הביקורת הפנימית של ISO 27001:2013: פשוטה

מהי מטרת הביקורת הפנימית עבור ISO 27001?

מטרת הביקורת הפנימית בסעיף 9 לדרישות ההנהלה ל ISO 27001: 2013 הוא הערכת ביצועים. 9.2 אומר שהארגון יבצע ביקורות פנימיות במרווחי זמן מתוכננים כדי לספק מידע על האם אבטחת מידע מערכת ניהול:

1) תואם

1.1) הדרישות של הארגון עצמו למערכת ניהול אבטחת המידע שלו; ו

1.2) הדרישות של תקן בינלאומי זה;

2) מיושם ומתוחזק ביעילות

3) לתכנן, ליישם ו לנהל תוכנית ביקורת

4) הגדר את קריטריוני הביקורת והיקפו עבור כל ביקורת

5) בחר רואי חשבון שיהיו אובייקטיביים וחסרי פניות

6) להבטיח זאת מדווחות ביקורת להנהלה הרלוונטית

7) לשמור מידע מתועד כראיה

לסיכום, הביקורת הפנימית היא אחת היוזמות שמדגימות את שלך האיזמים ניתן לסמוך עליו והוא מתפקד כצפוי.

תקן ISO 27001 מעודד אותך להפעיל את ה-ISMS כדי לעמוד ביעדים העסקיים שלך, היקף, בעיות פנימיות וחיצוניות וכו'. ככזה אתה גם רוצה להבטיח ביקורת פנימית מתנהלים בסגנון המשקף את העסק שלך ואת הסיכונים שלו, תוך התחשבות בתרבות ובמשאבים שיש לך במקום.

היכן ומה עליך לבצע ביקורת במערכת ניהול אבטחת המידע שלך?

כדי להפוך את זה לאמיתי, תוכנית הביקורת והפילוסופיה שלך צריכות להיגזר מהנושאים, מההיקף, למשל מיקומים, מחלקות, תהליכים, מוצרים וכו', יחד עם התחשבות ב הצהרת תחולה, סיכונים וכן הלאה, לא רק תרגיל תיוג. עם זאת, יהיה עליך להוכיח כי ביצעת ביקורת מול כל התקן - דרישות הניהול ונספח א' בקרות - לפחות פעם אחת במהלך ה-3 שנים ISO 27001 הסמכה מחזור, ושתוכל לספק הוכחות לדוגמה בקרות עובדים לפי הדרישות שלך.

בנינו על הגישה הזו בתוכנית הביקורת הסטנדרטית ב ISMS.online כדי להבטיח שביקורות מייצגות את מה שהעסק צריך. לדעתנו, הביקורות חייבות להיות מונחות עסקיות ו'אמיתיות' כדי שאנשים יקנו אותה כהשקעה תקינה וכדי להפוך את הביקורת למשמעותית.

כיצד לבצע ביקורת ב-3 רמות פרגמטיות ופשוטות

רמה 1 - סקירת מדיניות בהתאם ל-A.5.1.2 ו-A.8.1.2 לביקורות עצמאיות

רמה זו היא סקירה פשוטה של ​​איך אתה 'מתאר' את שלך מדיניות ובקרות, ולהבטיח שהם יישארו רלוונטיים עבור הארגון נתון 4.1 - 3 ובהתאמה לנושאים לעיל, הצדדים, ההיקף, נכסי המידע, הסיכונים וכו'.

ב-ISMS.online כללנו את המדיניות עבור A.5.1.2 ו פיתח את הפלטפורמה עם זאת בחשבון, כך שיהיה לך קל לאמץ את המדיניות שלנו ובאמת 'לחיות' אותה בפועל.

ברור שלא מדובר בביקורת פנימית כַּת. 9.2 כשלעצמו, אבל הוא חלק חשוב שלך האיזמים ניהול יחד עם היבטים אחרים כמו ביקורות ניהול, מעקב אחר אירועים וכו' ויסייע להבטיח שבבואך לערוך את הביקורת הפנימית הרשמית שלך, אתה עושה זאת כנגד מערכת מוצקה של מדיניות ובקרות המתאימות לארגון שלך.

רמה 2 – תוכנית ביקורת פנימית המכסה את הדרישות והבקרות

זוהי הגישה הנדרשת, המסורתית יותר, והיא תצטרך להתבצע במהלך מחזור ההסמכה לכל הפחות וייתכן שכדאי לשקול לכסות זאת מדי שנה.

