ISO 27001審核流程
內(nèi)部審核員
1、基本概念
審核含義:對信息安全相關的審核證據(jù)進行客觀評價,以確定滿足信息安全審核準則的程度所進行的系統(tǒng),、獨立并形成文件的過程。
審核準則:安全管理方針、SOA、風險評估報告及管理計劃,、法規(guī)要求、合同要求,、內(nèi)部安全規(guī)范要求扥,;
審核證據(jù):與審核準則有關并且能夠證實的記錄、事實陳述及其他信息,。
審核類型:第一方審核(內(nèi)審),、第二方審核(顧客),第三方審核,;
審核階段:第一階段為文件審查,第二階段為對ISMS實施結(jié)果審查,。
基本程序:策劃與準備,、實施、報告,、跟蹤,。
2、審核策劃與準備
——年度審核策劃:時間及方式
——審核準備:目的及范圍,、特別要求,、成員、時間資源,、計劃,、檢查表、審核前溝通
——編制ISMS審核實施計劃:目的及范圍,、準則,、成員、詳細日程安排(會議時間,、人員分配,、受審部門時間、主要審核點),、特別說明(臨時權限及業(yè)務影響),、批準人簽字、通知的對象部門
——編制審核檢查表:(備忘錄,,應該反映實際的業(yè)務過程)審核準則,、部門,、檢查要點、驗證方法,、抽樣數(shù),、審核時間、驗證結(jié)果,。
——審核前溝通:特別事項,、提前通知、組內(nèi)會議,。
3,、審核實施
——首次會議
——現(xiàn)場審核:
基本原則(行規(guī)):進入審核區(qū)域、自我介紹(由陪同人員介紹),、解釋希望看什么,、進行適當深度調(diào)查、如無問題繼續(xù)審核計劃,、切記為了問題而審核,。
提問方式:開放式提問了解活動,封閉式提問用于確認,。
審核技巧:抽樣,、驗證、詢問,;
——不合格報告:
分類:嚴重不合格,、一般不合格、觀察意見,;
不合格判斷:足夠事實,?孤立的問題?頻繁,?嚴重程度?糾正措施,?對受審方的幫助?違反ISO哪一條規(guī)則,?
不合格描述:客觀判斷,、地點、事實,、原因,、職位、專業(yè)術語,、可追溯,、改進。得到責任人的許可,。
報告:準確清晰的描述不合格事實,、問題性質(zhì),、違反規(guī)定條款,糾正措施計劃及責任部門
——審核組會議
——末次會議
4,、審核報告,、糾正及跟蹤
——審核報告
——糾正措施計劃及執(zhí)行:補救措施、預防措施
——糾正措施跟蹤
——審核檔案管理:審核實施計劃,、審核檢查表,、現(xiàn)場審核記錄、審核不合格報告,、審核報告,、糾正預防措施計劃、糾正措施實施證據(jù),、措施驗證記錄,。
以上就是
ISO 27001審核所需要注意點
