资讯安全管理认证程序

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

資訊安全管理認證程序中華民國電腦稽核協會黃淙澤秘書長Richardhuang@kpmg.com.twKPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG資安管理系統認證指引(EA7/03)範圍參考資料對驗證/註冊法人團體要求對驗證/註冊之要求KPMG範圍任何從事資訊安全管理系統(ISMS)驗證/註冊業務之第三者法人團體,若自認可信任其經營品質者,皆適用於本指引之規範。KPMG參考資料ISO/IEC指引2:1996,一般性條款及其相關標準化與活動的定義。ISO8402:1994,品質管理及品質保證-詞彙ISO/IEC指引62:1996,經營管理評估及驗證/註冊法人團體品質系統的一般性要求BS7799:1999,資訊安全管理系統的實務規則ISO10011:1990,稽核品質系統指引KPMG對驗證/註冊法人團體要求驗證/註冊法人團體方面驗證/註冊法人團體之人員方面驗證/註冊需求之變更投訴、申訴及辯論KPMG對驗證/註冊之要求驗證/註冊之應用評估之準備、實作及報告驗證/註冊之決定監測及再評估步驟憑證及標誌的效用存取對組織申訴的紀錄KPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG相互驗證協議參考資料協議目的協議精神範圍與內容驗證/證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊KPMG參考資料EN45001測試實驗室操作之一般準則/歐洲標準CEN/CENELEC,1989ISO/IEC指南25校正與測試實驗室的一般能力要求,1990EN45011驗證機構執行產品驗證的一般準則/歐洲標準CEN/CENELEC,1989ISO/IEC指南65產品驗證機構操作的一般要求,1996KPMG協議目的確保資訊技術(IT)產品與保護規範的評估之完成係達到高品質及一致性標準,同時在安全防護過程中,負責提供令人滿意的產品及規範。改善經受評估、且增加安全防護的資訊技術產品與保護規範的可用性,以適用於全國。減少重複評估資訊技術產品與保護規範的負擔。持續改善資訊技術產品與保護規範評估與驗證/證明程序的效率及成本效益。KPMG協議精神最嚴謹的安全防護評估準則與方法論,也無法涵蓋每種可能性。準則的應用需要專家之專業判斷。協議過程的參與者,需發展與維護彼此間技術判斷及能力的相互了解與信任,並透過公開討論與辯論,來維護整體的連貫性。KPMG範圍與內容評估與計畫驗證/證明機構的資格要求自發性定期評估證明書與服務標誌共用的資訊新的參與者協議管理機制驗證/證明報告的內容KPMGAgenda資安管理系統認證指引(EA7/03)相互驗證協議(ArrangementontheMutualRecognition)資訊系統稽核師職業道德規範(CodeofEthicsofCertifiedInformationSystemAuditor)KPMG資訊系統稽核師職業道德規範參考資料制定目的資訊系統稽核之職業準則資訊系統稽核之公報資訊系統稽核之道德規範KPMG參考資料資訊系統審查及控制協會公告之「資訊系統稽核師之道德規範」國際內部稽核協會公告之「內部稽核人員之道德規範」美國會計師公會(AICPA)公告之「職業道德規範」中華民國會計師公會公告之「中華民國會計師職業道德規範」KPMG制定目的為確保資訊系統稽核師「遵守一般公認資訊系統稽核準則、公報及實務、與資訊系統安全及控制實務」確保稽核工作之品質及其一致性KPMG資訊系統稽核之職業準則態度及言行表現組織關聯性職業道德規範技巧及知識持續性的專業訓練規劃及監督證據要求盡職業上應有之注意稽核範圍之報告查核結果與結論之報告KPMG資訊系統稽核之公報三大分類INDEPENDENCEPERFORMANCEOFWORKREPORTINGKPMG資訊系統稽核之公報九項解釋態度及言行表現及組織中的關係參與系統開發程序證據要求盡職業上應有之注意規劃稽核作業時風險評估之運用稽核文件之彙整對不規則情事之稽核考量稽核軟體工具之運用稽核報告KPMG資訊系統稽核之道德規範支持適當的資訊系統準則、處理程序及控制之建立與遵循遵守資訊系統稽核及控制基金會所採用之資訊系統稽核準則以勤勉、忠誠的態度為其雇主、股東、客戶及社會大眾服務,且不可在知情的情況下參與非法或不正當之活動對執行職務所獲取之資訊應予以保密。不應利用該等資訊圖利自己,亦不洩露給不適當之人士以獨立客觀之態度執行其職務,並應避免危害或可能會危害其獨立性之活動藉由參與專業發展活動,以維持本身之稽核及資訊系統相關領域之專業能力KPMG資訊系統稽核之道德規範盡應有之注意,取得並彙整充份的資料,據以作成結論與建議將稽核工作執行之結果通知適當的人士支持對於管理階層、客戶及一般社會大眾之教育,以加強其對稽核及資訊系統之了解在專業上或私人活動中,保持高尚的行為及品格資訊系統稽核師不得承辦或拒絕承辦之業務,亦不得允許其助理人員為之KPMGQ&A

1 / 23
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功