根据审核的定义:为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。按照审核活动的委托方可以将审核分为内部审核和外部审核,那它们之间有什么区别呢?
一、内部审核
ISO认证的内部审核是这样的:由企业或组织内部人员有计划地、按照既定的时间间隔定期地(一般每年至少1次),对其信息安全管理体系符合性的自我评估和检查。在这个审核中,要确保整个体系符合ISO/IEC:标准和相关法律法规的要求,要符合已确定的信息安全的要求,确保体系得到有效的实施和保持。
在审核初期,一定要制定信息安全方针,发布并传达给全体员工和外部相关方。如在积极预防、全面管理、控制风险、保障安全方面要定好目标。
信息安全目标的制定
使已识别的信息资产满足信息安全的各项要求,包括法律法规、客户与相关方和组织业务要求。具体目标包括:
1、信息泄露事件为零
2、引起组织主要业务中断时间累计不能超过2h/年
3、引起组织主要业务中断事件发生次数小于1次/年
4、严重影响网络与信息系统可用性的事件小于1次/年
5、信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。
内部审核的要求
1、公司建立并实施《内部审核程序》,明确审核的目的、体制、程序等内容,确保公司ISMS的符合性和有效性,符合已识别的信息安全要求;
2、审核组长负责监督内部审核的进行,并将审核情况报告信息安全负责人;
3、公司按计划的时间间隔(不超过1年)组织内部审核;审核计划的安排应考虑部门的重要性及以往的执行情况;
4、应安排具备审核员资格的人员进行审核,审核员不应审核自己部门的工作,以确保审核的公正性和客观性;
5、受审核部门应采取适当的措施,以消除发现的不符合项;
6、审核员应对所采取措施的情况进行跟踪验证,确保不符合项的结案;
7、有关审核的所有记录应由信息安全战略推进组进行保存
二、外部审核
为迎接ISO认证外部审核,企业需要准备风险评估相关材料、体系运作相关材料、内部审核相关材料、管理评审相关材料、各类体系文件制度等资料,以备查验。
ISO认证审核的