ISO27001信息安全認(rèn)證審核員通常會關(guān)注的問題。
一、文件審核要點(diǎn)。
審核文件時(shí)，審核員主要關(guān)注信息安全管理系統(tǒng)文件是否符合ISO27001標(biāo)準(zhǔn)，文件的適用性和完整性是否符合要求。關(guān)注的文件包括但不限于:
法律地位證明、組織簡介、組織構(gòu)圖、人員描述、管理手冊、程序文件、信息安全政策和目標(biāo)、信息安全管理體系規(guī)定和控制措施、SOA適用性聲明、風(fēng)險(xiǎn)評估報(bào)告、殘余風(fēng)險(xiǎn)聲明、風(fēng)險(xiǎn)處置計(jì)劃、資產(chǎn)識別表和法律法規(guī)清單。

 

二、現(xiàn)場審核要點(diǎn)。
現(xiàn)場審核時(shí)，審核員主要關(guān)注組織信息安全管理系統(tǒng)的實(shí)施程度和有效性。除了關(guān)注各部門信息安全資產(chǎn)識別和風(fēng)險(xiǎn)管理的相關(guān)記錄外，關(guān)注的系統(tǒng)運(yùn)行記錄分別為:

 

行政人事部門:
1.來訪者的登記記錄。
二是人員保密協(xié)議。
3.與信息安全相關(guān)的法律法規(guī)清單和符合性評價(jià)。
4.與信息安全相關(guān)的培訓(xùn)計(jì)劃和簽到記錄。

 

有關(guān)IT部門：
1.服務(wù)器管理(包括設(shè)備點(diǎn)檢、測試日志記錄和審查)
2.機(jī)房管理等重點(diǎn)區(qū)域的進(jìn)出管理。
3.對各部門定期進(jìn)行殺毒、屏保、密碼等監(jiān)督檢查。
4.公司軟件使用清單和容量標(biāo)記。
5.重要數(shù)據(jù)備份記錄。
6.上網(wǎng)安全檢查。
7.郵箱、OA權(quán)限、權(quán)限及時(shí)性管理記錄等各種信息系統(tǒng)。

 

市場開發(fā)部門:
一是合同，訂單。
2.業(yè)務(wù)連續(xù)數(shù)據(jù)(計(jì)劃、驗(yàn)證)
3.訪問區(qū)域限制，如未經(jīng)授權(quán)人員可能進(jìn)入的地點(diǎn)管理記錄。

 

R&D部門:
1.產(chǎn)品技術(shù)數(shù)據(jù)(設(shè)計(jì)開發(fā)數(shù)據(jù)應(yīng)包括信息安全風(fēng)險(xiǎn)評估)
2.R&D人員保密協(xié)議。
三是生產(chǎn)工藝流程圖。

 

采購部:
一、合格供應(yīng)商名單。
二是供應(yīng)商調(diào)查表。
3.供應(yīng)商簽署安全要求文件協(xié)議。
4.供應(yīng)商基本信息(如營業(yè)執(zhí)照、ISO9001證書等。

 

管理：
1.目標(biāo)達(dá)成統(tǒng)計(jì)表；
2.文件清單(手冊、程序、操作說明)
三是文件發(fā)布記錄。
四是外來文件清單。
5.全公司資產(chǎn)識別和風(fēng)險(xiǎn)管理匯總表。
六、內(nèi)審、管審過程記錄。