实施⊙驱动力
审核的独立性与客观〖性
审核的独立性是要求审核员和被审核方之间没有直接或间】接的利益关系,任何时︾候审核员都不能审核自己的工作,避免审核中走过场敷衍了事及故意找茬◤的现象;通常,外包给乙方来进行内审却可以很好的避免此类ㄨ情况的发生;
审核的№风险控制
对信息安全管理♂体系进行内审时,由于→工具的使用、人为失误或其它因素,也可能引入安全风险,加上审核◥抽样的局限性,更使得审核的有效性受到一定的干扰,为了减少不确定性←,降低风险,组织在审核期间应该考虑适当的控制。
实施目标
为了对信息安全管理体系的内部审核活动进行控制和管理,以提供信息安全管理体系符合要求并有效运作的证据,确保体系实施的有效性,消除实施漏洞与隐患。
实施过程
1、内审时机的确〓定
2、内审准备(包括内审检查表、内审员的选择、内审方式、报告模板的准备等)
3、编制审核计划
4、首次会议
5、审核(注意审核的独立性、文件化与系统性,结果作为管理评审的输入)
6、总结
7、开具不√符合报告
8、末次会议
9、内部审核报告
10、不符★合关闭
实施收益
1.提升组织信息安全管理水平,提高给予客户的信心;
2.发现ISO27001体系存在风险与漏洞,持续改进与完善信息安全管理体系;
3.审核上次改进的执行情况,确保体系持◢续、有效的向更加健壮的方向运行。