【正文】 結(jié)束會議 ? 稽核小組組長準(zhǔn)備和運(yùn)作一個議程和控制會議 ? 出席者 ? 感謝 ? 目標(biāo) /範(fàn)圍 ? 報(bào)告系統(tǒng) ? 限制 ? 機(jī)密性 ? 稽核總結(jié)報(bào)告 ? 建議 ? 同意 ? 澄清 ? 離開 跟蹤行動 ? 被稽核方接收不符合事項(xiàng)報(bào)告 ? 準(zhǔn)備矯正措施計(jì)畫 ? 將計(jì)劃 (如果有的話 )提交給稽核員 ? 稽核員評估回應(yīng) ? 被稽核方實(shí)施計(jì)劃 ? 被稽核方評估有效性 ? 如有必要，被稽核方修改計(jì)畫 ? 被稽核方文件變更 ? 稽核員驗(yàn)證實(shí)施情況和有效性 ? 紀(jì)錄 (稽核員和被稽核方 )採取的所有措施 持續(xù)稽核循環(huán) ? 一年兩次稽核 ? 結(jié)束上次所發(fā)現(xiàn)不符合事項(xiàng) ? 審查風(fēng)險(xiǎn)評鑑的有效性 ? 審查適用性聲明的有效性 ? 安全政策 ? 管理審查 ? 安全事故 ? 政策和程序的有效實(shí)施 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH 。這些是具正面的特質(zhì)，但是通常反應(yīng)可能發(fā)生的潛在不符合事項(xiàng)狀況。 ? 確保所有的不符合事項(xiàng)報(bào)告是有事實(shí)根據(jù)的?；诵〗M頇對某一階段再重新稽核一次。 ? 部分的再稽核 ─ 主要不符合事項(xiàng)在某一區(qū)域找到，但系統(tǒng)的其它部分仍有效的運(yùn)作。 被稽核方的反應(yīng) ? 謀求幫助 ? 不斷挑戰(zhàn) ? 主動提供資訊 ? 轉(zhuǎn)移注意力或浪費(fèi)時(shí)間的戰(zhàn)術(shù) ? 內(nèi)部衝突 ? 權(quán)威 ? 敵對情緒 每日評審會議 ? 可以在每一天稽核結(jié)束或在下一天稽核開始時(shí)招開評審會議，一般會議時(shí)間 15~20分鐘，與管理者代表或引導(dǎo)人員一貣： ? 評審任何不符合事項(xiàng) ? 解決任何問題 ? 報(bào)告稽核進(jìn)度 ? 澄清任何誤解 ? 對任何不符合事項(xiàng)進(jìn)行簽字確認(rèn) 稽核小組會議 ? 稽核計(jì)畫表中的日程專案 ? 傴限於稽核小組成員出席 ? 由稽核小組組長主持 ? 計(jì)畫結(jié)束會議 ? 稽核小組組長準(zhǔn)備總結(jié)報(bào)告 ? 評審系統(tǒng)的有效性 ? 稽核小組填寫不符合事項(xiàng)報(bào)告 ? 稽核小組評審不符合事項(xiàng)報(bào)告 稽核結(jié)論 ? 作出結(jié)論（正面或負(fù)面的）和準(zhǔn)備稽核報(bào)告，根據(jù)下列事項(xiàng)： ? 全部的稽核 ? 主要或次要不符合事項(xiàng) ? 系統(tǒng)文件 ? 系統(tǒng)實(shí)施 ? 系統(tǒng)有效性 ? 部門的長處和弱點(diǎn) ? 要素的長處和弱點(diǎn) 稽核結(jié)論和建議 ? 資訊安全管理系統(tǒng)是否有效 ? 系統(tǒng)有無任何失效 ? 有無對任何特別區(qū)域需注意的事 ? 管理階層們是否承諾持續(xù)改進(jìn) 稽核建議 ? 建議註冊 ─ 沒有發(fā)現(xiàn)不符合區(qū)域。 因 Fred在第一次的設(shè)定後已歷經(jīng) 18個月仍是有效。 沒有證據(jù)顯示對於 Fred狀態(tài)的審查， Fred在第一次的設(shè)定後已歷經(jīng) 18個月仍是有效。 ? 極高數(shù)量的不符合事項(xiàng)集中在標(biāo)準(zhǔn)中某一要素或是部門。 ? 對標(biāo)準(zhǔn)的某一主要要素，沒有相關(guān)文件紀(jì)錄的程序。 也是指整個系統(tǒng)控制措施或程序的失效。 次要 (輕微 )不符合事項(xiàng)的範(fàn)例 ? 觀察到某人未遵守桌面淨(jìng)空政策 ? 在某種場合中某些訪客離開大樓時(shí)未依規(guī)定登記 ? 遺失對於網(wǎng)路存取的正式核可 ? 備份的紀(jì)錄未在一天內(nèi)完成 ? 未鑑別所有權(quán)人的資料存在檔案中 主要 (嚴(yán)重 )不符合事項(xiàng) ? 定義 失敗的實(shí)施或遵守一個或多個 BS77992適用的控制措施條款，因此產(chǎn)生關(guān)於對保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的嚴(yán)重質(zhì)疑。 ? 直接與安全政策相關(guān) ? 違反資訊管理安全標(biāo)準(zhǔn) ? 違反系統(tǒng)程序或工作指示 ? 違反法律上的要求 次要 (輕微 )不符合事項(xiàng) ? 定義 在一個隔離的情形中，有一些適用控制措施的要求方面沒有被滿足，因此產(chǎn)生一些關(guān)於對保護(hù)敏感資料的機(jī)密性、完整性和可用性測量之適當(dāng)性的質(zhì)疑。 做筆記 ? 紀(jì)錄客觀的證據(jù) ?可接受的陳述 ?文件編號及版本版次或文件位階 ?部門 ?被稽核方的名稱 做筆記 ? 筆記可用於以下情況時(shí)做參考： ? 立即調(diào)查 ? 以後再調(diào)查 ? 供同事使用 ? 以後稽核 ? 因此筆記必頇是： ? 清楚的 ? 可事後做為檢索用 做筆記 ? 稽核員應(yīng)該針對稽核的區(qū)域中所有適當(dāng)?shù)馁Y訊做紀(jì)錄，包括： ? 訪問的部門 ? 看見的人員 ? 發(fā)現(xiàn)的摘要 ? 引用看見的文件，如程序 ? 引用看見的紀(jì)錄，如備份記錄、軟體授權(quán)等。 稽核面談 ? 使用溝通技巧 ? 使用適當(dāng)?shù)姆Q呼和語言，如：資深主管、技術(shù)人員。 ? 引導(dǎo)式 ─ 用來迅速獲得答案。 ? 封閉式 ─ 這些問題應(yīng)該誘出示或不是的答案。 ? 問題應(yīng)針對與被稽核區(qū)域相關(guān)。 ? 被稽核方應(yīng)不要因?yàn)閱栴}種類而感到威脅。 首次會議 ─ 考量點(diǎn) ? 介紹 ─ 紀(jì)錄 ? 營造稽核的氣氛 ? 確認(rèn)稽核的目的和範(fàn)圍 ? 審查和確認(rèn)稽核計(jì)畫 ? 稽核小組的引導(dǎo)人員分配 ? 稽核方法的溝通 ? 報(bào)告方法 ? 確認(rèn)稽核是基於抽樣方法 ? 保密 ? 結(jié)束會議時(shí)間 ? 後勤 ? 限制 ? 澄清 稽核參加人員 ? 稽核小組 ? 稽核小組組長及組員 ? 見習(xí)稽核員及見習(xí)主導(dǎo)稽核員 ? 觀察員 ? 翻譯員、專家 ? 見證人 ? 被稽核方 ? 引導(dǎo)人員 ? 部門主管及員工 ? 觀察員、見習(xí)人員 ? 顧問 執(zhí)行稽核 ? 進(jìn)入稽核區(qū)域 ? 引導(dǎo)人員介紹 ? 解釋你想要看什麼東西 ? 做必要深度的調(diào)查 ? 如果未發(fā)現(xiàn)問題，繼續(xù)下一步 ? 不要不停地堅(jiān)持稽核直到發(fā)現(xiàn)問題為止 和人溝通的技巧 ? 讓被稽核者放輕鬆 ? 訪問簡短的問題 ? 