本文目录

12 监控 ISMS 的实施


为确保 ISMS 是有效的,并保持通用的、适当的、充分的和有效的,ISO/IEC 27001 要求:

  • 管理层定期检查 ISMS。审查必须包括评估改进的机会,以及 ISMS 变更的需要,包括安全政策和安全目标,并特别注意以前的纠正或预防措施及其有效性。
  • 定期内部审计。

评审和审核的结果必须形成文件,与评审和审核有关的记录必须保持。

输入

为了进行管理评层审,ISO/IEC 27001 要求以下输入:

  • ISMS 内部和外部审计和审查的结果
  • 来自感兴趣方的反馈
  • 组织中用于提高 ISMS 有效性的技术、产品或流程
  • 预防和纠正措施(包括那些可能已经在以前的审查或审核中确定的措施)
  • 事件报告,例如,如果有一个安全故障,一个报告,确定故障是什么、何时发生如何处理和可能的纠正
  • 在之前的风险评估中没有充分解决的漏洞或威胁
  • 对以前评审的后续行动
  • 任何可能影响 ISMS 的组织变化
  • 改进建议

要定期执行内部审计,您需要定义范围、标准、频率和方法。您还需要流程(应该作为《设定政策和流程来控制风险》的一部分编写),该流程标识了计划和执行审核、报告结果和维护记录的职责和要求。

输出

管理评审的结果应包括以下方面的决定和行动:

  • ISMS 的改进
  • 修改影响组织内各级信息安全的流程
  • 资源需求

内部审核的结果应识别不符合项及其相关的纠正或预防措施。ISO/IEC 27001 列出了与纠正和预防措施相关的活动和记录要求。

案例

下面的案例展示了预防行动计划的大纲。这样的计划可能是内部审计或 ISMS 管理评审的结果。你可以用一个类似的大纲来准备一个纠正行动计划。

预防行动计划

描述

本节应识别有问题的不合格的类似或相关事件。此外,本节还应确定对每个不符合项所采取的纠正措施。

本节还应提供需要采取预防行动的理由。

1、行动计划

本节应概述为实施预防性行动而选定的行动计划,以便明确如何实施预防性行动和预期结果。

1.1、目标

本节应确定行动计划的目标。在大多数情况下,目标是防止已识别的不符合项在未来再次发生。

1.2、方法

本节应描述为防止已识别的不合格今后再次发生而采取的方法。

1.3、预期结果

本节应确定实施预防措施的预期结果。预期结果应在某种程度上与上述目标一致。

2、结果

本节应确定预防措施的结果。如果在实施预防措施后,您可能会对不符合区域进行不止一次的审核,则可能有必要列出一组以上的结果。这允许审计人员检查结果之间的一致性。

3、有效性

本节确定所选预防行动的有效性。有效性可以根据预期结果与实际结果的一致性或比较来衡量。如果结果非常相似,那么预防措施就是非常有效的。


最近更新于 2022-05-22 猿小六2022-05-22 发布, 已阅 209 次。