A.內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果 B.內(nèi)審報(bào)告中必須包含對不符合性項(xiàng)的改進(jìn)建議 C.內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商,核實(shí)報(bào)告內(nèi)容 D.內(nèi)審報(bào)告中必須包括對糾正預(yù)防措施實(shí)施情況的跟蹤
A.關(guān)鍵的控制程序沒有得到貫徹,缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項(xiàng) B.風(fēng)險(xiǎn)評估方法沒有按照ISO27005(信息安全風(fēng)險(xiǎn)管理)標(biāo)準(zhǔn)進(jìn)行 C.孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題 D.審核員識別的可能改進(jìn)項(xiàng)
A.明確審核目的、審核準(zhǔn)則和審核范圍 B.明確審核員的分工 C.明確接受審核方責(zé)任,為配合審核提供必要資源和授權(quán) D.明確審核進(jìn)度和審核方法,且在整個(gè)審核過程中不可調(diào)整