GB/T 25067-2020 信息技術 安全技術 新型安全管理體系審核和認證機構要求9.3 初次認證
GB/T 27021.1—2017 中9.3的要求適用。并且,以下要求和指南適用。
9.3.1 IS9.3.1初次認證審核
9.3.1.1 IS9.3.1.1第一階段
在該審核階段, 認證機構應獲取有關IS MS設計的文件, 其中包括 GB/T 22080—2016 所要求的文件。
認證機構應充分了解在組織環境下所進行的ISMS設計、風險評估和處置(包括所確定的控制) 、信息安全方針和目標,以及特別是客戶的審核準備情況。在此基礎上,才能進行第二階段的策劃。
第一階段的結果應形成書面報告。在決定進行第二階段之前,認證機構應審查第一階段的審核報告,以便為第二階段選擇具備所需能力的審核組成員。
認證機構應讓客戶知曉第二階段可能需要詳細檢查的、更多類型的信息和記錄。
9.3.1.2 IS9.3.1.2第二階段
9.3.1.2.1
基于第一階段審核報告中的審核發現,認證機構制定實施第二階段的審核計劃。除了評價ISMS的有效實施之外, 第二階段的目的是:
a)確認客戶遵守自身的方針、目標和規程。
9.3.1.2.2
為此,審核應重點關注客戶的:
a)最高管理層對信息安全方針和信息安全目標的領導和承諾;
b)GB/T 22080—2016 中所列的文件要求;
c)對與信息安全有關的風險的評估,以及在重復評估時可產生一致的、有效的和可比較的結果;
d)基于風險評估和風險處置過程所確定的控制目標和控制;
e)根據信息安全目標對其實施了評價的信息安全績效和ISMS有效性;
f)所確定的控制、適用性聲明和風險評估與風險處置過程的結果,與信息安全方針和目標之間的一致性;
g)控制的實現(參見附錄D),考慮了外部環境、內部環境、相關的風險,以及組織為確定控制是否得以實現、有效且達到其所規定的信息安全目標而對信息安全過程和控制進行的監視、測量與分析;
h)方案、過程、規程、記錄、內部審核和對IS MS有效性的評審, 以確保其可被追溯至管理決定、信息安全方針和信息安全目標。
推薦文章: