ISO27001安全管理体系内审、外审、拿证
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
原文再续,书接上一回
在之前的分享中,我们详细解析了管理体系的落地与认证实践。接下来,让我们继续探讨管理体系中的内审、外审环节,以及最终获得认证的关键步骤。
1.内审
内审,即内部审核,是组织自我检查、自我完善的重要环节。通过内审,组织可以发现管理体系中存在的问题和不足,及时进行纠正和改进。内审通常由组织内部的专业人员进行,他们熟悉组织的运作和管理体系的要求,能够深入剖析各个环节,确保管理体系的符合性和有效性。
为了有效地开展内审和外审,我们首先需要确保上一回提到的制度要求得到全面落实,让整个管理体系真正运转起来。为此,我们可以设定一个初始运行期,比如六个月,期间的主要目的是观察体系在实际操作中的运行情况。在这个阶段,重要的是要让整个体系“跑起来”,即使遇到不顺畅或问题,也不要急于解决,而是记录下来。这样做的目的是收集体系运行中的实际问题,以便在后续的内审和外审中进行针对性的分析和改进。
从程序文件和作业指导书中抽取技术要求和管理要求,形成一个模版表格。每个公司情况不一样对应的要求也会不一样,参考如下(仅供参考):
首先建立一个负责人联系表,方便后续工作开展,也是后面防止踢皮球的依据,这里大家自由发挥。
- 技术(这里的依据文件名字和标准的模板不一样,但是文件等级是一样的,只是名字大家可以随意)
- 管理
完成上述统计后,汇总一个信息安全自查统计里面包括各个部门完成度、自查情况、自查分析和结论的文档。
最后需要有一个整改计划
那么一个简单的内审就完成了,之前记录的问题才一个一个去解决,当然这个阶段如果是上层文件出现不适用于当前公司状态的,也可以去修改。
2.外审
建议完成一次以上的内审后再开始外审,当开始外审的时候就是,外部测评机构进驻公司开始评审了。
- 注意事项
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录