ISO 27001-inforskontroller oroar många organisationer, och med rätta. Om dokumentationen är spretig, ansvar oklara och bevis för praktiskt genomförande bristfälliga, blir revisionsdagen snabbt stressig och dyr. Ofta är problemet inte att saker och ting inte är gjorda, utan att det inte går att tydligt påvisa dem.
I denna artikel går vi igenom hur ni förbereder er för en ISO 27001-inforskontroll så att ni vet vilka frågor revisorn sannolikt ställer, vilka bevis ni bör samla på förhand och hur ni organiserar dagen utan onödigt kaos. Ni får både bakgrundsinformation och en konkret handlingsplan som ni kan applicera direkt i ert företag.
Vad innebär ISO 27001-inforskontroll i praktiken?
Inforskontrollen är en audit som hör till underhållet av certifieringen där det kontrolleras att organisationens informationssäkerhetssystem fortfarande fungerar som planerat. Det handlar alltså inte bara om att dokument finns, utan om att de används, uppdateras och följs i vardagen.
I ett SME-företag visar sig detta ofta som mycket praktiska frågor. Revisorn kan till exempel vilja se riskbedömningen, hantering av avvikelser, hantering av behörigheter eller minnesanteckningar från ledningens genomgång. Dessutom vill revisorn ofta se att de överenskomna rutinerna verkligen följs.
Vanligtvis granskas åtminstone följande under inforskontrollen:
- är tillämpningsområdet, det vill säga vad ISO 27001 omfattar, fortfarande aktuellt
- har riskbedömningen uppdaterats inom exempelvis 12 månader eller efter en betydande förändring
- har intern revision genomförts enligt plan
- har ledningen behandlat informationssäkerheten minst 1 gång per år
- är avvikelser, observationer och korrigerande åtgärder dokumenterade och avslutade inom avtalad tid
- är valda kontroller motiverade och genomförda i praktiken
Notera
ISO 27001-inforskontroll är inte samma sak som en initial certifiering. Revisorn utgår ifrån att grundstrukturen redan är på plats och fokuserar på hur styrsystemet lever i vardagen.
Var snubblar företag oftast?
Det vanligaste problemet är inte en enskild saknad dokumentation, utan inkonsekvens i helheten. Riskregistret kan vara uppdaterat, men åtgärderna som härleds därifrån syns inte i uppgiftslistor. Behörighetsprocessen kan vara beskriven, men konton till bortgångna anställda har inte tagits bort inom 24 timmar som er egen instruktion säger.
Ett annat typiskt problem är att svaren är beroende av en enda person. Om bara informationssäkerhetsansvarig kan förklara hur saker fungerar, får revisorn lätt intrycket att arbetssättet inte är förankrat i organisationen.
Kontrollera särskilt dessa riskpunkter innan revisionen:
- processen som beskrivs i dokumentet stämmer inte överens med hur ni faktiskt arbetar
- nyckeltal är definierade men följs inte upp regelbundet
- observationer från internrevision är öppna utan tidsfrist
- inget bevis finns för personalens informationssäkerhetsutbildningar under de senaste 12 månaderna
- leverantörsuppföljning har gjorts en gång men uppdateras inte vid avtalsändringar
- backup används men återställningstest har inte gjorts under de senaste 6–12 månaderna
Varning
En vanlig miss är att förbereda revisionen enbart utifrån dokumenten. Om praktiska bevis saknas, som ärenden, godkännanden, loggar eller utbildningsanteckningar, räcker inte ens god dokumentation.
Vilka bevis bör ni förbereda i förväg?
God förberedelse innebär att det centrala materialet snabbt finns på ett och samma ställe. I praktiken kan det vara en mappstruktur, en arbetsyta för revisionen eller ett system som Tietoturvapankki där dokument, uppgifter och uppföljning finns i samma vy.
Tänk på förberedelsen ur revisorns perspektiv: kan ni visa svaret på en fråga inom 2–5 minuter? Om inte ligger materialet troligen för utspritt.
