ISO27001 信息安全管理体系审核时间表.pdfVIP

GK03-11 Rev.8.0 Issue: 05/30/2018 WIT A SSESSMENT 附件一： ISO27001 信息安全管理体系审核时间表 1， 引言 针对从事不同活动的、不同规模和复杂度的客户组织的ISMS 范围所进行的认证审核， 本附录为确定审核时间提供指南。 WIT需要针对每一个被审核方及其被认证的ISMS 识别初次认证审核、监督审核和再认证 审核（复评）所需花费的审核时间。在审核策划阶段，使用本附件可以确保使用一致的方法 来确定适当的审核时间。同时，本附件的指南允许基于审核进程（尤其是第一阶段审核）中 的发现和所考虑ISMS 范围的复杂性进行调整。 2， 确定审核时间的程序 经验表明，ISMS 的范围、所涉及雇员的数量（见本附件表1 审核时间表）、规模、特 性、复杂性和潜在信息安全风险的严重性（下面将更加详细地解释）对任何一个特定审核所 需的时间有决定性影响。 CNAS-CC17列出了可能影响审核时间配置的因素和准则，在合同评审过程中，需要参照 这些准则以及其他因素对审核时间的配置所产生的潜在影响。需要注意的是，在确定审核时 间时，宜考虑所有这些因素，而不能孤立地使用本附件提供的审核时间表。 下列示例说明了可能影响审核时间的因素的详细情况：  与 ISMS 范围的规模有关的因素（例如，使用的信息系统的数量、处理的信息量、 用户的数量、特权用户的数量、IT 平台的数量、网络的数量及它们的规模）；  与 ISMS 的复杂程度有关的因素（例如，信息系统的关键度、ISMS 的风险状况、所 操作和处理的敏感和关键信息的多少及类型、电子交易的数量及类型、所有开发项 目的数量和规模、远程工作的范围、ISMS 文件化的程度）；  在 ISMS 范围内开展的业务类型，以及关于这些业务类型的安全、法律、法规、合 同和业务要求；  在 ISMS 各部分的实施过程中，所应用的技术的水平和多样性（例如，已实施的控 制措施、文件和（或）过程控制、纠正和（或）预防措施、信息系统、IT 系统、网 络等，而无论他们是固定的、移动的、无线的、外部的或内部的）；  在ISMS 范围内场所的数量，这些场所的异同程度如何，是否所有的场所都被审核还 是抽样；  经证实的以往 ISMS 绩效；  在ISMS 范围内，所使用的外包和第三方安排的程度，以及对这些服务的依赖程度；  适用于认证的标准、法律和法规，以及任何可能适用的行业特定要求。 由于信息安全管理体系透过特定的ISMS 需要（例如，ISMS 方针、风险管理、ISMS 控 制目标和控制措施）而增加了要求，一个信息安全管理体系的认证通常要比质量管理体系或 环境管理体系认证花费更多的时间。WIT应： Page 1 of 5 GK03-11 Rev.8.0 Issue: 05/30/2018 WIT A SSESSMENT  审核客户组织用来确定其信息安全风险和影响的严重性所使用的方法的健全性和一 致性；  确认客户组织为达到合规性（所有相关的法规和其他适用于 ISMS 的要求）所设计 的管理体系  有完成此任务的能力，并且该管理体系得以实施和保持；  确认客户组织正确选择和实施了控制目标和控制措施，其有效性已被测量，并且以 “对安全失效的预防和适当的响应”为目的的过程是健全的且得以遵守；  确认客户组织满足关于客户组织 ISMS 的文件要求；  回应了由第一阶段审核所产生的增加的需求。 3 审核时间表 3.1 通则 表1 给出了初次审核天数的平均数量（在此处及后面的内容中，这个数量包括第一阶段 和第二阶段审核的时间），经验表明，对于给定雇员数量的ISMS 范围来说，这一数量是适 当的。经验还表明，对于相似规模的