第 9 节绩效评估是计划执行检查法 (PDCA) 周期的“检查”步骤,此信息图显示了与 PDCA 步骤一致的各种附件 SL 标准的条款,ISO 27001认证这是组织检查两个重要因素的时候:
其信息安全性能;
ISMS 的有效性;
这是组织向内凝视自我的时候,需要尽可能客观和公正,才能从中获得大的价值,所有组织都对各种业务功能进行检查,例如销售目标和客户服务,因此应同样仔细检查安全性。
ISO 27001认证监测、测量、分析和评估
附件 SL 是基于流程和风险的标准。这意味着信息安全的性能监控必须是:
基于管理体系范围内的交互过程;
偏向于对组织重要的那些流程和信息资产,例如更高的风险。
该标准要求组织考虑需要监视和测量的内容、将如何监视、何时以及由谁进行监视以及何时以及由谁进行结果评估。在某些情况下,由于没有证据表明已遵守 9.1,因此提出了重大不符合项。
但通常会出现不符合项,因为定义的测量要求很少,加上这一点,我们的审计师经常发现所识别的项目有不适当的指标或 KPIS。这也可能表明信息安全目标尚未完全定义,因为需要衡量实现这些目标的进度。
ISO 27001内部审计
与 ISO 27001:2013 中的任何其他条款相比,针对内部审核提出的不符合项更多,不进行内部审计或错过范围内的地点会引发严重的不符合项,这可能是由于组织未计划任何审核或已计划但未执行,缺乏内部审核会阻止组织从第 1 阶段进展到第 2 阶段,并阻止在第 2 阶段之后授予认证。
该标准规定内部审核应按计划的时间间隔进行,但并未建议适当的频率,但是,管理体系认证以三年为周期进行,因此我们期望涵盖所有管理体系要求,并在风险基础上对适用性声明控制进行抽样。
当审核计划不适合风险或对范围缺乏足够的覆盖时,就会出现轻微的不符合项,特别是,范围内的所有物理位置都必须经过审核,并且远程设施被排除在计划之外的情况也并非未知,有时会看到所有管理体系的审核计划,但没有附件 A 控制,反之亦然。
