驗證與稽核 - 驗證方案

營運的管理系統類型及驗證方案

1. 本公司提供資訊安全管理系統驗證與稽核服務，驗證標準如下:
   • ISO/IEC 27001:2013
   • ISO/IEC 27001:2022
      
2. 驗證方案簡述如下:
   • 申請驗證
     (1)由客戶聯繫本公司業務代表(聯絡我們)，取得驗證申請表並提供相關資訊，向本公司提出申請，接下來我們會進行驗證申請審核程序，在確認資料提供無誤且足夠下，本公司會進行核可決定; 本公司在確定核可驗證後，將會提供申請客戶驗證報價單與管理系統驗證協議書進行確認與簽署。
     (2)客戶同意上述協議書內容並簽署後回傳給本公司，驗證活動就正式確認進行，我們會開始規劃相關稽核作業。
   • 稽核規劃
     (1)本公司會依照驗證範圍與驗證規範來安排適當的驗證人員與稽核行程，並在正式拜訪客戶之前，主動與客戶溝通，確認最終可行的規劃安排。
     (2)為確保沒有利益衝突，若客戶在確認稽核小組成員名單時發現，有兩年內對其提供管理系統顧問工作的稽核人員，需要請客戶主動告知本公司; 本公司將會重新安排其他稽核人員來提供服務。
   • 執行稽核
     (1)初次驗證分為兩個階段，第一階段稱為文件審核階段，第二階段稱為實作審查階段，分述如下:
     文件審核階段需確認標準要求文件的妥適性、符合性與正確性，包含審查客戶之管理系統文件化資訊、評估客戶特定場所的狀況、管理系統的關鍵績效或重大事項、過程、目標與運作之鑑別、取得管理系統範圍內之必要資訊等。實作審查階段則需要確認標準要求與組織程序要求的實際執行狀況，包含符合適用的管理系統標準或其他規範性文件之所有要求的資訊與證據、針對關鍵績效目標與標的，執行監督、量測、報告及審查、客戶的管理系統對於符合適用法令規章及合約要求之能力與績效、客戶過程之作業管制、內部稽核及管理審查、客戶政策之管理職責等。
     (2)驗證維持
     當客戶通過驗證，經本公司審核決定核發證書後，在驗證有效日期內，需進行定期驗證維持作業，作業包含追查稽核、重新驗證與特別稽核。追查稽核是針對驗證範圍的活動抽樣審查，不一定包含全部範圍，但包含內部稽核及管理審查、對於先前稽核時已鑑別之不符合事項所採行措施的審查、抱怨之處理、關於管理系統達成已驗證客戶目標之有效性以及各管理系統預期的結果、針對已規劃之持續改善活動的進展、持續的作業管制、任何變更之審查、標誌之使用及/或任何其他對驗證之引用等是每次追查稽核中應執行項目。
     重新驗證是指驗證範圍內的所有活動重新再確認一次，包含以內部及外部變更觀點，確認其整體管理系統之有效性，以及其驗證範圍的持續相關性與適切性、展現維持管理系統之有效性與改善，以提升整體績效的承諾，管理系統達成已驗證客戶的目標, 以及各管理系統預期的結果之成效等。重新驗證的週期定義為證書有效期間的第三年舉行。特別稽核只會針對特定活動或項目進行，包含客戶提出增加驗證範圍的增列申請、針對主要不符合項目的實施之審查、為調查抱怨或對變更採取回應或跟催暫時終止的客戶等，並會針對上述不同情境做出不同的驗證結論，對客戶驗證狀態產生直接的影響。
   • 稽核發現
     於驗證/稽核過程中，若鑑別出需要書面提出的發現事項，屬於不符合事項等級的發現，需由受驗證客戶提出矯正/改善計畫(與佐證資料，若有)，給稽核小組進行審查，審查通過後，證書才會持續有效(追查稽核、特別稽核)/核發新證(初次驗證、重新驗證)。
   • 驗證決定
     在稽核/驗證執行後，本公司會針對稽核小組所提供之客戶驗證資料，進行審查，以做出最終驗證決定。審查資料內容包含稽核報告、對不符合事項之意見(與對客戶所採行之改正及矯正措施之意見，若有)、提供給本公司使用於申請審查之資訊的確認、確認已達成稽核目標、是否授與驗證之建議、附帶的任何條件或觀察事項等。