Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.1: Independent review of information security
ISO 27001
12.7: Information systems audit considerations
ISO 27001

Sisäisen auditoinnin menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Organisaatio on määritellyt menettelyn, jonka mukaisesti sisäiset auditoinnit tulee toteuttaa. Menettelykuvaus kuvaa vähintään:

  • kuinka usein auditointeja järjestetään
  • ketkä auditointeja voivat toteuttaa (mm. auditointikriteerit)
  • kuinka varsinainen auditointi toteutetaan
  • kuinka auditoinnin tulokset dokumentoidaan ja kenelle tuloksista raportoidaan
Liittyvät muut vaatimuskehikot ja vaatimukset:
ID.GV-3: Legal and regulatory requirements
NIST
7.5: Dokumentoitua tietoa koskevat vaatimukset
ISO 27001
No items found.