ISO27001 二阶段审核流程如下:
一、审核启动
确定审核组成员及任务分工。审核组通常由具备专业知识和经验的审核员组成,根据审核范围和重点进行任务分配。
与被审核方召开首次会议。介绍审核目的、范围、流程和时间安排等,确认被审核方的配合事项和沟通渠道。
二、文件审查
进一步审查信息安全管理体系文件,包括管理手册、程序文件、作业指导书等,确保文件的完整性、符合性和有效性。
检查文件与 ISO27001 标准的符合程度,以及文件之间的协调性和一致性。
三、现场审核
对被审核方的各个部门、场所进行实地走访,观察信息安全管理措施的实际执行情况。
与部门负责人和员工进行面谈,了解他们对信息安全政策、程序的理解和执行情况。
查看信息系统的运行状态、安全设备的配置和使用情况。
检查物理安全措施,如门禁系统、监控设施等。
抽样检查相关记录和文档,验证信息安全管理活动的真实性和有效性。
检查风险评估记录,确认风险识别、分析和处置的合理性。
查看访问控制记录,核实用户权限管理是否严格。
审查安全事件处理记录,评估应急响应能力。
四、审核组内部沟通与讨论
审核员在审核过程中定期进行内部沟通,分享审核发现和问题。
对疑难问题进行讨论,统一审核尺度和判断标准。
五、形成审核结论
汇总审核发现,包括符合项和不符合项。
根据审核发现,对被审核方的信息安全管理体系进行综合评价。
确定审核结论,判断被审核方的信息安全管理体系是否符合 ISO27001 标准要求。
六、末次会议
与被审核方召开末次会议,通报审核结果。
说明审核发现的符合项和不符合项,提出整改要求和建议。
听取被审核方的意见和反馈。
七、审核报告编写与发布
审核组根据审核结果编写审核报告,内容包括审核目的、范围、过程、发现、结论等。
审核报告经审核组长审核和认证机构批准后,正式发布给被审核方。