ווי צו שרייַבן אַן ינערלעך קאָנטראָלירן באַריכט פֿאַר ISO 27001

ווי אַ טייל פון די פאַרוואַלטונג סיסטעם רעקווירעמענץ, פּונקט 9.2 דעטאַילס וואָס מוזן זיין געטאן וועגן ינערלעך אַדאַץ. דאָס כולל אַ פאָדערונג פֿאַר ריטיינינג דאַקיומענטאַד זאָגן פון די קאָנטראָלירן רעזולטאַטן, און דאָס איז דורכגעקאָכט דורך אַ קאָנטראָלירן באַריכט.

ווי טאָן ISO 27001 ינערלעך אַדאַץ אַרבעט?

אינערלעכער אַדאַץ פֿאַר ISO 27001 אַרבעט דורך נאָכגיין אַ קאָנטראָלירן פּראָגראַם וואָס יידענאַפייד די אַדאַץ צו זיין דורכגעקאָכט איידער סערטאַפאַקיישאַן און בעשאַס יעדער סערטאַפאַקיישאַן פּעריאָד.

זיי דאַרפן די סעלעקציע פון ​​אַ קאָמפּעטענט און אָביעקטיוו אָדיטאָר צו נעמען יעדער ינערלעך קאָנטראָלירן וועראַפייינג העסקעם מיט די רעקווירעמענץ פון די סטאַנדאַרט, די אָרגאַניזאַציע ס אייגענע אינפֿאָרמאַציע רעקווירעמענץ און אַבדזשעקטיווז פֿאַר די ISMS, און אַז די פּאַלאַסיז, ​​פּראַסעסאַז און אנדערע קאָנטראָלס זענען עפעקטיוו און עפעקטיוו.

אַקטיוויטעטן אַרייַנגערעכנט אין אַן ינערלעך קאָנטראָלירן:

• דאַקיומענטיישאַן רעצענזיע
• עווידענטיאַל מוסטערונג
• ינטערוויוינג שטעקן מיט שליסל אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז
• ינטערוויוינג אנדערע שטעקן (און עפשער קאָנטראַקטאָרס)
• אַססעסס די פיינדינגז
• שרייבן די קאָנטראָלירן באַריכט.

ווי אָפט טאָן איך דאַרפֿן אַ קאָנטראָלירן?

כאָטש עס איז נישט קלאָר אין ISO 27001 זיך ווי אָפט איר מוזן דורכפירן ינערלעך אַדאַץ. עס איז דערוואַרט אַז די קאָנטראָלירן פּראָגראַם גייט די זעלבע רעקווירעמענץ ווי די געשטעלט אויף די סערטאַפאַקיישאַן ללבער פֿאַר קאַנדאַקטינג זייער אַדאַץ נאָך ISO / IEC 27006: 2015 - רעקווירעמענץ פֿאַר ללבער וואָס צושטעלן קאָנטראָלירן און סערטאַפאַקיישאַן פון יסמס.

ין יסאָ קסנומקס פאָדערונג 9.1.5.2 e, סטייץ אַז די קאָנטראָלירן פּראָגראַם "קאָווערס רעפּריזענאַטיוו סאַמפּאַלז פון די פאַרנעם פון די ISMS סערטאַפאַקיישאַן אין די דריי יאָר צייט."

דעריבער, איר דאַרפֿן צו דורכפירן ינערלעך אַדאַץ וואָס דעקן די גאנצע נאָרמאַל, אין מינימום, איבער די סערטאַפאַקיישאַן צייט (3 יאָר פֿאַר UKAS אַקרעדיטיד סערטיפיקאַץ).

איר קען טאָן דאָס ווי אַ איין קאָנטראָלירן, אָבער עס איז מער אָפט צעבראכן אין קלענערער אַדאַץ איבער די 3-יאָר צייט.

עס איז אויך וויכטיק צו קאָנטראָלירן עטלעכע געביטן מער אָפט אויב די ריזיקירן לעוועלס זענען הויך אָדער די געגנט איז אונטערטעניק צו אָפט ענדערונגען.

עס איז רעקאַמענדיד איר קאָנטראָלירן די פאַרוואַלטונג סיסטעם רעקווירעמענץ (קלאָזיז 4-10) אַניואַלי. דעם קענען זיין טייד אין דיין ISMS פאַרוואַלטונג רעצענזיע, וואָס אויך מוזן זיין דורכגעקאָכט אַניואַלי.

