动态资讯
联系我们
确立达顾问集团
(广州.深圳.惠州)
咨询热线:
黄先生 135 5482 3909
邮箱:info@qualtekgz.com
广州公司:广州市黄埔区盛凯大街3号1825房
深圳公司:深圳市龙岗区园山街道星河智荟A2区E座中兴智汇大厦513
惠州公司:惠州市惠城区帝景文化名都大厦B栋1001室
ISO27001信息安全认证审核员
ISO27001信息安全认证审核员通常会关注的问题。
一、文件审核要点。
审核文件时,审核员主要关注信息安全管理系统文件是否符合ISO27001标准,文件的适用性和完整性是否符合要求。关注的文件包括但不限于:
法律地位证明、组织简介、组织构图、人员描述、管理手册、程序文件、信息安全政策和目标、信息安全管理体系规定和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表和法律法规清单。
二、现场审核要点。
现场审核时,审核员主要关注组织信息安全管理系统的实施程度和有效性。除了关注各部门信息安全资产识别和风险管理的相关记录外,关注的系统运行记录分别为:
行政人事部门:
1.来访者的登记记录。
二是人员保密协议。
3.与信息安全相关的法律法规清单和符合性评价。
4.与信息安全相关的培训计划和签到记录。
有关IT部门:
1.服务器管理(包括设备点检、测试日志记录和审查)
2.机房管理等重点区域的进出管理。
3.对各部门定期进行杀毒、屏保、密码等监督检查。
4.公司软件使用清单和容量标记。
5.重要数据备份记录。
6.上网安全检查。
7.邮箱、OA权限、权限及时性管理记录等各种信息系统。
市场开发部门:
一是合同,订单。
2.业务连续数据(计划、验证)
3.访问区域限制,如未经授权人员可能进入的地点管理记录。
R&D部门:
1.产品技术数据(设计开发数据应包括信息安全风险评估)
2.R&D人员保密协议。
三是生产工艺流程图。
采购部:
一、合格供应商名单。
二是供应商调查表。
3.供应商签署安全要求文件协议。
4.供应商基本信息(如营业执照、ISO9001证书等。
管理:
1.目标达成统计表;
2.文件清单(手册、程序、操作说明)
三是文件发布记录。
四是外来文件清单。
5.全公司资产识别和风险管理汇总表。
六、内审、管审过程记录。