最高管理者应确保审核方案的目标得到确定,以指导审核的策划和实施,并应确保审核方案的有效实施。审核方案的目标应与管理体系的方针和目标相一致并予以支持
ISMS 审核方案的目的和内容
1.审核方案的目的:
确定ISMS审核方案的目的还需考虑:
a)信息安全的要求;
1)来自组织业务风险评估结果的要求;
2)来自法律法规和合同的要求;
3)来自新技术、新措施的应用的要求;
b)信息安全有效性测量;
c)ISMS监视与评审活动;
d)以往的ISMS审核结果;
e)组织的宗旨、目标和过程。
2.审核方案的内容:
ISMS审核方案的内容还需考虑:
a)ISMS的规模
1)体系所覆盖的人数,包括组织员工、相关方人员等;
2)使用的信息系统的数量;
3)处理的信息量;
4)用户的数量;
5)特权用户的数;
6)IT平台的数量;
7)网络的数量及它们的规模;
8)体系所覆盖的场所。
b)ISMS的复杂性
1)所操作和处理的敏感和关键信息的多少及类型;
2)电子交易的数量及类型;
3)远程工作的范围;
4)ISMS 文件化的程度。
c)信息系统复杂程度及其应用的信息技术程度与复杂性;
d)信息安全风险管理的要求;
1)所识别的信息安全风险;
2)风险处理的优先秩序;
3)风险的潜在原因。
e)信息安全相关法律、法规的要求,例如∶密码管理、保密管理、等级保护、知识产权保护和行业管理等要求。
f)是否存在相似的场所。
g)在体系覆盖范围的不同场所之间是否存在 ISMS复杂性上的差异。
h)组织ISMS认证的风险级别。
i)经证实的以往ISMS绩效。