ISO27001内审

概述

内审是组织在运行信息安全管理体系过程中非常重要的一个环节,按照ISO27001的要求,组织应建立内审机制,并定期进行内部审核;但多数大型企业为了保证内审的质量及客观性,将内审外包给更加专业乙方,却不失为一个聪明的决定。

实施驱动力

审核的独立性与客观性

审核的独立性是要求审核员和被审核方之间没有直接或间接的利益关系,任何时候审核员都不能审核自己的工作,避免审核中走过场敷衍了事及故意找茬的现象;通常,外包给乙方来进行内审却可以很好的避免此类情况的发生;

审核的风险控制

对信息安全管理体系进行内审时,由于工具的使用、人为失误或其它因素,也可能引入安全风险,加上审核抽样的局限性,更使得审核的有效性受到一定的干扰,为了减少不确定性,降低风险,组织在审核期间应该考虑适当的控制;

实施目标

为了对信息安全管理体系的内部审核活动进行控制和管理,以提供信息安全管理体系符合要求并有效运作的证据,确保体系实施的有效性,消除实施漏洞与隐患。

实施过程
  1. 内审时机的确定
  2. 内审准备(包括内审检查表、内审员的选择、内审方式、报告模板的准备等)
  3. 编制审核计划
  4. 首次会议
  5. 审核(注意审核的独立性、文件化与系统性,结果作为管理评审的输入)
  6. 总结
  7. 开具不符合报告
  8. 末次会议
  9. 内部审核报告
  10. 不符合关闭
实施收益

1.提升组织信息安全管理水平,提高给予客户的信心;

2.发现ISO27001体系存在风险与漏洞,持续改进与完善信息安全管理体系;

3.审核上次改进的执行情况,确保体系持续、有效的向更加健壮的方向运行;

速邦优势

速邦咨询客户覆盖多种行业,具备良好的商业信誉,咨询师业务经验丰富,同时具备诸多国际上最为认可的高级资质,包括CISSP、ISO27000主任审核员、CISA、CISM、ITIL证书等,客户案例众多。通过咨询、培训等方式,帮助企业建立持续改进计划及行动方案,加强软件开发能力,帮助其参与国际市场的竞争。

在具体实施过程中,速邦咨询本着以客户为中心的原则,为客户提供高水平、高质量的专业服务:

—速邦咨询与认证机构的紧密沟通,与BSI、DNV、BV、中国信息安全认证中心等国内外著名的认证机构建立了战略合作关系

-针对不同的项目,成立专门的项目组,为客户提供高效、快速的服务;

-充分详实的现状调查,确保根据实际状况为客户量身定制课程;

-根据项目实施需要,为客户定期举办公开课培训;

-为客户提供行业政策及动态;

-定期进行服务满意度调查及服务回访。