Modul 4

Internrevision enligt ISO 27001

Utbildningsperiod: oktober 2022. Den här utbildningen är avslutad och inte längre aktiv.

Upprättat av ISO-expert – Rebecka Fredriksson

Tillbaka till Kursöversikt
Informationssäkerhet

Modul 4: Internrevision och Certifiering

Arkiverad kursmodul från ISO 27001-utbildningen där Diyar Parwana i Linköping var utbildningsansvarig.

Utbildningsperiod: oktober 2022 – avslutad

Internrevision enligt ISO 27001

Revisionsplanering

Systematisk planering av interna revisioner:

  • Revisionsprogram

    - Årlig planering
    - Omfattning och mål
    - Resursallokering
    - Schemaläggning

  • Revisionskriterier

    - ISO 27001 krav
    - Interna procedurer
    - Lagstiftning
    - Best practice

Genomförande av revision

Systematisk genomförande av revisionen:

1. Öppningsmöte
  • Presentation av team
  • Revisionsplan
  • Metodik
  • Logistik
2. Dokumentgranskning
  • Policyer och procedurer
  • Riskbedömningar
  • Kontrollimplementering
  • Mätresultat
3. Intervjuer och observationer
  • Personalintervjuer
  • Processobservationer
  • Verifiering av praktik
  • Bevissamling

Certifieringsprocessen

  • Förberedelse

    Systematisk förberedelse för certifiering:

    • Gap-analys
    • Dokumentation
    • Implementering
    • Interna revisioner
  • Certifieringsaudit

    Genomförande av certifieringsaudit:

    • Stage 1 - Dokumentgranskning
    • Stage 2 - Certifieringsaudit
    • Korrektiv åtgärd
    • Certifieringsbeslut

Praktiska exempel

Exempel: Årligt revisionsprogram

Ett revisionsprogram för en IT-organisation:

Kvartal Område Revisor Status
Q1 Åtkomstkontroll Intern revisor Planerad
Q2 Kryptografi Extern revisor Planerad
Q3 Fysisk säkerhet Intern revisor Planerad
Q4 Incidenthantering Extern revisor Planerad