华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证咨询 > ISO27000体系审核过程控制—审核活动的准备

信息安全认证:ISO27000体系审核过程控制—审核活动的准备

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-22
1.ISO27000体系审核准备阶段的文件评审
应评审受审核方的相关管理体系文件,以∶
——收集信息,例如过程、职能方面的信息,以准备审核活动和适用的工作文件(见6.3.4);
——了解体系文件范围和程度的概况以发现可能存在的差距。
注:如何进行文件评审的指南可参见B2
适用时,文件可包括管理体系文件和记录,以及以往的审核报告。文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核目标和范围。
>ISMS6.3.1 IS 6.3.1文件评审的实施
ISMS文件评审还需考虑:
a)适用性声明的完备性和合理性;
b)受审核方风险评估报告的合理性;
c)受审核方风险处置计划的完备
【理解要点】
(1)文件评审的目的
文件评审主要是评审受审核方提供的信息安全方针、信息安全目标、信息安全管理体系文件,包括适用性声明文件等。
文件评审的目的是:
1)评价受审核方的信息安全管理体系文件是否符合申请认证的审核准则如信息安全管理体系标准,从而确定能否进行现场审核;
2)通过体系文件了解受审核方的信息安全管理体系情况,以便进行现场审核准备,包括编制审核计划。
(2)文件评审的要求文件
评审有以下四点要求:
1)文件内容是否充分、适宜,是否符合申请认证的信息安全管理体系标准的要求,如:信息安全方针是否满足ISO/IEC27001∶20054.2.1b条款要求,信息安全目标是否满足4.2.1g条款要求,"标准"要求的记录是否表述等;
2)是否符合相关法律法规的要求;
3)信息安全管理体系文件是否现行有效,符合文件控制要求;
4)名词术语是否符合ISO/IEC 27001∶2005标准的要求等。
(3)文件评审的内容和方式
1)文件评审的内容
——形成文件的信息安全方针和信息安全目标。
——信息安全管理文件。
——适用性声明文件等。
——识别、分析和评价风险、风险处理的可选措施。
——受审核方的基本信息和信息安全手册的控制。
2)文件评审的方式
——在受审核方之外的适当场合进行,如:在办公室评审。
——去受审核方评审。
——有时现场初访也是文件评审的一种方式。
(4)文件评审的程序
1)受审核方向认证组织提交风险识别和评价资料、信息安全方针、信息安全目标、信息安全管理文件和适用性声明文件等。
2)认证组织指定审核组长或具有能力的审核员评审文件。
3)审核组长评审(初审)信息安全方针、信息安全目标、信息安全管理文件和适用性声明文件(见文件评审的要求和内容),必要时与受审核方沟通(结合其实际情况)。
4)审核组长提出文件评审报告,包括评审结论。
5)受审核方根据评审报告,必要时作修改、补充。
6)审核组长确认修改、补充后的文件,直至"总体合格"。
7)为取得对可获得信息的适当了解,可以进行现场初访。
(5)文件评审的结论
1)符合"标准"的要求,"通过"。
2)部分不符合要求,"需对文件进行部分修改,经审核组确认后通过"。
3)不符合"标准"要求,"需对文件进行总体修改,并经审核组再次评审符合后,才能进行现场审核。"
文件评审要求提出书面的意见和报告,需要时在修改后再送交第二次评审,符合要求后才能作进一步审核准备。文件评审报告的表式由认证组织设计并提供。当受审核方根据文件评审意见作出修改、补充后,审核组长应确认其符合性。
文件评审结论仅是初审的结论,文件评审贯穿于审核的全过程,现场审核实施后再作总体评价(符合性、充分性、适宜性)。
2.编制ISO27001体系审核计划
2.1审核组长应根据审核方案和受审核方提供的文件中包含的信息编制审核计划。审核计划应考虑审核活动对受审核方的过程的影响,并为审核委托方、审核组和受审核方之间就审核的实施达成一致提供依据。审核计划应便于有效地安排和协调审核活动,以达到目标。
审核计划的详细程度应反映审核的范围和复杂程度,以及实现审核目标的不确定因素。在编制审核计划时,审核组长应考虑以下方面:
——适当的抽样技术(见 B. 3);
——审核组的组成及其整体能力;
——审核对组织形成的风险。
例如,对组织的风险可以来自审核组成员的到来对于健康安全、环境和质量方面的影响,以及他们的到来对受审核方的产品、服务、人员或基础设施(例如对洁净室设施的污染)产生的威胁。
对于结合审核,应特别关注不同管理体系的操作过程与相互抵触的目标以及优先事项之间的相互作用。
2.2对于初次审核和随后的审核、内部审核和外部审核,审核计划的内容和详略程度可以有所不同。审核计划应具有充分的灵活性,以允许随着审核活动的进展进行必要的调整。
审核计划应包括或涉及下列内容:
a)审核目标;
b)审核范围,包括受审核的组织单元、职能单元以及过程;
c)审核准则和引用文件;
d)实施审核活动的地点、日期、预期的时间和期限,包括与受审核方管理者的会议;
e)使用的审核方法,包括所需的审核抽样的范围,以获得足够的审核证据,适用时还包括抽样方案的设计;
f)审核组成员、向导和观察员的作用和职责;
g)为审核的关键区域配置适当的资源。适当时,审核计划还可包括:
——明确受审核方本次审核的代表;
——当审核员和(或)受审核方的语言不同时,审核工作和审核报告所用的语言;
——审核报告的主题;
——后勤和沟通安排,包括受审核现场的特定安排;
——针对实现审核目标的不确定因素而采取的特定措施;
——保密和信息安全的相关事宜;
——来自以往审核的后续措施;
——所策划审核的后续活动;
——在联合审核的情况下,与其他审核活动的协调。
审核计划可由审核委托方评审和接受,并应提交受审核方。受审核方对审核计划的反对意见应在审核组长、受审核方和审核委托方之间得到解决。
ISMS 6.4.1.1 IS 6.4.1编制审核计划
编制ISMS审核计划需充分理解审核方案,计划还需考虑:
a)人员派遣要求;
b)组织资源保障程度;
c)需要的技术与工具准备;
d)前期抽样情况,和本期抽样原则;
e)受审核方的业务性质和涉及的标准、法律法规资质的要求;
f)受审核方业务的复杂度分析;
g)本次审核的风险分析。
想了解更多的关于信息安全认证信息可以经常关注我们