《{企业通用培训}ISMS信息安全系列培训06内部审核》由会员分享,可在线阅读,更多相关《{企业通用培训}ISMS信息安全系列培训06内部审核(53页珍藏版)》请在金锄头文库上搜索。
1、信息安全系列培训 - 内部审核,主要内容,审核基本概念 审核过程 审核策划 审核实施 审核报告 审核跟踪,基本概念,为什么进行审核,ISO/IEC 27001:2005: 组织应按照计划的时间间隔进行内部ISMS审核,以确定其ISMS的控制目标、控制措施、过程和程序是否: 符合本标准和相关法律法规的要求; 符合已确定的信息安全要求; 得到有效地实施和保持; 按预期执行。 ISO 9001:2008 组织应按策划的时间间隔进行内部审核,以确定质量管理体系是否 : 符合策划的安排(见7. 1)、本标准的要求以及组织所确定的质量管理体系的要求; 得到有效实施与保持。,为什么审核,向管理层展示观点 向
2、管理层强调风险 验证业务有效性 识别培训需求 发现不符合 进行检查 推动改进的工具 获得证书 使相关方满意,审核的定义,为获得审核证据,并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。 ISO 19001 First party / internal audit第一方/内部审核 Second Party/external audit第二方/外部审核 Third Party/external audit第三方/外部审核,什么是审核准则,Organisations processes and operations组织的流程和运营,Organisations ma
3、nagement manual组织的管理手册,Work instructions工作指导,Specifications规范,System standard系统标准,Statutory/Legislative requirements法律需求,Codes of practice最佳实践,Procedures程序,什么是审核证据,通过观察、测量或实验获得的,并且能够被验证的关于管理体系要素的实施和运行的定性或定量的信息、记录或陈述。 特点: 可陈述的事实; 可验证的事实; 不含有推测和猜想。,审核发现,将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价结果,这种结果是依据审核
4、准则,在审核证据的基础上做出的,审核发现是编制审核报告的基础。,审核发现分类,什么是不符合?,不符合是指不能满足要求,A requirement,A failing,Evidence,ISO 9000:2000, clause 3.6.2,什么是观察项?,潜在问题,风险,无效率,无效力,错误的应用最佳实践,错误理解,缺少沟通,什么是值得嘉奖项?,采用最佳实践,证明持续改进,高层承诺,动机,体系优化,审核案例(1),理赔部的Robin收到了一个从来的email。这个email有一个免费下载一个搜索工具。Robin点击这个连接,他的计算机被毁坏了。 立刻填了一个事故报告表并发给了Paul 系统管理
5、员要求解释和快速解决方案。Paul否认曾送过那个email,但是帮助Robin格式化了他的计算机系统的硬盘并根据保险备份恢复程序的要求恢复了他的数据 有没有不符合事项?,审核案例(2),一个星期之后,Robin又收到了一个发自邮件,这一次要求他的邮件口令字。 Robin很生气,与Paul发生了争吵并要求对此类问题有个解决方案。他发出一个事故报告给Paul并转发这个邮件给他,要求措施。Paul回答说“对不起”并保证调查这个问题 Paul 于是删除了邮件,因为此类邮件问题好像经常发生 Is this a nonconformity? 这是不符合事项吗?,审核案例(3),审核员在审核数据库控制的时候
6、发现某些在工作时间所进行的变更需要通过一系列的处理过程,而在非工作时间进行的变更却只需要进行很少的几个步骤。,审核案例(4),在物品接收检验部门,稽核员注意到检验员正在供货商出货计算机系统上输入其员工代号,以作为物品接收检验已满意完成的证据。但是该员工的代号却能在内部的电话号码表中轻易得知。,审核案例(5),审核日期2001年11月14日。当审查组织的管理阶层审查会议纪录时,稽核员注意到最后的会议纪录日期是2001年5月15日。现行的管制性公司程序复本AP.01第3版发行给稽核员,该程序上要求每三个月举行管理阶层审查会议。信息安全经理说明是因为管理处长在上个月已经出国,而他们想要在稽核完成后立
7、即举行一次管理阶层审查会议。,系统方法,将相互关联的过程作为体系来看待、理解和管理,有助于组织提高实现目标的有效性和效率。 链条效应,审核的独立性,ISO 9001:2008 条款8.2.2 组织应策划审核方案,策划时应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。 应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。 ISO/IEC 27001:2005 条款6 应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下,制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程
