审核方法之过程审核
2018-04-16 11:50:33 | 来源:中培企业IT培训网
5.2 审核方法
5. 2.1 过程审核
ISO/IEC 27001: 2005的要求是过程要求。
有些ISMS过程要通过形成文件的程序(documented procedures,通常称程序文件) 加以控制,如“文件控制程序”、“记录控制程序”、“ISMS内部审核程序”和“纠正措施和预防措施控制程序”等。有些过程不一定要用程序文件进行控制。凡标准要求要有的过程,组织要有相应的过程。审核人员应按标准要求进行过程审核。对过程的审核可从两方面人手:
(1)过程是否到位。对于IS()/IEC 27001的相关条款的关键点上所要求的过程,组织实际建立的ISMS必须要有相应的过程。
(2)过程是否符合要求。IS()/IEC 27001标准对每个ISMS过程,都有具体的和明确的要求(“shall”要求)。组织的ISMS必须满足这些要求。
主要方法是将组织的ISMS与IS()/IEC 27001: 2005的第4~8章规定的要求进行比较和分析。
- 上一篇:标准的附录部分
- 下一篇:审核方法之编制检查表