ISO 27001 认证在一些特定情况下可以进行远程审核,但不能完全替代现场审核,具体如下:
特殊时期或突发情况:
公共卫生事件影响:如xinguan疫情期间,为减少人员流动和接触,避免病毒传播风险,认证机构可能允许部分或全部审核环节采用远程方式。在这种情况下,审核员通过视频会议、远程访问系统、查阅电子文档等进行审核工作。
自然灾害等不可抗力:当发生地震、洪水、火灾等自然灾害,导致现场审核无法正常进行时,出于安全考虑以及对认证工作进度的保障,可能会临时采用远程审核。
部分审核内容或环节:
文件和记录审查:对于信息安全管理体系的文件、记录、报告等书面材料的审核,可以通过电子邮件、文件共享平台等方式进行远程查阅和验证。例如,查看组织的信息安全方针、程序文件、培训记录、风险评估报告等是否符合标准要求。
简单的沟通和访谈:对于一些不太复杂的沟通和访谈环节,如与部分员工进行简单的信息安全意识询问、了解某些常规操作流程的执行情况等,可以通过视频会议或电话会议的方式进行。但这种远程沟通可能无法完全替代面对面的深入交流和观察。
已建立良好合作且有信任基础的情况:如果企业与认证机构之前有过多次合作,并且在以往的审核中表现良好,认证机构对企业的信息安全管理体系有一定的了解和信任,那么在一些监督审核或换证审核中,对于部分非关键的审核内容可能会采用远程审核的方式,以提高审核效率、降低成本。但对于首次认证或重大变更后的审核,通常仍需要进行现场审核。
