iT邦幫忙

2021 iThome 鐵人賽

DAY 19
0
Security

資訊安全制度建立與驗證系列 第 19

內部稽核與外部稽核功能面分析

內部稽核與外部稽核功能面分析

事項 內部稽核 外部稽核
稽核員資格 V
規費 V
認證資格 V
公正第三方 V
認證有效性 V
認證週期 每年至少1次 每3年認證1次,認證後每年追蹤審查1次。
制度有效性 V V
發現改善機會 V V
稽核週期 每年至少1次,視需求增加場次。 每年至少1次,視需求增加場次。
稽核內容 內部審查、監督審核 認證審核、再次認證審核

廢宅總結:

  1. 內部稽核屬於企業或機構日常制度內對內維護,外部稽核屬於外對內審查,2著不衝突可同時併存,一般常見的順序是:內稽、改善、管委會、外稽。
  2. 對於企業或機構來說,ISMS稽核員資格不是稽核執行人員的必要要求,但具有相等稽核訓練背景可能有助於溝通。

ISO/CNS 27001標準

9.2 內部稽核

組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統之下列資訊。

( a ) 是否遵循下列事項。

( 1 ) 組織本身對其資訊安全管理系統之要求事項。
( 2 ) 本標準之要求事項。

( b ) 是否有效實作及維持。

組織應採取下列作為。

( c ) 規劃、建立、實作及維持稽核計畫,包括頻率、方法、責任、規劃要求事項及報告。該稽核計畫應將所關注之重要過程及前次稽核之結果納入考量。

( d ) 定義各稽核之準則及稽核之範圍。

( e ) 選擇稽核員及施行稽核,以確保稽核過程之客觀性及公平性。

( f ) 確保稽核之結果對相關管理階層報告。

( g ) 保存文件化資訊作為稽核計畫及稽核結果之證據。

9.3 管理審查

最高管理階層應於規劃之期間,審查組織之資訊安全管理系統,以確保其持續的合宜性、適切性及有效性。
管理審查應包括對下列事項之考量。

( a ) 過往管理審查之議案的處理狀態。

( b ) 與資訊安全管理系統有關之內部及外部議題的變更。

( c ) 資訊安全績效之回饋,包括下列之趨勢。

( 1 ) 不符合項目及矯正措施。
( 2 ) 監督及量測結果
( 3 ) 稽核結果

( 4 ) 資訊安全目標之達成。

( d ) 關注方之回饋

( e ) 風險評鑑結果及風險處理計畫之狀態。

( f ) 持續改善之機會。

管理審查之輸出應包括與持續改善機會有關之決策,以及任何對資訊安全管理系統變更之需要。
組織應保存文件化資訊,以作為管理審查結果之證據。


資料來源:
經濟部標準檢驗局 - 國家標準(CNS)網路服務系統CNS27001
ISMS自評/檢核表
The Four ISO 27001 Audit Categories, Explained


上一篇
安全作業第一守則
下一篇
​ 疫情下的BCP對策
系列文
資訊安全制度建立與驗證40

尚未有邦友留言

立即登入留言