在进行 ISO 27001 审核现场时,应注意以下问题:
一、文件与记录方面
确保有完整的信息安全管理体系文件,包括信息安全方针、目标、手册、程序文件、作业指导书等,且文件为现行有效版本。
检查记录的完整性,如风险评估记录、控制措施实施记录、内部审核记录、管理评审记录等,记录应准确、清晰、可追溯。
二、人员与培训方面
与员工交流,了解他们对信息安全方针、目标的理解程度,以及对自身信息安全职责的知晓情况。
确认员工是否接受了适当的信息安全培训,包括入职培训、定期培训等,培训内容应涵盖信息安全意识、保密要求、访问控制等方面。
观察员工的日常工作行为,看是否符合信息安全规定,如是否妥善保管密码、是否随意透露敏感信息等。
三、物理安全方面
检查办公场所的门禁系统是否有效,是否只有授权人员才能进入关键区域。
查看监控设施是否正常运行,覆盖范围是否合理。
评估机房、服务器室等重要区域的物理防护措施,如防火、防水、防潮、防静电等是否到位。
检查设备的摆放是否合理,是否容易受到物理损坏或盗窃。
四、技术安全方面
审查网络安全措施,包括防火墙、入侵检测系统、防病毒软件等的配置和运行情况。
核实用户访问控制机制,如账号密码管理、权限分配是否合理,是否存在未经授权的访问。
检查数据备份和恢复策略的执行情况,确保关键数据能够及时恢复。
评估系统漏洞管理,是否定期进行漏洞扫描和修复。
五、风险管理方面
确认风险评估过程是否科学、合理,风险识别是否全面。
检查风险处理措施是否有效实施,是否对残余风险进行了持续监控。
了解是否有新的风险出现,以及对新风险的应对措施。
六、沟通与协调方面
查看内部各部门之间在信息安全方面的沟通渠道是否畅通,是否能够及时传递信息安全事件和问题。
评估与外部相关方(如供应商、合作伙伴)在信息安全方面的沟通与协调机制是否有效。
七、持续改进方面
检查是否有对信息安全管理体系进行持续改进的计划和措施。
了解上次审核中发现的不符合项是否得到有效整改。
