审核方法之编制检查表
2018-04-16 11:59:06 | 来源:中培企业IT培训网
5.2.2编制检查表
审核人员的一项重要工作应是预先准备好审核工作文件。其中,最重要的工作文件是检查表。审核人员需要预先编制好正确的审核检查表,备审核中使用。检查表应针对IS()/IEC 27001: 2005标准要求(“shall”要求)。即每一个要求,需要有至少一个审核检查题,以证实其符合与否。
5 -1给出过程要求符合性检查表格式。审核人员在实际使用中,可以进行适当裁剪。
(1)标准的要求。IS()/IEC 27001:2005的第4~8章,相关条款规定的“shall”要求,如:“4.2.1建立ISMS”条款的“a)定义ISMS的范围”等。
(2)审核检查题。针对每一个要求,进行调查。所提出的检查题可有一个或多个。通过这些检查题应能确定该要求的符合程度。
(3)答案记录。此栏是审核的结果记录。该要求是否符合(或满足)?有两个可能的回答:“是”和“否”。
a)是:这意味着组织的ISMS完全符合(或满足)该要求。
b)否:这意味着组织的ISMS完全不符合该要求,即指在相应的点上,没有相应于标准要求的ISMS过程。或者只是部分符合该要求,即指在相应的点上,有一个ISMS过程,但不完全满足该标准的要求。
这个审核的结果应属于不符合项,一般应该开出不符合项报告,要求组织采取纠正措施。
c)理由:对于“否”的答案,应说明理由。
(4)注释与指南。由于ISMS审核员只有透彻地了解ISO/IEC 27001:2005的要求(“shall”要求,即强制性要求)后,才能有效地进行符合性审核。因此,在这里,我们对标准所规定的要求(“shall”要求)、某些关键点和难疑点,用通俗易懂的语言,做出一定详细的解释,提供指南。审核人员在实际工作中应以此思路,有所创新地开发ISMS审核技能。