扫码微信咨询
-
体系认证
- ISO21434 道路车辆-信息安全工程体系
- ITSS运行维护标准
- ITSS咨询设计标准
- ITSS数据中心标准
- ITSS云计算服务能力标准
- CMMI软件能力成熟度评估
- ISO27701隐私信息管理
- ISO27001信息安全管理
- ISO22301业务连续性管理
- ISO20000信息技术服务管理
- ISO27017云服务信息安全
- ISO27018公有云隐私安全
- ISO27040存储安全管理体系
- ISO9001质量管理
- ISO14001环境管理
- ISO45001职业健康安全管理
- ISO29151个人身份信息保护指南
- ISO38505数据治理安全管理
- 商品售后服务评价体系
- 知识产权管理体系
- ISO27799健康信息安全管理体系
- GB/T35273 个人信息安全规范认证
- 资质认定
- 管理培训
- 解决方案
ISO27001国标认证审核相关扫盲:合规性检查
2020-03-01
1131
ISO27701认证审核过程中,合规性检查是必不可少的部分,目的是评价组织是否充分识别了适用的法律法规以及实际执行情况。合规性检查主要包括:
包括但不仅限于在申请评审及第一阶段审核中对营业执照、特许经营许可 、注册地址和办公地址(包括临时场所)、信息安全管理体系覆盖的人数、法定代表人身份等进行验证,验证可以通过查验证件原件、查验场地产权或租赁协议和核实人数等方式进行。对于虚假信息进行进一步的调查并及时妥善处理。
首先审核员应了解受审核组织需遵守的法律法规,然后检查组织提供的已识别的法律法规清单,并通过沟通、 查验相关材料和环境巡视等方式,检查组织是否存在违反法律法规的行为,进而评价组织的法律法规符合性。
主要针对有保密要求的组织(例如涉及国家秘密或组织有需要保密的信息)进行检查。
应注意对有保密要求的组织在申请评审和任命审核组时就充分考虑其认证风险。原则上,审核组检查的是组织是否建立了相应的保密规程和实际执行情况,审核员一般不应接触保密信息;特殊情况下,确有必要接触保密信息的,应严格按组织的保密规程办理相关手续。
知识产权保护是合规性的重要方面,也是标准附录A专[ ]列出的合规性检查项目。合规性检查中需要特别组织是否识别了需要保护的知识产权并落实了保护措施,是否识别了组织的正版化状态,是否落实了正版化策略。一旦发现违规则应向组织明确指出。