内部iso27001技術監査人とは何ですか?
私は最近、ISO 27001認定企業に"内部ISO技術監査人"として採用されました。
私の雇用主は、私の仕事は次のように説明されていると私に言いました。
- この仕事は、組織的な問題ではなく技術的な問題を処理する技術リソースの必要性のために作成されます
- 私はITチームではなくISOチームに所属しています
- ペネトレーションテスト、ログレビュー、構成レビュー、電子スレッドの保護、バックアップなどに関連するすべての面倒を見るつもりです。
- 取るべき物理的および論理的なセキュリティ対策を定義することは私の範囲外です
私は少し混乱していて、自分の責任を本当に理解することができません。さらに、ISOの基準でそのような仕事を見つけることができませんでした。
私はそのようなよく知られた仕事があるかどうか、そしてそれが本当の責任は何であるかを知る必要があります
ありがとう
あなたの責任は、あなたの会社がISO27001に準拠しているかどうかを継続的に確認することだと思います。つまり、基本的に3番目のポイントは、何をするかを説明しています。レビュー。
基本的にあなたは監査人です。つまり、あなたはIT部門ではなく、監査部門の一部です。これは、IT部門の上級管理職の誰もが、たとえば業績評価に基づいてあなたに圧力をかけることができないため、独立性と客観性を確保するためです。