事项 | 内部稽核 | 外部稽核 |
---|---|---|
稽核员资格 | V | |
规费 | V | |
认证资格 | V | |
公正第三方 | V | |
认证有效性 | V | |
认证周期 | 每年至少1次 | 每3年认证1次,认证後每年追踪审查1次。 |
制度有效性 | V | V |
发现改善机会 | V | V |
稽核周期 | 每年至少1次,视需求增加场次。 | 每年至少1次,视需求增加场次。 |
稽核内容 | 内部审查、监督审核 | 认证审核、再次认证审核 |
废宅总结:
组织应依规划之期间施行内部稽核,以提供资讯安全管理系统之下列资讯。
( 1 ) 组织本身对其资讯安全管理系统之要求事项。
( 2 ) 本标准之要求事项。
组织应采取下列作为。
最高管理阶层应於规划之期间,审查组织之资讯安全管理系统,以确保其持续的合宜性、适切性及有效性。
管理审查应包括对下列事项之考量。
( 1 ) 不符合项目及矫正措施。
( 2 ) 监督及量测结果
( 3 ) 稽核结果
管理审查之输出应包括与持续改善机会有关之决策,以及任何对资讯安全管理系统变更之需要。
组织应保存文件化资讯,以作为管理审查结果之证据。
资料来源:
经济部标准检验局 - 国家标准(CNS)网路服务系统CNS27001
ISMS自评/检核表
The Four ISO 27001 Audit Categories, Explained
>>: [Day4] 时间序列预测界的 OG:白话解释 ARIMA 组成模型及步骤
建立 Thread 的成本远低於 Process 的成本,执行 Context switch 时的效...
一步主动,步步主动,步步领先,享受光荣;一步被动,步步被动,步步落伍,煎熬受穷。 《iT邦帮忙铁人赛...
早期网页大多都只有HTML骨架, 多数都是白底黑字、没有美美的编排,文字特效blink一闪一闪的,...
追求更好的程序码品质 语焉不详的程序码 原本 web camp 在 training JavaSc...
SDLC定义了工程系统时的阶段和过程。由於系统的多样性,它通常不提供特定的设计原则。 系统开发生命周...