内部审计
1)ISO20000认证制定内部审计计划并与受评者沟通;
2)召开内部审计第一次会议,明确审查计划、审查范围、审计目的、审计活动日程等;
3)领导内部审计员的现场审计活动:
4)根据审计发现发布不符合要求的报告,明确的审计对象,审计发现,与事实不符,改善要求并确定纠正负责人,提高期限:
5)召开内部审计最后一次会议,报告所有审计结果:对不符合情况进行跟踪验证,以**有效关闭所有不符合情况。
管理系统有效性度量
1)各种管理流程中的安全性主要绩效指标KPI设计开发的测量方法。
2)在操作过程中收集历史数据,利用量化的数据分析反映管理系统的改进。
3)比较ISO20000认证信息安全管理目标和指标系统,评定KPI是否实现了管理目标。
4)对发现的问题进行沟通,制定纠正预防措施,实施负责人,提高经营系统的效果。
经营评审
1)制定管理评审计划
2)准备ISO20000认证管理审查输入资料,包括风险情况、安全措施实施、各相关人员的反馈、业务连续性管理体系结构、管理系统内部审计情况、系统有效性衡量报告等。
3)举行管理评审会议;根据最高管理者提出的管理要求,实施纠正预防措施或管理改善方案。
4)跟踪纠正预防措施和管理改善方案的实施情况。
ISO20000认证机构初次访问和正式审查
1)与审计机关沟通审计日程。实施审计活动并提交审计报告。
2)根据审计报告制定必要的纠正预防措施,并将改进的证据提交审计机关。
3)获取信息安全管理体系认证证书。
主记录文件
ISO20000认证管理手册、信息安全适宜性声明、信息安全管理系统指导程序文件(信息安全风险评估管理程序、文件控制程序、记录控制程序、信息处理设备管理程序、文件信息秘密级别控制程序、监视和测量管理程序、更正预防措施控制程序、人力资源管理程序、信息安全培训管理程序、 物理访问控制程序、用户访问控制程序、远程访问管理程序、系统开发和维护控制程序、事故漏洞和故障管理程序、内部审计控制程序、重要信息备份管理员等)控制策略(信息资源机密策略、可移动代码预防策略、备份安全策略、第三方访问策略、物理访问策略、变更管理安全策略、更改管理安全策略。