奔烁热线:152-2175-9315
首页 > ISO27000认证 > ISO27000认证_如何建立信息安全体系审核方案?ISO27000认证_如何建立信息安全体系审核方案?
文章来源:华道众合 添加时间:2021-2-21
1.审核方案管理人员的作用和职责
审核方案管理人员应:
——确定审核方案的范围和程度;
——识别和评估审核方案的风险;
——明确审核的责任;
——建立审核方案的程序;
——确定所需的资源;
——确保审核方案的实施,包括明确每次审核的目标、范围和准则,确定审核方法,选择审核组和评价审核员;
——确保管理和保持适当的审核方案记录;
——监视、评审和改进审核方案。
审核方案管理人员应将审核方案内容报告最高管理者,并在必要时获得批准。
2.审核方案的职责
承担ISMS审核方案职责的人员还需具有必要的信息安全相关知识,特别是信息安全风险管理相关知识。
负责管理ISMS审核方案的人员还需考虑:
a)受审核方ISMS的特点;
b)受审核方的业务持续性要求
3.审核方案管理人员的能力
审核方案管理人员应具备有效地和高效地管理审核方案及其相关风险的必要的能力,并具备以下方面的知识和技能:
——审核原则、程序和方法;
——管理体系标准和引用文件;
——受审核方的活动、产品和过程;
——与受审核方活动、产品有关的适用的法律法规要求和其他要求;
——受审核方的顾客、供方和其他相关方(适用时审核方案管理人员应参加适当的持续专业发展活动,以保持管理审核方案所需的知识和技能)。
4.确定审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方的规模和性质、受审核的管理体系的性质、功能、复杂程度和成熟度水平以及其他重要事项。
注:在某些情况下,根据受审核方的结构或活动,审核方案可能只包括一次审核(例如一个小型项目活动)。
影响审核方案范围和详略程度的其他因素包括:
——每次审核的目标、范围、持续时间和审核次数,适用时,还包括审核后续活动;
——受审核活动的数量、重要性、复杂性、相似性和地点;
——影响管理体系有效性的因素;
——适用的审核准则,例如有关管理标准的安排、法律法规要求、合同要求以及受审核方承诺的其他要求;
——以往的内部或外部审核的结论;
——以往的审核方案的评审结果;——语言、文化和社会因素;
——相关方的关注点,例如顾客抱怨或不符合法律法规要求;
——受审核方或其运作的重大变化;
——支持审核活动的信息和沟通技术的可获得性,尤其是使用远程审核方法的情况(见 B.1);
——内部和外部事件的发生,如产品故障、信息安全泄密事件、健康和安全事件、犯罪行为或环境事件。
5.识别和评估审核方案风险
在建立、实施、监视、评审和改进审核方案过程中存在多种风险,这些风险可能影响审核方案目标的实现。审核方案管理人员在制定审核方案时应考虑这些风险。这些风险可能与下列事项相关:
——策划,例如未能设定合适的审核目标和未能确定审核方案范围和详略程度;
——资源,例如没有足够的时间制定审核方案或实施审核;
——审核组的选择,例如审核组不具备有效地实施审核的整体能力;
——实施,例如没有有效地沟通审核方案;
——记录及其控制,例如未能适宜地保护用于证明审核方案有效性的审核记录;
——监视、评审和改进审核方案,例如没有有效地监视审核方案的结果。
6.建立审核方案的程序
审核方案管理人员应建立一个或多个程序,用于规定下列事项(适用时):
——在考虑审核方案风险的基础上,策划和安排审核日程;
——确保信息安全和保密性;
——保证审核员和审核组长的能力;
——选择适当的审核组并分配任务和职责;
——实施审核,包括采用适当的抽样方法;
——适用时,实施审核后续活动;
——向最高管理者报告审核方案的实施概况;
——保持审核方案的记录;
——监视和评审审核方案的绩效和风险,提高审核方案的有效性。
7.识别审核方案资源
识别审核方案资源时,审核方案管理人员应考虑;
——开发、实施、管理和改进审核活动所必需的财务资源;
——审核方法;
——能够胜任特定审核方案目标的审核员和技术专家;
——审核方案范围和程度以及风险;
——旅途时间和费用、食宿和其他审核需要;
——信息和沟通技术的可获得性。
8.审核方案的资源
识别ISMS审核方案的资源还需考虑:
a)具有所需的信息安全相关知识的审核员;
b)具有所需专业领域背景知识的审核组成员;
c)必要的信息安全审核专用工具。
您可能还想看