審覈儘量用開放性的問題,在審覈過程中,遵循幾個二八原則:
- 20%的話由審覈員說,80%的話術由被審覈人員說
- 20%時間看文件,80%時間看記錄
當對於審覈的業務部門完全不熟悉的時候,我們怎麼提問,這些問題可以留作參考:
- 我們部門的主要職責是什麼?
- 我們部門的敏感數據有哪些?這個時候,可以請對方出示一些資產清單
- 接着上一個問題:
- 針對這些資產,存儲和傳輸的途徑有哪些?這個過程中有哪些風險
- 我們的敏感數據除了我們部門接觸到,其他哪些部門能接觸到?(會發到哪裏去?)通過什麼樣的方式發送出去?
- 這一年,我們部門有哪些重大的變化?
- 這些敏感數據的傳輸方式?
- 重點審覈項目:
- 質量部門--客戶投訴
- IT部門--事故記錄
- 銷售--客戶投訴
- HR--轉崗清單
ISO27001對於項目團隊,項目文件,文件傳輸方式,存儲方式(讀寫刪改)很重要,尤其對於訪問權限的控制是審覈的重點,對於closed的問題,查看案例。
目標達成情況,先看績效,績效可以幫你發現高風險的(CAPD)
對於不符合項目的記錄,一定要客觀具體,詳細記錄:時間,地點,任務,發現(時間)XXXX發現XXX問題,並附上相關證據
對於觀察項目的記錄格式:組織可以考慮.....,提高......管理,進行相應的定期複查和清理
對於信息安全,意識大於形態,加強教育也很關鍵