审核尽量用开放性的问题,在审核过程中,遵循几个二八原则:
- 20%的话由审核员说,80%的话术由被审核人员说
- 20%时间看文件,80%时间看记录
当对于审核的业务部门完全不熟悉的时候,我们怎么提问,这些问题可以留作参考:
- 我们部门的主要职责是什么?
- 我们部门的敏感数据有哪些?这个时候,可以请对方出示一些资产清单
- 接着上一个问题:
- 针对这些资产,存储和传输的途径有哪些?这个过程中有哪些风险
- 我们的敏感数据除了我们部门接触到,其他哪些部门能接触到?(会发到哪里去?)通过什么样的方式发送出去?
- 这一年,我们部门有哪些重大的变化?
- 这些敏感数据的传输方式?
- 重点审核项目:
- 质量部门--客户投诉
- IT部门--事故记录
- 销售--客户投诉
- HR--转岗清单
ISO27001对于项目团队,项目文件,文件传输方式,存储方式(读写删改)很重要,尤其对于访问权限的控制是审核的重点,对于closed的问题,查看案例。
目标达成情况,先看绩效,绩效可以帮你发现高风险的(CAPD)
对于不符合项目的记录,一定要客观具体,详细记录:时间,地点,任务,发现(时间)XXXX发现XXX问题,并附上相关证据
对于观察项目的记录格式:组织可以考虑.....,提高......管理,进行相应的定期复查和清理
对于信息安全,意识大于形态,加强教育也很关键