組織應定期進行內部ISMS稽核已決定其控制措施目標、過程及程序是否: 符合本標準及相關法律或管理的要求 符合所識別的資訊安全要求 有效的實作與維護 如預期的執行 稽核計畫應事先規劃,考慮稽核的過程與區域之狀況及重要性,以及先前稽核的結果。稽核準則、範圍、頻率及方法應予以界定。 稽核人員的選擇與稽核的執行應確保稽核過程的客觀及公平。另外,稽核人員不應稽核其本身的工作。 信息安全管理文件: a) 《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明); b) 信息安全管理程序文件; c) 信息安全管理作业文件; d) 策划的管理方案、信息安全管理记录表格。 其他文件: a) 信息安全法律法规及其他文件; b) 生产、经营、管理、检查与考核记录; c) 往来文件。
