發佈時間 :2023-05-29
一 、文件審核關注要點
在進行文件審核時 ,審核員主要關注信息安全管理體系文件是否符合ISO27001標準 ,關注文件的適宜性和完整性是否符合要求 。關注的文件包括但不限於:
法律地位證明 、組織簡介 、組織機構圖 、人員情況說明 、管理手冊 、程序文件 、信息安全方針和目標 、信息安全管理體系的規程和控制措施 、SOA適用性聲明 、風險評估報告 、殘餘風險聲明 、風險處置計劃 、資產識別表 、法律法規清單 。
二 、現場審核關注要點
現場審核時 ,審核員主要關注組織信息安全管理體系執行的程度及有效性 ,除着重關注各部門信息安全資產識別與風險管理相關記錄外 ,對應不同部門或角色 ,着重關注的體系運行記錄分別為 :
行政人事部門 :
1 、來訪人員登記記錄
2 、人員保密協議
3 、與信息安全相關的法律法規清單 、符合性評價
4 、與信息安全相關的培訓計劃 、培訓簽到記錄
IT相關部門 :
1 、服務器管理(包括設備點檢 、測試日誌記錄與審查)
2 、機房管理等重點區域進出管理
3 、對各部門定期殺毒 、屏保 、密碼等監督檢查表單
4 、公司軟件使用清單 、容量標註
5 、重要數據備份記錄
6 、上網安全檢查
7 、各類信息系統如郵箱 、OA權限及權限時效性管理記錄
市場開發部門 :
1 、合同 、訂單
2 、業務連續性資料(計劃 、驗證)
3 、訪問區域限制如未經授權人員可能進入的地點管理記錄
研發部門:
1 、產品技術資料(設計開發資料 ,應包括信息安全風險評估)
2 、研發人員保密協議
3 、生產工藝流程圖
採購部門 :
1 、合格供應商名錄
2 、供應商調查表
3 、供應商簽署安全要求的文件協議
4 、供應商基本資料(如營業執照 、ISO9001證書等)
管理層 :
1 、目標達成統計表
2 、文件清單(手冊 、程序 、作業指導書)
3 、文件發佈記錄
4 、外來文件清單
5 、全公司資產識別與風險管理匯總表
6 、內審 、管審過程記錄
總部地址 :山東省青島市高新區竹園路2號
認證中心 :山東省青島市市南區東海西路15號英德隆大廈21樓
瀏覽手機端
關注公眾號
Copyright © 2018-2024 山東鸿运国际認證有限公司 All Rights Reserved. 備案號 :魯ICP備09071377號
技術支持 :微動力網絡