产品详情
ISO 27001:2013 的第 9 条“绩效评估”中常见的不符合项
自附件 SL(实际上在此之前)以来,评估绩效在所有管理体系标准中都是通用的,这些发现也出现在其他标准审核中,唯一的区别是 ISO 27001:2013 独有的附录 A 控制的审核和绩效。
第 9 节绩效评估是计划执行检查法 (PDCA) 周期的“检查”步骤,此信息图显示了与 PDCA 步骤一致的各种附件 SL 标准的条款,ISO 27001认证这是组织检查两个最重要因素的时候:
其信息安全性能;
ISMS 的有效性;
这是组织向内凝视自我的时候,需要尽可能客观和公正,才能从中获得大的价值,所有组织都对各种业务功能进行检查,例如销售目标和客户服务,因此应同样仔细检查安全性。
ISO 27001认证监测、测量、分析和评估
附件 SL 是基于流程和风险的标准。这意味着信息安全的性能监控必须是:
基于管理体系范围内的交互过程;
ISO 27001内部审计
与 ISO 27001:2013 中的任何其他条款相比,针对内部审核提出的不符合项更多,不进行内部审计或错过范围内的地点会引发严重的不符合项,这可能是由于组织未计划任何审核或已计划但未执行,缺乏内部审核会阻止组织从第 1 阶段进展到第 2 阶段,并阻止在第 2 阶段之后授予认证。
该标准规定内部审核应按计划的时间间隔进行,但并未建议适当的频率,但是,管理体系认证以三年为周期进行,因此我们期望涵盖所有管理体系要求,并在风险基础上对适用性声明控制进行抽样。
当审核计划不适合风险或对范围缺乏足够的覆盖时,就会出现轻微的不符合项,特别是,范围内的所有物理位置都必须经过审核,并且远程设施被排除在计划之外的情况也并非未知,有时会看到所有管理体系的审核计划,但没有附件 A 控制,反之亦然。
