ISO 27001
ISO 27001审计 — 信息安全管理体系
根据ISO/IEC 27001:2022对ISMS进行全面评估,重点关注关键控制和残余风险。
ISO 27001 Lead AuditorISO 27701 Specialist
93已评估控制
200+已执行审计
ISO/IEC 27001:2022将14个领域的114项控制替换为4个类别(组织、人员、物理和技术)的93项控制。这一变化并非表面性的:它要求重新设计适用性声明(SoA)、重新校准风险评估并生成新的运营证据。大多数组织低估的是,过渡不仅仅是将旧控制映射到新控制——有11项全新的控制(如威胁情报、云安全和数据泄露预防)需要从零开始落地。将过渡视为文档编制工作的组织在认证审计时会出现运营差距,导致重大不符合项。
交付成果
01
93项控制评估
对照组织实际运营系统审查附录A。
02
残余风险分析
识别关键差距和未缓解风险。
03
2022过渡路线图
从2013版本迁移的优先时间表计划。
04
董事会报告
将技术发现翻译为商业语言的高管报告。
干预流程
01
范围界定
ISMS范围定义和关键资产识别。
02
现场审计
文件审查、访谈和控制测试。
03
报告和结束
提交执行报告并与管理层举行结束会议。
技术查询
初步评估和差距分析需要5到10个工作日,具体取决于范围(站点数量、范围内员工和技术复杂性)。完整的现场审计需要15到30天。对时间影响最大的因素不是组织规模,而是文档成熟度:如果风险登记册、SoA和控制证据已过时,数据收集过程将显著延长。我们建议从72小时诊断开始,以确定实际工作量。
典型的合规供应商使用通用检查清单并提交状态报告。具有ISO主任审计员严谨性的评估应用基于风险的抽样,根据每个条款的要求验证运营证据,并模拟认证机构将使用的标准。差异在于发现的深度:我们不报告'合规/不合规',而是按业务影响和正式审计中被发现的可能性对每个不符合项进行分类。
Fernando Arrieta提供管理体系的评估、诊断与方法论指导服务。这些活动独立于认证过程,认证过程专门由认可的认证机构执行。