 שלך?
האם אתה מתחיל בקרוב ביקורת ISO 27001 ואתה מרגיש לחוץ בגלל זה? זה טבעי להרגיש כך, שכן ביצוע ביקורת ISO 27001 היא צעד רציני מאוד.
המומחים כאן ב-ISMS.online יכולים להציע לך את השירות הטוב ביותר. אנו יכולים לתמוך בביקורת ובדיווח של מערכת הניהול שלך, לתת לך עצות לגבי אבטחת מידע ואסטרטגיות הפחתת סיכונים, לספק הכשרה לצוות שלך או לעזור לך בניתוח פערים של בקרות הקיימות שלך.
בקש הדגמה עוד היום.
