标签：当对 哪些 -- 记录 部门 敏感数据 审核

审核尽量用开放性的问题，在审核过程中，遵循几个二八原则：

• 20%的话由审核员说，80%的话术由被审核人员说
• 20%时间看文件，80%时间看记录

当对于审核的业务部门完全不熟悉的时候，我们怎么提问，这些问题可以留作参考：

1. 我们部门的主要职责是什么？
2. 我们部门的敏感数据有哪些？这个时候，可以请对方出示一些资产清单
3. 接着上一个问题：
   1. 针对这些资产，存储和传输的途径有哪些？这个过程中有哪些风险
   2. 我们的敏感数据除了我们部门接触到，其他哪些部门能接触到？（会发到哪里去？）通过什么样的方式发送出去？
4. 这一年，我们部门有哪些重大的变化？
5. 这些敏感数据的传输方式？
6. 重点审核项目：
   1. 质量部门--客户投诉
   2. IT部门--事故记录
   3. 销售--客户投诉
   4. HR--转岗清单

ISO27001对于项目团队，项目文件，文件传输方式，存储方式（读写删改）很重要，尤其对于访问权限的控制是审核的重点，对于closed的问题，查看案例。

目标达成情况，先看绩效，绩效可以帮你发现高风险的（CAPD）

对于不符合项目的记录，一定要客观具体，详细记录：时间，地点，任务，发现（时间）XXXX发现XXX问题，并附上相关证据

对于观察项目的记录格式：组织可以考虑.....，提高......管理，进行相应的定期复查和清理

对于信息安全，意识大于形态，加强教育也很关键

标签：当对,哪些,--,记录,部门,敏感数据,审核
来源： https://www.cnblogs.com/ilazysoft/p/14767207.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。