ISO27001信息安全管理體系認證內部審核:企業(yè)或組織內部人員定期(一般每年至少一次)對信息安全管理系統(tǒng)的合規(guī)性進行自我評估和定期檢查。在本次審計中��,有必要確保整個系統(tǒng)符合ISO/IEC 27001:2013標準和相關法律法規(guī)的要求�����,并滿足確定的信息安全要求���,以確保系統(tǒng)得到有效實施和維護�����。
在審計的初始階段�,必須制定�、發(fā)布信息安全政策���,并將其傳達給所有員工和外部相關方�。例如�����,在積極預防��、綜合管理、風險控制和安全方面�����,我們應該設定好目標����。
制定信息安全目標
所需的具體目標包括:
1.信息零泄漏
2.機構造成的重大業(yè)務中斷累計時間不得超過2小時/年
3.嚴重影響網(wǎng)絡和信息系統(tǒng)可用性的事件/年少于一次
4.導致組織的重大業(yè)務中斷事件每年少于一次
5.當發(fā)生信息安全事件時,目標是將損失降至最低��,將恢復時間降至最低���,并避免再次發(fā)生��。
內部審計要求
1.公司應建立并實施《內部審核程序》�����,明確審核的目的�����、體系��、程序等內容��,確保公司ISMS的合規(guī)性和有效性�����,并滿足確定的信息安全要求;
2.審核組長負責監(jiān)督內部審核�����,并向信息安全負責人報告審核情況;
3.安排具有審核員資格的人員進行審核�。審核員不得對本部門的工作進行審核,以確保審核的公正性和客觀性;
4.公司應按計劃的時間間隔(不超過1年)組織內部審核;在安排審核計劃時�,應考慮部門的重要性及其以往的實施情況;
5.所有審計相關記錄應由信息安全戰(zhàn)略推進小組保存
6.受審核部門應采取適當措施,消除發(fā)現(xiàn)的不符合項;
7.審核員應跟蹤和驗證為確保不符合項關閉而采取的措施;
二�、外部審計
為了滿足ISO27001認證的外部審核,企業(yè)需要準備與風險評估��、內部審核�����、體系運行�����、管理評審�、各種體系文件和體系相關的材料進行檢查。
ISO27001認證審核要點
1.信息安全政策制定
2.控制措施的選擇
3.系統(tǒng)操作
4.文件體系的符合性
5.各種策略的設計
外部審計
1.外部審計也稱外部審計����,可分為第一次審計和第二次審計。在外部審核期間��,認證機構將聯(lián)系負責人并商定現(xiàn)場檢查的檢查時間��。
2.外部審核主要是檢查體系文件是否符合標準����,公司是否執(zhí)行了體系要求,是否有運行記錄輸出��,公司整體情況和公司辦公環(huán)境��。對于信息安全部門來說�����,主要是了解情況�。一般來說�,如果有問題,可以現(xiàn)場糾正���。
3.一般情況下��,第一次審核只需一天�,審核人是審核組長�����。審計結果將在審計后公布����。如果它們失敗了,它們通常在第一個實例中失敗�����,不需要第二個實例���。
4.二審時間較長���,具體時間和費用將根據(jù)申請人數(shù)和規(guī)模確定。
ISO27001的審核流程比較復雜�����,而且申請ISO27001認證����,ISO27001體系文件必須要運行3個月,進行過一次內審和管理評審�����,才能提交給審核方��。這里先看一下具體的審核流程:
1�、現(xiàn)狀調研
從日常運維、管理機制�����、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進行調研����,通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。包括:
項目啟動:前期溝通����,實施計劃�����,項目小組���,資源支持,啟動會議����。
前期培訓:信息安全管理基礎,風險評估方法��。
現(xiàn)狀評估:初步了解信息安全現(xiàn)狀����,分析與ISO27001標準要求的差距。
業(yè)務分析:訪談調查�,核心與支持業(yè)務,業(yè)務對資源的需求�����,業(yè)務影響分析��。
2、風險評估
對貴公司信息資產(chǎn)進行資產(chǎn)價值�、威脅因素、脆弱性分析���,從而評估貴公司信息安全風險,選擇適當?shù)拇胧?���、方法實現(xiàn)管理風險的目的。
資產(chǎn)識別:識別貴公司的各種信息資產(chǎn)���。
風險評估:重要資產(chǎn)���、威脅、弱點�、風險識別與評估。
3�、管理策劃
根據(jù)貴公司對信息安全風險的策略,制定相應信息安全整體規(guī)劃��、管理規(guī)劃�����、技術規(guī)劃等,形成完整的信息安全管理系統(tǒng)�。
文件編寫:編寫ISMS各級管理文件,進行Review及修訂���,管理層討論確認����。
發(fā)布實施:ISMS實施計劃����,體系文件發(fā)布,控制措施實施�����。
中期培訓:全員安全意識培訓�,ISMS實施推廣培訓,必要的考核��。
4����、體系實施
ISMS建立起來(體系文件正式發(fā)布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。
認證申請:與認證機構切磋商����,準備材料申請認證,制定認證計劃�����,預審核��。
后期培訓:審核員等角色的專業(yè)技能培訓���。
內部審核:審核計劃,Checklist�,內部審核,不符合項整改
管理評審:信息安全管理委員會組織ISMS整體評審�����,糾正預防���。
5����、認證審核
經(jīng)過一定時間運行��,ISMS達到一個穩(wěn)定的狀態(tài),各項文檔和記錄已經(jīng)建立完備���,此時�����,可以提請進行認證���。
認證準備:準備送審文件,安排部署審核事項��。
協(xié)助認證:內部審核小組陪同協(xié)助�,應對審核問題。
客服咨詢
158-0008-7775 
