國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會批準(zhǔn)認(rèn)證咨詢機構(gòu)
批準(zhǔn)號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
服務(wù)項目
檢查信息安全管理體系的風(fēng)險處置計劃是否完備,,特別是計劃信息安全風(fēng)險評估與處置是ISMS的核心過程,風(fēng)險評估與處置的審核也成為ISO27001信息安全管理體系審核的核心脈絡(luò),,目的是評價受審組織的風(fēng)險評估是否依據(jù)ISO27001標(biāo)準(zhǔn)要求的流程進(jìn)行,;組織所確定的風(fēng)險評估方法是否符合ISO27001標(biāo)準(zhǔn)要求;生成的風(fēng)險評估報告是否與組織確定的方法一致,;組織信息資產(chǎn)的收集是否完整,、重要度識別是否與組織體系范圍內(nèi)的業(yè)務(wù)密切相關(guān)、脆弱性和威脅的識別是否完整,;組織的風(fēng)險接受準(zhǔn)則是否明確,、合理;是否根據(jù)風(fēng)險評估制定了可行的風(fēng)險處置計劃,,計劃是否得到執(zhí)行,、監(jiān)視與評審;殘余風(fēng)險是否符合組織的風(fēng)險接受準(zhǔn)則,,是否對殘余風(fēng)險進(jìn)行了評估,,評估方法是否與組織確定的方法一致。
風(fēng)險評估與處置的審核是第二階段審核的重點內(nèi)容之一,,主要包括:
1.風(fēng)險評估與處置程序的審核
評價程序的完備性和可執(zhí)行性,,可采用查閱記錄、與風(fēng)險評估小組成員面談相結(jié)合的方式,。
2.風(fēng)險評估方法的審核
評價組織所定義的風(fēng)險評估方法是否符合ISO27001標(biāo)準(zhǔn)的要求,,是否具有可操作性。評價評估方法是否符 合要求主要看該方法是否真正考慮了業(yè)務(wù)風(fēng)險的影響因素,以及評估結(jié)果是否可比較和可再現(xiàn),,并評價信息資產(chǎn) 的收集和風(fēng)險分析是否覆蓋了信息安全管理體系的范圍,。
3.風(fēng)險評估報告的審核
檢查風(fēng)險評估報告內(nèi)容是否基本完備,提供的重要資產(chǎn)清單是否與信息安全管理體系范圍相適應(yīng),;這需要審核員具有相當(dāng)?shù)呐c受審核組織業(yè)務(wù)相關(guān)的信息技術(shù)和信息安全技術(shù)的應(yīng)用知識,,風(fēng)險評估報告是否與組織的信息安全現(xiàn)狀明顯不符。
審核員需要熟悉ISO27001標(biāo)準(zhǔn)的風(fēng)險評估,,并需準(zhǔn)確了解組織面臨的信息安全風(fēng)險,,進(jìn)而確定主要資產(chǎn)和風(fēng)險檢查點,結(jié)合另外三條線進(jìn)行審核追蹤,。
4.風(fēng)險處置計劃的審核
檢查風(fēng)險處置計劃是否完備,,特別是計劃的實施結(jié)果是否得到監(jiān)視和評審,殘余風(fēng)險是否控制在受審核組織可接受范圍之內(nèi),,沒有控制在可接受范圍之內(nèi)的是否得到領(lǐng)導(dǎo)層的批準(zhǔn)進(jìn)而確定風(fēng)險處置計劃的檢查點,,結(jié)合另外三條線進(jìn)行審核追蹤。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信