信息安全管理体系 (ISMS) 的基本功能之一是根据 ISO IEC 27001:2013 (ISO 27001) 标准的要求独立执行的定期 ISMS 内部审核,根据 ISO 27001:2013 管理标准的第 9 节,内部审核旨在绩效评估。
简而言之,内部审核是显示ISMS是否可靠,其结果是否符合所需标准的程序之一,最初阶段的内部审计很可能是间接费用,另一方面,内部审计将促进发现诸如不合格等问题,否则这些问题将被忽视并因此而损害公司。
ISO 27001 审核计划
为了进行 ISO 27001 内部审核,我们有一个五步检查表。
1. 文件审查
您需要在内部审核的第一阶段审查在 ISMS 实施过程中创建的文档,这包括法规、许可证、规范和其他文件样式,对文件的分析将允许为内部审计过程中需要审查的内容设定一个特定的框架。
2. 管理层审查
那是审计真正开始的时候,在制定全面的审计计划以决定安排和审计资源之前,您将与管理层联络,它还包括设置里程碑,将在这些里程碑上向董事会提供临时更新,在这个早期阶段与管理层会面为双方提供了提出他们可能存在的任何疑虑的机会。
3. 实地考察
这就是您可能认为的“适当审计”正是在这个阶段,您的组织进行实际评估。
需要ISO 27001审核:
通过与前线成员交谈,观察 ISMS 在实践中的运作方式,进行审计测试以验证获得的证据。
记录每次检查的结果完整的审计报告,审查与 ISMS 相关的记录、打印输出和任何其他数据。
4. 实际评估和审查
此时,审核员将通过与组织的员工和经理面谈来调查 ISMS 的运作方式,为了验证,内部审计师必须在获得证据后进行测试,这种方法通常包括对 ISMS 运行所需的任何数据的彻底审查。最后,审核员编译结果并根据 ISO 27001 的基本标准对其进行衡量。证据审查可以揭示执行中的差距并确定需要额外测试的 ISMS 领域。
5. 内部审计报告
最后阶段是准备内部审计报告,它必须提供所完成工作的准确范围、持续时间和性质,报告的主要部分必须包括:
描述主要结果的执行摘要、高级概述和结论,报告的预期收件人以及相关的分类和分发指南;对结果的详细审查,结论,并提出补救措施,在范围方面列出指导方针或缺点的文件,可能需要进一步分析和调整,因为最终报告通常需要管理层同意行动计划。
需要帮助审核您的 ISO 27001
非常重视安全问题,独特的技术、方法和经验的结合将使您安心,安全且与您的组织保持一致,借助我们市场领先的 ISO 27001 ISMS 文档工具包,可以省去审核过程的麻烦并节省时间和金钱,它由专业的 ISO 27001 从业人员精心制作,包括可定制的范围声明,以及您需要强制执行和维护符合 ISO 27001 的 ISMS 的每个文档的模型。