ISO27001信息安全認證審核員通常會(huì )關(guān)注的問(wèn)題。
一、文件審核要點(diǎn)。
審核文件時(shí)，審核員主要關(guān)注信息安全管理系統文件是否符合ISO27001標準，文件的適用性和完整性是否符合要求。關(guān)注的文件包括但不限于:
法律地位證明、組織簡(jiǎn)介、組織構圖、人員描述、管理手冊、程序文件、信息安全政策和目標、信息安全管理體系規定和控制措施、SOA適用性聲明、風(fēng)險評估報告、殘余風(fēng)險聲明、風(fēng)險處置計劃、資產(chǎn)識別表和法律法規清單。

 

二、現場(chǎng)審核要點(diǎn)。
現場(chǎng)審核時(shí)，審核員主要關(guān)注組織信息安全管理系統的實(shí)施程度和有效性。除了關(guān)注各部門(mén)信息安全資產(chǎn)識別和風(fēng)險管理的相關(guān)記錄外，關(guān)注的系統運行記錄分別為:

 

行政人事部門(mén):
1.來(lái)訪(fǎng)者的登記記錄。
二是人員保密協(xié)議。
3.與信息安全相關(guān)的法律法規清單和符合性評價(jià)。
4.與信息安全相關(guān)的培訓計劃和簽到記錄。

 

有關(guān)IT部門(mén)：
1.服務(wù)器管理(包括設備點(diǎn)檢、測試日志記錄和審查)
2.機房管理等重點(diǎn)區域的進(jìn)出管理。
3.對各部門(mén)定期進(jìn)行殺毒、屏保、密碼等監督檢查。
4.公司軟件使用清單和容量標記。
5.重要數據備份記錄。
6.上網(wǎng)安全檢查。
7.郵箱、OA權限、權限及時(shí)性管理記錄等各種信息系統。

 

市場(chǎng)開(kāi)發(fā)部門(mén):
一是合同，訂單。
2.業(yè)務(wù)連續數據(計劃、驗證)
3.訪(fǎng)問(wèn)區域限制，如未經(jīng)授權人員可能進(jìn)入的地點(diǎn)管理記錄。

 

R&D部門(mén):
1.產(chǎn)品技術(shù)數據(設計開(kāi)發(fā)數據應包括信息安全風(fēng)險評估)
2.R&D人員保密協(xié)議。
三是生產(chǎn)工藝流程圖。

 

采購部:
一、合格供應商名單。
二是供應商調查表。
3.供應商簽署安全要求文件協(xié)議。
4.供應商基本信息(如營(yíng)業(yè)執照、ISO9001證書(shū)等。

 

管理：
1.目標達成統計表；
2.文件清單(手冊、程序、操作說(shuō)明)
三是文件發(fā)布記錄。
四是外來(lái)文件清單。
5.全公司資產(chǎn)識別和風(fēng)險管理匯總表。
六、內審、管審過(guò)程記錄。