湖南ISO信息安全认证现场审核什么
ISO/IEC 27001是信息安全管理体系的标准,该标准基于风险评估,建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。ISO27001管理体系主要针对信息安全中的系统漏洞、入侵、病毒等内容进行保护,是全球应用广泛与典型的信息安全管理标准。该标准通过严格的审查标准和的认证体系,为组织提供了一个建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)的模型。
现场审核(一阶段审核内容)
阶段审核应在申请组织的现场进行。提供过程中对资产的保密性、完整性及可用性要求,重要资产清单所列资产的物理位置,现场观察与ISMS直接相关的重要场所:
(1)信息安全管理体系推进部门;(2)核心信息处理设施的防止场所,如核心机房等;(3)信息安全部设置;
(4)审查组织建立和实施信息安全管理体系运行情况,包括信息安全方针、目标、适用性声明及版本;
(5)了解组织环境下所进行的ISMS设计,风险评估和处置的规程是否健全;
(6)确认受审核方的ISMS范围和边界的解答是否清晰和充足;
(7)审核申请客户是否系统而充分识别与所提供的信息安全服务相关的法律法规和其他要求及遵守情况;(8)评价受审核方是否策划和实施了内审与管理评审以及信息安全管理体系的实施程度能否证明已为第二阶段做好准备。
黄女士 15513049001
现场审核(一阶段审核内容)
阶段审核应在申请组织的现场进行。提供过程中对资产的保密性、完整性及可用性要求,重要资产清单所列资产的物理位置,现场观察与ISMS直接相关的重要场所:
(1)信息安全管理体系推进部门;(2)核心信息处理设施的防止场所,如核心机房等;(3)信息安全部设置;
(4)审查组织建立和实施信息安全管理体系运行情况,包括信息安全方针、目标、适用性声明及版本;
(5)了解组织环境下所进行的ISMS设计,风险评估和处置的规程是否健全;
(6)确认受审核方的ISMS范围和边界的解答是否清晰和充足;
(7)审核申请客户是否系统而充分识别与所提供的信息安全服务相关的法律法规和其他要求及遵守情况;(8)评价受审核方是否策划和实施了内审与管理评审以及信息安全管理体系的实施程度能否证明已为第二阶段做好准备。
黄女士 15513049001
