检查信息安全管理体系的风险处置计划是否完备,特别是计划信息安全风险评估与处置是ISMS的核心过程,风险评估与处置的审核也成为ISO27001信息安全管理体系审核的核心脉络,目的是评价受审组织的风险评估是否依据ISO27001标准要求的流程进行;组织所确定的风险评估方法是否符合ISO27001标准要求;生成的风险评估报告是否与组织确定的方法一致;组织信息资产的收集是否完整、重要度识别是否与组织体系范围内的业务密切相关、脆弱性和威胁的识别是否完整;组织的风险接受准则是否明确、合理;是否根据风险评估制定了可行的风险处置计划,计划是否得到执行、监视与评审;残余风险是否符合组织的风险接受准则,是否对残余风险进行了评估,评估方法是否与组织确定的方法一致。
风险评估与处置的审核是第二阶段审核的重点内容之一,主要包括:
1.风险评估与处置程序的审核
评价程序的完备性和可执行性,可采用查阅记录、与风险评估小组成员面谈相结合的方式。
2.风险评估方法的审核
评价组织所定义的风险评估方法是否符合ISO27001标准的要求,是否具有可操作性。评价评估方法是否符合要求主要看该方法是否真正考虑了业务风险的影响因素,以及评估结果是否可比较和可再现,并评价信息资产的收集和风险分析是否覆盖了信息安全管理体系的范围。
3.风险评估报告的审核
检查风险评估报告内容是否基本完备,提供的重要资产清单是否与信息安全管理体系范围相适应;这需要审核员具有相当的与受审核组织业务相关的信息技术和信息安全技术的应用知识,风险评估报告是否与组织的信息安全现状明显不符。
审核员需要熟悉ISO27001标准的风险评估,并需准确了解组织面临的信息安全风险,进而确定主要资产和风险检查点,结合另外三条线进行审核追踪。
4.风险处置计划的审核
检查风险处置计划是否完备,特别是计划的实施结果是否得到监视和评审,残余风险是否控制在受审核组织可接受范围之内,没有控制在可接受范围之内的是否得到领导层的批准进而确定风险处置计划的检查点,结合另外三条线进行审核追踪。