如何确定信息安全体系审核方案的目的及内容

 ISMS 审核方案的目的和内容 

1.审核方案的目的：

确定ISMS审核方案的目的还需考虑：

a）信息安全的要求;

1）来自组织业务风险评估结果的要求;

2）来自法律法规和合同的要求;

3）来自新技术、新措施的应用的要求;

b）信息安全有效性测量;

c）ISMS监视与评审活动;

d）以往的ISMS审核结果;

e）组织的宗旨、目标和过程。

2.审核方案的内容：

ISMS审核方案的内容还需考虑：

a）ISMS的规模

1）体系所覆盖的人数，包括组织员工、相关方人员等;

2）使用的信息系统的数量;

3）处理的信息量;

4）用户的数量;

5）特权用户的数;

6）IT平台的数量;

7）网络的数量及它们的规模;

8）体系所覆盖的场所。

b）ISMS的复杂性

1）所操作和处理的敏感和关键信息的多少及类型;

2）电子交易的数量及类型;

3）远程工作的范围;

4）ISMS 文件化的程度。

c）信息系统复杂程度及其应用的信息技术程度与复杂性;

d）信息安全风险管理的要求;

1）所识别的信息安全风险;

2）风险处理的优先秩序;

3）风险的潜在原因。

e）信息安全相关法律、法规的要求，例如∶密码管理、保密管理、等级保护、知识产权保护和行业管理等要求。

f）是否存在相似的场所。

g）在体系覆盖范围的不同场所之间是否存在 ISMS复杂性上的差异。

h）组织ISMS认证的风险级别。

i）经证实的以往ISMS绩效。