Följande tabell hjälper er att få en överblick över vad som bör samlas in i förväg:
| Område att granska | Exempel på bevis | Rekommenderad tidsperiod | Ansvarig |
|---|---|---|---|
| Riskhantering | riskregister, handlingsplan, godkännanden | senaste versionen + ändringar de senaste 12 månaderna | informationssäkerhetsansvarig |
| Intern revision | revisionsplan, rapport, korrigerande åtgärder | senaste revisionsrundan | kvalitets- eller informationssäkerhetsansvarig |
| Ledningens genomgång | protokoll, beslut, nyckeltal, resursbeslut | minst 1 gång/år | ledning |
| Hantering av behörigheter | öppnings- och borttagningsförfrågningar, godkännanden, kontrollista | stickprov de senaste 3–6 månaderna | IT |
| Avvikelsehantering | avvikelseloggar, grundorsak, korrigerande åtgärder | senaste 12 månaderna | processägare |
| Utbildning och kompetens | deltagarlistor, utbildningsmaterial, kvittenser | senaste 12 månaderna | HR / närmaste chef |
| Leverantörshantering | utvärderingar, avtal, informationssäkerhetskrav | aktiva leverantörer | inköp / IT |
Hur organiserar ni granskningsdagen smidigt?
Inforskontrollen lyckas bättre om dagen är manusförfattad på förhand. Det betyder inte att svar ska tränas utantill, utan att rätt personer är på plats i rätt tid och materialet finns tillgängligt utan fördröjning.
God praxis är att utse en huvudkoordinator och 2–4 nyckelpersoner som ansvarar för sina områden. I SME-företag är det ofta ledning, IT, informationssäkerhetsansvarig och vid behov HR eller kundtjänst.
Planera åtminstone följande i förväg:
- revisionsschemat på timbasis
- vilka som deltar i inledande och avslutande möten
- vem visar dokumentationen och var den finns
- vem svarar på tekniska frågor, som loggning eller backuper
- hur eventuella tilläggsförfrågningar hanteras under dagen
- var revisorns observationer och vidare åtgärder skrivs upp direkt
Tips
Håll en 30 minuters intern generalrepetition cirka en vecka före inforskontrollen. Gå igenom tre frågor: vad revisorn sannolikt frågar om, vem svarar och var bevisen finns.
Genomför en revisionsgenomgång 2–4 veckor innan
Samla nyckelpersoner och gå igenom förändringar under de senaste 12 månaderna: nya system, organisationsförändringar, avvikelser och öppna åtgärder. Målet är att identifiera 3–5 centrala risker eller brister som måste åtgärdas innan inforskontrollen.
Uppdatera kritiska dokument och säkerställ konsistens
Kontrollera att riskbedömningen, tillämpningsområdet, lämplighetsutlåtandet, resultaten från internrevisionen och ledningens genomgång är aktuella. Säkerställ särskilt att dokumenterade rutiner överensstämmer med nuvarande praxis och att gamla system eller roller inte längre inkluderas.
Samla praktiska bevis i en revisionsmapp
Skapa en tydlig vy eller mappstruktur där ni hittar begärt material på 2–5 minuter. Lägg till exempel på behörighetsansökningar, exempel på borttagna konton, utbildningskvitton, hantering av avvikelser och resultat från återställningstest.
Träna nyckelpersoner att svara om sina områden
Gå igenom varje deltagares ansvar, senaste ändringar och sannolika frågor. Det räcker att personen kan redogöra klart för vad som görs, tidsramar och hur arbetet kan verifieras.
Kom överens om regler för revisionsdagen och efterföljande åtgärder
Utse en person som dokumenterar observationer, tilläggsförfrågningar och deadlines i realtid. Om revisorn påtalar en avvikelse, kom överens om ägare och måldatum redan samma dag, till exempel att korrigerande åtgärder påbörjas inom 5 arbetsdagar.
