麥芽教案

F1252544209953 ISO 27001評審人員現場見證評估表

格式
doc
大小
95.5 KB
頁數
11
上傳者
bsmi
收藏 ⬇️ 下載檔案
提示: 文件格式为 Word(doc / docx),轉換可能會出現排版或格式的些許差異,請以實際檔案為準。
此檔案建立於 2009-09-08,离现在 16 49 天,建議確認內容是否仍然適用。

ISO 27001評審人員績效考核現場見證評估表

被評估者姓名:人員代碼:服務單位:頁數:第1

評估日期:擔任角色:□主導評審員評審員

組織名稱:組織代號:評鑑/追查序號:

一、現場見證評估抽查項目:(至少抽樣2大項或配合查證計畫標準條文抽樣6小項,請勾選或填入)

(1)ISMS之建立與管理( 4.2.14.2.2 )

(2)ISMS之建立與管理( 4.2.34.2.4 )

(3)文件要求(4.3.14.3.24.3.3 )

(4)管理階層責任( 5.15.2.2 )

(5)ISMS內部稽核與管理階層審查( 6 7 )

(6)ISMS之持續改進( 8.1 )

(7)附錄A項目:(請填入A5~A15標準條文項目)

二、基本項目評核(請以打V註記)

評核項目/評比

優異

良好

普通

待改進

不佳

對本局管理系統驗證相關作業之了解與表達






時間之應用與掌握






對組織之態度






稽核路徑之邏輯性、缺點判定之溝通、合理性






查核深度、廣度






綜合評價(具體摘述請填入「四、綜合評價」)






三、組織回饋意見:

經現場訪談組織代表,對本局及被評估人員之回饋意見或建議:



四、綜合評價:

綜合結論(整體作業表現,查核細節詳續頁)





建議事項:

經現場抽樣上述各項見證評估,被評估人員對應用ISO 27001標準之驗證有效性:

  • 符合(整體而言能正確運用且屬有效)

  • 符合(少部分查證過程尚有改善空間,經現場溝通均能即時改正並獲致滿意結果)

  • 不符合,建議採行措施:□補強下述相關訓練:□再予評估;

其他:

(授權五組三科科長決行)

評估者:審查主管:

IM-74-1

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 4.2.1建立資訊安全管理系統

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述組織對建立ISMS要求:

  1. 是否明確定義範圍、邊界、排除細節與理由?

  2. 是否明確定義ISMS政策?

  3. 是否明確定義風險評鑑方法?

  4. 是否完成/更新各項風險?

  5. 分析與評估各項風險?

  6. 識別與評估風險處理之選項做法?

  7. 選擇控制目標與控制措施?

  8. 取得高階對殘餘風險之核准?

  9. 取得管理階層對實作與操作ISMS之授權?

  10. 擬定/修訂適用性聲明書(SoA)?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 4.2.2實作與操作資訊安全管理系統

評審員是否掌握下述要求:

  1. 風險處理計畫及其內容之適當性?

  2. 風險處理計畫經實作且達成安全目標

  3. 實施各項控制措施?

  4. 控制措施經適切定義其量測方法

  5. 實施訓練與認知計畫?

  6. 管理ISMS的作業?

  7. 管理ISMS的資源?

  8. 實作偵測安全事故與回應處理程序?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

1. 被稽核部門/權責人員:

2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:


評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-2

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 4.2.3監控與審查資訊安全管理系統

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述組織對監控與審查ISMS要求:

  1. 是否已執行監控程序?

  2. 是否定期審查ISMS之有效性?

  3. 是否量測控制措施之有效性?

  4. 是否完成審查殘餘風險與可接受風險等級?

  5. 已規劃內部稽核?(細節查核可併第6)

  6. 定期執行ISMS管理審查? (細節查核可併第7)

  7. 安全計畫是否適時更新?

  8. 紀錄對ISMS有效性或績效有衝擊之活動與事件?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 4.2.4維護與改進資訊安全管理系統

評審員是否掌握下述要求:

  1. 是否定期實施所識別之改進活動?

  2. 與相關利害關係團體溝通相關措施與改進活動

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

1. 被稽核部門/權責人員:

2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:


評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-3

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 4.3.1文件一般要求

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述要求:

  1. 文件/紀錄可展現所選擇之控制措施可回溯原先風險評鑑與風險處理過程之結果?

  2. ISMS文件是否包含:

  1. ISMS政策與目標?

  2. ISMS範圍?

  3. 支援ISMS之各項SOP及控制措施?

  4. 風險評鑑方法之描述?

  5. 風險評鑑報告?

  6. 風險處理計畫?

  7. 相關必要之SOP(例如:如何量測控制措施之有效性)?

  8. 各項紀錄?

  9. 適用性聲明書?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 4.3.2文件管制/4.3.3紀錄管制

評審員是否掌握下述要求:

  1. 是否建立文件/紀錄管制程序書?

  2. 抽樣相關文件/紀錄了解其管制措施之有效性

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

1. 被稽核部門/權責人員:

2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:


評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-4

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 5.1管理階層承諾

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述要求:

  1. 管理階層所提供之承諾之證據?

