實施驅(qū)動力
審核的獨立性與客觀性
審核的獨立性是要求審核員和被審核方之間沒有直接或間接的利益關(guān)系����,任何時候?qū)徍藛T都不能審核自己的工作�,避免審核中走過場敷衍了事及故意找茬的現(xiàn)象;通常��,外包給乙方來進行內(nèi)審卻可以很好的避免此類情況的發(fā)生��;
審核的風險控制
對信息安全管理體系進行內(nèi)審時��,由于工具的使用�����、人為失誤或其它因素����,也可能引入安全風險,加上審核抽樣的局限性����,更使得審核的有效性受到一定的干擾,為了減少不確定性�,降低風險,組織在審核期間應(yīng)該考慮適當?shù)目刂啤?/p>
實施目標
為了對信息安全管理體系的內(nèi)部審核活動進行控制和管理���,以提供信息安全管理體系符合要求并有效運作的證據(jù)���,確保體系實施的有效性,消除實施漏洞與隱患�。
實施過程
1、內(nèi)審時機的確定
2���、內(nèi)審準備(包括內(nèi)審檢查表����、內(nèi)審員的選擇�����、內(nèi)審方式��、報告模板的準備等)
3�、編制審核計劃
4、首次會議
5�、審核(注意審核的獨立性、文件化與系統(tǒng)性��,結(jié)果作為管理評審的輸入)
6���、總結(jié)
7��、開具不符合報告
8�����、末次會議
9���、內(nèi)部審核報告
10�、不符合關(guān)閉
實施收益
1.提升組織信息安全管理水平����,提高給予客戶的信心;
2.發(fā)現(xiàn)ISO27001體系存在風險與漏洞�,持續(xù)改進與完善信息安全管理體系;
3.審核上次改進的執(zhí)行情況��,確保體系持續(xù)��、有效的向更加健壯的方向運行�。