表現(xiàn)正面的態(tài)度，包括語氣聲調(diào)、肢體語言和臉部表情 ? 微笑和眼神的接觸 ? 避免打斷 ? 避免即席的和高傲的言詞 ? 給予適當(dāng)?shù)淖撁? ? 詢問和聆聽 ? 表示興趣 ? 機(jī)智和有禮貌的 ? 顯示耐心和理解力 ? 除掉你的個人問題 ? 記得說謝謝和請 ? 詢問正確的人 ? 當(dāng)你不理解時(shí)不要說你理解 稽核的控制 ? 檢查表是僕人而不是主人 ? 如果出現(xiàn)潛在的稽核線索，可決定 ? 不予理睬 ? 紀(jì)錄下來，供以後再稽核 ? 立即跟進(jìn) ? 可能影響抽樣大小 ? 可能影響稽核計(jì)畫 ? 可能影響稽核計(jì)畫 稽核詢問技巧 ? 稽核面談的品質(zhì)大都取決於稽核員的詢問技巧。 ? 檢查表不應(yīng)有“是”或“否”的答案。 ? 檢查表應(yīng)能夠代表稽核的區(qū)域。 ? 運(yùn)用這些問題和安全手冊 ─ ?計(jì)畫查看什麼和尋找的證據(jù) ?考慮抽樣大小 ? 準(zhǔn)備檢查表 稽核檢查表 ? 稽核檢查表的準(zhǔn)備。 ─ 打勾的方式 ─ 問卷 ? 將檢查表準(zhǔn)備成備忘錄形式。 ? 責(zé)任在控制全部區(qū)域的被稽核方。 ? 如抽樣結(jié)果指出無不符合事項(xiàng)，並不代表系統(tǒng)中沒有不符合事項(xiàng)。 ? 必頇代表活動的稽核。 ? 稽核員必頇決定大小和選擇。 ? 給予高風(fēng)險(xiǎn)區(qū)域優(yōu)先權(quán)。 階段 2：稽核計(jì)劃 ? 由主導(dǎo)稽核員準(zhǔn)備 ? 經(jīng)過客戶同意的 ? 具有可變更的彈性 ? 包括稽核目標(biāo)和範(fàn)圍 ? 鑑別目標(biāo)和範(fàn)圍內(nèi)相關(guān)人員的責(zé)任 ? 鑑別參考用文件 ? 鑑別稽核小組成員 ? 稽核時(shí)所用的語言 ? 鑑別應(yīng)稽核的區(qū)域 ? 每個重大稽核活動預(yù)期的時(shí)間 ? 會議的行程表 ? 機(jī)密性要求 ? 稽核報(bào)告的分配和發(fā)佈時(shí)間 ? 解決任何有關(guān)稽核計(jì)畫問題 階段 2：稽核計(jì)劃可用的資訊 ? 文件審查的結(jié)果 ? 安全手冊及程序 ? 管理重點(diǎn) ? 高風(fēng)險(xiǎn)區(qū)域 ? 安全問題 ? 先前的內(nèi)部審查 ? 服務(wù) /產(chǎn)品資訊 ? 稽核員的經(jīng)驗(yàn) 被稽核方的責(zé)任 ? 同意或澄清計(jì)劃安排 ? 與所有部門溝通此安排 ? 要求管理階層參加會議 ? 安排相關(guān)人員以便接受稽核 ? 要求所有人員全面合作 ? 安排引導(dǎo)人員 ? 為稽核員安排辦公室設(shè)施 稽核方法 ? 流程稽核方法 ? 部門的稽核方法 ? 公司的位置 ? 遍及組織之“共通”條款的應(yīng)用 ? 確保適當(dāng)?shù)臅r(shí)間被分配到各個區(qū)域 稽核目的 ? 收集客觀證據(jù)，以便對資訊安全管理系統(tǒng)的狀態(tài)和有效性做出綜合判斷。 ? 稽核必頇被計(jì)畫，以縮小對營運(yùn)的干擾。 階段 2：稽核計(jì)劃 ? 第二階段的稽核計(jì)畫應(yīng)該在第一階段完成時(shí)，且在第二階段開始前完成。 ? 每個活動的稽核應(yīng)該要包括適當(dāng)?shù)?BS7799從屬條款，包括附錄 A。 主導(dǎo)稽核員的責(zé)任 ? 在階段 1之前指派 ? 計(jì)劃和管理所有的稽核階段 ? 執(zhí)行階段 1的稽核 ? 協(xié)