אין ISMS.online, מיר צושטעלן אַ פאַר-געבויט אַודיט פּראָגראַם אַרבעט געגנט וואָס כולל:

• אַקטיוויטעטן פֿאַר 2 רעקאַמענדיד אַדאַץ איידער סערטאַפאַקיישאַן
• א פּלאַן פון ינערלעך אַדאַץ פֿאַר דער ערשטער 3-יאָר סערטאַפאַקיישאַן צייַט
• אָרטהאָלדערס פֿאַר דיין פונדרויסנדיק סערטאַפאַקיישאַן און פּעריאָדיש אַדאַץ

פארוואס טאָן איך דאַרפֿן צו שאַפֿן אַ באַריכט פֿאַר אַן ינערלעך קאָנטראָלירן?

דער סטאַנדאַרט ריקווייערז איר צו דאָקומענט די קאָנטראָלירן רעזולטאַטן - פּונקט 9.2 פון ISO 27001 כולל די פאָדערונג צו "ריטיין דאַקיומענטאַד אינפֿאָרמאַציע ווי זאָגן פון די ……… קאָנטראָלירן רעזולטאַטן".

דאָס איז געטאן אין אַ קאָנטראָלירן באריכט.

וואָס דאַרף צו טאָן ווען איר צוגרייטן דעם באַריכט?

דאָך, איידער איר קענען דאָקומענט די קאָנטראָלירן באַריכט, איר האָבן צו פּלאַן און דורכפירן די קאָנטראָלירן. איר קענט דערנאָך דאָקומענט די פיינדינגז אין דעם באַריכט.

אָנהייבן מיט דיין ISO 27001 קאָנטראָלירן פּלאַן

פֿאַר יעדער קאָנטראָלירן, איר דאַרפֿן צו פּלאַן:

• וואָס די קאָנטראָלירן וועט דעקן - וואָס אָפּטיילונג (s) פון די נאָרמאַל, לאָוקיישאַנז, געשעפט פּראַסעסאַז עטק
• ווער דער אַודיטאָר וועט זיין - מוזן זיין קאָמפּעטענט און אָביעקטיוו.
• ווען די קאָנטראָלירן איז דורכגעקאָכט, עס זאָל נישט האָבן אַ באַטייטיק אַדווערס פּראַל אויף די אָפּעראַציע פון ​​די אָרגאַניזאַציע.
• די מעטאָד (s) פון קאָנטראָלירן - דאַקיומענטיישאַן רעצענזיע, מוסטערונג, ינטערוויוז עטק
• ווער וועט דאַרפֿן צו זיין ינוואַלווד אין די קאָנטראָלירן?

דאַקיומענטיישאַן רעצענזיע

יעדער קאָנטראָלירן וועט דאַרפן די אָפּשאַצונג פון באַטייַטיק דאַקיומענטיישאַן, אַרייַנגערעכנט פּאַלאַסיז, ​​​​פּראָוסידזשערז, סטאַנדאַרדס און גיידאַנס וואָס זענען באַטייַטיק צו די געגנט (s) פון די סטאַנדאַרט וואָס איז אַודיטעד. עס איז גוט פיר צו רעקאָמענדירן יענע וואָס זענען אַודיטעד וועגן די געביטן צו זיין באדעקט צו ענשור גרינג און בייַצייַטיק אַקסעס צו די באַטייַטיק דאַקיומענטיישאַן.

אין ISMS.online, דאָס איז גרינג צו האָבן די דאַקיומענטיישאַן אין די סיסטעם אָדער פֿאַרבינדונג עס אין די באַטייַטיק אָפּטיילונג פון דער נאָרמאַל.

עווידענטיאַל מוסטערונג & ינטערוויוז

רובֿ אַדאַץ וועט דאַרפן די מוסטערונג פון זאָגן צו אַ ווייניקער אָדער גרעסער גראַד. דאָס קען אַרייַננעמען ינטערוויוינג באַטייַטיק שליסל שטעקן, סוף ניצערס, און מאל אפילו צייַטווייַליק שטעקן און קאָנטראַקטאָרס.

