400-009-6664

专注于IT服务的科技咨询公司

行业资讯

您当前位置 > 主页 > 资讯中心 > 行业资讯 > 详情

ISO27001认证体系业务连续性如何审核?

ISO27001

ISO27001认证体系业务连续性审核目的
1)组织是否进行了关键业务分析;
2)组织是否分析了关键业务对信息资产的依赖程度;
3)组织是否建立了业务连续性框架;
4)组织确定的业务连续性信息安全管理方面的管理流程是否完整;
5)组织是否针对关键业务分别制定了业务连续性计划;
6)组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息安全业务连续性计划;
7)组织是否针对业务连续性计划制定了演练计划;
8)组织是否针对信息安全业务连续性计划制定了演练计划;
9)组织是否组织了业务连续性演练;
10)组织是否组织了信息安全业务连续性演练;
11)组织进行的信息安全业务连续性演练是否满足三年全覆盖要求;
12)组织是否进行了业务连续性演练分析;
13)组织是否进行了信息安全业务连续性分析;
14)组织是否依据信息安全业务连续性分析结果,对信息安全业务连续性演练计划、信息安全业务连续性计划、业务连续性信息安全管理方面的管理流程进行适当的调整;
15)组织是杏出现过引起关键业务中断的信息安全事件;如出现,是否依据信息、安全业务连续性计划实现了关键业务的恢复目标,特别是有没有关联信息资产影响恢复目标实现
上述内容既是ISO27001认证机构审核的目的,也应是企业实施ISO27001认证体系及内审参考。以下审核步骤
1.ISO27001认证体系业务连续性程序检查
a) 业务连续性管理程序完整性;
b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制
2.ISO27001认证体系业务连续性报告检查
a) 关键业务进行了分析;
b) 关键业务对信息与信息系统的依赖程度分析;
c) 信息安全对关键业务的连续性影响因素分析;
d) 对所有影响因素制定了可操作的具体业务连续性保证计划;
c)各种演练记录完整性;
f) 各种演练分析报告完整性合理抽样审
3.ISO27001认证体系业务连续性演练检查
a) 演练计划;
b) 演练方式;
c) 演练内容;
d) 演练记录;
e) 演练分析
4.ISO27001认证体系业务连续性事件检查
a) 事件记录;
b) 事件处理方式;
c)事件影响分析:
d) 业务连续性恢复记录。

阿斯科科技主要从事CMMIITSSISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质(CCRC)咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:关于启用2021版信息安全服务资质申请书、申请指南的公告      阅读下一篇新闻:ISO27001认证过程中的问题解决思路

服务案例查看更多