Internrevision och ISO 27001 - så hänger det ihop

Informationssäkerhet har blivit en av de största utmaningarna för företag idag. Kunder, partners och myndigheter vill veta att deras information hanteras på ett säkert och tillförlitligt sätt. För att möta dessa krav väljer många företag att certifiera sig enligt ISO 27001, den internationella standarden för informationssäkerhet.

Men att bli certifierad är inte slutet på resan, det är bara början. Ett av de centrala kraven i ISO 27001 är att organisationen regelbundet ska genomföra internrevisioner. I den här artikeln går vi igenom varför internrevisionen är så viktig i ISO 27001 och hur den hjälper företag att uppnå och behålla certifieringen.

Vad är ISO 27001?

ISO 27001 är en internationell standard som beskriver hur organisationer ska bygga och driva ett ledningssystem för informationssäkerhet (eng. Information Security Management System, eller ISMS). Notera att ordet ledningssystem inte syftar på system i benämningen IT-system, utan kan tänkas som en ram för riskhantering bestående av policyer, processer, rutiner, tekniska kontroller, med mera.

Standarden omfattar både tekniska och organisatoriska åtgärder och bygger på en riskbaserad metod. Syftet är att skydda informationssäkerhetens tre grundläggande värden:

• Konfidentialitet - information ska vara tillgänglig endast för behöriga.
• Integritet(ibland kallad riktighet) - information ska vara korrekt och inte manipulerad.
• Tillgänglighet - information ska finnas tillgänglig när den behövs.

För att uppnå detta krävs ett systematiskt arbete där rutiner, policyer och tekniska kontroller hela tiden utvecklas och förbättras.

Vad är internrevision i ISO 27001?

I ISO 27001 är internrevisionen en obligatorisk del av standarden. Det innebär att ledningssystemet regelbundet granskas av en kompetent och objektiv revisor för att säkerställa att det:

• Följer standardens krav.
• Lever upp till företagets egna policyer och rutiner.
• Är effektivt och ger önskade resultat.
• Tillämpas i praktiken.

Internrevisionen blir på så sätt en ”egenkontroll” som visar hur väl ISMS fungerar i praktiken.

Varför är internrevision så viktigt i ISO 27001?

1. Säkerställer efterlevnad

ISO 27001 ställer höga krav på dokumentation, riskanalyser och kontroller. Internrevisionen säkerställer att dessa krav uppfylls.

2. Identifierar brister tidigt

Genom revisionen kan organisationen upptäcka svagheter innan de leder till incidenter eller kostsamma avvikelser vid en extern certifieringsrevision.

3. Underlättar certifieringsprocessen

Certifieringsorganet som granskar ISO 27001 kommer alltid att titta på hur internrevisionerna har utförts. En väl genomförd internrevision gör den externa revisionen både enklare och smidigare.

4. Driver kontinuerlig förbättring

ISO 27001 handlar inte bara om att uppfylla minimikrav, utan om att hela tiden förbättra informationssäkerheten. Internrevisionen är motorn som driver detta arbete framåt.

Hur går en internrevision för ISO 27001 till?

Processen liknar en ”vanlig” internrevision, men med fokus på informationssäkerhet. Nedan beskrivs fem steg:

1. Planering - Definiera omfattningen. Ska hela ISMS granskas eller bara delar, t.ex. incidenthantering eller åtkomstkontroller?
2. Förberedelse - Samla in policydokument, riskbedömningar, säkerhetsrutiner och tidigare rapporter. Samla in evidens som demonstrerar att rutiner följs och dela materialet med revisorerna på förfrågan.
3. Genomförande - Intervjua relevanta medarbetare och granska ledningssystemet. Kontrollera evidens, t.ex. genom att granska loggar, kontrollera systeminställningar och jämför med både standarden och interna policys.
4. Rapportering - Dokumentera avvikelser, styrkor och förbättringsförslag i en revisionsrapport och dela med relevanta mottagare inom organisationen.
5. Åtgärder och uppföljning - Säkerställ att bristerna åtgärdas och att ISMS kontinuerligt förbättras. För spårbarhet, dokumentera att detta har gjorts!

Vanliga brister som upptäcks i en ISO 27001-internrevision

• Riskanalyser som inte är uppdaterade.
• Informationssäkerhetspolicyer som inte är kommunicerade till medarbetare, exempelvis inte delade eller lättillgängliga för anställda.
• Tekniska kontroller (t.ex. åtkomsthantering) som inte efterlevs fullt ut.
• Bristande dokumentation av incidenter och lärdomar.

Genom att upptäcka dessa brister internt kan företaget rätta till dem innan en extern revision.

Är internrevision ett krav i ISO 27001?

Ja, internrevision är ett obligatoriskt krav enligt standarden. Den visar att organisationen själv kontrollerar sitt ISMS.

Hur ofta måste man göra internrevision i ISO 27001?

Minst en gång per år, men många företag väljer att revidera vissa delar oftare, särskilt vid hög risk.

Vem får utföra internrevisionen?

Det kan göras av interna medarbetare som är oberoende från det som granskas, eller av externa konsulter. Det är viktigt att revisorn är kompetent och objektiv, därför använder sig många organisationer av företag som erbjuder dessa tjänster, som vi på Securance.

Vad händer om revisionen hittar många avvikelser?

Det är inget hinder för certifiering, tvärtom visar det att företaget arbetar aktivt med förbättring. Det viktiga är att avvikelserna åtgärdas, dokumenteras och följs upp.

Internrevisionen är en central del av ISO 27001. Den säkerställer att organisationen följer standardens krav, upptäcker brister i tid och driver kontinuerlig förbättring.

För företag som vill bli eller förbli certifierade är internrevisionen inte bara en formalitet, utan en nyckel till att bygga ett robust och trovärdigt informationssäkerhetssystem.