Wat is een interne audit in ISO 27001?

Overzicht

Een interne audit is een systematische, onafhankelijke evaluatie van uw ISMS om te verifiëren of het voldoet aan de eisen van ISO 27001:2022 en of het effectief is geïmplementeerd. Het is een verplichte vereiste onder Clausule 9.2 en een essentieel instrument om hiaten te identificeren vóór uw certificeringsaudit.

Interne audits leveren objectief bewijs dat uw ISMS werkt zoals bedoeld en helpen bij het stimuleren van voortdurende verbetering.

Interne audit in de praktijk

ISO 27001:2022 vereist dat u op geplande tijdstippen interne audits uitvoert om te beoordelen of uw ISMS:

• Voldoet aan uw eigen ISMS-eisen en de ISO 27001:2022-normen

• Effectief is geïmplementeerd en onderhouden

• De beoogde resultaten behaalt die zijn vastgelegd in uw informatiebeveiligingsdoelstellingen

U moet een auditprogramma opstellen dat rekening houdt met het belang van processen, wijzigingen die de organisatie beïnvloeden en resultaten van eerdere audits.

Kerncomponenten van interne audits

Auditplanning

Uw auditprogramma moet het volgende definiëren:

• Auditfrequentie (meestal jaarlijks, maar risicovolle gebieden kunnen vaker beoordeeld moeten worden)

• Auditscope die alle ISMS-clausules (4-10) en toepasselijke Annex A-beheersmaatregelen omvat

• Auditcriteria gebaseerd op ISO 27001:2022-eisen en uw gedocumenteerde procedures

• Auditmethoden (beoordeling van documenten, interviews, observatie, steekproeven)

De audit uitvoeren

Tijdens de audit moet u:

• Gedocumenteerde informatie beoordelen (beleid, procedures, registers)

• Interviews afnemen met proceseigenaren en medewerkers

• De implementatie van beheersmaatregelen observeren

• Steekproeven trekken voor bewijs van de effectiviteit van beheersmaatregelen

• Bevindingen objectief documenteren met bewijslast

Auditrapportage

Clausule 9.2 vereist dat u gedocumenteerde informatie bewaart als bewijs van de auditresultaten. Uw auditrapporten moeten het volgende bevatten:

• Vastgestelde conformiteiten en afwijkingen

• Kansen voor verbetering

• Bewijs ter ondersteuning van bevindingen

• Vereisten voor corrigerende maatregelen bij afwijkingen

Auditoreisen

ISO 27001:2022 Clausule 9.2 specificeert dat auditoren:

• Competent moeten zijn op het gebied van auditing en informatiebeveiliging

• Onpartijdig en objectief moeten zijn

• Niet hun eigen werk mogen auditen (onafhankelijkheidsvereiste)

Voorbeeld: Een IT-security manager kan HR-processen auditen, maar iemand anders moet de IT-securitymaatregelen auditen waarvoor de manager verantwoordelijk is.

Auditfrequentie en timing

Hoewel ISO 27001:2022 geen specifieke intervallen voorschrijft, omvatten 'best practices':

• Volledige ISMS-audit ten minste jaarlijks

• Frequentere audits voor kritieke of risicovolle gebieden

• Extra audits na significante wijzigingen

• Een timing die corrigerende maatregelen mogelijk maakt vóór externe certificeringsaudits

Veelvoorkomende auditgebieden

Uw interne audit moet het volgende omvatken:

• Clausule 4: Context, scope en ISMS-grenzen

• Clausule 5: Betrokkenheid van de directie en beleid

• Clausule 6: Risicobeoordeling en -behandeling

• Clausule 7: Middelen, competentie, bewustzijn, communicatie

• Clausule 8: Operationele planning en implementatie van beheersmaatregelen

• Clausule 9: Monitoring, meting, interne audit, management review

• Clausule 10: Afwijking en corrigerende maatregel, voortdurende verbetering

• Annex A: Toepasselijke beheersmaatregelen uit uw SoA

Gerelateerde termen

• ISMS – Het systeem dat wordt geaudit

• Management Review – Gebruikt auditbevindingen als input

• Beheersmaatregel – Individuele beveiligingsmaatregelen die in audits worden geëvalueerd

• Verklaring van Toepasselijkheid (SoA) – Definieert welke beheersmaatregelen geaudit moeten worden