Akademin hem
Bloggar
Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

ISO 27001 insamling
Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?
NIS2 samling
Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?
Cyberday blogg
Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I januari 2025 genomgick Cyberday en övervakningsrevision enligt ISO 27001:2022. Vårt företag har haft ISO 27001-certifiering sedan 2021. För ISO 27001 är certifieringen giltig i tre år och en övervakningsrevision ska göras varje år. Eftersom vi omcertifierades 2024 var detta vår första övervakningsrevision under denna 3-åriga certifieringsperiod.  

Utöver omcertifierings- och övervakningsrevisionerna bör organisationerna genomföra en internrevision minst en gång om året.

För att genomföra revisionen begärde revisorn att vi skulle ha två separata medarbetarintervjuer: en nyanställningsintervju och en rollbaserad intervju. Jag blev inbjuden att delta i intervjun med den nya medarbetaren och nu vill jag ta med dig dit. 🚀

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.

Om du vill veta mer om hela den övergripande processen kan du läsa vår blogg om ISO 27001-certifieringsprocessen.

Vikten av att medarbetarna deltar i säkerhetsrevisioner

Revisioner, i synnerhet ISO 27001, är starkt beroende av att de anställda deltar aktivt. De utgör grunden för en organisations ledningssystem för informationssäkerhet (ISMS) och deras medverkan i revisionerna främjar öppenhet och fördjupar deras förståelse för företagets säkerhetspolicy och säkerhetsrutiner.

I den här artikeln fokuserar vi på medarbetarnas medverkan i revisionsintervjuer, men det finns många andra sätt som en organisation kan involvera medarbetarna på, till exempel

  • Aktivt engagera medarbetarna i förberedelseprocessen för att bygga upp och utveckla en proaktiv informationssäkerhetskultur.  
  • Möjlighet till utbildningstillfällen och workshops relaterade till ramverket: på så sätt kan medarbetarna bättre förstå sina roller när det gäller att upprätthålla efterlevnaden och kommer mer sannolikt att ställa frågor för att klargöra eventuella oklarheter.
  • Före revisionen bör medarbetarna säkerställa att all dokumentation som rör deras eget arbete är uppdaterad och korrekt återspeglar de säkerhetsrutiner som de följer.
  • Engagera medarbetarna att ge feedback på ISMS och revisionsprocessen . Medarbetarnas insikter kan vara värdefulla för att identifiera möjliga förbättringar.

Revisioner handlar inte bara om att uppfylla krav; de görs för att kontinuerlig förbättring. Genom att engagera medarbetarna i dessa processer kan man identifiera potentiella säkerhetsluckor som annars skulle kunna gå obemärkta förbi. Att ge medarbetarna möjlighet att ge feedback om praktiska förbättringar och justeringar utifrån sin praktiska erfarenhet bidrar till ett mer effektivt ISMS och främjar en proaktiv informationssäkerhetskultur.

Varför gör revisorer intervjuer med anställda?

Nyanställda kan involveras i revisionsprocessen genom intervjuer eller genom att tillhandahålla dokumentation.

Intervjuer med anställda är en viktig del av en ISO 27001-revision eftersom de ger revisorerna förstahandsinsikter i hur informationssäkerhetspolicyer och verifiering om procedurer faktiskt genomförs i praktiken. Revisorerna bedömer om de anställda förstår sina givna roller och ansvarsområden för att upprätthålla organisationens informationssäkerhet.

Genom intervjuer kan revisorerna utvärdera effektiviteten i de utbildningsprogram och initiativ för att öka medvetenheten som organisationen har infört. Detta hjälper till att identifiera eventuella kunskapsluckor eller områden där ytterligare utbildning kan behövas, vilket säkerställer att all personal är tillräckligt förberedd för att hantera informationssäkerhetsutmaningar. Intervjuer med medarbetarna är också en unik möjlighet att upptäcka eventuella skillnader mellan dokumenterade rutiner och faktisk praxis. Medarbetarna kan ge praktisk feedback om säkerhetskontrollernas användbarhet och relevans, vilket kan leda till förbättringar i organisationens system för hantering av informationssäkerhet.

