一、ISO27001信息安全管理體系 文件審核
ISO27001信息安全管理體系文件審核的目的是評價組織是否按GB/T22080—2008/ISO/IEC27001:2005的要求建立了文件化的信息安全管理體系;所建立的信息安全管理體系文件對組織的ISMS是否充分和適宜,是否符合ISO27001標準的要求,并進行了有效的發布和分發控制;組織是否有效地進行了體系文件培訓,相關人員是否真正理解和貫徹了體系文件的要求。盡管體系文件全面描述了組織的ISMS體系,基于體系文件的審核幾乎涉及標準要求的全部內容,還需要另外三條脈絡作為補充。
ISO27001信息安全管理體系文件審核是初次認證兩個階段都需要進行的工作,但是文審工作應該在第一階段完成。
ISO27001信息安全管理體系體系文件審核主要包括:
1.ISO27001信息安全管理體系文件控制的審核
檢查是否按GB/T22080—2008/ISO/IEC27001:2005要求,特別是4.3.1中的要求建立了體系文件;是否有規范的記錄格式和記錄 要求;是否按文件控制要求正式發布了相關文件等。要注意紙質文件和電子文件控制要求的差異,以及電子文件是否存在不同的文件控制系統。實際上,文件控制檢 查的關鍵是判斷文件的完整性是否在文件生成、發布、修訂、再發布中得到了保持。另外,表明文件發布、使用狀態的文件發布控制清單通常是必須的。
2.ISO27001信息安全管理體系文件內容和實施情況的審核
對組織按照GB/T22080—2008/ISO/IEC27001:2005條款4.3.1建立的文件的內容進行檢查,對其實施情況進行追蹤。審核員需要 先理解這些文件的內容,進而驗證其實施情況,特別是那些能夠體現ISMS運行效果的證據,以便評價文件的可用性、充分性、適宜性,這也是體系文件審核的重 點。需要重點關注的文件包括:
(1) 描述方針、目標、范圍、組織的信息安全定義等的文件。
這些是整個審核的關注焦點。
(2) 文件/記錄控制程序、內部審核/管理評審程序、預防與糾正措施程序、有效性測量程序等。
需要檢查這些程序的可用性和實施情況。
(3) 適用性聲明。
檢查適用性聲明的完備性,梳理控制措施與體系文件、技術措施、體系范圍及安全要求與期望的關系,判斷控制措施及其刪減的合理性。
(4) 規程和規范操作類文件。
檢查文件的可操作性和應用情況,需要注意的是應結合審核過程驗證控制措施的有效性。
(5) 安全職責分配。
檢查是否建立了ISMS安全職責分配表,是否定義了信息安全管理體系建立、實施、運行、監視、評審、保持和改進所需的信息安全職責,是否將所有職責落實到具體崗位和人員身上。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
