ISO 27001审核要注意什么呢?
时间:2021-01-16 来源:fzflxx.com 作者:cqw.cc 我要纠错
ISO 27001审核流程
内部审核员
1、基本概念
审核含义:对信息安全相关的审核证据进行客观评价,以确定满足信息安全审核准则的程度所进行的系统、独立并形成文件的过程。
审核准则:安全管理方针、SOA、风险评估报告及管理计划、法规要求、合同要求、内部安全规范要求扥;
审核证据:与审核准则有关并且能够证实的记录、事实陈述及其他信息。
审核类型:第一方审核(内审)、第二方审核(顾客),第三方审核;
审核阶段:第一阶段为文件审查,第二阶段为对ISMS实施结果审查。
基本程序:策划与准备、实施、报告、跟踪。
2、审核策划与准备
——年度审核策划:时间及方式
——审核准备:目的及范围、特别要求、成员、时间资源、计划、检查表、审核前沟通
——编制ISMS审核实施计划:目的及范围、准则、成员、详细日程安排(会议时间、人员分配、受审部门时间、主要审核点)、特别说明(临时权限及业务影响)、批准人签字、通知的对象部门
——编制审核检查表:(备忘录,应该反映实际的业务过程)审核准则、部门、检查要点、验证方法、抽样数、审核时间、验证结果。
——审核前沟通:特别事项、提前通知、组内会议。
3、审核实施
——首次会议
——现场审核:
基本原则(行规):进入审核区域、自我介绍(由陪同人员介绍)、解释希望看什么、进行适当深度调查、如无问题继续审核计划、切记为了问题而审核。
提问方式:开放式提问了解活动,封闭式提问用于确认。
审核技巧:抽样、验证、询问;
——不合格报告:
分类:严重不合格、一般不合格、观察意见;
不合格判断:足够事实?孤立的问题?频繁?严重程度?纠正措施?对受审方的帮助?违反ISO哪一条规则?
不合格描述:客观判断、地点、事实、原因、职位、专业术语、可追溯、改进。得到责任人的许可。
报告:准确清晰的描述不合格事实、问题性质、违反规定条款,纠正措施计划及责任部门
——审核组会议
——末次会议
4、审核报告、纠正及跟踪
——审核报告
——纠正措施计划及执行:补救措施、预防措施
——纠正措施跟踪
——审核档案管理:审核实施计划、审核检查表、现场审核记录、审核不合格报告、审核报告、纠正预防措施计划、纠正措施实施证据、措施验证记录。
以上就是ISO 27001审核所需要注意点
标签: