在进行ISO27001审核时,主要会对以下几个方面进行审核:
1. 信息安全政策:审核人员会检查企业是否制定了明确的信息安全政策,并且该政策与企业的整体战略和目标保持一致。审核人员还会评估该政策的有效性和适用性。
2. 组织对信息安全的管理责任:审核人员会确认企业的高层管理人员是否充分理解和承担了对信息安全的管理责任,并且明确了信息安全的角色和责任。
3. 资产管理:审核人员会审查企业对信息资产进行的充分评估,包括对信息资产的价值、敏感性和关键性进行识别,并相应地采取保护措施。
4. 人员安全:审核人员会关注企业对员工的背景调查、培训和意识提升等方面的管理,以确保员工能够正确地处理信息并保护信息安全。
5. 物理和环境安全:审核人员会对企业的办公场所、设备和设施进行审查,以确保其能够提供必要的物理和环境安全保障。
6. 通信和运营管理:审核人员会审查企业对通信和业务运营的管理措施,包括网络和系统的安全配置、漏洞管理和事件响应等。
7. 访问控制:审核人员会检查企业是否建立了适当的访问控制措施,包括对系统、应用和信息进行适当的身份验证、授权和审计。
8. 信息系统的获取、开发和维护:审核人员会审查企业对信息系统的获取、开发和维护过程中是否建立了相应的安全控制措施。
9. 信息安全事件管理:审核人员会评估企业对信息安全事件的管理方式,包括事件报告、处理和教训吸取等方面。
10. 业务连续性管理:审核人员会审查企业对业务连续性的管理措施,以确保在突发事件发生时能够及时恢复业务。
11. 合规性:审核人员会关注企业是否遵守适用的法律、法规和合同要求,并评估企业对合规性的管理情况。
12. 信息安全的改进措施:审核人员会检查企业是否建立了持续改进信息安全的机制,包括对内部审计、管理评审和纠正措施的管理。
ISO27001审核涉及到了企业信息安全管理的方方面面,从制定政策到实施控制措施以及管理体系的持续改进,都是审核人员关注的重点。