國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢(xún)機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國(guó):010-56542716
天津:022-27810977
國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢(xún)機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
服務(wù)項(xiàng)目
文件審核 ISO27001信息安全管理體系文件審核的目的是評(píng)價(jià)組織是否按GB/T22080—2016/ISO/IEC27001:2013的要求建立了文件化的信息安全管理體系,;所建立的信息安全管理體系文件對(duì)組織的ISMS是否充分和適宜,是否符合ISO27001標(biāo)準(zhǔn)的要求,,并進(jìn)行了有效的發(fā)布和分發(fā)控制,;組織是否有效地進(jìn)行了體系文件培訓(xùn),相關(guān)人員是否真正理解和貫徹了體系文件的要求,。盡管體系文件全面描述了組織的ISMS體系,,基于體系文件的審核幾乎涉及標(biāo)準(zhǔn)要求的全部?jī)?nèi)容,還需要另外三條脈絡(luò)作為補(bǔ)充,。
ISO27001信息安全管理體系文件審核是初次認(rèn)證兩個(gè)階段都需要進(jìn)行的工作,,但是文審工作應(yīng)該在第一階段完成。
ISO27001信息安全管理體系體系文件審核主要包括:
1.ISO27001信息安全管理體系文件控制的審核檢查是否按GB/T22080—2016/ISO/IEC27001:2013要求建立了體系文件,;是否有規(guī)范的記錄格式和記錄要求,;是否按文件控制要求正式發(fā)布了相關(guān)文件等。要注意紙質(zhì)文件和電子文件控制要求的差異,,以及電子文件是否存在不同的文件控制系統(tǒng),。實(shí)際上,文件控制檢查的關(guān)鍵是判斷文件的完整性是否在文件生成,、發(fā)布,、修訂,、再發(fā)布中得到了保持。另外,,表明文件發(fā)布,、使用狀態(tài)的文件發(fā)布控制清單通常是必須的。
2.ISO27001信息安全管理體系文件內(nèi)容和實(shí)施情況的審核對(duì)組織按照GB/T22080—2016/ISO/IEC27001:2013條款建立的文件的內(nèi)容進(jìn)行檢查,,對(duì)其實(shí)施情況進(jìn)行追蹤,。審核員需要先理解這些文件的內(nèi)容,進(jìn)而驗(yàn)證其實(shí)施情況,,特別是那些能夠體現(xiàn)ISMS運(yùn)行效果的證據(jù),,以便評(píng)價(jià)文件的可用性、充分性,、適宜性,,這也是體系文件審核的重點(diǎn)。需要重點(diǎn)關(guān)注的文件包括:
(1) 描述方針,、目標(biāo)、范圍,、組織的信息安全定義等的文件,。
這些是整個(gè)審核的關(guān)注焦點(diǎn)。
(2) 文件/記錄控制程序,、內(nèi)部審核/管理評(píng)審程序,、預(yù)防與糾正措施程序、有效性測(cè)量程序等,。
需要檢查這些程序的可用性和實(shí)施情況,。
(3) 適用性聲明。
檢查適用性聲明的完備性,,梳理控制措施與體系文件,、技術(shù)措施、體系范圍及安全要求與期望的關(guān)系,,判斷 控制措施及其刪減的合理性,。
(4) 規(guī)程和規(guī)范操作類(lèi)文件。
檢查文件的可操作性和應(yīng)用情況,,需要注意的是應(yīng)結(jié)合審核過(guò)程驗(yàn)證控制措施的有效性,。
(5) 安全職責(zé)分配。
檢查是否建立了ISMS安全職責(zé)分配表,,是否定義了信息安全管理體系建立,、實(shí)施、運(yùn)行,、監(jiān)視,、評(píng)審,、保持和改進(jìn)所需的信息安全職責(zé),是否將所有職責(zé)落實(shí)到具體崗位和人員身上,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信