审核尽量用开放性的问题,在审核过程中,遵循几个二八原则:

  • 20%的话由审核员说,80%的话术由被审核人员说
  • 20%时间看文件,80%时间看记录

当对于审核的业务部门完全不熟悉的时候,我们怎么提问,这些问题可以留作参考:

  1. 我们部门的主要职责是什么?
  2. 我们部门的敏感数据有哪些?这个时候,可以请对方出示一些资产清单
  3. 接着上一个问题:
    1. 针对这些资产,存储和传输的途径有哪些?这个过程中有哪些风险
    2. 我们的敏感数据除了我们部门接触到,其他哪些部门能接触到?(会发到哪里去?)通过什么样的方式发送出去?
  4. 这一年,我们部门有哪些重大的变化?
  5. 这些敏感数据的传输方式?
  6. 重点审核项目:
    1. 质量部门--客户投诉
    2. IT部门--事故记录
    3. 销售--客户投诉
    4. HR--转岗清单

ISO27001对于项目团队,项目文件,文件传输方式,存储方式(读写删改)很重要,尤其对于访问权限的控制是审核的重点,对于closed的问题,查看案例。

目标达成情况,先看绩效,绩效可以帮你发现高风险的(CAPD)

 

对于不符合项目的记录,一定要客观具体,详细记录:时间,地点,任务,发现(时间)XXXX发现XXX问题,并附上相关证据

对于观察项目的记录格式:组织可以考虑.....,提高......管理,进行相应的定期复查和清理

 

对于信息安全,意识大于形态,加强教育也很关键

 

 posted on 2021-05-14 09:28  兰猫-兰兰  阅读(439)  评论(0编辑  收藏  举报