回覆列表
-
1 # 手機使用者93925912752
-
2 # 此使用者已在某日登出
保密性和基於風險。
資訊保安管理體系是組織在整體或特定範圍內建立資訊保安方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
資訊保安管理體系是組織機構單位按照資訊保安管理體系相關標準的要求,制定資訊保安管理方針和策略,採用風險管理的方法進行資訊保安管理計劃、實施、評審檢查、改進的資訊保安管理執行的工作體系。
1.通用的稽核原則
稽核的特徵在於其遵循若干原則。這些原則使稽核成為支援管理方針和控制的有效與可靠的工具,併為組織提供可以改進其績效的資訊。遵循這些原則是得出相應和充分的稽核結論的前提,也是稽核員獨立工作時,在相似的情況下得出相似結論的前提。
第 5 章~第 7 章給出的指南是基於下列6項原則:
a)誠實正直:職業的基礎
稽核員和稽核方案管理人員應:
——以誠實、勤勉和負責任的精神從事他們的工作;
——瞭解並遵守任何適用的法律法規要求;
——在工作中體現他們的能力;
——以不偏不倚的態度從事工作,即對待所有事務保持公正和無偏見;
——在稽核時,對可能影響其判斷的任何因素保持警覺。
b)公正表達:真實、準確地報告的義務
稽核發現、稽核結論和稽核報告應真實和準確地反映稽核活動。應報告在稽核過程中遇到的重大障礙以及在稽核組和受稽核方之間沒有解決的分歧意見。溝通必須真實、準確、客觀、及時、清楚和完整。
c)職業素養∶在稽核中勤奮並具有判斷力
稽核員應珍視他們所執行的任務的重要性以及稽核委託方和其他相關方對他們的信任。在工作中具有職業素養的一個重要因素是能夠在所有稽核情況下做出合理的判斷。
d)保密性∶資訊保安
稽核員應審慎使用和保護在稽核過程獲得的資訊。稽核員或稽核委託方不應為個人利益不適當地或以損害受稽核方合法利益的方式使用稽核資訊。這個概念包括正確處理敏感的、保密的資訊。
e)獨立性;稽核的公正性和稽核結論的客觀性的基礎
稽核員應獨立於受稽核的活動(只要可行時),並且在任何情況下都應不帶偏見,沒有利益上的衝突。對於內部稽核,稽核員應獨立於被稽核職能的執行管理人員。稽核員在整個稽核過程應保持客觀性,以確保稽核發現和稽核結論僅建立在稽核證據的基礎上。
對於小型組織,內審員也許不可能完全獨立於被稽核的活動,但是應盡一切努力消除偏見和體現客觀。
f)基於證據的方法:在一個系統的稽核過程中,得出可信的和可重現的稽核結論的合理的方法
稽核證據應是能夠驗證的。由於稽核是在有限的時間內並在有限的資源條件下進行的,因此稽核證據是建立在可獲得資訊的樣本的基礎上。應合理地進行抽樣,因為這與稽核結論的可信性密切相關。
> ISMS 稽核原則
ISMS的稽核還應遵循如下原則:
a)保密性:
ISMS的稽核由於其特殊性,稽核員應對保密性給予充分的重視,如注意受稽核方的保密管理規程,關注受稽核方對保密的特殊要求。
b)基於風險:
ISMS本身是基於業務風險管理的體系,需要稽核員專注受稽核方的業務風險,特別是實際殘餘風險;同時,對一些特殊的組織的稽核會有特殊的風險,需要充分認識認證帶來的風險。