ISO27001内审

概述

内审是组织在运行信息安全管理体系过程中非常重要的一个环节,按照ISO27001的要求,组织应建立内审机制,并定期进行内部审核;但多数大型企业为了保证内审的质量及客观性,将内审外包给更加专业乙方,却不失为一个聪明的决定。

实施驱动力

审核的独立性与客观性
审核的独立性是要求审核员和被审核方之间没有直接或间接的利益关系,任何时候审核员都不能审核自己的工作,避免审核中走过场敷衍了事及故意找茬的现象;通常,外包给乙方来进行内审却可以很好的避免此类情况的发生;
审核的风险控制
对信息安全管理体系进行内审时,由于工具的使用、人为失误或其它因素,也可能引入安全风险,加上审核抽样的局限性,更使得审核的有效性受到一定的干扰,为了减少不确定性,降低风险,组织在审核期间应该考虑适当的控制。

实施目标

为了对信息安全管理体系的内部审核活动进行控制和管理,以提供信息安全管理体系符合要求并有效运作的证据,确保体系实施的有效性,消除实施漏洞与隐患。

实施过程

1、内审时机的确定
2、内审准备(包括内审检查表、内审员的选择、内审方式、报告模板的准备等)
3、编制审核计划
4、首次会议
5、审核(注意审核的独立性、文件化与系统性,结果作为管理评审的输入)
6、总结
7、开具不符合报告
8、末次会议
9、内部审核报告
10、不符合关闭

实施收益

1.提升组织信息安全管理水平,提高给予客户的信心;
2.发现ISO27001体系存在风险与漏洞,持续改进与完善信息安全管理体系;
3.审核上次改进的执行情况,确保体系持续、有效的向更加健壮的方向运行。