zoukankan      html  css  js  c++  java
  • ISO27001审核--当对审核部门业务完全不熟悉的时候如何提问

    审核尽量用开放性的问题,在审核过程中,遵循几个二八原则:

    • 20%的话由审核员说,80%的话术由被审核人员说
    • 20%时间看文件,80%时间看记录

    当对于审核的业务部门完全不熟悉的时候,我们怎么提问,这些问题可以留作参考:

    1. 我们部门的主要职责是什么?
    2. 我们部门的敏感数据有哪些?这个时候,可以请对方出示一些资产清单
    3. 接着上一个问题:
      1. 针对这些资产,存储和传输的途径有哪些?这个过程中有哪些风险
      2. 我们的敏感数据除了我们部门接触到,其他哪些部门能接触到?(会发到哪里去?)通过什么样的方式发送出去?
    4. 这一年,我们部门有哪些重大的变化?
    5. 这些敏感数据的传输方式?
    6. 重点审核项目:
      1. 质量部门--客户投诉
      2. IT部门--事故记录
      3. 销售--客户投诉
      4. HR--转岗清单

    ISO27001对于项目团队,项目文件,文件传输方式,存储方式(读写删改)很重要,尤其对于访问权限的控制是审核的重点,对于closed的问题,查看案例。

    目标达成情况,先看绩效,绩效可以帮你发现高风险的(CAPD)

    对于不符合项目的记录,一定要客观具体,详细记录:时间,地点,任务,发现(时间)XXXX发现XXX问题,并附上相关证据

    对于观察项目的记录格式:组织可以考虑.....,提高......管理,进行相应的定期复查和清理

    对于信息安全,意识大于形态,加强教育也很关键

    Thanks, Ivan
  • 相关阅读:
    CMU Database Systems
    Calcite分析
    CMU Database Systems
    CMU Advanced DB System
    笔记
    MyBatis Generator中文文档
    Run Test Case on Spark
    Flex报错Error #2048: 安全沙箱冲突
    看看这个超级有用的一种类型——匿名类型
    Java实战_手把手编写记事本
  • 原文地址:https://www.cnblogs.com/ilazysoft/p/14767207.html
Copyright © 2011-2022 走看看