ISO 27001 Audit

Hoewel een interne audit cruciaal is voor de naleving van ISO 27001, kan het auditproces voor sommige organisaties erg complex lijken. Voor een succesvolle ISO 27001-audit ten behoeve van de realisatie van een volwaardig  informatiebeveiligingsbeheersysteem (ISMS), zijn de volgende vijf fasen essentieel:

 

1) Toepassingsgebied en het pre-audit onderzoek

Auditors moeten een risicoanalyse uitvoeren om de focus voor de audit te bepalen. Dit heeft ook betrekking op de gebieden die normaliter buiten het bereik vallen. Als informatiebronnen kunnen de resultaten van een eerder uitgevoerd onderzoek, eerdere ISMS-rapporten of andere documenten worden gebruikt, zoals het ISMS-beleid.

De reikwijdte van de audit moet allereerst relevant zijn voor de organisatie. Dat houdt in dat deze overeen moet komen met de reikwijdte van het ISMS dat wordt gecertificeerd. In het geval van grote organisaties, moeten auditors het ISMS controleren dat op alle bedrijfslocaties wordt gebruikt. In een situatie waarbij er sprake is van veel locaties kan een representatieve steekproef volstaan.

Tijdens de voorfase van het onderzoek ten behoeve van de feitelijke audit,  moeten de auditors ook de belangrijkste belanghebbenden in het ISMS identificeren en benaderen. Het doel hiervan is het opvragen van de documentatie welke tijdens de audit zal worden beoordeeld.

 

2) Planning en voorbereiding

Nadat de scope van de ISMS-audit is vastgesteld, moeten auditors deze gedetailleerd uitsplitsen door het genereren van een ISMS-auditwerkplan. In dit plan worden de timing en resources van de audit overeengekomen met het management. Conventionele projectplanningsgrafieken, zoals Gantt, kunnen hierbij behulpzaam zijn.

Auditplannen identificeren en het stellen van grenzen rond de resterende fasen van de audit, bevatten vaak ‘ijkpunten’ die specifieke mogelijkheden voor auditors beschrijven om belangrijke, tussentijdse updates aan leidinggevenden te verstrekken. Dergelijke updates stellen auditors in staat om kritieke punten met betrekking tot de toegang tot informatie aan te kaarten. Ook voor het management kunnen dergelijke zaken van belang zijn voor de voortgang van het auditproces.

De timing van de specifieke taken in het auditproces is van belang om de juiste prioriteiten te stellen. Op die manier kan tijdig aandacht worden gegeven aan bepaalde aspecten die mogelijk een groot risico kunnen vormen voor de organisatie, als het ISMS ontoereikend wordt bevonden.

 

3) Veldwerk

Zodra een ISMS-auditwerkplan is gegenereerd, moeten auditors gegevens  verzamelen door medewerkers, managers en andere belanghebbenden die bij het ISMS zijn betrokken, te interviewen. Ook het verzamelen van ISMS-documenten, het afdrukken, bekijken van gegevens en het observeren van de huidige ISMS-processen vindt in deze fase plaats. Daarnaast moeten audittests worden uitgevoerd om de eerder gevonden te valideren, evenals het opstellen van werkdocumenten met betrekking tot de audit waarin de uitgevoerde tests worden gedocumenteerd.

De eerste fase van het veldwerk omvat meestal een beoordeling door de auditor van de opgestelde  documentatie met betrekking tot en voortvloeiend uit het ISMS. Deze bevindingen kunnen erop wijzen dat specifieke audittests nodig zijn om het goed functioneren van het ISMS met betrekking tot ISO 27001 te beoordelen.

 

4) Analyse

De controle-informatie moet worden gesorteerd, opgeslagen en beoordeeld worden in relatie tot de risico’s en de vastgestelde doelstellingen. In een incidenteel geval kan een analyse hiaten aantonen waardoor de behoefte ontstaat om meer audits uit te voeren. In dat geval is het niet uit te sluiten dat aanvullende veldtesten wenselijk zijn.

 

5) Rapportage

Dit essentiële onderdeel van het auditproces bestaat meestal uit een aantal belangrijke zaken:

  • Een inleiding ter verduidelijking van de reikwijdte, doelstellingen, timing en de omvang van de verrichte werkzaamheden;
  • Een samenvatting met de belangrijkste bevindingen, een korte analyse en een conclusie;
  • De beoogde ontvangers van het rapport en, in een incidenteel geval, richtlijnen voor classificatie en verspreiding;
  • Gedetailleerde bevindingen en analyses;
  • Conclusies en aanbevelingen;
  • Een verklaring van de auditor met gedetailleerde aanbevelingen of beperkingen.

 

Het concept-auditrapport

Het concept-auditrapport moet worden voorgelegd aan het management om de bevindingen verder te bespreken. Een aanvullende beoordeling en herziening kan nodig zijn omdat het eindrapport doorgaans betrekking heeft op het management dat het actieplan heeft opgesteld.