ISO20000认证内部审计和管理审查方法

ISO20000认证内部审计

　　1)ISO20000认证制定内部审计计划并与受评者沟通；

　　2)召开内部审计第一次会议，明确审查计划、审查范围、审计目的、审计活动日程等；

　　3)领导内部审计员的现场审计活动：

　　4)根据审计发现发布不符合要求的报告，明确的审计对象，审计发现，与事实不符，改善要求并确定纠正负责人，提高期限：

　　5)召开内部审计最后一次会议，报告所有审计结果：对不符合情况进行跟踪验证，以确保有效关闭所有不符合情况。

　　管理系统有效性度量

　　1)各种管理流程中的安全性主要绩效指标KPI设计开发的测量方法。

　　2)在操作过程中收集历史数据，利用量化的数据分析反映管理系统的改进。

　　3)比较ISO20000认证信息安全管理目标和指标系统，评定KPI是否实现了管理目标。

　　4)对发现的问题进行沟通，制定纠正预防措施，实施负责人，提高经营系统的效果。

　　经营评审

　　1)制定管理评审计划

　　2)准备ISO20000认证管理审查输入资料，包括风险情况、安全措施实施、各相关人员的反馈、业务连续性管理体系结构、管理系统内部审计情况、系统有效性衡量报告等。

　　3)举行管理评审会议；根据最高管理者提出的管理要求，实施纠正预防措施或管理改善方案。

　　4)跟踪纠正预防措施和管理改善方案的实施情况。

　　ISO20000认证机构初次访问和正式审查

　　1)与审计机关沟通审计日程。实施审计活动并提交审计报告。

　　2)根据审计报告制定必要的纠正预防措施，并将改进的证据提交审计机关。

　　3)获取信息安全管理体系认证证书。

　　主记录文件

　　ISO20000认证管理手册、信息安全适宜性声明、信息安全管理系统指导程序文件(信息安全风险评估管理程序、文件控制程序、记录控制程序、信息处理设备管理程序、文件信息秘密级别控制程序、监视和测量管理程序、更正预防措施控制程序、人力资源管理程序、信息安全培训管理程序、 物理访问控制程序、用户访问控制程序、远程访问管理程序、系统开发和维护控制程序、事故漏洞和故障管理程序、内部审计控制程序、重要信息备份管理员等)控制策略(信息资源机密策略、可移动代码预防策略、备份安全策略、第三方访问策略、物理访问策略、变更管理安全策略、更改管理安全策略。