华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证咨询 > ISO27000体系审核过程控制—审核的启动

信息安全认证:ISO27000体系审核过程控制—审核的启动

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-22
1.总则
ISO27000信息安全管理体系审核开始直到审核完成(见6.6),指定的审核组长(见5.4.5)都应对审核的实施负责。
启动一项审核应考虑图2 中的步骤;然而,根据受审核方、审核过程和具体情形的不同,顺序可以有所不同。
【理解要点】
审核组长的条件∶
——审核组长应为注册的管理体系审核员;
——具备组织、管理、协调和处理问题的能力;
——具有相应的专业能力和广泛的质量管理专业知识;
——具有对管理体系整体有效性评定的能力和作出判断的能力。
2.与受审核方建立初步联系
审核组长应与受审核方就审核的实施进行初步联系,联系可以是正式的也可以是非正式的。建立初步联系的目的是:
——与受审核方的代表建立沟通渠道;
——确认实施审核的权限;
——提供有关审核目标、范围、方法和审核组组成(包括技术专家)的信息;
——请求有权使用用于策划审核的相关文件和记录;
——确定与受审核方的活动和产品相关的适用法律法规要求、合同要求和其他要求;
——确认与受审核方关于保密信息的披露程度和处理的协议;
——对审核做出安排,包括日程安排;
——确定特定场所的访问、安保、健康安全或其他要求;
——就观察员的到场和审核组向导的需求达成一致意见;
——针对具体审核,确定受审核方的关注事项。
>ISMS 6.2.2.1 IS6.2.2确定审核目的、范围和准则
ISMS 审核目的的确定还需考虑:
a)受审核方适用性声明的符合性;
b)受审核方控制措施的有效性。
ISMS审核范围的确定还需考虑:
c)业务范围和边界;
d)组织的范围和边界;
e)物理范围和边界;
f)资产范围和边界;
g)技术范围和边界。
【理解要点】
与受审核方建立初步联系
——有管理审核方案的人员或审核组长与受审核的代表建立沟通渠道;
——确认实施审核的权限;
——提供有关建议的时间安排和审核组组成的信息;
——向受审核部门要求获得相关文件,包括记录;
——确定适用的现场安全规则;
——对审核做出安排;
——就观察员的参与和审核组向导的需求达成一致意见。
3.确定审核的可行性
应确定审核的可行性,以确信能够实现审核目标。
确定审核的可行性应考虑是否具备下列因素:
——策划和实施审核所需的充分和适当的信息;
——受审核方的充分合作;
——实施审核所需的足够时间和资源。
当审核不可行时,应向审核委托方提出替代建议并与受审核方协商一致。
【理解要点】
——审核的可行性是指审核委托方与受审核方双方都能够为审核进行必要的安排,即审核具备了实施的条件。
——需要考虑的因素有:
> 策划审核所需的充分和适当的信息;
> 受审核部门的充分与适当的合作;
> 充分的时间和资源。
——当审核不可行时,应与受审核方协商后向审核委托方提出替代建议。
——负责管理审核方案的人员或审核组长以及(适当时)相关方可以对从受审核方获得的信息以及审核委托方的资源情况等进行评审,以确定审核是否可行。
——对于第三方审核,通过对认证合同的评审,在审核前对组织已提交认证资料的审查,各种通讯联系,确定审核的可行性。
——也可采用预访问的方式确定审核的可行性。预访问不是审核的必备环节,所用时间不计入审核人日。
审核的可行性包括受审核方的可行性和认证机构的可行性。
想了解更多的关于信息安全认证信息可以经常关注我们