Intern audit (ISO 27001)

Intern audit er en systematisk og uafhængig gennemgang af dit ISMS, der verificerer, at organisationen faktisk efterlever ISO 27001-kravene i praksis. Det er et obligatorisk krav i standarden og fungerer som organisationens egenkontrol, inden den eksterne certificeringsaudit finder sted.

Tilbage til ordbog

Hvad er intern audit?

En intern audit er en planlagt gennemgang af organisationens ISMS, der udføres af organisationens egne medarbejdere eller en ekstern part på vegne af organisationen. Formålet er at vurdere, om ISMS'et opfylder ISO 27001's krav, og om det er effektivt implementeret og vedligeholdt.

Den interne audit er krævet af ISO 27001 klausul 9.2 og skal gennemføres regelmæssigt. Resultater fra intern audit er en vigtig del af inputtet til ledelsesgennemgangen.

Formål og krav

Den interne audit tjener to overordnede formål:

Konformitetskontrol: Verificer at ISMS'et opfylder organisationens egne krav og kravene i ISO 27001.
Effektivitetsvurdering: Vurder om ISMS'et faktisk er implementeret og vedligeholdt i praksis.

ISO 27001 stiller specifikke krav til den interne audit: Der skal foreligge et auditprogram, auditorer skal være upartiske (ikke auditere eget arbejde), og resultater skal dokumenteres og rapporteres til ledelsen.

Auditprocessen

En typisk intern audit følger disse trin:

Planlægning: Fastlæg auditomfang, -kriterier og -metode. Udpeg upartiske auditorer.
Forberedelse: Gennemgå dokumentation, udarbejd tjeklister og aftal tidspunkt med de berørte.
Gennemførelse: Interviews, observation og gennemgang af dokumentation og beviser.
Rapportering: Dokumenter fund, afvigelser og observationer i en auditrapport.
Opfølgning: Iværksæt korrigerende handlinger for identificerede afvigelser.

Dokumentér alt: ISO 27001 kræver, at resultaterne af den interne audit opbevares som dokumenteret information. Auditrapporten er et centralt dokument, som den eksterne revisor vil gennemgå under certificeringsauditten.

Afvigelser og korrigerende handlinger

Når en intern audit identificerer afvigelser, skal organisationen iværksætte korrigerende handlinger. Det indebærer at analysere årsagen til afvigelsen, implementere en løsning og verificere, at løsningen virker. Alle disse trin skal dokumenteres (klausul 10.1).

Ofte stillede spørgsmål om intern audit (iso 27001)

Hvad er en intern audit i ISO 27001?

En intern audit er en systematisk, uafhængig gennemgang af organisationens ISMS. Formålet er at vurdere, om ISMS'et opfylder ISO 27001's krav og er effektivt implementeret. Intern audit er et obligatorisk krav i standarden (klausul 9.2).

Kan interne auditorer auditere eget arbejde?

Nej. ISO 27001 kræver, at auditorer er upartiske og ikke auditerer eget arbejde. Dette er objektivitetskravet. I mindre organisationer kan det betyde, at man bruger en ekstern konsulent som intern auditor.

Hvor tit skal man lave intern audit?

ISO 27001 kræver, at interne audits gennemføres med planlagte intervaller. I praksis er mindst én gang om året standarden. Hyppighed kan justeres baseret på vigtighed af de pågældende processer og tidligere auditresultater.

Hvad sker der, hvis der findes afvigelser ved den interne audit?

Organisationen skal iværksætte korrigerende handlinger: analysere årsagen, implementere en løsning og verificere dens effektivitet. Alle trin skal dokumenteres. Afvigelser skal være løst inden den eksterne certificeringsaudit for at undgå problemer.

Hvem kan udføre en intern audit?

Interne audits kan udføres af organisationens egne medarbejdere eller af en ekstern part på organisationens vegne. Det afgørende krav er, at auditorer skal være upartiske og kompetente. De må ikke auditere processer, de selv er direkte ansvarlige for.