ניתן להשתמש בפרויקט הביקורת שלנו כדי להגדיר את היעדים וההיקף של כל ביקורת ולתעד את הממצאים שלך. לאחר מכן ניתן לטפל בכל אי התאמה שתזוהה ב- מסלול שיפור.

עבור אותם ארגונים המעוניינים לעקוב אחר תוכנית ביקורת של שלוש שנים של כל הבקרות, כללנו מסגרת לעקוב אחריה ISMS.online מדי.

רמה 3 - גישה הוליסטית להדגמת האפקטיביות

אנו גם מעודדים גישה הוליסטית יותר לביקורות פנימיות ובנינו תוכנית בפלטפורמה הממקדת ביקורת סביב 'הדגמת' חלק ספציפי שלך היקף ISMS תואם, למשל מחלקה, מיקום, מוצר, מערכת או תהליך.

זה נותן לך את ההזדמנות להסתכל על איך העסק עובד בפועל, מעבר לכך Infosec כשלעצמה, ולראות הזדמנויות לשיפור או, למעשה, לחשוף סיכונים שאולי לא ניתן לראות בקלות מהסתכלות דרך עדשת בקרה.

זה גם מאפשר לארגון לבקר מספר גדול יותר של בקרות במכה אחת, בצורה משולבת.

במאמן הוירטואלי שלנו ISO 27001, אנו כוללים דוגמה כדי לתת טעם של מה שאתה יכול לעשות שתמחיש חלק מה האיזמים scope עובד היטב ועומד ביעדים שלו, כשהבקרות פועלות (או לא).

כיצד לתכנן את תוכנית הביקורת ISO 27001

זה לא קל לפתח תוכנית ביקורת 3 שנים מראש לכל תקופת ההסמכה אם אתה ארגון שמשתנה במהירות. אם זה המקרה, כדאי לשקול את תחומי ההיקף שיש לביקורת וליצור תוכנית של 12 חודשים כדי לעמוד בציפיות של מבקר חיצוני.

אז תהיה ברור שתהיה ביצוע סקירות ניהול בהתאם לכת. 9.3 זה עשוי להביא לשינוי בלוח הזמנים הזה. זה חלק ממה ש-9.3 עוסק - להיות פרואקטיבי וגם להגיב לחדשים מידע המשפיע על ה-ISMS.

אם תחליט לשנות את לוח הזמנים של הביקורת, למשל, בגלל אירוע טריגר המצדיק זאת, פשוט העבר את לוח הזמנים של הביקורת והוסף הערה לרלוונטי שלך סקירה מנהלתית כדי להצדיק מדוע ביצעת את השינויים.

כל גישת ביקורת שתבחר לאמץ, תהיה מוכן להצדיק, להדגים ולהגן על יעילותה בפני מבקר חיצוני.

כמה פרטים עליך לכלול בתרגיל ביקורת ISO 27001?

כשאתה מחליט כמה עמוק אתה צריך ללכת עם תרגיל הביקורת שלך, שקול את זה - האם יש לך מספיק מידע כדי שתוכל להוכיח שעשית את הביקורת, למדת מהתרגיל, תיעדת אותו ונקטת בפעולות הבאות?

מנקודת המבט התרבותית שלנו, מדובר גם בהיותנו מתנשא, חסרי נייר ודיגיטליים, והוא מתמקד בלהבטיח שנעשה את העבודה בצורה טובה - נחגוג הצלחה, לומדים ומשתפרים, וצמצם סיכונים מבלי להתעסק בבירוקרטיה או במילוי טפסים. ממנו.

לכל מי שדיברנו איתו (לפני בניית ISMS.online) הייתה דרך משלו לבצע ביקורת. ראינו כמה דוחות ביקורת ארוכים מאוד שנקראים לעתים רחוקות על ידי הקהל הנכון, שבמציאות רק רוצה סיכום. לכן, עבורנו מדובר בהוכחה, למידה, נקיטת מעשה והעברת כל שיפורים לפועל, בהתאם לחומרת האיום או ערך ההזדמנות ביחס לסדרי העדיפויות העסקיים האחרים.

ב-ISMS.online, אתה יכול לעשות את זה בפעילות הביקורת עצמה או לקשר את עבודת השיפור שלנו מסלול פעולות מתקנות ושיפורים להתיישר עם כל הפעולות המתקנות והשיפורים, לא רק אלה המגיעים מביקורת.

מה אומר ה-ISO על ביקורת וביקורת עבור ISO 27001?

