ISMS认证认可知识
- 什么是认证?
- 什么是认证机构?
- 认证的依据是什么?
- 贯彻ISO 27001是否必须进行认证?
- 申请ISMS认证的基本条件是什么?
- ISMS认证的目的和作用是什么?
- ISMS认证是否是终身有效的?
- 对组织ISMS体系监督审核的目的和要求是什么?
- 什么是体系审核?
- 什么是初始审核?
- 什么是文件审核?
- 什么是现场审核?
- ISMS审核必须经过初访吗?
- ISMS审核报告中具体应该包括哪些内容?
- ISMS现场审核可能得出什么结论?
- ISMS认证证书中应包含哪些内容?
- ISMS内部审核策划阶段应做好哪些工作?
- 建立一套正规的体系审核程序
- ISMS审核实施阶段的步骤有哪些?
- ISMS审核的依据是什么?
- ISMS审核的准备工作应如何展开?
- ISMS审核的基本步骤有哪些?
- ISMS审核的首次会议应该涉及哪些议题?
- ISMS审核的末次会议应该涉及哪些议题?
- 初始审核所需时间受哪些因素影响?
- 审核员的职责有哪些?
- 合格审核员应具备哪些能力?
- 合格审核员所应掌握的知识有哪些?
- ISMS审核组长的职责有哪些?
- ISMS内部审核员的作用是什么?
- ISMS内审员应具备的基本技能有哪些?
- 在选择ISMS内部审核员时,主要应考虑哪些因素?
- 在选择ISMS审核组长时,主要应考虑哪些因素?
- ISMS不符合项的种类有哪些?
- 对于出现的每一个不符合项,组织应该采取哪些措施?
- 核查表(Checklist)对审核员来说起什么作用?
- 设计核查表(Checklist)时应注意哪些问题?
- 目前有哪些著名国际互认组织?
- 组建合格的内部审核员队伍
- 什么是认可?
- 什么是认可机构?
- 认证与认可有哪些区别?
- 什么是国家认可制度?
- 中国的国家认可制度发展情况如何?
- 什么是国际互认?
信息安全管理体系审核的准备工作应如何展开?
审核准备是体系审核工作的一个重要阶段,准备阶段工作做得越细致,现场审核就可越深入。准备工作大致包括下列内容:
1 编制审核计划
审核计划分为年度审核计划和具体的审核实施计划。组织为了对审核活动进行系统和合理的安排,组织一般应编制年度审核计划,审核活动的时间安排要避免与组织重要业务活动发生冲突,每年内所有的安全管理区域应至少被审核一次,审核的频次与体系的稳定性及组织信息资产所面临的风险因素有关,对发生重大信息安全事件等特殊情况,组织要追加审核计划。年度计划的方式可以采用分散/滚动式的计划方式,也可以采用集中式的计划方式。
对每一次具体的审核活动组织应编制详细的审核实施计划,明确审核的目的、范围、准则、时间、审核组成员与分工、审核日程安排、必要的审核工具和信息安全专家的支持、审核过程的安全控制要求。审核计划应获得管理者批准,提前发给被审核部门,以获得被审核部门的配合与支持。
2 组成审核组
在进行信息安全管理体系审核前,组织有关管理者(如信息安全经理)应任命审核组长及审核员,组成审核组。
3 收集并审阅有关文件
体系审核时的文件审核工作,重点是收集与受审核部门的信息安全活动有关的程序文件、作业指导书等,并以有关法律、法规及标准等为准则对程序文件等进行检查,看其是否符合这些准则。在审阅程序文件时,不仅要检查该部门自身中心工作的程序文件,还要检查与其他部门程序文件的接口是否明确,内容是否协调。对整个组织的部门或几个部门都通用的文件和程序也要收集齐全,以便审核时使用,此外,还应对该部门重要的信息安全记录加以预先审阅。审核员在文件初审时应做好审查记录,把发现的问题记录下来。
4 准备审核工作文件——编写核查表
核查表(Checklist)也称检查表,是审核员进行审核时的一种自用工具。