ISO27001認證中的文件審核
ISO27001認證信息安全管理體系文件審核的目的是評價組織是否按GB/T22080—2008/ISO/IEC27001:2005的要求建立了文件化的信息安全管理體系;所建立的信息安全管理體系文件對組織的ISMS是否充分和適宜,是否符合ISO27001標準的要求,并進行了有效的發布和分發控制;組織是否有效地進行了體系文件培訓,相關人員是否真正理解和貫徹了體系文件的要求。盡管體系文件全面描述了組織的ISMS體系,基于體系文件的審核幾乎涉及標準要求的全部內容,還需要另外三條脈絡作為補充。
ISO27001信息安全管理體系文件審核是初次認證兩個階段都需要進行的工作,但是文審工作應該在第一階段完成。
ISO27001信息安全管理體系體系文件審核主要包括:
1.ISO27001信息安全管理體系文件控制的審核
檢查是否按GB/T22080—2008/ISO/IEC27001:2005要求,特別是4.3.1中的要求建立了體系文件;是否有規范的記錄格式和記錄 要求;是否按文件控制要求正式發布了相關文件等。要注意紙質文件和電子文件控制要求的差異,以及電子文件是否存在不同的文件控制系統。實際上,文件控制檢 查的關鍵是判斷文件的完整性是否在文件生成、發布、修訂、再發布中得到了保持。另外,表明文件發布、使用狀態的文件發布控制清單通常是必須的。
對組織按照GB/T22080—2008/ISO/IEC27001:2005條款4.3.1建立的文件的內容進行檢查,對其實施情況進行追蹤。審核員需要 先理解這些文件的內容,進而驗證其實施情況,特別是那些能夠體現ISMS運行效果的證據,以便評價文件的可用性、充分性、適宜性,這也是體系文件審核的重 點。需要重點關注的文件包括:
(1) 描述方針、目標、范圍、組織的信息安全定義等的文件。這些是整個審核的關注焦點。
(2) 文件/記錄控制程序、內部審核/管理評審程序、預防與糾正措施程序、有效性測量程序等。
需要檢查這些程序的可用性和實施情況。
(3) 適用性聲明。
檢查適用性聲明的完備性,梳理控制措施與體系文件、技術措施、體系范圍及安全要求與期望的關系,判斷控制措施及其刪減的合理性。
(4) 規程和規范操作類文件。
檢查文件的可操作性和應用情況,需要注意的是應結合審核過程驗證控制措施的有效性。
(5) 安全職責分配。
檢查是否建立了ISMS安全職責分配表,是否定義了信息安全管理體系建立、實施、運行、監視、評審、保持和改進所需的信息安全職責,是否將所有職責落實到具體崗位和人員身上。
如也有不清楚的可以隨時在線留言,我們致力于驗廠咨詢.認證體系輔導服務多年,累計幫助上萬家知名企業順利通過各種各樣驗廠和體系認證輔導。為廣大客戶提供一站式服務,機構遍布全國,無論是國內還是國外,都有我們公司的各個地區的輔導機構,且社會經驗豐富,老師專業,擁有諸多的人脈關系,可以為工廠提供高性價比的服務,避免找不到方向,讓制造廠安心、快速順利通過驗廠和認證審核。
便捷鏈接: HBI驗廠EcoVadisEcoVadis?認證咨詢化妝品驗廠化妝品認證咨詢GMPC驗廠GMPC認證咨詢RCS認證咨詢NBCU驗廠AEO認證咨詢AEOInditex驗廠Huawei驗廠華為驗廠PVH驗廠ESD認證咨詢ESDFSMAFSMA認證咨詢小米驗廠驗廠之家APPLE驗廠蘋果驗廠WRAP認證咨詢WRAP驗廠WRAPEICCICTI驗廠ICTI認證咨詢ICTISA8000認證咨詢迪士尼驗廠disney驗廠Walmart驗廠沃爾瑪驗廠認證咨詢驗廠BSCI驗廠BSCIWalmart認證咨詢WCA驗廠CVS驗廠RBA驗廠RBA認證咨詢GRS認證咨詢Huawei華為驗廠勞氏反恐驗廠Nike驗廠Lowe's驗廠McDonald驗廠LOREAL驗廠家樂福質量驗廠QSA驗廠ISO9001FCC認證咨詢ISO14001服務體系認證咨詢產品體系認證咨詢管理體系認證咨詢反恐驗廠質量驗廠社會責任驗廠EICC驗廠ICTI 驗廠OHSAS18001認證咨詢
本文來源:驗廠之家 - ISO27001認證中的文件審核
版權說明:上述為轉載或編者觀點,不承當任何法律責任
粵公網安備44030002003667