ISO27001认证审核关注点,ISO27001信息安全管理体系认证审核员必查内容总结整理
发布时间: 2022-08-13 18:43 点击:
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及金融、通信和软件外包等行业。
一、文件审核关注要点
在进行文件审核时,审核员主要关注信息安全管理体系文件是否符合ISO27001标准,关注文件的适宜性和完整性是否符合要求。关注的文件包括但不限于:
法律地位证明、组织简介、组织机构图、人员情况说明、管理手册、程序文件、信息安全方针和目标、信息安全管理体系的规程和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表、法律法规清单。
二、现场审核关注要点
现场审核时,审核员主要关注组织信息安全管理体系执行的程度及有效性,除着重关注各部门信息安全资产识别与风险管理相关记录外,对应不同部门或角色,着重关注的体系运行记录分别为:
行政人事部门:
1、来访人员登记记录
2、人员保密协议
3、与信息安全相关的法律法规清单、符合性评价
4、与信息安全相关的培训计划、培训签到记录
IT相关部门:
1、服务器管理(包括设备点检、测试日志记录与审查)
2、机房管理等重点区域进出管理
3、对各部门定期杀毒、屏保、密码等监督检查表单
4、公司软件使用清单、容量标注
5、重要数据备份记录
6、上网安全检查
7、各类信息系统如邮箱、OA权限及权限时效性管理记录
市场开发部门:
1、合同、订单
2、业务连续性资料(计划、验证)
3、访问区域限制如未经授权人员可能进入的地点管理记录
研发部门:
1、产品技术资料(设计开发资料,应包括信息安全风险评估)
2、研发人员保密协议
3、生产工艺流程图
采购部门:
1、合格供应商名录
2、供应商调查表
3、供应商签署安全要求的文件协议
4、供应商基本资料(如营业执照、ISO9001证书等)
管理层:
1、目标达成统计表
2、文件清单(手册、程序、作业指导书)
3、文件发布记录
4、外来文件清单
5、全公司资产识别与风险管理汇总表
6、内审、管审过程记录
中國中鴻實業有限公司旗下:中鸿认证服务 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
1.诚聘专兼职审核员(全国/符合条件可免费定向培养);诚聘专职咨询老师/专职市场专员;
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训;
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。