  1. 建立ISMS政策?

  2. 確保建立ISMS目標與計畫?

  3. 建立角色與權責?

  4. 向組織傳達ISMS之重要性?

  5. 提供充分資源?

  6. 決定承受風險與可接受風險等級的準則?

  7. 確保執行ISMS內稽?

  8. 執行ISMS管審?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 5.2.2訓練、認知及能力

評審員是否掌握下述要求:

  1. 組織是否確保有責任之人員皆有能力執行工作?

  2. 查核相關訓練之規劃/評估與執行

  3. 查核教育/訓練/技巧/經驗及資格之紀錄?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

1. 被稽核部門/權責人員:

2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:


評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-5

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 6 ISMS之內部稽核

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述要求:

  1. 查核組織有無建立內稽方案(如年度計畫)與程序?稽核是否包含驗證登錄範圍內的各單位及權責區域,安排的單位/項目是否符合權責區分?

  2. 查核內稽程序中對稽核權責、準則、範圍、頻率、方法、稽核員之資格/能力、稽核員之客觀性與獨立性及稽核結果之報告等相關作業規定。

  3. 查核內稽有無依前述規定執行?

-稽核結果/報告之完整性(例如是否能涵蓋ISMSSCOPE、部門及標準條文所有項目?先前稽核所發現缺失有無納入內稽計畫?)及有效性(ISMS能否有效符合政策與目標?能否有效符合標準及自定程序要求?)

-稽核之缺失是否採取矯正與預防措施?後續有無跟催並確認其改善完成?

-稽核結果有無向管理階層報告?

-有無提交管理審查?

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 7 ISMS之管理階層審查

評審員是否掌握下述要求:

  1. 組織有無建立管審程序或規劃文件(標準僅要求應在規劃的期間內辦理管理階層審查)

  2. 組織執行管審之時機/頻率能否符合?

  3. 組織執行管審之輸入,是否包括下列:

  1. 內稽之執行結果,

  2. 來自利害相關團體之回饋,

  3. 可用以改進組織ISMS績效及有效性之技術、產品或程序,

  4. 預防與矯正措施之狀況

  5. 先前風險評鑑未提出之弱點或威脅

  6. 控制措施有效量測之結果

  7. 先前管審之追蹤措施,

  8. 可能影響ISMS的任何變更,

  9. 改進之建議。

  1. 管審輸出結果,是否包括下列項目

  1. ISMS有效性之改進,

  2. 風險評鑑與處理計畫之更新,

  3. ISMS流程之修訂,

  4. 資源需求,

  5. 控制措施如何量測之改進

(5)評審員有無在本局觀察報告針對組織管審之適用性、適切性及有效性,做一整結性的敘述(summary)

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

1. 被稽核部門/權責人員:

2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:


評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-6

ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

(1) 8 ISMS之持續改進

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)

評審員是否掌握下述要求:

1.評審員是否延續各該項目查核其相對之持續改善情形。

(1)「政策、目標」決議或待改善事項之持續改善

(2)內部稽核結果之持續改善

(3)「管理階層審查結果之持續改善

(4)各類事件監控分析」結果之持續改善

(5)「矯正及預防措施」之持續改善


PS.本項配合評鑑/追查計畫之安排,若無法查核上述所有項目時,可僅針對部份項目見證評估。

2.是否彙總管理審查及各項ISMS所展現之持續改進資料,作整體有效性之評估,並摘要於觀察報告中。

(評鑑案需查核上述各項,追查得抽樣)

符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:

(2) 標準條文項目: (請自行填入)

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)



















符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:



評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-7


ISO27001評審人員績效考核現場見證評估表(續頁)

頁數:第

標準條文項目: (請自行填入)

見證評估內容

查核結果

(下表不敷使用,請用觀察報告表)



















符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:



標準條文項目:(請自行填入)


符合□不符合。

摘述如下:

  1. 被稽核部門/權責人員:

  2. 評審員查核之文件、活動、區域、紀錄等具體事證之綜合摘述:




評估者:以上內容均與被評估者溝通並獲了解/確認,請被評估者簽名:

IM-74-8

版權說明: 檔案資源由用戶上傳,僅供學習交流使用,尊重著作權。 若您認為內容涉及侵權,請點擊「侵權舉報」提交相關資料,我們將儘快核實並處理。
114年教育機構資安個資驗證稽核進階培訓簡章
食品作業場所病媒防治分級評鑑業者自評表
職安衛管理內部稽核作業程式(HS-B-14-01)
血液透析與腹膜透析訪視作業評量標準:病人安全之急救裝置要求
耕莘健康管理專科學校教師教學服務考核評分基準表
2025臺中CQT證照課程(假日班)招生中
國立空中大學專任教師教學實務型升等要點與審查規範
國立臺灣大學教師聘任與管理法規彙編
網路安全與資訊保護基礎課程教學教案
嘉義縣第57屆國中小學科學展覽會重要工作日程表
量測儀器檢校實務與管理研習(臺中班)
電腦系統維護契約書:非交易開放系統主機整合平臺
臺南復興國中110學年度科學展覽會實施要點
114學年度臺中市學生音樂比賽團體專案參賽名冊