8、的客观性和公正性。审核员不应审核自己的工作。,审核的原则,与审核员有关的原则 道德行为 公正表达 职业素养 与审核活动有关的原则 独立性 基于证据的方法,审核员,在体系审核中,审核员的“质量”将直接影响到管理体系的审核质量,进而影响到审核机构的信誉。 审核的一致性,是体系审核活动的最基本的要求。它是指不同的审核员在相同的条件下,其审核结果应该是基本相同的。为了达到这一目的,应该对审核员提出相应的要求,以确保审核工作的质量。,概要,审核员,审核组长全面负责各阶段的审核工作; 协助选择审核组的成员; 制定审核计划、起草工作文件、给审核组成员布置工作; 代表审核组与受审核方领导接触; 及时向受审核方
9、报告关键性的不合格(不符合)情况; 报告审核过程中遇到的重大障碍; 审核组长有权对审核工作的开展和审核观察结果作出最后的决定; 清晰、明确地报告审核结果。,组长职责,审核员,在确定的审核范围内进行工作; 收集和分析与受审核的管理体系有关并足以对其下结论的证据; 将观察结果整理成书面资料; 报告审核结果; 验证由审核结果导致的纠正措施的有效性(当委托方提出要求时); 收存、保管和呈送与审核有关的文件; 配合和支持审核组长的工作。,组员职责,审核过程,审核过程,审核过程 策划,审核计划,审核计划包括年度审核计划和审核活动计划(审核大纲)。年度审核计划是审核策划的始端也是总纲,审核活动计划则是按照年
10、度审核计划安排具体实施。 审核计划的内容可包括:审核目的、范围、审核准则、审核组成员及分工、主要审核活动的时间安排、首末次会议时间等。 组织年度审核计划应以文件形式颁发,审核活动计划应有审核组长签名和主管领导的批准。 年度审核计划 审核活动计划 跟踪审核计划 临时性审核计划,成立审核小组,根据审核活动目的、范围、部门、过程以及审核日程安排,选定审核组长和成员,建立审核小组。 小组成立后,应明确各成员分工和要求,这是审核组长的责任。审核组长应注意“审核员不能审核自己的工作”的原则。 审核员按分配任务做好各项准备工作。主要有:熟悉必要的文件和程序;根据要求编制检查表;考虑前次审核结果应跟踪的项目。
11、 小组成立后通常应举行审核组会议,以确保审核前准备工作全部完成,每个审核员对审核任务完全了解。,审核计划表,审核检查表,Helps with preparation 帮助准备,Focuses the auditor 审核员关注,Ensures issues are not forgotten 确问题不被忘记,Time control 时间控制,Assists with reporting 报告,Aids Consistency 目标坚持,不要思路狭窄,管理审核并不是检查表,审核检查表的目的,检查表参考(1),检查表参考(2),审核过程 实施审核,审核的两大阶段,文件审核 现场审核 首次会议 审
12、核活动 审核报告 末次会议,首次会议,首次会议应该是正式的,并保存出席人员的纪录。 会议应该有审核组长主持。 适当时,首次会议应该包括以下内容: 介绍与会者,包括概述其职责; 确认审核目的、范围和准则; 与受审核方确认审核日程以及相关的其他安排,例如:末此会议的日期和时间,审核组和受审放管理层之间的临时会议以及任何新的变动; 实施符合所用的方法和程序,包括告知审核方证据只是给可获得信息的样本,因此在审核中存在不确定的因素; 确认审核组和受审核方之间的正式沟通渠道; 确认审核所用的语言; 确认在审核中将及时向受审核方通报审核进展情况; 确认已具备审核组所需的资源和设施; 确认有关保密事宜; 确认
13、审核工作时的安全事项、应急和安全程序; 确认向导的安排、作用和身份; 报告的方法,包括不符合的分级; 有关审核可能被终止的条件的信息; 关于审核的实施或结论的申诉系统的信息。,审核活动,信息的收集方法 面谈 对活动的观察 文件评审 审核的方式 抽样,审核过程 - 报告,编写你的审核发现,根据风险和公司目标排序发现 决定公布那些不符合项/观察项/值得努力项 独立完成报告编写(应包括要求、不满足、证据),审核报告格式,审核报告分析(1),审核报告分析(2),末次会议,审核组长主持,清楚的解释审核发现,将审核发现与此同时公司业务目标相联系,并排序风险,审核过程 审核跟踪,什么是审核跟踪?,验证纠正措
14、施的实施和有效性 确认根本原因被描述,不仅仅找到直接问题,Non conformities,失误原因模式,LACK OF CONTROL,BASIC CAUSES,IMMEDIATE CAUSES,INCIDENTS,LOSS,Inadequate:,- Policy,- System,- Compliance,Inadequate organisation factors:,- Human,-,Process,- Hardware,Substandard:,- Acts,- Conditions,Undesired events:,- Defects,- Deviations,- Non-c
15、onformance,-,Customer,-,Possibilities,-,Product,-,Reputation,LACK OF CONTROL 缺少控制,不充分,- 策略,- 系统,- 符合性,BASIC CAUSES 基本原因,不充分的组织因素,人力,-,流程,- 硬件,IMMEDIATE CAUSES 直接原因,不合格,- 行为,- 条件,INCIDENTS 事故,不期望的事件,- 过失,- 背离,不符合,LOSS 损失,-,客户,-,可能性,-,产品,-,名誉,不符合项纠正措施案例(1),不符合项纠正措施案例(2),不符合项纠正措施案例(3),不符合项纠正措施案例(4),不符合项纠正措施案例(5),谢谢大家!,
