您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 资讯安全管理认证程序
資訊安全管理認證程序中華民國電腦稽核協會黃淙澤秘書長Richardhuang@kpmg.com.twKPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG資安管理系統認證指引(EA7/03)範圍參考資料對驗證/註冊法人團體要求對驗證/註冊之要求KPMG範圍任何從事資訊安全管理系統(ISMS)驗證/註冊業務之第三者法人團體,若自認可信任其經營品質者,皆適用於本指引之規範。KPMG參考資料ISO/IEC指引2:1996,一般性條款及其相關標準化與活動的定義。ISO8402:1994,品質管理及品質保證-詞彙ISO/IEC指引62:1996,經營管理評估及驗證/註冊法人團體品質系統的一般性要求BS7799:1999,資訊安全管理系統的實務規則ISO10011:1990,稽核品質系統指引KPMG對驗證/註冊法人團體要求驗證/註冊法人團體方面驗證/註冊法人團體之人員方面驗證/註冊需求之變更投訴、申訴及辯論KPMG對驗證/註冊之要求驗證/註冊之應用評估之準備、實作及報告驗證/註冊之決定監測及再評估步驟憑證及標誌的效用存取對組織申訴的紀錄KPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG相互驗證協議參考資料協議目的協議精神範圍與內容驗證/證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊KPMG參考資料EN45001測試實驗室操作之一般準則/歐洲標準CEN/CENELEC,1989ISO/IEC指南25校正與測試實驗室的一般能力要求,1990EN45011驗證機構執行產品驗證的一般準則/歐洲標準CEN/CENELEC,1989ISO/IEC指南65產品驗證機構操作的一般要求,1996KPMG協議目的確保資訊技術(IT)產品與保護規範的評估之完成係達到高品質及一致性標準,同時在安全防護過程中,負責提供令人滿意的產品及規範。改善經受評估、且增加安全防護的資訊技術產品與保護規範的可用性,以適用於全國。減少重複評估資訊技術產品與保護規範的負擔。持續改善資訊技術產品與保護規範評估與驗證/證明程序的效率及成本效益。KPMG協議精神最嚴謹的安全防護評估準則與方法論,也無法涵蓋每種可能性。準則的應用需要專家之專業判斷。協議過程的參與者,需發展與維護彼此間技術判斷及能力的相互了解與信任,並透過公開討論與辯論,來維護整體的連貫性。KPMG範圍與內容評估與計畫驗證/證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊新的參與者協議管理機制驗證/證明報告的內容KPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG資訊系統稽核師職業道德規範參考資料制定目的資訊系統稽核之職業準則資訊系統稽核之公報資訊系統稽核之道德規範KPMG參考資料資訊系統審查及控制協會公告之「資訊系統稽核師之道德規範」國際內部稽核協會公告之「內部稽核人員之道德規範」美國會計師公會(AICPA)公告之「職業道德規範」中華民國會計師公會公告之「中華民國會計師職業道德規範」KPMG制定目的為確保資訊系統稽核師「遵守一般公認資訊系統稽核準則、公報及實務、與資訊系統安全及控制實務」確保稽核工作之品質及其一致性KPMG資訊系統稽核之職業準則態度及言行表現組織關聯性職業道德規範技巧及知識持續性的專業訓練規劃及監督證據要求盡職業上應有之注意稽核範圍之報告查核結果與結論之報告KPMG資訊系統稽核之公報三大分類INDEPENDENCEPERFORMANCEOFWORKREPORTINGKPMG資訊系統稽核之公報九項解釋態度及言行表現及組織中的關係參與系統開發程序證據要求盡職業上應有之注意規劃稽核作業時風險評估之運用稽核文件之彙整對不規則情事之稽核考量稽核軟體工具之運用稽核報告KPMG資訊系統稽核之道德規範支持適當的資訊系統準則、處理程序及控制之建立與遵循遵守資訊系統稽核及控制基金會所採用之資訊系統稽核準則以勤勉、忠誠的態度為其雇主、股東、客戶及社會大眾服務,且不可在知情的情況下參與非法或不正當之活動對執行職務所獲取之資訊應予以保密。不應利用該等資訊圖利自己,亦不洩露給不適當之人士以獨立客觀之態度執行其職務,並應避免危害或可能會危害其獨立性之活動藉由參與專業發展活動,以維持本身之稽核及資訊系統相關領域之專業能力KPMG資訊系統稽核之道德規範盡應有之注意,取得並彙整充份的資料,據以作成結論與建議將稽核工作執行之結果通知適當的人士支持對於管理階層、客戶及一般社會大眾之教育,以加強其對稽核及資訊系統之了解在專業上或私人活動中,保持高尚的行為及品格資訊系統稽核師不得承辦或拒絕承辦之業務,亦不得允許其助理人員為之KPMGQ&A
本文标题:资讯安全管理认证程序
链接地址:https://www.777doc.com/doc-1269534 .html