内部控制是确保目标实现、信息可靠性和法规遵守的一套机制。
内部控制包括为运营、报告和合规目标提供合理保证的政策、程序和组织结构。在ISO背景下,控制是满足要求和管理风险的机制。ISO 27001在附录A中定义93项控制。
预防控制避免风险,检测控制识别何时发生,纠正控制补救影响。
仅设计控制不够;必须有效运行。内部审核验证其运行。
必须文档化、分配给负责人并定期审查以确保时效性。
附录A的93项控制是信息安全内部控制。适用性声明记录哪些被实施。
通过内部审核、控制测试、绩效指标和管理评审。
需要此领域的评估?