ISO27001信息安全认证审核员一般会关注的点

  一、文件审核关注要点

  在进行文件审核时,审核员主要关注信息安全管理体系文件是否符合ISO27001标准,关注文件的适宜性和完整性是否符合要求。关注的文件包括但不限于:

  法律地位证明、组织简介、组织机构图、人员情况说明、管理手册、程序文件、信息安全方针和目标、信息安全管理体系的规程和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表、法律法规清单。

ISO27001信息安全认证审核员一般会关注的点

  二、现场审核关注要点

  现场审核时,审核员主要关注组织信息安全管理体系执行的程度及有效性,除着重关注各部门信息安全资产识别与风险管理相关记录外,对应不同部门或角色,着重关注的体系运行记录分别为:

  ISO27000信息安全审核——行政人事部门:

  1、来访人员登记记录

  2、人员保密协议

  3、与信息安全相关的法律法规清单、符合性评价

  4、与信息安全相关的培训计划、培训签到记录

  ISO27000信息安全审核——IT相关部门:

  1、服务器管理(包括设备点检、测试日志记录与审查)

  2、机房管理等重点区域进出管理

  3、对各部门定期杀毒、屏保、密码等监督检查表单

  4、公司软件使用清单、容量标注

  5、重要数据备份记录

  6、上网安全检查

  7、各类信息系统如邮箱、OA权限及权限时效性管理记录

  ISO27000信息安全审核——市场开发部门:

  1、合同、订单

  2、业务连续性资料(计划、验证)

  3、访问区域限制如未经授权人员可能进入的地点管理记录

  ISO27000信息安全审核——研发部门:

  1、产品技术资料(设计开发资料,应包括信息安全风险评估)

  2、研发人员保密协议

  3、生产工艺流程图

  ISO27000信息安全审核——采购部门:

  1、合格供应商名录

  2、供应商调查表

  3、供应商签署安全要求的文件协议

  4、供应商基本资料(如营业执照、ISO9001证书等)

  ISO27000信息安全审核——管理层:

  1、目标达成统计表

  2、文件清单(手册、程序、作业指导书)

  3、文件发布记录

  4、外来文件清单

  5、全公司资产识别与风险管理汇总表

  6、内审、管审过程记录

安徽客信认证服务有限公司

咨询电话:195 2369 1359 (梁经理)
地  址:安徽省合肥市经开区尚泽大都会A座1102室
安徽客信认证服务有限公司 © 权利所有皖ICP备2021008854号-1
站点地图
Copyright © 2003-2021 Seatone Group All Rights Reserveddiv>