{:1_180:}
本帖最后由 hsj1975 于 2022-10-29 11:22 编辑
楼主,审核老师开这2个不符合项都比较好整改啊!
1.风险分析过程不是有效的-风险分析未包含“对信息技术系统的网络攻击威胁”
思路:公司的风险管理程序文件有没有对信息技术系统的网络攻击威胁进行风险分析?如没有就修改文件把这个加上去,然后搞个培训记录,然后搞一个网络攻击演练的记录(包括演练计划、演练方案、演练过程综述、演练总结分析报告)就OK了。如文件有规定,但未执行,那就用5why分析法找到真因,然后提供相对应的记录即可。
2.特种设备管理不是充分有效的-未提供压力容器压力表检定证据。
思路:设备管理程序文件有没有特种设备管理的规定?如没有修改文件,然后整个培训记录和提供压力窗口表的检定证据就OK了,如文件有规定,未执行,那就用5why分析法找到真因,然后提供相对应的记录即可。
回复小技巧:尽量往文件没有规定这方面考虑(文件有规定也说没有规定,反正审核老师也不会去仔细查看程序文件),比较容易整改。
以上为个人经验之谈哈!仅供参考!:lol
@hs1975{:1_89:}
第一个需要做一个信息资产安全风险识别表,具体见27001
hsj1975 发表于 2022-10-29 11:18
楼主,审核老师开这2个不符合项都比较好整改啊!
1.风险分析过程不是有效的-风险分析未包含“对信息技术系 ...
谢谢{:1_89:}
mzx002000 发表于 2022-10-29 13:19
第一个需要做一个信息资产安全风险识别表,具体见27001
27001是??
{:1_89:}
mzx002000 发表于 2022-10-29 13:19
第一个需要做一个信息资产安全风险识别表,具体见27001
请问27001是??
hsj1975 发表于 2022-10-29 11:18
楼主,审核老师开这2个不符合项都比较好整改啊!
1.风险分析过程不是有效的-风险分析未包含“对信息技术系 ...
非常感谢!
弧度 发表于 2022-10-28 11:24
1:文件2、送仪校,提供校检合格报告
谢谢