颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISMS二阶段中的风险评估与处置审核

    来源: 网络
    日期: 2021-05-12
    浏览次数: 365


    检查信息安全管理体系的风险处置计划是否完备,特别是计划信息安全风险评估与处置是ISMS的核心过程,风险评估与处置的审核也成为ISO27001信息安全管理体系审核的核心脉络,目的是评价受审组织的风险评估是否依据ISO27001标准要求的流程进行;组织所确定的风险评估方法是否符合ISO27001标准要求;生成的风险评估报告是否与组织确定的方法一致;组织信息资产的收集是否完整、重要度识别是否与组织体系范围内的业务密切相关、脆弱性和威胁的识别是否完整;组织的风险接受准则是否明确、合理;是否根据风险评估制定了可行的风险处置计划,计划是否得到执行、监视与评审;残余风险是否符合组织的风险接受准则,是否对残余风险进行了评估,评估方法是否与组织确定的方法一致。


    风险评估与处置的审核是第二阶段审核的重点内容之一,主要包括:


    1.风险评估与处置程序的审核

    评价程序的完备性和可执行性,可采用查阅记录、与风险评估小组成员面谈相结合的方式。


    2.风险评估方法的审核

    评价组织所定义的风险评估方法是否符合ISO27001标准的要求,是否具有可操作性。评价评估方法是否符合要求主要看该方法是否真正考虑了业务风险的影响因素,以及评估结果是否可比较和可再现,并评价信息资产的收集和风险分析是否覆盖了信息安全管理体系的范围。


    3.风险评估报告的审核

    检查风险评估报告内容是否基本完备,提供的重要资产清单是否与信息安全管理体系范围相适应;这需要审核员具有相当的与受审核组织业务相关的信息技术和信息安全技术的应用知识,风险评估报告是否与组织的信息安全现状明显不符。

    审核员需要熟悉ISO27001标准的风险评估,并需准确了解组织面临的信息安全风险,进而确定主要资产和风险检查点,结合另外三条线进行审核追踪。


    4.风险处置计划的审核

    检查风险处置计划是否完备,特别是计划的实施结果是否得到监视和评审,残余风险是否控制在受审核组织可接受范围之内,没有控制在可接受范围之内的是否得到领导层的批准进而确定风险处置计划的检查点,结合另外三条线进行审核追踪。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开