自助报价 | 在线咨询 | 联系方式 | 网站地图 | 收藏本页

您好,欢迎访问浙江验厂网官方网站,详情咨询拨打400-008-6006
当前位置:首页 >认证咨询 > 管理体系认证咨询 > ISO27001认证咨询 >ISO27001认证中文件审核有哪些内容?
ISO27001认证中文件审核有哪些内容?

日期:2020-09-02浏览次数:1570次作者:浙江验厂网

        ISO27001认证是关于信息安全管理体系认证,能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据。信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

        ISO27001认证信息安全管理体系文件审核的目的是评价组织是否按GB/T22080—2008/ISO/IEC27001:2005的要求建立了文件化的信息安全管理体系;所建立的信息安全管理体系文件对组织的ISMS是否充分和适宜,是否符合ISO27001标准的要求,并进行了有效的发布和分发控制;组织是否有效地进行了体系文件培训,相关人员是否真正理解和贯彻了体系文件的要求。尽管体系文件全面描述了组织的ISMS体系,基于体系文件的审核几乎涉及标准要求的全部内容,还需要另外三条脉络作为补充。

        ISO27001信息安全管理体系文件审核是初次认证两个阶段都需要进行的工作,但是文审工作应该在第一阶段完成。
        ISO27001信息安全管理体系体系文件审核主要包括:
        1.ISO27001信息安全管理体系文件控制的审核

        检查是否按GB/T22080—2008/ISO/IEC27001:2005要求,特别是4.3.1中的要求建立了体系文件;是否有规范的记录格式和记录 要求;是否按文件控制要求正式发布了相关文件等。要注意纸质文件和电子文件控制要求的差异,以及电子文件是否存在不同的文件控制系统。实际上,文件控制检 查的关键是判断文件的完整性是否在文件生成、发布、修订、再发布中得到了保持。另外,表明文件发布、使用状态的文件发布控制清单通常是必须的。


        2.ISO27001信息安全管理体系文件内容和实施情况的审核

        对组织按照GB/T22080—2008/ISO/IEC27001:2005条款4.3.1建立的文件的内容进行检查,对其实施情况进行追踪。审核员需要 先理解这些文件的内容,进而验证其实施情况,特别是那些能够体现ISMS运行效果的证据,以便评价文件的可用性、充分性、适宜性,这也是体系文件审核的重 点。需要重点关注的文件包括:

        (1) 描述方针、目标、范围、组织的信息安全定义等的文件。
        这些是整个审核的关注焦点。
        (2) 文件/记录控制程序、内部审核/管理评审程序、预防与纠正措施程序、有效性测量程序等。
        需要检查这些程序的可用性和实施情况。
        (3) 适用性声明。
        检查适用性声明的完备性,梳理控制措施与体系文件、技术措施、体系范围及安全要求与期望的关系,判断控制措施及其删减的合理性。
        (4) 规程和规范操作类文件。
        检查文件的可操作性和应用情况,需要注意的是应结合审核过程验证控制措施的有效性。
        (5) 安全职责分配。

        检查是否建立了ISMS安全职责分配表,是否定义了信息安全管理体系建立、实施、运行、监视、评审、保持和改进所需的信息安全职责,是否将所有职责落实到具体岗位和人员身上。

浙江验厂网作为受认可的第三方验证机构和培训机构(VB, Verification Body),拥有丰富的验厂认证咨询经验,可以提供众多项目的验厂认证辅导服务。我们的服务宗旨是“专业辅导+良好人脉”双保险确保工厂快速通过验厂,专为工厂解决验厂中遇到的各种难解之题;强大的顾问团队,优质的服务口碑,验厂关系通全国、可提前安排审核,现场公关、审核时间查询;通过后付款,选择浙江验厂网-任何原因导致验厂不通过,我们负责到底!

24小时免费咨询热线:

400-008-6006
社会责任验厂   反恐验厂   质量验厂
立即咨询 半小时内响应

中国验厂网:服务保障,权威保障,时间保障,费用保障

服务支持 400-008-6006 周一至周六 09:00~20:00 售后服务/投诉处理