ISO 27001審核流程
內(nèi)部審核員
1,、基本概念
審核含義:對(duì)信息安全相關(guān)的審核證據(jù)進(jìn)行客觀評(píng)價(jià),以確定滿(mǎn)足信息安全審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng),、獨(dú)立并形成文件的過(guò)程。
審核準(zhǔn)則:安全管理方針,、SOA,、風(fēng)險(xiǎn)評(píng)估報(bào)告及管理計(jì)劃,、法規(guī)要求、合同要求,、內(nèi)部安全規(guī)范要求扥,;
審核證據(jù):與審核準(zhǔn)則有關(guān)并且能夠證實(shí)的記錄、事實(shí)陳述及其他信息,。
審核類(lèi)型:第一方審核(內(nèi)審),、第二方審核(顧客),第三方審核,;
審核階段:第一階段為文件審查,,第二階段為對(duì)ISMS實(shí)施結(jié)果審查。
基本程序:策劃與準(zhǔn)備,、實(shí)施,、報(bào)告、跟蹤,。
2,、審核策劃與準(zhǔn)備
——年度審核策劃:時(shí)間及方式
——審核準(zhǔn)備:目的及范圍、特別要求,、成員,、時(shí)間資源、計(jì)劃,、檢查表,、審核前溝通
——編制ISMS審核實(shí)施計(jì)劃:目的及范圍、準(zhǔn)則,、成員,、詳細(xì)日程安排(會(huì)議時(shí)間、人員分配,、受審部門(mén)時(shí)間,、主要審核點(diǎn)),、特別說(shuō)明(臨時(shí)權(quán)限及業(yè)務(wù)影響),、批準(zhǔn)人簽字、通知的對(duì)象部門(mén)
——編制審核檢查表:(備忘錄,,應(yīng)該反映實(shí)際的業(yè)務(wù)過(guò)程)審核準(zhǔn)則,、部門(mén)、檢查要點(diǎn),、驗(yàn)證方法,、抽樣數(shù)、審核時(shí)間,、驗(yàn)證結(jié)果,。
——審核前溝通:特別事項(xiàng),、提前通知、組內(nèi)會(huì)議,。
3,、審核實(shí)施
——首次會(huì)議
——現(xiàn)場(chǎng)審核:
基本原則(行規(guī)):進(jìn)入審核區(qū)域、自我介紹(由陪同人員介紹),、解釋希望看什么,、進(jìn)行適當(dāng)深度調(diào)查、如無(wú)問(wèn)題繼續(xù)審核計(jì)劃,、切記為了問(wèn)題而審核,。
提問(wèn)方式:開(kāi)放式提問(wèn)了解活動(dòng),封閉式提問(wèn)用于確認(rèn),。
審核技巧:抽樣,、驗(yàn)證、詢(xún)問(wèn),;
——不合格報(bào)告:
分類(lèi):嚴(yán)重不合格,、一般不合格、觀察意見(jiàn),;
不合格判斷:足夠事實(shí),?孤立的問(wèn)題?頻繁,?嚴(yán)重程度?糾正措施,?對(duì)受審方的幫助?違反ISO哪一條規(guī)則,?
不合格描述:客觀判斷,、地點(diǎn)、事實(shí),、原因,、職位、專(zhuān)業(yè)術(shù)語(yǔ),、可追溯,、改進(jìn)。得到責(zé)任人的許可,。
報(bào)告:準(zhǔn)確清晰的描述不合格事實(shí),、問(wèn)題性質(zhì)、違反規(guī)定條款,,糾正措施計(jì)劃及責(zé)任部門(mén)
——審核組會(huì)議
——末次會(huì)議
4,、審核報(bào)告、糾正及跟蹤
——審核報(bào)告
——糾正措施計(jì)劃及執(zhí)行:補(bǔ)救措施、預(yù)防措施
——糾正措施跟蹤
——審核檔案管理:審核實(shí)施計(jì)劃,、審核檢查表,、現(xiàn)場(chǎng)審核記錄、審核不合格報(bào)告,、審核報(bào)告,、糾正預(yù)防措施計(jì)劃、糾正措施實(shí)施證據(jù),、措施驗(yàn)證記錄,。
以上就是
ISO 27001審核所需要注意點(diǎn)
