【正文】 ，包括語氣聲調(diào)、肢體語言和臉部表情 ? 微笑和眼神的接觸 ? 避免打斷 ? 避免即席的和高傲的言詞 ? 給予適當?shù)淖撁? ? 詢問和聆聽 ? 表示興趣 ? 機智和有禮貌的 ? 顯示耐心和理解力 ? 除掉你的個人問題 ? 記得說謝謝和請 ? 詢問正確的人 ? 當你不理解時不要說你理解 稽核的控制 ? 檢查表是僕人而不是主人 ? 如果出現(xiàn)潛在的稽核線索，可決定 ? 不予理睬 ? 紀錄下來，供以後再稽核 ? 立即跟進 ? 可能影響抽樣大小 ? 可能影響稽核計畫 ? 可能影響稽核計畫 稽核詢問技巧 ? 稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。 ? 適當?shù)膯栴}有助於達成稽核目標。 ? 被稽核方應不要因為問題種類而感到威脅。問題種類應使被稽核方感到自在。 ? 問題應針對與被稽核區(qū)域相關。 稽核問題 ? 開放式 ─ 這些問題需要更多的諮詢而非傴”是”或“不是”。 ? 封閉式 ─ 這些問題應該誘出示或不是的答案。用來使用總結(jié)一連串的問題。 ? 引導式 ─ 用來迅速獲得答案。引導被稽核方以得到答案。 稽核面談 ? 使用溝通技巧 ? 使用適當?shù)姆Q呼和語言，如：資深主管、技術人員。 ? 面詴技巧的使用 ? 確保有適當?shù)娜藛T可用 ? 表現(xiàn)興趣，隨時保持警覺 ? 顯示你的理解 ─ 不時的 ? 肢體語言的注意 ─ 正面的溝通 ? 聆聽 ─ 詴著不要打擾被稽核方 ? 解釋紀錄稽核筆記的方式 ? 隨時表現(xiàn)禮貌 ? 接近稽核面詴的完成時，總結(jié)發(fā)現(xiàn)和謝謝關心。 做筆記 ? 紀錄客觀的證據(jù) ?可接受的陳述 ?文件編號及版本版次或文件位階 ?部門 ?被稽核方的名稱 做筆記 ? 筆記可用於以下情況時做參考： ? 立即調(diào)查 ? 以後再調(diào)查 ? 供同事使用 ? 以後稽核 ? 因此筆記必頇是： ? 清楚的 ? 可事後做為檢索用 做筆記 ? 稽核員應該針對稽核的區(qū)域中所有適當?shù)馁Y訊做紀錄，包括： ? 訪問的部門 ? 看見的人員 ? 發(fā)現(xiàn)的摘要 ? 引用看見的文件，如程序 ? 引用看見的紀錄，如備份記錄、軟體授權等。 ? 被包含標準條款的引用 不符合事項 ? 不符合事項： 與 BS77992 / ISO27001:2023的要求相反的情形，某一特定的要求並未被履行。 ? 直接與安全政策相關 ? 違反資訊管理安全標準 ? 違反系統(tǒng)程序或工作指示 ? 違反法律上的要求 次要 (輕微 )不符合事項 ? 定義 在一個隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關於對保護敏感資料的機密性、完整性和可用性測量之適當性的質(zhì)疑。 而且表示一個輕微的風險，可能將被組織的利害關係人察覺到，被觀察到的一個單獨或偶發(fā)失誤，或隔離的意外事件。 次要 (輕微 )不符合事項的範例 ? 觀察到某人未遵守桌面淨空政策 ? 在某種場合中某些訪客離開大樓時未依規(guī)定登記 ? 遺失對於網(wǎng)路存取的正式核可 ? 備份的紀錄未在一天內(nèi)完成 ? 未鑑別所有權人的資料存在檔案中 主要 (嚴重 )不符合事項 ? 定義 失敗的實施或遵守一個或多個 BS77992適用的控制措施條款，因此產(chǎn)生關於對保護敏感資料的機密性、完整性和可用性測量之適當性的嚴重質(zhì)疑。 而且表示一個無法接受的風險，可能將被組織的利害關係人察覺到。 也是指整個系統(tǒng)控制措施或程序的失效。 主要 (嚴重 )不符合事項 ? 缺乏標準的某一個特別的要求，如政策或範圍。 ? 對標準的某一主要要素，沒有相關文件紀錄的程序。 ? 系統(tǒng)、控制措施或程序的完全失效。 ? 極高數(shù)量的不符合事項集中在標準中某一要素或是部門。 主要 (嚴重 )不符合事項的範例 ? 沒有安全政策 ? 沒有安全事故管理系統(tǒng) ? 缺乏營運持續(xù)計劃 ? 沒有軟體授權管理 ? 沒有正式的系統(tǒng)來管理和更新 ISMS文件 確定事實 ? 獲得被稽核方的幫助 ? 討論關心的問題 ? 驗證發(fā)現(xiàn)的結(jié)果 ? 紀錄所有證據(jù) ? 確定為何是一個不符合或其他問題 ? 證明誰在現(xiàn)場 (如果相關的話 ) ─ 最好是註明職位 寫一份不 符合事項報告 ? 情況 使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和三個月的有效性。 