标准更新 ISO/IEC 27007:2020 信息安全管理系体系审核指南
ISO/IEC 27007:2020 信息安全,网络安全和隐私保护—信息安全管理体系审核指南
ISO/IEC 27007:2020介绍
ISO/IEC 27007为经认证的认证机构,内部审核员,外部/第三方审核员和其他根据ISO / IEC 27001审核ISMS的指南( 即审核管理系统是否符合标准)提供了指南。
ISO/IEC 27007在很大程度上借鉴了ISO 19011 (审核管理系统的标准),并提供了特定于ISMS的其他指南。
ISO/IEC 27007:2020结构
ISO/IEC 27007:2020标准涵盖了ISMS特定的合规性审核方面:
管理ISMS审核计划(确定要审核的内容,时间和方式;指定合适的审核员;管理审核风险;维护审核记录;持续改进流程);以及
进行ISMS MS审核(审核过程-计划,进行,关键审核活动,包括现场调查,分析,报告和跟进);
管理ISMS审核员(能力,技能,属性,评估)。
ISO/IEC 27007:2020标准的主体主要建议将ISO 19011应用于ISMS上下文,并提供一些不太有用的解释性注释。 但是,该附件详细列出了有关组织是否符合ISO / IEC 27001主体的特定审核测试。
ISMS审核的其他准则
有关审核信息安全控制的建议,请参见ISO / IEC 27008 。
ISO/IEC 27007:2020标准现状
该标准于2011年首次发布。
第二版于2017年出版。
2020年1月发布了第三版,将标准与ISO 19011:2018进行了调整。
ISO/IEC 27007:2020标准主要涉及合规性审核,这是一种特殊的审核形式,其目标非常明确:评估被审核组织的ISMS是否符合( 即满足ISO / IEC 27001正式规定的要求)。 它专注于出于认证目的的审核。
还有许多其他类型的审计,其目标完全不同。 请不要误以为所有审核员都是所谓的“滴答作响”的合规审核员,或者所有的审核都是合规审核! 例如,ISMS内部审核仅在偶然提及ISO27k或其他标准的情况下,可以有效地评估与信息,隐私风险管理和治理有关的组织的业务战略,政策和实践。
