企业新闻

监督审核计划

2018-04-16 11:08:34 | 来源:中培企业IT培训网

3.5.6监督审核计划

监督审核计划需注意:

(1)审核应覆盖所有的要素,但并不要求覆盖所有要素的主控部门和过程。可在相关部门获取证据,如IS()/IEC 27001: 2005中的4.1、5、6、7等;

(2)监督审核每次不必覆盖所有的部门、区域、活动,但必须在证书有效期内覆盖所有的部门、活动、区域;

(3)每次监督审核必检查的部门/岗位:管理者代表、信息安全管理体系策划部门(包括证书和标志的使用管理部门)、信息安全管理部门(如有)、计算机房、网络设施操作岗位、物理及环境安全管理归口部门,必要时信息安全涉及的使用部门和分包方场所;

(4)再认证可以取代/扩展一次定期监督审核;

(5)多场所抽样:

a)考虑的风险、抽样方法同第二阶段;

b)抽样量:

低信息安全风险行业的样本量y≥0.6v,上入成整数;

高信息安全风险行业的样本量y≥o.9 v,上人成整数; 总部在每次审核时都应被检查。

标签: 监督审核计划

猜你喜欢