בנוסף לדרישות ב-ISO 27001 9.2, ה הארגון הבינלאומי לתקינה (ISO) מספק את התקנים הבאים הרלוונטיים לביקורת:

• ISO 27007 - מספק הנחיות כיצד לבקר את רכיבי מערכת הניהול (דרישות) של ה-ISMS שלך ושואב במידה רבה מ-ISO 19011 (ראה להלן) עם העדשה הנוספת של פרטים הקשורים לביקורת ISMS.
• ISO TR 27008 - דוח טכני (ולא סטנדרטי) המספק הנחיות לביקורת בקרות אבטחת מידע מנוהל על ידי ה-ISMS שלך.
• ISO 19011 - מספק הדרכה בנושא ביקורת מערכות ניהול, לרבות עקרונות הביקורת, ניהול תכנית ביקורת וביצוע מערכת ניהול ביקורת, כמו גם הדרכה לגבי הערכת כשירותם של אנשים המעורבים בתהליך הביקורת, לרבות האדם המנהל את תוכנית הביקורת, מבקרים וצוותי ביקורת.
• ISO 27006 & ISO 17021 - אלה מיועדים לגופי ההסמכה המבצעים את הביקורות החיצוניות. למרות שהם יכולים לספק התייחסות שימושית כדי להבין מה גופי ההסמכה מחפשים, שלך ביקורת פנימית יהיה שונה מאוד, עם מטרה אחרת ואתה לא צריך לחפש ביקורת בדיוק באותו אופן.

נושא עקבי שאנו שומעים עליו הוא שמבקרים רוצים לראות שה הארגון חי ונושם את ה-ISMS וזה כולל מעורבות מנהיגותית, הצגה יזומה של דברים שיש לך ב-ISMS.online ויכולת לענות מהר מאוד על השאלות הספציפיות שלהם עם ראיות.

בעל מבנה העוקב אחר ה ISO 27001: שיטות ותווית משנת 2013, כמו ב-ISMS.online, גם מקלים על המבקרים לעקוב ב'שפה' שלהם, והם יכולים לראות שינויי גרסאות, עבודה עם חותמת זמן, שיתופי פעולה, אישורים של חברי צוות עצמאיים וכו', אז זה נהדר סיוע למערך הבדיקות לעיל.

ברור שעדיין תצטרך להוכיח שמדיניות מתנהלת בפועל מחוץ ל-ISMS.online, למשל מידע מגובה מהמערכות שלך, נערכים הסכמי סודיות של לקוחות וספקים וכו' (וכמובן שאתה יכול להשתמש ב-ISMS.online כדי להציג את הספק גם הסכמים!)

האם לקחת קורס מבקר מוביל כדי לעזור עם ISO 27001?

אם אתה חושב לעבור קורס אודיטור מוביל, כדאי לקחת בחשבון שכאשר אתה מקבל הכשרה על ידי מישהו שתפקידו המלא הוא אודיטינג, הוא מתמקד בהכשרה לביקורת מנקודת מבט חיצונית. זה עשוי להיות מעבר לדרישות הארגון שלך לעמידה ב-9.2 ועלול לגרום לך לאבד את העין מהן היעדים העסקיים הרחבים יותר.

אתה צריך להיות מסוגל לבצע ביקורת מספיק טובה כדי להפגין את המנהיגות שלך ואת שלך בעלי עניין (למשל מבקרים) שהביקורת הפנימית 9.2 יעילה כחלק מהערכת הביצועים שלך ופועלת בפועל.

ב-ISMS.online הצענו תהליך לביקורת ב-Sect. 9.2, ובהינתן המרחב לספק אותו שקל מספיק לאמץ אותו או להתאים אותו לסגנון ולצרכים שלך, ותוך מחשבה על אילוצי משאבים פנימיים. כללנו גם דוגמה פרגמטית ב-ISO 27001 Virtual Coach.

עם זאת, לקוחות רבים מגדירים את הגישה שלהם בקלות באמצעות ISMS.online ולאחר מכן מקבלים בדיקת בריאות וירטואלית פשוטה יחד עם ייעוץ, ואפילו תמיכה פרגמטית בביקורת מתמשכת, עם המבקר המוביל המוסמך שלנו.

ISMS.online הופך את הקמת תוכנית הביקורת הנכונה עבורך לפשוטה, על ידי אימוץ התוכניות המובנות מראש או יצירה מהירה וקלה משלך.

אנו נעזור לך לנהל את הביקורות שלך בצורה יעילה יותר ולשלב אותן עם גישה הוליסטית לרחבה יותר האיזמים.