קוואלן פֿאַר מוסטערונג קען אַרייַננעמען, פֿאַר בייַשפּיל:

• ינטערוויוז מיט עמפּלוייז און אנדערע מענטשן
• אַבזערוויישאַנז פון אַקטיוויטעטן און די אַרומיק אַרבעט סוויווע און טנאָים
• דאָקומענטן, אַזאַ ווי פּאַלאַסיז, ​​אַבדזשעקטיווז, פּלאַנז, פּראָוסידזשערז, סטאַנדאַרדס, ינסטראַקשאַנז, לייסאַנסיז און פּערמיץ, ספּעסאַפאַקיישאַנז, דראַווינגס, קאַנטראַקץ און אָרדערס
• רעקאָרדס, אַזאַ ווי דורכקוק רעקאָרדס, מינוט פון מיטינגז, קאָנטראָלירן ריפּאָרץ, רעקאָרדס פון די מאָניטאָרינג פּראָגראַם און די רעזולטאַטן פון מעזשערמאַנץ
• דאַטן סאַמעריז, אַנאַליזעס און פאָרשטעלונג ינדיקאַטאָרס
• אינפֿאָרמאַציע וועגן די מוסטערונג פּלאַנז פון די אַודיטי און די פּראָוסידזשערז פֿאַר קאָנטראָל פון מוסטערונג און מעזשערמאַנט פּראַסעסאַז
• ריפּאָרץ פון אנדערע קוואלן, למשל קונה באַמערקונגען, פונדרויסנדיק סערווייז און מעזשערמאַנץ, נאָך באַטייַטיק אינפֿאָרמאַציע פון ​​פונדרויסנדיק פּאַרטיעס און סאַפּלייער רייטינגז
• דאַטאַבייסיז און וועבסיטעס
• סימיאַליישאַן און מאָדעלינג

אַנאַליסיס

אַמאָל די דאַטן זאַמלונג פֿאַר די קאָנטראָלירן איז דורכגעקאָכט, עס וועט זיין נויטיק פֿאַר די אָדיטאָר צו אַססעסס און אַנאַלייז די פיינדינגז צו באַשליסן קיין ניט-קאַנפאָרמאַטיז אָדער אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג.

פיינדינגז זענען נאָרמאַלי קאטיגארעזירט ווי איינער פון די פאלגענדע:

• הויפּט ניט-קאָנפאָרמיטי
• מינערווערטיק ניט-קאַנפאָרמאַטי
• געלעגנהייט פֿאַר פֿאַרבעסערונג

עטלעכע סערטאַפאַקיישאַן ללבער אויך נוצן:

• אָבסערוואַציע - ווען עס זענען פרי ינדיקאַטיאָנס, אַ מינערווערטיק נאָנקאָנפאָרמיטי קען עקסיסטירן אָדער קען אַנטוויקלען אויב קיין קאַמף איז גענומען.
• Positive פונט - אַוואָרדיד אָדער ווו אַן אָרגאַניזאַציע איז געווען ווייַטער פון דערקענט גוט פיר אָדער ווו עס איז געווען אַ באַטייטיק פֿאַרבעסערונג אין אַ געגנט זינט די פריערדיקע קאָנטראָלירן.

באַריכט

נאָך אַנאַלייזד די פיינדינגז, די קאָנטראָלירן באַריכט קענען איצט זיין צוגעגרייט און דערלאנגט צו דער מענטש אָדער מאַנשאַפֿט פאַראַנטוואָרטלעך פֿאַר די ISMS פֿאַר אָפּשאַצונג און נאָכפאָלגן.

ווי איז אַן ינערלעך קאָנטראָלירן באַריכט צוגעגרייט?

די קאָנטראָלירן באַריכט מוזן זיין צוגעגרייט ווי דאַקיאַמענטאַד אינפֿאָרמאַציע, אָבער דאָס טוט נישט מיינען אַז עס דאַרף זיין אַ באַזונדער וואָרט אָדער פּדף דאָקומענט. אין די ISMS.online פּלאַטפאָרמע, מיר פּרוּווט צו מוטיקן די ויסמיידן פון שאפן אַזאַ דאָקומענטן אָבער אַנשטאָט צושטעלן אַ אַרבעט געגנט אין וואָס דער באַריכט קענען זיין דירעקט דאַקיומענטאַד. דער געגנט אָפפערס נאָך פאַנגקשאַנאַליטי אַרייַנגערעכנט די פיייקייט צו לייכט פֿאַרבינדונג צו אנדערע אַרבעט געביטן, פּאַלאַסיז, ​​קאָנטראָלס, ריסקס, קערעקטיוו קאַמף און פֿאַרבעסערונג "טיקיץ" און מער.

שאַפֿן אַ יגזעקיאַטיוו קיצער

די יגזעקיאַטיוו קיצער איז נוציק אַזוי אַז עלטער פאַרוואַלטונג קענען געשווינד און לייכט זען אַן איבערבליק פון די פיינדינגז, אַרייַנגערעכנט אַלע מעגלעך קריטיש ישוז, טרענדס און אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג. דאָס קען זיין לייכט לינגקט צו די ISMS פאַרוואַלטונג אָפּשאַצונג נאָך פּונקט 9.3.

דאָס וועט יוזשאַוואַלי אַרייַננעמען:

• א גענעראַל איבערבליק פון די אָפּעראַציע פון ​​די געביטן פון די יסמס באדעקט אין די קאָנטראָלירן.
• א נומעריקאַל קיצער פון די קאַטעגאָריעס פון פיינדינגז.
• די כיילייטינג פון קיין דרינגלעך / קריטיש פיינדינגז.
• א קורץ באַשרייַבונג פון די ווייַטער סטעפּס צו זיין גענומען צו אַדרעס קיין פיינדינגז.

באַקענען טערמינאָלאָגיע געניצט

צו ענשור אַ פּראָסט פארשטאנד פון די פיינדינגז פון דעם באַריכט, עס איז נייטיק צו אַרייַננעמען די דעפֿיניציע פון ​​עטלעכע טערמינאָלאָגיע געניצט וואָס איז אָדער ספּעציפיש פֿאַר דער אָרגאַניזאַציע, די קאָנטראָלירן פּראָצעס אָדער די סטאַנדאַרט. געדענקט, ניט אַלע וואָס קען דאַרפֿן צו לייענען, אַססעסס און פֿאַרשטיין דעם באַריכט, וועט דאַווקע פֿאַרשטיין אַלע די געוויינט טערמינאָלאָגיע.

באַשרייַבן די קאָנטראָלירן פּלאַן

דאָס וועט אַרייַננעמען:

• דער פאַרנעם פון די קאָנטראָלירן - שטח (s) צו זיין באדעקט, לאָוקיישאַנז, שטעקן, געשעפט פּראַסעסאַז עטק
• דער נאָמען פון די אַודיטאָר (ס)
• די דאַטעס, צייט און לאָוקיישאַנז פון די קאָנטראָלירן

באַשרייַבן Facts געפונען

פֿאַר יעדער אָפּטיילונג פון די קאָנטראָלירן, איר זאָל דאָקומענט די פיינדינגז, אַרייַנגערעכנט הערות פון קיין עווידענטשאַל סאַמפּאַלז גענומען.*

עס איז גוט פיר צו רעקאָרדירן העסקעם און positive פונקטן און דאָקומענט קיין ניט-קאַנפאָרמאַטיז אָדער אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג.

די פיינדינגז זאָל רעקאָרדירן די Facts געפונען באַטייַטיק צו די ISMS און די סטאַנדאַרט און זאָל נישט אַרייַננעמען מיינונג אָדער קאַנדזשעקטור ווייַטער פון גלייַך עקסטראַפּאָלאַטיאָן.

* באַמערקונג - אויב עווידענטיאַל סאַמפּאַלז אַנטהאַלטן פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע, עס איז געוויינטלעך פיר צו פּסעוודאָנים אָדער אַנאָנימיזע די דאַטן אין לויט מיט פּריוואַטקייט געסעצ - געבונג רעקווירעמענץ אַזאַ ווי GDPR.

דאָקומענט ניט-קאַנפאָרמאַטיז און אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג

ווען ניט-קאַנפאָרמאַטיז און אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג זענען יידענאַפייד, די מוזן זיין קלאר דאַקיומענטאַד אַזוי אַז קערעקטיוו אַקשאַנז און פֿאַרבעסערונג זאכן קענען זיין רעקאָרדעד און געראטן דורך די דערקענט פּראַסעסאַז פון דער אָרגאַניזאַציע ווי דאַקיומענטאַד אין לויט מיט קלאָז 10.1 נאָנקאָנפאָרמיטי און קערעקטיוו קאַמף; און 10.2 קעסיידערדיק ימפּרווומאַנץ.

באַשרייַבן רעקאַמאַנדיישאַנז

ווי דאָס איז אַן אינערלעכער קאָנטראָלירן באַריכט, עס איז אַלאַואַבאַל פֿאַר אַן אָדיטאָר צו מאַכן רעקאַמאַנדיישאַנז וועגן ווי אַן אָרגאַניזאַציע קען אַדרעס פיינדינגז. לעסאָף די דיסיזשאַנז רילייטינג צו קערעקטיוו אַקשאַנז און ימפּרווומאַנץ מוזן זיין געמאכט דורך די באַטייַטיק מענטשן אָדער טימז פאַראַנטוואָרטלעך פֿאַר די ISMS און אינפֿאָרמאַציע זיכערהייט.