内部稽核与外部稽核功能面分析

废宅总结:

1. 内部稽核属於企业或机构日常制度内对内维护，外部稽核属於外对内审查，2着不冲突可同时并存，一般常见的顺序是:内稽、改善、管委会、外稽。
2. 对於企业或机构来说，ISMS稽核员资格不是稽核执行人员的必要要求，但具有相等稽核训练背景可能有助於沟通。

ISO/CNS 27001标准

9.2 内部稽核

组织应依规划之期间施行内部稽核，以提供资讯安全管理系统之下列资讯。

( a ) 是否遵循下列事项。

( 1 ) 组织本身对其资讯安全管理系统之要求事项。
( 2 ) 本标准之要求事项。

( b ) 是否有效实作及维持。

组织应采取下列作为。

( c ) 规划、建立、实作及维持稽核计画，包括频率、方法、责任、规划要求事项及报告。该稽核计画应将所关注之重要过程及前次稽核之结果纳入考量。

( d ) 定义各稽核之准则及稽核之范围。

( e ) 选择稽核员及施行稽核，以确保稽核过程之客观性及公平性。

( f ) 确保稽核之结果对相关管理阶层报告。

( g ) 保存文件化资讯作为稽核计画及稽核结果之证据。

9.3 管理审查

最高管理阶层应於规划之期间，审查组织之资讯安全管理系统，以确保其持续的合宜性、适切性及有效性。
管理审查应包括对下列事项之考量。

( a ) 过往管理审查之议案的处理状态。

( b ) 与资讯安全管理系统有关之内部及外部议题的变更。

( c ) 资讯安全绩效之回馈，包括下列之趋势。

( 1 ) 不符合项目及矫正措施。
( 2 ) 监督及量测结果
( 3 ) 稽核结果

( 4 ) 资讯安全目标之达成。

( d ) 关注方之回馈

( e ) 风险评监结果及风险处理计画之状态。

( f ) 持续改善之机会。

管理审查之输出应包括与持续改善机会有关之决策，以及任何对资讯安全管理系统变更之需要。
组织应保存文件化资讯，以作为管理审查结果之证据。

资料来源:
经济部标准检验局 - 国家标准(CNS)网路服务系统CNS27001
ISMS自评/检核表
The Four ISO 27001 Audit Categories, Explained