审核ISO27001时,通常需要以下各类人员的配合:
1.高层管理人员:他们需要参与并提供战略方向和资源支持,确保信息安全管理体系与组织的整体目标和战略相一致。
2.信息安全管理人员:负责信息安全策略的制定、实施和监督,他们在整个审核过程中起着关键作用,需提供相关的安全管理文档、风险评估报告等,并解答审核员的专业问题。
3.负责安全政策执行的管理人员:这些人员要确保各项安全政策和措施在日常工作中得到有效执行,配合提供执行情况的相关证据和记录。
4.熟悉法律事务的人员:以协助处理与信息安全相关的法律合规问题,确保组织的信息安全管理符合法律法规的要求。
5.人力资源部门的人员:他们可能需要提供与人员招聘、培训、离职等方面相关的信息,以确保员工在信息安全方面的意识和职责得到有效管理。
6.用户部门的人员:他们能反馈信息安全措施在实际业务中的应用情况和效果。
企业还需指定内部审核员。内部审核员应熟悉公司软件开发、服务、信息系统等情况,参加信息安全管理体系内部审核员培训并考核合格。内部审核员应来自不同的职能部门,且与被审活动无直接责任,以保持工作的独立性。
在审核过程中,各有关部门都需要积极配合审核员的工作,提供必要的资料和协助,以确保审核的顺利进行。
由于各申报企业大小规模不一,贯标小组的人员数量也可根据公司规模大小来确定,小规模的企业一般需要1-2人,大规模的企业可能需要5-10人。