Audit

En audit (i forbindelse med ISO 27001) er en grundig og systematisk gennemgang af en organisations informationssikkerhedssystem (ISMS) af et eksternt certificerings bureau. Formålet er at sikre, at systemet opfylder kravene i ISO 27001-standarden og opnå en certificering i denne standard.
Dette indebærer flere trin:

1. Intern forberedelse: Interne auditorer gennemfører en test mhp. at gøre organisationen klar til den eksterne audit.
2. Forberedelse: Auditorer planlægger og forbereder auditten ved at gennemgå relevante dokumenter og procedurer.
3. Gennemgang af dokumentation: Auditorer gennemgår politikker, procedurer og andre dokumenter for at vurdere, om de er i overensstemmelse med ISO 27001-kravene.
4. Inspektion og observation: Auditorer besøger organisationen for at inspicere de faktiske sikkerhedsforanstaltninger og observere, hvordan de udføres i praksis.
5. Interviews: Auditorer taler med medarbejdere på forskellige niveauer for at forstå deres roller og ansvar i informationssikkerhedssystemet.
6. Identifikation af afvigelser: Auditorer identificerer eventuelle afvigelser eller mangler i forhold til standardens krav.

Rapportering: Auditorer udarbejder en rapport, der beskriver resultaterne, herunder styrker, svagheder og anbefalinger til forbedringer.
Formålet med en ISO 27001-audit er at sikre, at organisationens informationssikkerhedssystem er effektivt og i overensstemmelse med standarden, hvilket hjælper med at beskytte data mod trusler og sikre kontinuerlig forbedring.