褪色的世界．斑剝的記憶

國家認證組織(UKAS,TAF,ANAB)

－驗證組織(SGS,BSI,TUV)

－稽核員認證制度(IRCA,CCAA)

稽核員須具備的特質：

1.心胸開放的：不用自己的經驗看待受稽方，決定受稽方應該達成的程度，而是要回歸標準要求；不預設立場。

2.獨立自主的。

3.觀察力敏銳的。

4.圓融的。

5.謹慎的。

6.公正的。

7.果斷的。

8.堅持的。

9.具洞察力的。

10.誠實的。

稽核準則：符合要求的依據。包含：

1.管理系統標準要求(ISO/IEC 27001)。

2.政策。

3.程序/作業標準書(SOP)。

4.法令、法規。

5.管理系統要求。

6.合約要求。

7.產業行為規範。

稽核類型

1.第一方：內部稽核。

2.第二方：主管機關稽核、客戶稽核。＊可能造成受稽方業務的限制、訂單減少。

3.第三方：SGS稽核。＊如果發現主要缺失，受稽方三個月內改善仍可發證。

稽核目標：確保資訊安全管理系統與稽核準則的符合程度與有效性。包含：

1.確認管理系統遵循所有「標準」(Standard)要件。

2.在系統流程績效中，決定管理系統是否設計來達成且正達到法規遵循性與持續改善。

3.確認組織遵循內部政策與程序。

4.評估管理系統確保遵循法律與契約要求的能力。

5.評估己實行的管理系統其達成特定目標的有效性。

6.識別管理系統中潛在可改善的區域。

稽核領隊的工作：

1.準備稽核計畫。

2.指派稽核工作。

3.開幕會議＆結束會議簡報。

4.審查工作底稿。

安排稽核計畫需考量：

1.時間分配是否合理。

2.每位稽核員的稽核工作是否公平。

3.內容是否皆有納入條款。

第一階段稽核(Stage 1)：文件審查－瞭解受稽方的資訊安全管理系統有無涵蓋標準要求(包含內稽及管審紀錄)。屬於地毯式的，是否涵蓋所有控制項及排除之理由。

第二階段稽核(Stage 2)：查核受稽方資訊安全管理系統落實程度、資訊安全管理系統的有效性。

Stage 1+Stage 2=Full Case

抽樣指引：

1.受稽方是否發生資安事故？

2.受稽方是否缺失很多？