Möjliga intervjufrågor om ISO 27001-revision

Låt oss sedan titta på vad som kan vara en del av intervjufrågorna om informationssäkerhetsrevision. Dessa frågor kan kategoriseras efter roll och ämne. Under intervjun kommer revisorn att fråga om de anställda har verklig medvetenhet om organisationens informationssäkerhetspolicy, deras roller och ansvar för säkerhetsåtgärder och om de dagliga arbetsuppgifterna överensstämmer med ramverket, i det här fallet med ISO 27001-kontroller.

Allmänna intervjufrågor kan vara relevanta i alla revisionsintervjuer:  

Detta är bara några exempel på teman för ISO 27001-revisionsintervjuer. Det är viktigt att medarbetaren är medveten om och följer bästa säkerhetspraxis i arbetsrutinerna.

Rollbaserad revisionsintervju

Särskilt i en rollbaserad intervju kan frågorna väljas utifrån din yrkesroll. På så sätt kan intervjun ge en inblick i hur du hanterar informationssäkerhet ur perspektivet för din specifika roll. Här är några rollbaserade frågeteman:

IT-team:

  • Frågorna kan fokusera på tekniska kontroller och säkerhetsåtgärder. Till exempel: Vilka säkerhetsåtgärder finns på plats för att förhindra obehörig åtkomst till IT-system? Hur ofta använder ni säkerhetsuppdateringar och -korrigeringar?

HR (Human Resources):

  • HR kan få frågor om säkerhet i samband med anställning, utbildning och avsked av medarbetare. Till exempel: Vilka säkerhetskontroller genomförs för nyanställda? Hur säkerställer ni att nyanställda får säkerhetsutbildning?

Finans- och inköpsteam:

  • Frågorna kan fokusera på transaktioner, finansiell säkerhet och leverantörshantering, beroende på roll. Ett exempel: Hur säkerställer du att finansiella transaktioner är säkra? Hur bedömer du säkerheten hos tredjepartsleverantörer innan du arbetar med dem?

Avdelningschefer:

  • Denna ledningsnivå svarar på frågor som rör dataskydd, riskhantering och tillämpning av policyer. Till exempel Hur ser du till att medarbetarna på din avdelning följer säkerhetspolicyn, t.ex. policyn för rena skrivbord?

Försäljningsteam:

  • ‍Säljteamets medlemmar hanterar kunddata, kontrakt och känslig affärsinformation, vilket gör dem till ett viktigt fokus för en ISO 27001-revision. Revisorerna kommer att kontrollera hur väl de skyddar kundinformation, följer säkerhetspolicyer och förhindrar dataintrång. Ett exempel: Var lagrar ni kundkontrakt och känslig information? Hur säkerställer ni att kunddata i CRM-systemet inte missbrukas eller läcker ut?

Genom rollbaserade intervjuer kan man verifiera att de anställda konsekvent genomför säkerhetsåtgärder inom ramen för sina arbetsuppgifter. Dessa intervjuer är avgörande för att bedöma specifika säkerhetskontroller och identifiera potentiella risker. De hjälper också revisorerna att avgöra om organisationens program för utbildning och medvetenhet på ett effektivt sätt har främjat djupgående kunskap om säkerhet i den dagliga verksamheten.

Revisionsintervju för nyanställda

Intervjufrågorna för nyanställda handlar om ämnen som introduktionsprocessen, utbildning i säkerhetsmedvetenhet och kommunikation av policyer. Med dessa frågor vill revisorn säkerställa att säkerheten beaktas från dag ett och att nyanställda förstår sitt ansvar. Jämfört med en rollbaserad intervju fokuserar intervjun med den nyanställde på de grundläggande organisatoriska processerna, särskilt i de tidiga stadierna:

