ISO 27001 定期追查筆記

所謂定期追查,就是外部稽核單位 (eg SGS、BSI 等) 定期來做追查

此時必須特別注意,請務必針對上次開立的缺失進行補強工作,所有上次提出的矯正計畫,都必須確實完成,相關紀錄也都需文件化,除非你能夠說服稽核員你採用了一個新計畫,而且新計畫比舊計畫更好。

每個外部稽核單位由於風格不同、宗旨不同、方法不同,因此流程可能不同,此處以 SGS 所稽核過的一場 ISO 27001 為範例,大致的步驟有:

1. 稽核前:稽核計畫擬定與事前聯繫

一定會有稽核計畫,稽核員不可能沒準備稽核計畫就來現場,唯一你沒接觸過的理由可能是:你的職權較低、負責範圍比較狹小所以不需要知道整體稽核計畫,當然,還有一個可能是…你自動忽視英文的 MAIL 了…

稽核員可能會跟受稽單位先聯繫過,除了確認當日的時間地點外,還會確認一個大致的答辯組別,以免到時候人力閒置。

2. 稽核當日:簡報與啟始會議

每次的稽核員可能不同,通常需要準備 5~15 分鐘不等的簡報,來讓稽核員了解組織現況以及目前的資安組織架構。

接著主導的稽核員會依據之前的稽核計畫,來簡報今天的驗證範圍、稽核流程組別等等。

3. 稽核當日:先前矯正行動要求表的確認與各項追查

首先要針對上次定期追查所發出的「矯正行動要求表」(縮寫為 CAR)來確認,確認其內所撰寫的矯正計畫是否有確實進行,如果沒有,很抱歉…這的部分會形成主要缺失,一旦有一個主要缺失,這次的定期追查就不會過關了。

而其他的追查項目就沒什麼好說的,網路上也已經有一些稽核經驗的分享,其實如果你平常有確實按照程序進行所有工作,確實留下紀錄,你連網路上的經驗都不必參考。

網路上會有一些經驗教導你,稽核員要甚麼就給甚麼,不需要多給,偏向被動式問答,其實這就是怕多說多錯,必然就是還有地方不足怕被稽核員挖出來,才會不敢多說。可早知今日何必當初? 一開始就依據程序進行的話,根本就不存在多說多錯的問題。

當然家家有本難念的經,若組織平常沒有按照程序做,紀錄當然就不會有啦…但即便如此,則你的工作重心就是稽核之前趕快按照程序去補資料、補紀錄,如此也好過臨場的僥倖 – 祈禱稽核員不要問太細是不現實的。

4. 稽核當日:閉幕與結束會議

整日的行程結束後,稽核員會整理出稽核報告,並按照結果看是否需要針對次要缺失來開立矯正行動要求表。

矯正行動要求表,必須填寫立即改善的做法以及持續矯正的計畫,之後在一定的時間內回傳給稽核員。

閉幕後,就結束此次的定期追查了。

 

 

You Might Also Like

Leave a Reply

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料