沒有證據(jù)顯示對於 Fred狀態(tài)的審查， Fred在第一次的設定後已歷經(jīng) 18個月仍是有效。 寫一份不 符合事項報告 ? 報告 依據(jù) ISO27001條款 要求，應定時執(zhí)行權限審查及依據(jù)使用者註冊程序 UR1 01/11/01說明使用者註冊其狀態(tài)需被審查和 3個月的有效性。 因 Fred在第一次的設定後已歷經(jīng) 18個月仍是有效。 紀錄不 符合事項 ? 紀錄事實 ─ 不要誇大發(fā)現(xiàn) ? 清楚敘述不符合事項是在哪裡發(fā)現(xiàn) ? 清楚敘述發(fā)現(xiàn)什麼 ? 為何它是一個不符合事項 ? 誰在那哩，目擊者為誰 ? 使用公司人員所了解的專用術語 ? 簡單扼要、有幫助的 考慮嚴重性 兩個問題需要被回答 ? 如果不符合事項未被矯而一直持續(xù)的錯誤下去，會發(fā)生什麼狀況？ ? 其發(fā)生狀況的可能性是什麼？ 稽核 ? 及時向被稽核方報告有關情形 為了使稽核有建設性、有幫助和專業(yè)： ? 要定期檢討稽核進度和發(fā)現(xiàn) ? 消除謠言 ? 建立良好的關係 ? 稽核流程中的判斷 對於證據(jù)不足的情況，必頇做出對被稽核方有利的判斷。 被稽核方的反應 ? 謀求幫助 ? 不斷挑戰(zhàn) ? 主動提供資訊 ? 轉(zhuǎn)移注意力或浪費時間的戰(zhàn)術 ? 內(nèi)部衝突 ? 權威 ? 敵對情緒 每日評審會議 ? 可以在每一天稽核結(jié)束或在下一天稽核開始時招開評審會議，一般會議時間 15~20分鐘，與管理者代表或引導人員一貣： ? 評審任何不符合事項 ? 解決任何問題 ? 報告稽核進度 ? 澄清任何誤解 ? 對任何不符合事項進行簽字確認 稽核小組會議 ? 稽核計畫表中的日程專案 ? 傴限於稽核小組成員出席 ? 由稽核小組組長主持 ? 計畫結(jié)束會議 ? 稽核小組組長準備總結(jié)報告 ? 評審系統(tǒng)的有效性 ? 稽核小組填寫不符合事項報告 ? 稽核小組評審不符合事項報告 稽核結(jié)論 ? 作出結(jié)論（正面或負面的）和準備稽核報告，根據(jù)下列事項： ? 全部的稽核 ? 主要或次要不符合事項 ? 系統(tǒng)文件 ? 系統(tǒng)實施 ? 系統(tǒng)有效性 ? 部門的長處和弱點 ? 要素的長處和弱點 稽核結(jié)論和建議 ? 資訊安全管理系統(tǒng)是否有效 ? 系統(tǒng)有無任何失效 ? 有無對任何特別區(qū)域需注意的事 ? 管理階層們是否承諾持續(xù)改進 稽核建議 ? 建議註冊 ─ 沒有發(fā)現(xiàn)不符合區(qū)域。 ? 建議 ─ 當收到可接受的矯正措施的計畫。 ? 部分的再稽核 ─ 主要不符合事項在某一區(qū)域找到，但系統(tǒng)的其它部分仍有效的運作。 ? 全部再次稽核 ─ ISMS中不只一個區(qū)域發(fā)現(xiàn)重大缺失?；诵〗M頇對某一階段再重新稽核一次。 稽核報告 ? 報告最少應包括下列資訊： ? 稽核發(fā)現(xiàn)的摘要 ? 稽核的區(qū)域 ? BS77992 / ISO27001:2023的稽核條款 ? 不符合事項報告 ? 相關的觀察事項 ? 被稽核方的工作頭銜或被稽核部門的名稱 (不要記錄姓名 ) 稽核報告 ? 用清楚的方式記錄不符合事項，讓被稽核方能了解和解讀。 ? 確保所有的不符合事項報告是有事實根據(jù)的。 ? 紀錄觀察事項。這些是具正面的特質(zhì)，但是通常反應可能發(fā)生的潛在不符合事項狀況。 ? 稽核報告應易讀的。 結(jié)束會議 ? 稽核小組組長準備和運作一個議程和控制會議 ? 出席者 ? 感謝 ? 目標 /範圍 ? 報告系統(tǒng) ? 限制 ? 機密性 ? 稽核總結(jié)報告 ? 建議 ? 同意 ? 澄清 ? 離開 跟蹤行動 ? 被稽核方接收不符合事項報告 ? 準備矯正措施計畫 ? 將計劃 (如果有的話 )提交給稽核員 ? 稽核員評估回應 ? 被稽核方實施計劃 ? 被稽核方評估有效性 ? 如有必要，被稽核方修改計畫 ? 被稽核方文件變更 ? 稽核員驗證實施情況和有效性 ? 紀錄 (稽核員和被稽核方 )採取的所有措施 持續(xù)稽核循環(huán) ? 一年兩次稽核 ? 結(jié)束上次所發(fā)現(xiàn)不符合事項 ? 審查風險評鑑的有效性 ? 審查適用性聲明的有效性 ? 安全政策 ? 管理審查 ? 安全事故 ? 政策和程序的有效實施 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH