כחלק מדרישות מערכת הניהול, סעיף 9.2 מפרט מה יש לעשות בנוגע לביקורות פנימיות. זה כולל דרישה לשמירה ראיות מתועדות לביקורת תוצאות, והדבר נעשה בדרך של דוח ביקורת.
An ISO 27001 ביקורת פנימית כוללת מבקר מוסמך ואובייקטיבי הסוקר את האיזמים או מרכיבים ממנו ובדיקה ש:
בנוסף לתאימות הכללית והיעילות של ה-ISMS, as ISO 27001 נועד לאפשר לארגון לנהל את אבטחת המידע שלו סיכונים לרמה נסבלת, יהיה צורך לבדוק שהבקרות המיושמות אכן מפחיתות את הסיכון עד לנקודה שבה בעלי הסיכון שמחים לסבול את הסיכון השיורי.
סעיף 9.2 צווי ביקורת פנימית:
"הארגון יבצע ביקורות פנימיות במרווחי זמן מתוכננים כדי לספק מידע האם מערכת ניהול אבטחת המידע:
א) תואם
ב) מיושם ומתוחזק ביעילות.
הארגון צריך:
ג) לתכנן, להקים, ליישם ולתחזק תוכניות ביקורת, לרבות התדירות, השיטות, האחריות, דרישות התכנון והדיווח. תוכניות הביקורת ייקח בחשבון את חשיבות התהליכים הנוגעים בדבר ואת התוצאות של ביקורות קודמות;
ד) להגדיר את קריטריוני הביקורת והיקפו לכל ביקורת;
ה) לבחור רואי חשבון ולבצע ביקורות המבטיחות אובייקטיביות וחוסר משוא פנים של תהליך הביקורת;
ו) לוודא שתוצאות הביקורות מדווחות להנהלה הרלוונטית; ו
ז) לשמור מידע מתועד כראיה לתוכניות הביקורת ולתוצאות הביקורת."
הורד את המדריך בחינם שלך להסמכה מהירה ובר קיימא
אנחנו רק צריכים כמה פרטים כדי שנוכל לשלוח לך בדוא"ל את המדריך שלך להשגת ISO 27001 בפעם הראשונה
הורד את המדריך החינמי שלך עכשיו ואם יש לך שאלות בכלל אז הזמן הדגמה or צור קשר. נשמח לעזור.
הביקורות הפנימיות עבור ISO 27001 פועלות על ידי ביצוע תוכנית ביקורת המזהה את הביקורות שיש לבצע לפני הסמכה ובמהלך כל תקופת הסמכה.
הֵם לדרוש בחירה של מבקר מוסמך ואובייקטיבי שיבצע כל ביקורת פנימית אימות עמידה בדרישות התקן, דרישות המידע והיעדים של הארגון עצמו עבור ה-ISMS, וכי המדיניות, התהליכים והבקרות האחרות יעילים ויעילים.
פעילויות הכלולות במסגרת ביקורת פנימית:
אמנם לא ברור בתוך ISO 27001 עצמו באיזו תדירות עליך לבצע ביקורות פנימיות. צפוי שתוכנית הביקורת תעמוד באותן הדרישות המוטלות על גופי ההסמכה לביצוע הביקורות שלהם בהתאם לתקן ISO/IEC 27006:2015 – דרישות לגופים המספקים ביקורת והסמכה של ISMSs.
בתוך ISO 27006 דרישה 9.1.5.2 ה, קובעת כי תוכנית הביקורת "מכסה מדגמים מייצגים של היקף הסמכת ה-ISMS בתוך תקופת שלוש השנים".
לכן, עליך לערוך ביקורות פנימיות המכסות את כל התקן, לכל הפחות, במהלך תקופת ההסמכה (3 שנים לתעודות מוסמכות של UKAS).
אתה יכול לעשות זאת כביקורת יחידה, אבל זה נפוץ יותר לביקורות קטנות יותר על פני תקופה של 3 שנים.
