GB/T 25067-2020 信息技術 安全技術 新型安全管理體系審核和認證機構要求9.2 策劃審核
9.2.1 確定審核目的、范圍和準則
GB/T 27021.1—2017 中9.2.1的要求適用。并且,以下要求和指南適用。
9.2.1.1 IS9.2.1審核目的
審核目的應包括確定管理體系的有效性,以確保客戶已根據風險評估實施了適用的控制并實現了所設立的信息安全目標。
9.2.2 選擇和指派審核組
GB/T 27021.1—2017 中9.2.2的要求適用。并且,以下要求和指南適用。
9.2.2.1 IS9.2.2審核組
認證機構應正式任命審核組并為其提供相應的工作文件。認證機構應明確地規定審核組的任務,并使客戶知曉。
審核組可以由一個人組成,只要其滿足7.1.2.1中所規定的全部準則。
9.2.2.2 IS9.2.2審核組能力
7.1.2的要求適用。對于監督和特殊審核活動,僅與所安排的監督活動和特殊審核活動相關的那些要求適用。
當為特定認證審核選擇審核組時,認證機構應確保每次委派時審核組的能力是適宜的。審核組應:
a)對擬認證的IS MS范圍內的特定活動具備適當的技術知識, 以及相關時, 對這些活動的相關規程和其潛在信息安全風險具備適當的技術知識(技術專家可以履行此項職責);
b)理解客戶, 足以基于客戶ISMS范圍和組織環境對其IS MS(該體系管理著客戶的活動、產品和服務的信息安全)進行可靠的認證審核;
c)適當地理解適用于客戶ISMS的法律法規要求。
注:適當地理解法規要求不意味著要有深厚的法律背景。
9.2.3 審核計劃
GB/T 27021.1—2017 中9.2.1的要求適用。并且,以下要求和指南適用。
9.2.3.1 IS9.2.3總則
ISMS審核計劃應考慮所確定的信息安全控制。
9.2.3.2 IS9.2.3網絡支持審核技術
如適宜,審核計劃應識別審核中將使用的網絡支持審核技術。
網絡支持審核技術可包括:例如,電話會議、網絡會議、基于網絡的交互式通信和遠程電子訪問ISMS文件和(或) ISMS過程。對這些技術的關注重點, 宜是提高審核的有效性和效率, 并支持審核過程的完整性。
9.2.3.3 IS9.2.3審核時間的選擇
認證機構宜與擬審核的組織就選擇一個能最有效地證實其全部范圍的審核時間達成一致。適當時,可考慮季度、月份、日期和班次。
推薦文章: