內部稽核與外部稽核功能面分析

事項 | 內部稽核 | 外部稽核
------------- | -------------
稽核員資格| | V
規費| | V
認證資格 | | V
公正第三方 | | V
認證有效性 | | V
認證週期 | 每年至少1次 | 每3年認證1次，認證後每年追蹤審查1次。
制度有效性 | V | V
發現改善機會 | V | V
稽核週期 | 每年至少1次，視需求增加場次。 | 每年至少1次，視需求增加場次。
稽核內容 | 內部審查、監督審核 | 認證審核、再次認證審核

廢宅總結:

1. 內部稽核屬於企業或機構日常制度內對內維護，外部稽核屬於外對內審查，2著不衝突可同時併存，一般常見的順序是:內稽、改善、管委會、外稽。
2. 對於企業或機構來說，ISMS稽核員資格不是稽核執行人員的必要要求，但具有相等稽核訓練背景可能有助於溝通。

ISO/CNS 27001標準

9.2 內部稽核

組織應依規劃之期間施行內部稽核，以提供資訊安全管理系統之下列資訊。

( a ) 是否遵循下列事項。

( 1 ) 組織本身對其資訊安全管理系統之要求事項。
( 2 ) 本標準之要求事項。

( b ) 是否有效實作及維持。

組織應採取下列作為。

( c ) 規劃、建立、實作及維持稽核計畫，包括頻率、方法、責任、規劃要求事項及報告。該稽核計畫應將所關注之重要過程及前次稽核之結果納入考量。

( d ) 定義各稽核之準則及稽核之範圍。

( e ) 選擇稽核員及施行稽核，以確保稽核過程之客觀性及公平性。

( f ) 確保稽核之結果對相關管理階層報告。

( g ) 保存文件化資訊作為稽核計畫及稽核結果之證據。

9.3 管理審查

最高管理階層應於規劃之期間，審查組織之資訊安全管理系統，以確保其持續的合宜性、適切性及有效性。
管理審查應包括對下列事項之考量。

( a ) 過往管理審查之議案的處理狀態。

( b ) 與資訊安全管理系統有關之內部及外部議題的變更。

( c ) 資訊安全績效之回饋，包括下列之趨勢。

( 1 ) 不符合項目及矯正措施。
( 2 ) 監督及量測結果
( 3 ) 稽核結果

( 4 ) 資訊安全目標之達成。

( d ) 關注方之回饋

( e ) 風險評鑑結果及風險處理計畫之狀態。

( f ) 持續改善之機會。

管理審查之輸出應包括與持續改善機會有關之決策，以及任何對資訊安全管理系統變更之需要。
組織應保存文件化資訊，以作為管理審查結果之證據。

資料來源:
經濟部標準檢驗局 - 國家標準(CNS)網路服務系統CNS27001
ISMS自評/檢核表
The Four ISO 27001 Audit Categories, Explained