二、ISO27001信息安全管理體系 風(fēng)險評估與處置審核
檢查信息安全管理體系的風(fēng)險處置計劃是否完備,特別是計劃信息安全風(fēng)險評估與處置是ISMS的核心過程,風(fēng)險評估與處置的審核也成為ISO27001信息安全管理體系審核的核心脈絡(luò),目的是評價受審組織的風(fēng)險評估是否依據(jù)ISO27001標(biāo)準(zhǔn)要求的流程進(jìn)行;組織所確定的風(fēng)險評估方法是否符合ISO27001標(biāo)準(zhǔn)要求;生成的風(fēng)險評估報告是否與組織確定的方法一致;組織信息資產(chǎn)的收集是否完整、重要度識別是否與組織體系范圍內(nèi)的業(yè)務(wù)密切相關(guān)、脆弱性和威脅的識別是否完整;組織的風(fēng)險接受準(zhǔn)則是否明確、合理;是否根據(jù)風(fēng)險評估制定了可行的風(fēng)險處置計劃,計劃是否得到執(zhí)行、監(jiān)視與評審;殘余風(fēng)險是否符合組織的風(fēng)險接受準(zhǔn)則,是否對殘余風(fēng)險進(jìn)行了評估,評估方法是否與組織確定的方法一致。
風(fēng)險評估與處置的審核是第二階段審核的重點(diǎn)內(nèi)容之一,主要包括:
1.風(fēng)險評估與處置程序的審核
評價程序的完備性和可執(zhí)行性,可采用查閱記錄、與風(fēng)險評估小組成員面談相結(jié)合的方式。
2.風(fēng)險評估方法的審核
評價組織所定義的風(fēng)險評估方法是否符合ISO27001標(biāo)準(zhǔn)的要求,是否具有可操作性。評價評估方法是否符合要求主要看該方法是否真正考慮了業(yè)務(wù)風(fēng)險的影響因素,以及評估結(jié)果是否可比較和可再現(xiàn),并評價信息資產(chǎn)的收集和風(fēng)險分析是否覆蓋了信息安全管理體系的范圍。
3.風(fēng)險評估報告的審核
檢查風(fēng)險評估報告內(nèi)容是否基本完備,提供的重要資產(chǎn)清單是否與信息安全管理體系范圍相適應(yīng);這需要審核員具有相當(dāng)?shù)呐c受審核組織業(yè)務(wù)相關(guān)的信息技術(shù)和信息安全技術(shù)的應(yīng)用知識,風(fēng)險評估報告是否與組織的信息安全現(xiàn)狀明顯不符。
審核員需要熟悉ISO27001標(biāo)準(zhǔn)的風(fēng)險評估,并需準(zhǔn)確了解組織面臨的信息安全風(fēng)險,進(jìn)而確定主要資產(chǎn)和風(fēng)險檢查點(diǎn),結(jié)合另外三條線進(jìn)行審核追蹤。
4.風(fēng)險處置計劃的審核
檢查風(fēng)險處置計劃是否完備,特別是計劃的實(shí)施結(jié)果是否得到監(jiān)視和評審,殘余風(fēng)險是否控制在受審核組織可接受范圍之內(nèi),沒有控制在可接受范圍之內(nèi)的是否得到領(lǐng)導(dǎo)層的批準(zhǔn)進(jìn)而確定風(fēng)險處置計劃的檢查點(diǎn),結(jié)合另外三條線進(jìn)行審核追蹤。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
