【正文】 ，包括語(yǔ)氣聲調(diào)、肢體語(yǔ)言和臉部表情 ? 微笑和眼神的接觸 ? 避免打斷 ? 避免即席的和高傲的言詞 ? 給予適當(dāng)?shù)淖撁? ? 詢問(wèn)和聆聽(tīng) ? 表示興趣 ? 機(jī)智和有禮貌的 ? 顯示耐心和理解力 ? 除掉你的個(gè)人問(wèn)題 ? 記得說(shuō)謝謝和請(qǐng) ? 詢問(wèn)正確的人 ? 當(dāng)你不理解時(shí)不要說(shuō)你理解 稽核的控制 ? 檢查表是僕人而不是主人 ? 如果出現(xiàn)潛在的稽核線索，可決定 ? 不予理睬 ? 紀(jì)錄下來(lái)，供以後再稽核 ? 立即跟進(jìn) ? 可能影響抽樣大小 ? 可能影響稽核計(jì)畫(huà) ? 可能影響稽核計(jì)畫(huà) 稽核詢問(wèn)技巧 ? 稽核面談的品質(zhì)大都取決於稽核員的詢問(wèn)技巧。 ? 適當(dāng)?shù)膯?wèn)題有助於達(dá)成稽核目標(biāo)。 ? 被稽核方應(yīng)不要因?yàn)閱?wèn)題種類(lèi)而感到威脅。問(wèn)題種類(lèi)應(yīng)使被稽核方感到自在。 ? 問(wèn)題應(yīng)針對(duì)與被稽核區(qū)域相關(guān)。 稽核問(wèn)題 ? 開(kāi)放式 ─ 這些問(wèn)題需要更多的諮詢而非傴”是”或“不是”。 ? 封閉式 ─ 這些問(wèn)題應(yīng)該誘出示或不是的答案。用來(lái)使用總結(jié)一連串的問(wèn)題。 ? 引導(dǎo)式 ─ 用來(lái)迅速獲得答案。引導(dǎo)被稽核方以得到答案。 稽核面談 ? 使用溝通技巧 ? 使用適當(dāng)?shù)姆Q(chēng)呼和語(yǔ)言，如：資深主管、技術(shù)人員。 ? 面詴技巧的使用 ? 確保有適當(dāng)?shù)娜藛T可用 ? 表現(xiàn)興趣，隨時(shí)保持警覺(jué) ? 顯示你的理解 ─ 不時(shí)的 ? 肢體語(yǔ)言的注意 ─ 正面的溝通 ? 聆聽(tīng) ─ 詴著不要打擾被稽核方 ? 解釋紀(jì)錄稽核筆記的方式 ? 隨時(shí)表現(xiàn)禮貌 ? 接近稽核面詴的完成時(shí)，總結(jié)發(fā)現(xiàn)和謝謝關(guān)心。 做筆記 ? 紀(jì)錄客觀的證據(jù) ?可接受的陳述 ?文件編號(hào)及版本版次或文件位階 ?部門(mén) ?被稽核方的名稱(chēng) 做筆記 ? 筆記可用於以下情況時(shí)做參考： ? 立即調(diào)查 ? 以後再調(diào)查 ? 供同事使用 ? 以後稽核 ? 因此筆記必頇是： ? 清楚的 ? 可事後做為檢索用 做筆記 ? 稽核員應(yīng)該針對(duì)稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括： ? 訪問(wèn)的部門(mén) ? 看見(jiàn)的人員 ? 發(fā)現(xiàn)的摘要 ? 引用看見(jiàn)的文件，如程序 ? 引用看見(jiàn)的紀(jì)錄，如備份記錄、軟體授權(quán)等。 ? 被包含標(biāo)準(zhǔn)條款的引用 不符合事項(xiàng) ? 不符合事項(xiàng)： 與 BS77992 / ISO27001:2023的要求相反的情形，某一特定的要求並未被履行。 ? 直接與安全政策相關(guān) ? 違反資訊管理安全標(biāo)準(zhǔn) ? 違反系統(tǒng)程序或工作指示 ? 違反法律上的要求 次要 (輕微 )不符合事項(xiàng) ? 定義 在一個(gè)隔離的情形中，有一些適用控制措施的要求方面沒(méi)有被滿足，因此產(chǎn)生一些關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測(cè)量之適當(dāng)性的質(zhì)疑。 而且表示一個(gè)輕微的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺(jué)到，被觀察到的一個(gè)單獨(dú)或偶發(fā)失誤，或隔離的意外事件。 次要 (輕微 )不符合事項(xiàng)的範(fàn)例 ? 觀察到某人未遵守桌面淨(jìng)空政策 ? 在某種場(chǎng)合中某些訪客離開(kāi)大樓時(shí)未依規(guī)定登記 ? 遺失對(duì)於網(wǎng)路存取的正式核可 ? 備份的紀(jì)錄未在一天內(nèi)完成 ? 未鑑別所有權(quán)人的資料存在檔案中 主要 (嚴(yán)重 )不符合事項(xiàng) ? 定義 失敗的實(shí)施或遵守一個(gè)或多個(gè) BS77992適用的控制措施條款，因此產(chǎn)生關(guān)於對(duì)保護(hù)敏感資料的機(jī)密性、完整性和可用性測(cè)量之適當(dāng)性的嚴(yán)重質(zhì)疑。 而且表示一個(gè)無(wú)法接受的風(fēng)險(xiǎn)，可能將被組織的利害關(guān)係人察覺(jué)到。 也是指整個(gè)系統(tǒng)控制措施或程序的失效。 主要 (嚴(yán)重 )不符合事項(xiàng) ? 缺乏標(biāo)準(zhǔn)的某一個(gè)特別的要求，如政策或範(fàn)圍。 ? 對(duì)標(biāo)準(zhǔn)的某一主要要素，沒(méi)有相關(guān)文件紀(jì)錄的程序。 ? 系統(tǒng)、控制措施或程序的完全失效。 ? 極高數(shù)量的不符合事項(xiàng)集中在標(biāo)準(zhǔn)中某一要素或是部門(mén)。 主要 (嚴(yán)重 )不符合事項(xiàng)的範(fàn)例 ? 沒(méi)有安全政策 ? 沒(méi)有安全事故管理系統(tǒng) ? 缺乏營(yíng)運(yùn)持續(xù)計(jì)劃 ? 沒(méi)有軟體授權(quán)管理 ? 沒(méi)有正式的系統(tǒng)來(lái)管理和更新 ISMS文件 確定事實(shí) ? 獲得被稽核方的幫助 ? 討論關(guān)心的問(wèn)題 ? 驗(yàn)證發(fā)現(xiàn)的結(jié)果 ? 紀(jì)錄所有證據(jù) ? 確定為何是一個(gè)不符合或其他問(wèn)題 ? 證明誰(shuí)在現(xiàn)場(chǎng) (如果相關(guān)的話 ) ─ 最好是註明職位 寫(xiě)一份不 符合事項(xiàng)報(bào)告 ? 情況 使用者註冊(cè)程序 UR1 01/11/01說(shuō)明使用者註冊(cè)其狀態(tài)需被審查和三個(gè)月的有效性。 沒(méi)有證據(jù)顯示對(duì)於 Fred狀態(tài)的審查， Fred在第一次的設(shè)定後已歷經(jīng) 18個(gè)月仍是有效。 寫(xiě)一份不 符合事項(xiàng)報(bào)告 ? 報(bào)告 依據(jù) ISO27001條款 要求，應(yīng)定時(shí)執(zhí)行權(quán)限審查及依據(jù)使用者註冊(cè)程序 UR1 01/11/01說(shuō)明使用者註冊(cè)其狀態(tài)需被審查和 3個(gè)月的有效性。 因 Fred在第一次的設(shè)定後已歷經(jīng) 18個(gè)月仍是有效。 紀(jì)錄不 符合事項(xiàng) ? 紀(jì)錄事實(shí) ─ 不要誇大發(fā)現(xiàn) ? 清楚敘述不符合事項(xiàng)是在哪裡發(fā)現(xiàn) ? 清楚敘述發(fā)現(xiàn)什麼 ? 為何它是一個(gè)不符合事項(xiàng) ? 誰(shuí)在那哩，目擊者為誰(shuí) ? 使用公司人員所了解的專(zhuān)用術(shù)語(yǔ) ? 簡(jiǎn)單扼要、有幫助的 考慮嚴(yán)重性 兩個(gè)問(wèn)題需要被回答 ? 如果不符合事項(xiàng)未被矯而一直持續(xù)的錯(cuò)誤下去，會(huì)發(fā)生什麼狀況？ ? 其發(fā)生狀況的可能性是什麼？ 稽核 ? 及時(shí)向被稽核方報(bào)告有關(guān)情形 為了使稽核有建設(shè)性、有幫助和專(zhuān)業(yè)： ? 要定期檢討稽核進(jìn)度和發(fā)現(xiàn) ? 消除謠言 ? 建立良好的關(guān)係 ? 稽核流程中的判斷 對(duì)於證據(jù)不足的情況，必頇做出對(duì)被稽核方有利的判斷。 被稽核方的反應(yīng) ? 謀求幫助 ? 不斷挑戰(zhàn) ? 主動(dòng)提供資訊 ? 轉(zhuǎn)移注意力或浪費(fèi)時(shí)間的戰(zhàn)術(shù) ? 內(nèi)部衝突 ? 權(quán)威 ? 敵對(duì)情緒 每日評(píng)審會(huì)議 ? 可以在每一天稽核結(jié)束或在下一天稽核開(kāi)始時(shí)招開(kāi)評(píng)審會(huì)議，一般會(huì)議時(shí)間 15~20分鐘，與管理者代表或引導(dǎo)人員一貣： ? 評(píng)審任何不符合事項(xiàng) ? 解決任何問(wèn)題 ? 報(bào)告稽核進(jìn)度 ? 澄清任何誤解 ? 對(duì)任何不符合事項(xiàng)進(jìn)行簽字確認(rèn) 稽核小組會(huì)議 ? 稽核計(jì)畫(huà)表中的日程專(zhuān)案 ? 傴限於稽核小組成員出席 ? 由稽核小組組長(zhǎng)主持 ? 計(jì)畫(huà)結(jié)束會(huì)議 ? 稽核小組組長(zhǎng)準(zhǔn)備總結(jié)報(bào)告 ? 評(píng)審系統(tǒng)的有效性 ? 稽核小組填寫(xiě)不符合事項(xiàng)報(bào)告 ? 稽核小組評(píng)審不符合事項(xiàng)報(bào)告 稽核結(jié)論 ? 作出結(jié)論（正面或負(fù)面的）和準(zhǔn)備稽核報(bào)告，根據(jù)下列事項(xiàng)： ? 全部的稽核 ? 主要或次要不符合事項(xiàng) ? 系統(tǒng)文件 ? 系統(tǒng)實(shí)施 ? 系統(tǒng)有效性 ? 部門(mén)的長(zhǎng)處和弱點(diǎn) ? 要素的長(zhǎng)處和弱點(diǎn) 稽核結(jié)論和建議 ? 資訊安全管理系統(tǒng)是否有效 ? 系統(tǒng)有無(wú)任何失效 ? 有無(wú)對(duì)任何特別區(qū)域需注意的事 ? 管理階層們是否承諾持續(xù)改進(jìn) 稽核建議 ? 建議註冊(cè) ─ 沒(méi)有發(fā)現(xiàn)不符合區(qū)域。 ? 建議 ─ 當(dāng)收到可接受的矯正措施的計(jì)畫(huà)。 ? 部分的再稽核 ─ 主要不符合事項(xiàng)在某一區(qū)域找到，但系統(tǒng)的其它部分仍有效的運(yùn)作。 ? 全部再次稽核 ─ ISMS中不只一個(gè)區(qū)域發(fā)現(xiàn)重大缺失。稽核小組頇對(duì)某一階段再重新稽核一次。 稽核報(bào)告 ? 報(bào)告最少應(yīng)包括下列資訊： ? 稽核發(fā)現(xiàn)的摘要 ? 稽核的區(qū)域 ? BS77992 / ISO27001:2023的稽核條款 ? 不符合事項(xiàng)報(bào)告 ? 相關(guān)的觀察事項(xiàng) ? 被稽核方的工作頭銜或被稽核部門(mén)的名稱(chēng) (不要記錄姓名 ) 稽核報(bào)告 ? 用清楚的方式記錄不符合事項(xiàng)，讓被稽核方能了解和解讀。 ? 確保所有的不符合事項(xiàng)報(bào)告是有事實(shí)根據(jù)的。 ? 紀(jì)錄觀察事項(xiàng)。這些是具正面的特質(zhì)，但是通常反應(yīng)可能發(fā)生的潛在不符合事項(xiàng)狀況。 ? 稽核報(bào)告應(yīng)易讀的。 結(jié)束會(huì)議 ? 稽核小組組長(zhǎng)準(zhǔn)備和運(yùn)作一個(gè)議程和控制會(huì)議 ? 出席者 ? 感謝 ? 目標(biāo) /範(fàn)圍 ? 報(bào)告系統(tǒng) ? 限制 ? 機(jī)密性 ? 稽核總結(jié)報(bào)告 ? 建議 ? 同意 ? 澄清 ? 離開(kāi) 跟蹤行動(dòng) ? 被稽核方接收不符合事項(xiàng)報(bào)告 ? 準(zhǔn)備矯正措施計(jì)畫(huà) ? 將計(jì)劃 (如果有的話 )提交給稽核員 ? 稽核員評(píng)估回應(yīng) ? 被稽核方實(shí)施計(jì)劃 ? 被稽核方評(píng)估有效性 ? 如有必要，被稽核方修改計(jì)畫(huà) ? 被稽核方文件變更 ? 稽核員驗(yàn)證實(shí)施情況和有效性 ? 紀(jì)錄 (稽核員和被稽核方 )採(cǎi)取的所有措施 持續(xù)稽核循環(huán) ? 一年兩次稽核 ? 結(jié)束上次所發(fā)現(xiàn)不符合事項(xiàng) ? 審查風(fēng)險(xiǎn)評(píng)鑑的有效性 ? 審查適用性聲明的有效性 ? 安全政策 ? 管理審查 ? 安全事故 ? 政策和程序的有效實(shí)施 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH