ISO / IEC 27001和27701认证审核

Iso 27001认证ISO资讯私隐认证

概述

ISO / IEC 27001:2022和27701:2019标准提供了建立的模型, 实现, 操作, 监控, 回顾, 维护, 以及分别完善“资讯保安管理系统”及“私隐资料管理系统”. ISMS/PIMS的设计和实施是由组织的需求和目标驱动的, 安全需求, 所采用的程序及其大小和结构. ISMS/PIMS和支持系统预计会随着时间的推移而变化, 并且可以预期,实现将根据组织的需要进行缩放. 认证取决于组织的ISMS/PIMS是否符合相关标准.

认证范围

ISO / IEC 27001:2022和27701:2019标准没有建立ISMS/PIMS的范围要求.  然而,认证过程的一个关键组成部分是确定审核的范围. ISMS/PIMS范围由组织自身决定,可能包括特定的应用, 服务, 或组织内的部门, 或者整个组织.

标准的要求, 包括考虑ISO / IEC 27001和27701标准中包含的控制活动, 是否只在定义的ISMS/PIMS范围内进行审核. 颁发证书时, 它将包括组织对相关ISMS/PIMS的范围声明.

ISO / IEC 27001和27701认证过程

如果组织目前没有通过ISO / IEC 27001和27701认证, 审核和认证过程有几个组成部分:

初始认证审核-阶段1

初始认证审核包括两个阶段. 第一阶段是由审核员进行初步审查,以确定所定义的ISMS/PIMS是否准备好接受全面审核.

初始认证审核-第二阶段

初始认证审核的第二阶段包括面谈, 观察, 并进行测试,以确定ISMS/PIMS是否已有效实施, 是否按ISO标准进行管理, 所有的安全控制都符合标准. 在这一阶段结束时, LBMC内部认证委员会将根据审核结果和审核员的建议批准或拒绝ISO / IEC 27001和27701认证. 审核发现可能包括在颁发证书之前必须解决的不符合项.

监督审计

ISO / IEC 27001和27701认证在首次认证后的三年周期内有效.  监督审计在周期的第一年和第二年进行. 进行监督审核,以识别已认证的ISMS/PIMS范围的重大或相关变化, 并包括有针对性的测试,以确认组织有效地管理和维护已认证的管理体系。. 审核持续时间通常是初始认证审核时间的三分之一,但可能受到认证范围变更的影响.

重新认证

在最初的三年核证周期结束时, 以及随后的每个循环, 进行再认证审核以确认对已认证的ISMS/PIMS的持续有效管理. 与监督审计一样, 审计的持续时间, 一般为初始认证审核时间的三分之二, 在重新认证时是否会受到认证范围变更的影响.

特殊的审计

特殊审核可在整个认证周期的任何时间进行,原因包括但不限于:

  • 扩展证书范围,如.g.、额外的地点、人员、服务等.
  • 扩展ISO / IEC 27001证书以包括ISO/IEC 27701和/或其他标准.
  • 审核先前审核的纠正措施或暂停认证的后续审核.

审计时间

上面列出的任何审核所需的时间在很大程度上取决于组织的认证范围的大小, i.e.、人员数量、地点、服务等., 以及ISMS/PIMS符合ISO / IEC 27001和27701标准要求的程度. 一些组织可能会在开始ISMS/PIMS实施工作的几个月内为初始认证做好准备, 而更复杂的组织和管理体系可能需要更长的时间来准备和实现认证. LBMC将征求审计业务申请,以确定组织对审计的准备情况,并估计审计持续时间和时间.

ISO / IEC 27001和27701认证条件

符合ISO/IEC 17021-1:2015, LBMC建立了以下流程和条件,以颁发和维护符合认可的ISO标准的证书:

颁发或拒绝认证

所有初始和再认证审核, 还有所有的监视, 后续, 或特别审核导致颁发新的或更改的证书, 需要由LBMC内部认证委员会审核和批准. 认证委员会在决定授予或拒绝认证之前审查审核报告.  在决定是否授予认证之前,委员会将确保:

  • 就认证要求和认证范围而言,所提供的信息是足够的.
  • 对主要不符合项进行了评审, 接受, 并对纠正和纠正措施进行了验证.
  • 对任何轻微不符合项的纠正和纠正措施已由审核员审核并接受.

不符合上述任何一项标准将导致委员会拒绝颁发证书.

维护和更新认证

所有证书将按照上述认证程序保存. 客户可以提出变更认证的要求,原因包括但不限于:

  • 所有权变更.
  • 更改公司名称.
  • 地点变更.
  • 增加或减少范围(人员、地点、服务等).).

客户可随时向LBMC提交认证变更请求. LBMC将审查请求,并决定是否需要进行特别审计,或者是否可以在下次年度审计时审计变更.  LBMC还将确定变更是否在LBMC的认证范围内.

在成功审核变更后,将酌情颁发修订后的证书. 在大多数情况下,这不会改变初始认证日期或认证周期.

暂停、撤销和恢复证书

下列情况可视为吊销或撤销证书的充分理由:

  • 未在规定时间内植入重大不符合项或有效的纠正措施计划.
  • 证书、标志或标志使用不当,未改正至LBMC满意.
  • 委托人在较长时间内停止提供经认证的管理体系的产品或服务.
  • 客户已获认证的管理体系持续不能满足认证的任何要求,包括管理体系有效性的要求.
  • 客户正式要求撤回认证.
  • 客户违反了与LBMC之间的任何合同条件.
  • 客户不能或不愿确保符合标准修订.
  • 收到严重投诉, 或大量的第二或第三方投诉, 说明管理系统无效.
  • 客户不允许按要求的频率进行例行监督审核.