Frågor ni bör förbereda svar på i förväg
Revisorn söker vanligtvis inte perfekta svar, utan konsekventa bevis för att organisationen har kontroll över sin informationssäkerhet. Därför är det bra att förbereda korta, praktiska svar på vanligaste frågor.
Ni kan testa dessa internt före revisionen:
- Hur identifierar och bedömer ni informationssäkerhetsrisker?
- När uppdaterades riskbedömningen senast?
- Hur säkerställer ni att bortgångna medarbetares behörigheter tas bort inom 24 timmar?
- Hur utbildas personalen i informationssäkerhet och var finns bevis för detta?
- Vad händer när en informationssäkerhetsavvikelse upptäcks?
- Hur följer ledningen upp informationssäkerhetsmål och nyckeltal?
- Hur utvärderar ni kritiska leverantörer?
- När testades återställning av backuper senast?
Ett bra svar är ofta kort och verifierbart. Exempelvis: “Bortgångens närmsta chef gör en servicebegäran, IT stänger av kontona samma arbetsdag och kvittot sparas i ärendehanteringssystemet.” Det är mycket starkare än en allmän utsaga om att “vi har en process”.
Vanligaste sista-minuten-åtgärderna före inforskontrollen
Under den sista veckan bör ni inte bygga om hela styrsystemet. Fokusera istället på brister som mest påverkar revisionsprocessen och mängden avvikelser.
Här är en praktisk prioriteringsmodell:
| Prioritet | Åtgärd som krävs | Varför just detta? | Måldatum |
|---|---|---|---|
| 1 | öppna avvikelser utan ägare | visar bristande kontroll | utse ägare omedelbart |
| 2 | saknas ledningens genomgång eller internrevision | central ISO 27001-krav | genomför före revisionen |
| 3 | konflikt mellan dokument och praktik | leder till fler frågor | uppdatera dokumentet inom 1 vecka |
| 4 | brister i utbildningsbevis | enkelt för revisorn att kontrollera | samla kvittenser på 3–5 dagar |
| 5 | utspridda bevis | fördröjer revisionen | samla mapp före revisionen |
Om inte allt hinns åtgärdas, var öppen med det. Revisorn uppskattar oftast en realistisk bild och en tydlig plan för korrigerande åtgärder mer än ett hastigt ytskikt.
Hur hjälper Tietoturvapankki till med förberedelserna?
I många SME-företag är den största utmaningen inte brist på förståelse utan brist på tid. När dokument, uppgifter, ansvar och uppföljning finns på olika platser tar det lätt flera arbetsdagar att förbereda sig för en inforskontroll. Risken att glömma något viktigt ökar då också.
Tietoturvapankki är byggt just för detta problem. Det kombinerar en applikation med expertstöd så att underhållet av ISO 27001-styrsystemet inte bygger på enskilda Excel-ark eller lappar. När risker, åtgärder, dokument och revisionsbevis finns samlat på ett ställe blir förberedelsen en rutin i stället för ett projekt.
Om ni i organisationen också använder kvalitetsledningssystem enligt ISO 9001 stödjer samma tankesätt båda systemen. Tietoturvapankki drivs av Softapankki Oy och QMClouds Oy, och inom samma koncern finns även Kvalitetsbanken, som är koncernens varumärke för kvalitetsledning.
Sammanfattning
- ISO 27001-inforskontrollen lyckas bäst när dokument, bevis och ansvar är på plats före revisionsdagen.
- Kontrollera särskilt riskhantering, internrevision, ledningens genomgång, behörigheter och avvikelsehantering för de senaste 12 månaderna.
- Ett bra mål är att hitta efterfrågat material inom 2–5 minuter och kunna visa hur praktiken fungerar i vardagen.
- Träna 2–4 nyckelpersoner att tydligt svara om sina processer med bevis som grund.
- Gör inga sista-minuten-ytskikt, prioritera kritiska brister och dokumentera korrigerande åtgärder realistiskt.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.