內部審核是 ISO 27001合規(guī)性的重要組成部分,因此了解自己在做什么非常重要����,幸運的是�����,這篇文章解釋了您需要遵循的五個步驟,以確保您的內部審計成功����。
ISO 27001審核的五個階段
1、范圍界定和審計前調查
您必須進行基于風險的評估��,以確定審計的重點��,并確定哪些領域不在范圍內�。ISO 27001審核信息來源可能包括行業(yè)研究、以前的 ISMS(信息安全管理系統(tǒng))報告或其他文件�����,例如 ISMS 政策�。確保審核的范圍與組織相關——它通常應與被認證的 ISMS 的范圍相匹配。對于大型組織���,審核員可能需要審查 ISMS 在每個業(yè)務地點的實施情況�����。如果無法查看每個位置�,至少應該抽取一個具有代表性的樣本。在審核前調查期間��,ISO 27001審核員還應確定并聯系 ISMS 中的主要利益相關者�,以索取將在審核期間審核的任何文件。
2���、規(guī)劃和準備
在同意 ISMS 審核范圍后���,審核員必須將其分解為更詳細的ISO 27001審核內容。這涉及制定 ISMS 審核工作計劃��,其中審核的時間安排和資源與管理層達成一致����,傳統(tǒng)的項目規(guī)劃圖表,例如甘特圖��,可能會有所幫助�����。審計計劃確定并圍繞審計的剩余階段劃定界限,通常包括“檢查點”���,詳細說明審計師向經理提供非正式臨時更新的具體機會�。此類更新允許審計師提出有關獲取信息或人員的問題��,并允許管理層提出有關審計過程的ISO 27001審核問題��。必須指定重要審核工作的時間安排��,以便在發(fā)現 ISMS 不足時您可以優(yōu)先考慮您認為會帶來最大風險的方面��。
3���、ISO 27001審核實地考察
一旦制定了 ISMS 審核工作計劃,審核員必須通過采訪與 ISMS 相關的員工�、經理和其他利益相關者來收集證據。他們還應該審查 ISMS 文件��、打印輸出和數據�,并觀察 ISMS 流程的運行情況。需要執(zhí)行審計測試以驗證收集到的證據�����,以及記錄所執(zhí)行測試的審計工作文件。現場工作的初始階段通常涉及審核員審查與 ISMS 相關并由 ISMS 產生的文件�����。他們的發(fā)現可能表明需要進行特定的審核測試���,以確定 ISMS 與 ISO 27001 相關文件的遵循程度����。
4�����、ISO 27001審核分析
應根據風險和控制目標對審計證據進行分類��、歸檔和審查��。有時�����,分析可能會發(fā)現證據中的差距或表明需要進行更多的審計測試��,這將涉及進一步的現場測試�。
5���、ISO 27001審核報告
審計過程的這一重要組成部分通常包括:說明所執(zhí)行工作的范圍、目標��、時間和范圍的介紹�����;顯示主要發(fā)現的執(zhí)行摘要��、簡要分析和結論��;預期的報告接收者�,以及分類和分發(fā)指南(如適用)����;詳細的調查結果和分析;結論和建議�;和審計師詳細說明建議或范圍限制的聲明。審計報告草稿應提交給管理層并與管理層討論����,可能需要進一步審查和修訂,因為最終報告通常涉及管理層對行動計劃的承諾��。
如果您正在尋求獲得ISO 27001認證的幫助,歡迎撥打賽鵬信息專家熱線 18911305506 進行詳細咨詢��!
