华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证 > 如何确立信息安全体系审核方案的目标?

ISO27000认证:如何确立信息安全体系审核方案的目标?

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-21
最高管理者应确保审核方案的目标得到确立,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与ISO27001信息安全管理体系的方针和目标相一致并予以支持。
这些目标可以基于以下方面的考虑:
a)管理的优先事项;
b)商业意图和其他的业务意图;
c)过程、产品和项目的特性及其变化;
d)管理体系要求;
e)法律法规和合同要求,以及组织承诺遵守的其他要求;
f)供方评价的需要;
g)相关方(包括顾客)的需求和期望;
h)发生失效、事件和顾客投诉时所反映出的受审核方的绩效水平;
i)受审核方所面临的风险;
j)以往审核的结果;
k)受审核的管理体系的成熟度水平。
审核方案的目标可以包括下列各项:
——促进管理体系及其绩效的改进;
——满足外部要求,例如管理体系标准认证;
——验证与合同要求的符合性;
——获得和保持对供方能力的信心;
——确定管理体系的有效性;
——评价管理体系的目标与管理体系方针、组织的总体目标的兼容性和一致性。
> ISMS 审核方案的目的和内容 
1.审核方案的目的
确定ISMS审核方案的目的还需考虑:
a)信息安全的要求;
1)来自组织业务风险评估结果的要求;
2)来自法律法规和合同的要求;
3)来自新技术、新措施的应用的要求;
b)信息安全有效性测量;
c)ISMS监视与评审活动;
d)以往的ISMS审核结果;
e)组织的宗旨、目标和过程。
2.审核方案的内容
ISMS审核方案的内容还需考虑:
a)ISMS的规模
1)体系所覆盖的人数,包括组织员工、相关方人员等;
2)使用的信息系统的数量;
3)处理的信息量;
4)用户的数量;
5)特权用户的数;
6)IT平台的数量;
7)网络的数量及它们的规模;
8)体系所覆盖的场所。
b)ISMS的复杂性
1)所操作和处理的敏感和关键信息的多少及类型;
2)电子交易的数量及类型;
3)远程工作的范围;
4)ISMS 文件化的程度。
c)信息系统复杂程度及其应用的信息技术程度与复杂性;
d)信息安全风险管理的要求;
1)所识别的信息安全风险;
2)风险处理的优先秩序;
3)风险的潜在原因。
e)信息安全相关法律、法规的要求,例如∶密码管理、保密管理、等级保护、知识产权保护和行业管理等要求。
f)是否存在相似的场所。
g)在体系覆盖范围的不同场所之间是否存在 ISMS复杂性上的差异。
h)组织ISMS认证的风险级别。
i)经证实的以往ISMS绩效。 
想了解更多的关于ISO27000认证信息可以经常关注我们