ISO 27001審核要注意什么呢?
時(shí)間:2021-01-16 來(lái)源:fzflxx.com 作者:cqw.cc 我要糾錯(cuò)
ISO 27001審核流程
內(nèi)部審核員
1、基本概念
審核含義:對(duì)信息安全相關(guān)的審核證據(jù)進(jìn)行客觀評(píng)價(jià),以確定滿(mǎn)足信息安全審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)、獨(dú)立并形成文件的過(guò)程。
審核準(zhǔn)則:安全管理方針、SOA、風(fēng)險(xiǎn)評(píng)估報(bào)告及管理計(jì)劃、法規(guī)要求、合同要求、內(nèi)部安全規(guī)范要求扥;
審核證據(jù):與審核準(zhǔn)則有關(guān)并且能夠證實(shí)的記錄、事實(shí)陳述及其他信息。
審核類(lèi)型:第一方審核(內(nèi)審)、第二方審核(顧客),第三方審核;
審核階段:第一階段為文件審查,第二階段為對(duì)ISMS實(shí)施結(jié)果審查。
基本程序:策劃與準(zhǔn)備、實(shí)施、報(bào)告、跟蹤。
2、審核策劃與準(zhǔn)備
——年度審核策劃:時(shí)間及方式
——審核準(zhǔn)備:目的及范圍、特別要求、成員、時(shí)間資源、計(jì)劃、檢查表、審核前溝通
——編制ISMS審核實(shí)施計(jì)劃:目的及范圍、準(zhǔn)則、成員、詳細(xì)日程安排(會(huì)議時(shí)間、人員分配、受審部門(mén)時(shí)間、主要審核點(diǎn))、特別說(shuō)明(臨時(shí)權(quán)限及業(yè)務(wù)影響)、批準(zhǔn)人簽字、通知的對(duì)象部門(mén)
——編制審核檢查表:(備忘錄,應(yīng)該反映實(shí)際的業(yè)務(wù)過(guò)程)審核準(zhǔn)則、部門(mén)、檢查要點(diǎn)、驗(yàn)證方法、抽樣數(shù)、審核時(shí)間、驗(yàn)證結(jié)果。
——審核前溝通:特別事項(xiàng)、提前通知、組內(nèi)會(huì)議。
3、審核實(shí)施
——首次會(huì)議
——現(xiàn)場(chǎng)審核:
基本原則(行規(guī)):進(jìn)入審核區(qū)域、自我介紹(由陪同人員介紹)、解釋希望看什么、進(jìn)行適當(dāng)深度調(diào)查、如無(wú)問(wèn)題繼續(xù)審核計(jì)劃、切記為了問(wèn)題而審核。
提問(wèn)方式:開(kāi)放式提問(wèn)了解活動(dòng),封閉式提問(wèn)用于確認(rèn)。
審核技巧:抽樣、驗(yàn)證、詢(xún)問(wèn);
——不合格報(bào)告:
分類(lèi):嚴(yán)重不合格、一般不合格、觀察意見(jiàn);
不合格判斷:足夠事實(shí)?孤立的問(wèn)題?頻繁?嚴(yán)重程度?糾正措施?對(duì)受審方的幫助?違反ISO哪一條規(guī)則?
不合格描述:客觀判斷、地點(diǎn)、事實(shí)、原因、職位、專(zhuān)業(yè)術(shù)語(yǔ)、可追溯、改進(jìn)。得到責(zé)任人的許可。
報(bào)告:準(zhǔn)確清晰的描述不合格事實(shí)、問(wèn)題性質(zhì)、違反規(guī)定條款,糾正措施計(jì)劃及責(zé)任部門(mén)
——審核組會(huì)議
——末次會(huì)議
4、審核報(bào)告、糾正及跟蹤
——審核報(bào)告
——糾正措施計(jì)劃及執(zhí)行:補(bǔ)救措施、預(yù)防措施
——糾正措施跟蹤
——審核檔案管理:審核實(shí)施計(jì)劃、審核檢查表、現(xiàn)場(chǎng)審核記錄、審核不合格報(bào)告、審核報(bào)告、糾正預(yù)防措施計(jì)劃、糾正措施實(shí)施證據(jù)、措施驗(yàn)證記錄。
以上就是ISO 27001審核所需要注意點(diǎn)
標(biāo)簽: