信息安全体系-27001教程分析.ppt

* 检查与审计的内容 对于安全框架是否已有效的建立起来，技术防火墙、人力防火墙及IT流程控制框架能否起到了应有的作用，组织可以通过定期的自我检查或独立的审核来验证安全控制措施的有效性，并对发现的问题采取有效的纠正措施并实施，对纠正措施实施的结果进行验证。 安全检查工作一般由信息安全管理部门来负责实施，经常性的检查，有利于落实信息安全方针与策略，及时发现信息安全在技术、人员及流程方面存在的隐患，也有利于提高员工安全意识，保证业务的持续运行。 审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审计。 对安全的检查与审计 审计的步骤 信息安全在每次检查审计前，由管理层任命适当资质的合适人选组成审计小组，审计小组由2名或以上人员组成，包括但不限于稽核审计部的内审员，并由管理层指定内审组长。 内审小组负责编写本次内审的《内部审计方案》，其内容一般为:被审部门、审计时间、内容、范围、审计依据、目的、方法；内审小组成员及其分工；审计活动日程安排。 《内部审计方案》经批准后，至少提前二周通知被审计部门，以便被审计部门有充分时间进行内审，若被审计部门对时间等安排有异议时，应在三天内通知内审小组协