zoukankan      html  css  js  c++  java
  • ISO27001审核--当对审核部门业务完全不熟悉的时候如何提问

    审核尽量用开放性的问题,在审核过程中,遵循几个二八原则:

    • 20%的话由审核员说,80%的话术由被审核人员说
    • 20%时间看文件,80%时间看记录

    当对于审核的业务部门完全不熟悉的时候,我们怎么提问,这些问题可以留作参考:

    1. 我们部门的主要职责是什么?
    2. 我们部门的敏感数据有哪些?这个时候,可以请对方出示一些资产清单
    3. 接着上一个问题:
      1. 针对这些资产,存储和传输的途径有哪些?这个过程中有哪些风险
      2. 我们的敏感数据除了我们部门接触到,其他哪些部门能接触到?(会发到哪里去?)通过什么样的方式发送出去?
    4. 这一年,我们部门有哪些重大的变化?
    5. 这些敏感数据的传输方式?
    6. 重点审核项目:
      1. 质量部门--客户投诉
      2. IT部门--事故记录
      3. 销售--客户投诉
      4. HR--转岗清单

    ISO27001对于项目团队,项目文件,文件传输方式,存储方式(读写删改)很重要,尤其对于访问权限的控制是审核的重点,对于closed的问题,查看案例。

    目标达成情况,先看绩效,绩效可以帮你发现高风险的(CAPD)

    对于不符合项目的记录,一定要客观具体,详细记录:时间,地点,任务,发现(时间)XXXX发现XXX问题,并附上相关证据

    对于观察项目的记录格式:组织可以考虑.....,提高......管理,进行相应的定期复查和清理

    对于信息安全,意识大于形态,加强教育也很关键

    Thanks, Ivan
  • 相关阅读:
    函数式编程笔记
    Java时间类总结
    【问题记录】MySQL中时间戳转日期格式和Java中时间戳转日期格式偶尔不一致
    Java 注解
    Java编程思想之十 内部类
    Java编程思想之九 接口
    Java编程思想之八多态
    Java编程思想之七复用类
    Java编程思想之六访问权限控制
    Java编程思想之五初始化与清理
  • 原文地址:https://www.cnblogs.com/ilazysoft/p/14767207.html
Copyright © 2011-2022 走看看