ISO27000体系内部审核概论

  审核概论

审核
为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程

内部审核: 
有时称第一方审核，用于内部目的，由组织自己或以组织的名义进行，可作为组织自我合格声明的基础。

外部审核: 
第二方审核由组织的相关方(如顾客)或由其他人员以相关方的名义进行。 
第三方审核由外部独立的组织进行。这类组织提供符合要求的认证或注册。
当信息安全和质量管理、环境管理体系被一起审核时，这种情况称为“一体化审核”。
当两个或两个以上审核机构合作，共同审核同一个受审核方时，这种情况称为“联合审核”

审核的分类

审核对象： 
管理体系审核、过程审核、产品审核  

审核方： 
第一方审核（内部审核）、第二方审核（外部审核）、第三方审核（外部审核）

审核的目的
第一方审核

目的：
为顺利通过第二、第三方审核做好准备
保持、持续改进质量管理体系

机构(组织)自己对自己的审核：
评审员主要来自企业内部（内部认可的）
第一方审核主要用于自我诊断和改进工作，为有效的管理评审以及纠正和预防措施提供信息

第二方审核

目的： 
选择、评价、认可供应商（此处的供应商指的就是我们）
促进供应商改进信息安全管理体系
客户(需方)对供方的审核（客户对我们进行审核）
评审员主要来自客户(需方)内部（评审员主要来自客户）

第二方审核主要用于: 
1、供需双方在签订合同之前需方对供方信息安全保证能力的调查评估; 
2、在合同实施过程中需方对供方信息安全管理体系的监控; 
3、也适用于供方对其分承包方(分供方)信息安全管理体系的评估及监控。
第二方审核的目的是提供对供方(分供方)的信任。

第三方审核

目的：
得到符合ISO 27001标准的注册。
减少重复审核和不必要的开支。
提高企业的信誉和市场竞争力。
促进企业信息安全管理目标的实现。

独立于供需双方的机构的审核：
评审员通常需具有规定资格并经注册

第三方审核主要用于: 
1、使被审核机构的信息安全管理体系登记注册，由第三方认证机构进行; 
2、调查被审核机构的信息安全管理体系是否满足法规的要求，由法定管理机构进行。

第三方审核为许多潜在的客户提供信任。
第一方、第二方、第三方审核比较

识别审核方
第一方审核：自己对自己 
第二方审核：合作方对自己 
第三方审核：认证机构对自己
信息安全管理体系审核范围

审核范围： 
在规定时间内，对信息安全管理体系要求、场所和活动进行审核。

要求：
应包含ISO 27001标准的所有要求，剪裁应予以说明。一般以手册中所列的范围为准。

场所： 
凡与审核的信息安全管理体系所覆盖的产品和质量活动有关的部门和场所均应列入审核范围。

活动：
凡与认证范围内信息安全有关的过程，均应列入审核范围。

  所载内容来源互联网，微信公众号等公开途径，转载的稿件版权归原作者和机构所有，如有侵权，请联系我们删除。