ISO 27001審核要注意什么呢?
時間:2021-01-16 來源:fzflxx.com 作者: 我要糾錯
ISO 27001審核流程
內(nèi)部審核員
1、基本概念
審核含義:對信息安全相關的審核證據(jù)進行客觀評價,以確定滿足信息安全審核準則的程度所進行的系統(tǒng)、獨立并形成文件的過程。
審核準則:安全管理方針、SOA、風險評估報告及管理計劃、法規(guī)要求、合同要求、內(nèi)部安全規(guī)范要求扥;
審核證據(jù):與審核準則有關并且能夠證實的記錄、事實陳述及其他信息。
審核類型:第一方審核(內(nèi)審)、第二方審核(顧客),第三方審核;
審核階段:第一階段為文件審查,第二階段為對ISMS實施結果審查。
基本程序:策劃與準備、實施、報告、跟蹤。
2、審核策劃與準備
——年度審核策劃:時間及方式
——審核準備:目的及范圍、特別要求、成員、時間資源、計劃、檢查表、審核前溝通
——編制ISMS審核實施計劃:目的及范圍、準則、成員、詳細日程安排(會議時間、人員分配、受審部門時間、主要審核點)、特別說明(臨時權限及業(yè)務影響)、批準人簽字、通知的對象部門
——編制審核檢查表:(備忘錄,應該反映實際的業(yè)務過程)審核準則、部門、檢查要點、驗證方法、抽樣數(shù)、審核時間、驗證結果。
——審核前溝通:特別事項、提前通知、組內(nèi)會議。
3、審核實施
——首次會議
——現(xiàn)場審核:
基本原則(行規(guī)):進入審核區(qū)域、自我介紹(由陪同人員介紹)、解釋希望看什么、進行適當深度調(diào)查、如無問題繼續(xù)審核計劃、切記為了問題而審核。
提問方式:開放式提問了解活動,封閉式提問用于確認。
審核技巧:抽樣、驗證、詢問;
——不合格報告:
分類:嚴重不合格、一般不合格、觀察意見;
不合格判斷:足夠事實?孤立的問題?頻繁?嚴重程度?糾正措施?對受審方的幫助?違反ISO哪一條規(guī)則?
不合格描述:客觀判斷、地點、事實、原因、職位、專業(yè)術語、可追溯、改進。得到責任人的許可。
報告:準確清晰的描述不合格事實、問題性質、違反規(guī)定條款,糾正措施計劃及責任部門
——審核組會議
——末次會議
4、審核報告、糾正及跟蹤
——審核報告
——糾正措施計劃及執(zhí)行:補救措施、預防措施
——糾正措施跟蹤
——審核檔案管理:審核實施計劃、審核檢查表、現(xiàn)場審核記錄、審核不合格報告、審核報告、糾正預防措施計劃、糾正措施實施證據(jù)、措施驗證記錄。
以上就是ISO 27001審核所需要注意點
標簽:
掃一掃在手機打開當前頁
注:本網(wǎng)條致力提供真實有用信息,所轉載的內(nèi)容,其版權均由原作者和資料提供方所擁有!若有任何不適煩請聯(lián)系我們,將會在24小時內(nèi)刪除。
無相關信息 昆明生活資訊
昆明圖文信息
|
|
|
|
|
|
|
|
推薦信息
相關文章
無相關信息