撤销核证的暂停程序如下:

  • 将采取行动的理由提请客户的业务合作伙伴注意, 谁审查这些信息并决定是否继续进行. 业务合伙人向客户发出信函,告知其行动理由的细节以及是否继续进行的决定.
  • 如果业务合伙人决定继续, 客户必须在咨询函发出后14天内回复LBMC.
  • 如果业务合伙人认为客户答复中包含的行动或立场令人满意, 他们通过电子邮件或挂号信向客户发出一封信,说明这一点.
  • 制定纠正措施的截止日期, 业务合作伙伴必须在这些时间审查行动,以确保有效完成行动,防止暂停或取消行动.
  • 如果客户在14天内没有答复, 或者如果答复不令人满意, 或者纠正措施没有在截止日期前有效完成, 业务合伙人决定是否暂停或撤销认证.
  • 作出撤销认证决定的, 业务合作伙伴负责暂停客户的证书注册或取消客户的证书注册, 并通过电子邮件或挂号信通知客户.

公正

LBMC主要通过两种方式评估和实现公正性:第一, 我们进行风险评估, 至少每年一次, 评估风险对整个组织层面的公正性,并评估防范这些风险的措施. 第二个, 在逐个项目的基础上, 我们评估与特定客户和项目相关的利益冲突.

组织层面的公正性评价和风险分析

组织层面的风险分析由QA经理在整个LBMC ISO团队的协助下完成.  识别的过程, 分析, 评估, 治疗, 监控, 并记录与认证产生的利益冲突相关的风险, 包括任何因商业和个人关系而产生的冲突, 是否在持续的基础上执行. 需要进行风险评估,以确定对公正性的所有威胁,并记录这些威胁, 风险, 风险处理, 剩余风险以矩阵形式表示.

LBMC认识到对公正性的以下潜在威胁:

  • 自身利益威胁: 个人或企业为自己的利益行事而产生的威胁, 比如经济利益.
  • 自我回顾威胁: 威胁来自个人或企业审查他们所做的工作.
  • 熟悉(或信任)威胁: 由于个人或机构过于熟悉或信任他人而产生的威胁,而不是寻求评估证据作为审计结论的基础.
  • 恐吓威胁: 因个人或企业认为受到公开或秘密的胁迫而产生的威胁, 比如威胁要被替换或向上级报告.
  • 利益冲突: 由于LBMC认证服务与其他相关方或与母公司之间的关系而产生的威胁, LBMC电脑, 谁可以为客户提供ISMS或PIMS管理系统咨询服务.
  • 金融压力: 由于客户的认证决策而产生的威胁可能导致LBMC认证服务的财务损失.
  • 其他已知或未知的威胁.

公正性风险分析每年提交给LBMC的公正性委员会,以允许感兴趣的利益相关者提供意见.

项目和人员层面的公正程序

  • 所有员工在被聘用时(以及此后每年)都必须签署一份声明信,以确认他们对独立性的熟悉程度, 完整性, 以及客观性政策和程序.
  • 所有人员都必须将任何可能被禁止的交易或违反独立性的行为通知业务合伙人, 完整性, 当他们意识到这种情况时,他们就会采取客观原则. 承认自己的责任, 所有人员都必须, 入职时(以及此后每年), 签署一份委托书,并列出他们所知道的可能损害独立性或违反LBMC诚信和客观政策的情况.
  • 所有员工都必须每年审查LBMC的客户名单,以防可能的违规行为. 客户列表保存在LBMC的时间和计费软件中,所有员工都可以使用.  当提交新的客户端设置表单时,将及时通过电子邮件向列表中添加内容.  入职时(以及此后每年), 所有工作人员都必须签署一份声明,确认这一责任.

业务合作伙伴负责识别每个客户的公正性风险.  如果风险被识别, 业务合作伙伴将记录风险以及为消除或最小化风险而采取的措施. 这包括LBMC活动产生的风险, 的关系, 或者来自LBMC人员的关系.

一段威胁到我们公正性的关系可以建立在所有权的基础上, 治理, 管理, 人员, 共享资源, 财务状况, 合同, 市场营销(包括品牌推广), 以及为介绍新客户支付销售佣金或其他报酬, 等.

如果是审核组的成员, 或者是直系亲属, 有直接的经济利益, 或者是物质上的间接经济利益, 在客户端, 所造成的对自身利益的威胁是如此重大,消除威胁或将其减少到可接受的水平的唯一保障措施是:

  • 在个人成为审核组成员之前,处置其直接经济利益;
  • Dispose of the indirect financial interest in total or dispose of a sufficient amount of it so that the remaining interest is no longer material prior to the individual becoming a member of the audit team; or
  • 将审核组成员从审计业务中除名.

任何对公正性的威胁.g., 恐吓威胁, 商业或金融威胁, 在审核组开始审计活动并被任命为审核组成员之后,就会出现这种情况, 必须立即报告给业务合作伙伴. 审计小组成员必须通过电话报告威胁,然后通过电子邮件提交书面报告. 所涉及的审核组成员必须立即停止工作并离开客户场所, 直到业务合作伙伴通过以下方式解决了威胁:

  • 与客户一起解决问题,然后移除对公正性造成威胁的个人或情况.
  • 替换了审核小组成员.
  • 取消审计业务.

我们获奖的团队

我们组建了一支卓越的网络安全专业团队,使LBMC与其他ISO / IEC 27001和27701认证服务提供商明显不同. 他们的背景包括在国家和地区会计和咨询公司工作的时间以及直接的行业经验.

如果你有问题,可以明升体育app下载 布莱恩·威利斯,请填写以下表格.