כמו כן, חשוב לבצע ביקורת על אזורים מסוימים בתדירות גבוהה יותר אם רמות הסיכון גבוהות או שהאזור נתון לשינויים תכופים.
מומלץ לך ביקורת על מערכת הניהול דרישות (סעיפים 4-10) מדי שנה. זה יכול להיות קשור לסקירת ניהול ה-ISMS שלך, שגם היא צריכה להתבצע מדי שנה.
בתוך ISMS.online, אנו מספקים אזור עבודה בנוי מראש של תוכנית הביקורת הכולל:
ה-ISMS שלנו מגיע מוגדר מראש עם כלים, מסגרות ותיעוד שתוכלו לאמץ, להתאים או להוסיף אליהם. פָּשׁוּט.
שיטת התוצאות המובטחות שלנו נועדה לתת לך הסמכה בניסיון הראשון שלך. אחוזי הצלחה של 100%.
שכח מהדרכה גוזלת זמן ויקרה. סדרת סרטוני המאמן הוירטואלי שלנו זמינה 24/7 כדי להדריך אותך.
התקן מחייב אותך לתעד את תוצאות הביקורת - סעיף 9.2 של ISO 27001 כולל את הדרישה "לשמור מידע מתועד כראיה לתוצאות הביקורת ...".
זה נעשה במסגרת דוח ביקורת.
ברור שלפני שתוכל לתעד את דוח הביקורת, עליך לתכנן ולבצע את הביקורת. לאחר מכן תוכל לתעד את הממצאים בדוח.
עבור כל ביקורת, תצטרך לתכנן:
כל ביקורת תדרוש סקירה של התיעוד הרלוונטי, לרבות מדיניות, נהלים, תקנים והנחיות הרלוונטיות לתחום/ים של התקן המבוקרים. נוהג טוב לייעץ למי שנבדק לגבי התחומים שיש לכסות כדי להבטיח גישה קלה ובזמן לתיעוד הרלוונטי.
ב-ISMS.online, זה מקל על ידי קיומו של התיעוד במערכת או על ידי קישורו בתוך הסעיף הרלוונטי של התקן.
רוב הביקורות ידרשו דגימת ראיות במידה פחותה או יותר. זה עשוי לכלול ראיון עם צוות מפתח רלוונטי, משתמשי קצה, ולעיתים אף צוות וקבלנים זמניים.
מקורות לדגימה עשויים לכלול, למשל:
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
לאחר ביצוע איסוף הנתונים עבור הביקורת, יהיה צורך עבור המבקר להעריך ולנתח את הממצאים כדי לקבוע אי התאמות או הזדמנויות לשיפור.
ממצאים מסווגים בדרך כלל כאחד מהבאים:
חלק מגופי הסמכה משתמשים גם ב:
לאחר ניתוח הממצאים, ניתן כעת להכין את דוח הביקורת ולהציג אותו בפני האדם או הצוות אחראי על ה-ISMS לבדיקה ומעקב.
יש להכין את דוח הביקורת כ מידע מתועד, אבל זה לא אומר שזה חייב להיות מסמך Word או PDF נפרד. בתוך ה פלטפורמת ISMS.online, אנו מנסים לעודד הימנעות מיצירת מסמכים כאלה אך במקום זאת מספקים אזור עבודה בו ניתן לתעד ישירות את הדוח. אזור זה מציע פונקציונליות נוספת הכוללת את היכולת לקשר בקלות לאזורי עבודה אחרים, מדיניות, בקרות, סיכונים, פעולות מתקנות ושיפור "כרטיסים", ועוד.
תקציר המנהלים שימושי כדי שההנהלה הבכירה תוכל לראות במהירות ובקלות סקירה כללית של הממצאים, כולל כל נושא קריטי אפשרי, מגמות והזדמנויות לשיפור. לאחר מכן ניתן לקשר את זה בקלות ל- סקירת ניהול ISMS בעקבות סעיף 9.3.
זה יכלול בדרך כלל:
כדי להבטיח הבנה משותפת של ממצאי הדו"ח, יש צורך לכלול את ההגדרות של מינוח כלשהו המשמש ספציפית לארגון, לתהליך הביקורת או לתקן. זכור, לא כל מי שיצטרך לקרוא, להעריך ולהבין את הדוח, בהכרח יבין את כל הטרמינולוגיה שבה נעשה שימוש.
זה יכלול:
עבור כל סעיף בביקורת, עליך לתעד את הממצאים, כולל הערות על כל דגימות ראיות שנלקחו.*
נוהג טוב לרשום ציות ונקודות חיוביות ולתעד כל אי-התאמה או הזדמנויות לשיפור.
הממצאים צריכים לרשום את העובדות שנמצאו רלוונטיות ל-ISMS ולתקן, ולא לכלול דעה או השערה מעבר לאקסטרפולציה סבירה.
*הערה - אם דגימות ראיות מכיל מידע אישי מזהה, נהוג לעשות פסאודונימיות או אנונימיות של הנתונים בהתאם לדרישות חקיקת הפרטיות כגון GDPR.
כאשר מזוהות אי התאמה והזדמנויות לשיפור, יש לתעד אותן בבירור כך שניתן יהיה לרשום ולנהל פעולות מתקנות ופריטי שיפור באמצעות התהליכים המוכרים של הארגון כפי שתועדו בהתאם לסעיף 10.1 אי התאמה ופעולה מתקנת; ו-10.2 שיפורים מתמשכים.
מכיוון שמדובר בדוח ביקורת פנימית, מותר למבקר להמליץ על האופן שבו ארגון עשוי להתייחס לממצאים. בסופו של דבר ההחלטות הנוגעות לפעולות מתקנות ושיפורים חייבות להיעשות על ידי האנשים או הצוותים הרלוונטיים האחראים על ה-ISMS ואבטחת המידע.
הפלטפורמה המקוונת של ISMS.מבטלת את הצורך ביצירת מסמכי Word, קובצי PDF וגיליונות אלקטרוניים על ידי מתן פתרון הכל במקום אחד לתיעוד וקישור בקלות של כל ההיבטים של ה-ISMS, כולל תיעוד דוחות ביקורת.
ISMS.online כולל פרויקט תוכנית ביקורת שנבנה מראש המכסה ביקורת פנימית וחיצונית כאחד.
תוכנית הביקורת הבנויה מראש כוללת:
כל פעילות ביקורת פנימית מכילה תבנית לתוכנית ביקורת משולבת ודוח.
לפני ביצוע הביקורת, התבנית משמשת כתכנית הביקורת - לרבות אילו אזורים יש לבקר ומתן הנחיה לרישום מתי הביקורת תתבצע ועל ידי מי.
במהלך או לאחר ביצוע הביקורת, המבקר יכול לכתוב הערות ישירות לפעילות הביקורת בתבנית.
בנוסף לספק פשוט את תבניות פעילות הביקורת, ISMS.online מספק את היכולת לקשר במהירות לאזורי עבודה אחרים בתוך הפלטפורמה, מה שאומר שקישור ממצאי הביקורת לבקרות, פעולות מתקנות ושיפורים, ואפילו לסיכונים נעשה קל ונגיש. זה יאפשר לך להדגים בקלות למבקר החיצוני שלך את הניהול המשותף של הממצאים שזוהו.
צרו קשר, ואנחנו יכולים לספק תמיכה.
קבל החלטות טובות יותר והראה שאתה בשליטה עם לוחות מחוונים, מדדי KPI ודיווח קשור
למידע נוסףהאיר אור על מערכות יחסים קריטיות וקשר באלגנטיות בין תחומים כמו נכסים, סיכונים, בקרות וספקים
למידע נוסףאינטגרציות מחוץ לקופסה עם מערכות עסקיות מפתח אחרות שלך כדי לפשט את התאימות שלך
למידע נוסףהוסף בצורה מסודרת תחומים אחרים של תאימות המשפיעים על הארגון שלך כדי להשיג עוד יותר
למידע נוסף