珠海ISO27001认证体系业务连续性如何审核
ISO27001认证体系业务连续性审核目的
1)组织是否进行了关键业务分析;
2)组织是否分析了关键业务对信息资产的依赖程度;
3)组织是否建立了业务连续性框架;
4)组织确定的业务连续性信息安全管理方面的管理流程是否完整;
5)组织是否针对关键业务分别制定了业务连续性计划;
6)组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息安全业务连续性计划;
7)组织是否针对业务连续性计划制定了演练计划;
8)组织是否针对信息安全业务连续性计划制定了演练计划;
9)组织是否组织了业务连续性演练;
10)组织是否组织了信息安全业务连续性演练;
11)组织进行的信息安全业务连续性演练是否满足三年全覆盖要求;
12)组织是否进行了业务连续性演练分析;
13)组织是否进行了信息安全业务连续性分析;
14)组织是否依据信息安全业务连续性分析结果,对信息安全业务连续性演练计划、信息安全业务连续性计划、业务连续性信息安全管理方面的管理流程进行适当的调整;
15)组织是杏出现过引起关键业务中断的信息安全事件;如出现,是否依据信息、安全业务连续性计划实现了关键业务的恢复目标,特别是有没有关联信息资产影响恢复目标实现
上述内容既是ISO27001认证机构审核的目的,也应是企业实施ISO27001认证体系及内审参考。以下审核步骤
1.ISO27001认证体系业务连续性程序检查
a) 业务连续性管理程序完整性;
b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制
2.ISO27001认证体系业务连续性报告检查
a) 关键业务进行了分析;
b) 关键业务对信息与信息系统的依赖程度分析;
c) 信息安全对关键业务的连续性影响因素分析;
d) 对所有影响因素制定了可操作的具体业务连续性保证计划;
c)各种演练记录完整性;
f) 各种演练分析报告完整性合理抽样审
3.ISO27001认证体系业务连续性演练检查
a) 演练计划;
b) 演练方式;
c) 演练内容;
d) 演练记录;
e) 演练分析
4.ISO27001认证体系业务连续性事件检查
a) 事件记录;
b) 事件处理方式;
c)事件影响分析:
d) 业务连续性恢复记录