  • Bedömning av hur väl onboardingprocessen täcker säkerhetsmedvetenhet: Kan du beskriva din rekryteringsprocess/ dina första dagar på jobbet?
  • Allmän medvetenhet om informationssäkerhet: Har du fått någon säkerhetsutbildning efter att du började på företaget? Hur snart och på vilket sätt har utbildningen genomförts? Var hittar du företagets informationssäkerhetspolicy? Hur håller du dig uppdaterad om företagets säkerhetspolicy?
  • Åtkomstkontroll & Fysiskt arbete och distansarbete: Hur begär du åtkomst till företagets system eller programvara? Får du använda personliga enheter i arbetet? Hur säkrar du din arbetsstation när du lämnar ditt skrivbord?
  • Frågorna kan också testa dina kunskaper om informationssäkerhet så här långt, för att kontrollera hur effektiv säkerhetsutbildningen för nyanställda är :Vad skulle du göra om du fick ett misstänkt e-postmeddelande där du ombads lämna ut dina inloggningsuppgifter? Vad ska du göra om du tappar bort eller blir bestulen på din bärbara dator eller telefon?

Finns det något sätt att förbereda sig inför revisionen?

Om du vill förbereda dig inför din kommande intervju finns det några sätt som kan hjälpa dig.

  • Läs igenom riktlinjerna igen: Se till att du har läst och förstått de riktlinjer som organisationen tillhandahåller. Kontrollera också var du kan hitta relevanta dokument, t.ex. informationssäkerhetspolicyn.
  • Låtsasintervju: Nervös inför intervjun? Samla vanliga frågor om revisionsintervjuer och be antingen en kollega om hjälp eller gå igenom frågorna själv.
  • Imaginära cyberhot: Eftersom intervjuaren kan fråga dig hur du ska agera vid t.ex. ett eventuellt nätfiskeförsök eller vad du ska göra om du tappar bort din telefon eller laptop, är det bra att gå igenom bästa praxis och instruktioner.
Under Cyberday kan användare alltid gå tillbaka och läsa givna riktlinjer

Så länge ISO 27001-åtgärderna är väl etablerade i din organisation kommer det också att bli lättare att förbereda sig för en revision. I intervjusituationen, kom ihåg : 

  • Du blir inte testad. Intervjun är till för att säkerställa att din organisation verkligen gör vad den säger att den gör.
  • Kom ihåg att svara ärligt på revisorernas frågor. Om det är något du inte vet, kanske du vet vem som kan hjälpa dig med det?
  • Du kan använda exempel från verkligheten, och vad som är ännu bättre - du kan visa tillämpade säkerhetsåtgärder om det är möjligt.
  • Om du har genomgått säkerhetsutbildningar eller vet att din organisation är värd för några medvetandeprogram är det här du kan nämna dem. Dessa kan belysa kontinuerliga förbättringsåtgärder i organisationen.

Viktiga lärdomar från min första revisionsintervju

Före revisionen gick vi igenom schemat för revisionsdagarna och när varje intervju skulle äga rum. Vi gick igenom de viktigaste temana för revisionen och diskuterade skillnaderna mellan de två intervjuerna och kontrollerade att deltagarna kände sig bekväma med intervjuerna. Vi behövde egentligen inte gå in på detaljerna, eftersom man kan säga att vi arbetar i hjärtat av Cyberday och informationssäkerhet är i stort sett en dag-till-dag-fråga för oss.

Eftersom jag intervjuades specifikt ur den nyanställdes synvinkel började intervjun med att jag berättade om min roll på Cyberday och hur länge jag har arbetat här. Sedan började vi från början. Och när jag säger från början menar jag från rekryteringsprocessen. Därefter gick vi över till onboarding och säkerhetsutbildning, ansvarsområden, fysisk säkerhet och mer detaljerade fall, till exempel vad jag ska göra om jag får phishing-mejl. Jag frågade också vad jag personligen ser som förbättringsområden i min arbetsmiljö. Överlag var intervjun mer samtalsbetonad och den sista nervositeten försvann ganska snabbt när jag insåg att jag kunde svara på frågorna utan problem.

Om du ska intervjuas under en revision kan du bli nervös, särskilt om intervjusituationen är lite mer ovanlig. Men om ISO 27001-åtgärder finns på plats i din organisation behöver du inte oroa dig för någonting. Nyckeln är att vara sanningsenlig mot revisorn, om du inte vet eller kommer ihåg något är det bra att veta var du kan hitta informationen.

Skrivet av
Ronja Isaksson
13.2.2025
@
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet