《信息安全27001内审员培训》由会员分享,可在线阅读,更多相关《信息安全27001内审员培训(52页珍藏版)》请在金锄头文库上搜索。
1、Cui en ISMS/ITSMS/QMS Lead Auditor1 September,2009信息安全管理体系审核1、审核慨论2、审核员3、审核技能4、审核策划5、审核准备6、审核实施7、不符合报告8、审核报告9、跟踪验证Cui en ISMS/ITSMS/QMS Lead Auditor2September,20091、审核概论1.1术语和定义1.1.1审核1) 为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。Cui en ISMS/ITSMS/QMS Lead Auditor3September,20092)审核的类型 第一方审核
2、第二方审核 第三方审核 GB/T19011提供了审核指南。Cui en ISMS/ITSMS/QMS Lead Auditor4September,20092)审核的类型第一方审核(内部)供方第二方审核第二方审核组织顾客(外部)(外部)认证/审核机构第三方审核(外部)51.1.2审核准则一组方针、程序或要求。如:ISO27001:2005标准;ISMS方针;信息安全管理体系手册;信息安全管理体系程序文件;合同要求等。Cui en ISMS/ITSMS/QMS Lead Auditor6September,20091.1.3审核证据与审核准则有关的并且能够证实的记录、事实陈述或其他信息。如:培训
3、记录;ISMS方针宣贯会记录;资产清单;访问控制列表等。Cui en ISMS/ITSMS/QMS Lead Auditor7September,20091.1.4审核发现将收集到的审核证据对照审核准则进行评价的结果。如:内审评价记录;外审评价记录;不符合报告等。Cui en ISMS/ITSMS/QMS Lead Auditor8September,20091.1.5审核结论审核组考虑了审核目的和所有审核发现后得出的审核结果。如:审核报告。Cui en ISMS/ITSMS/QMS Lead Auditor9September,20091.1.6审核委托方要求审核的组织或个人。注:审核委托方
4、可以是受审核方,也可以是依据法律法规或合同有权要求审核的任何其他组织。Cui en ISMS/ITSMS/QMS Lead Auditor10September,20091.1.7受审核方被审核的组织。 如:提出认证申请,接受审核的组织。Cui en ISMS/ITSMS/QMS Lead Auditor11September,20091.1.8审核员有能力实施审核的人员。如:经过培训组织的内审员;经过培训,获得国家认可资格的实习审核员、审核员和高级审核员。Cui en ISMS/ITSMS/QMS Lead Auditor12September,20091.1.9审核组实施审核的一名或多名审
5、核员,需要时,由技术专家提供支持。注1:指定审核组的一名审核员为审核组长。注2:审核组可包括实习审核员。Cui en ISMS/ITSMS/QMS Lead Auditor13September,20091.1.10技术专家向审核组提供特定知识或技术的人员。 如:建筑行业的技术专家;电力行业的技术专家。注:技术专家不作为审核员。Cui en ISMS/ITSMS/QMS Lead Auditor14September,20092.0审核员的基本要求 技术技能 交流技能 管理技能 调查技能 解决问题技能 人际关系技能Cui en ISMS/ITSMS/QMS Lead Auditor15Sept
6、ember,20092.1个人素质开放式思维-愿意考虑不同的想法和观点 善于交往-与人交往的能力和技巧 觉察能力-视觉、嗅觉和听觉等感觉的运用 反应能力-包括审核员对外界的直觉反应能力 执着-坚持不懈,不受外界干扰及追求目标的能力决定能力-基于逻辑推理和分析技能做出决定的能力 自信-与他人开展有效交往,坚持自身独立性的能力 正直-真实、真诚、诚实、慎重Cui en ISMS/ITSMS/QMS Lead Auditor16September,20092.2专项能力 管理原则和技术-使审核员能够检查信息安全管理体系并确定其是否得到了正确应用 术语 信息安全管理体系的结构和职能 基本信息安全管理体
7、系实践和过程的应用 对所收集信息的重要程度及其对其影响的评价 作业过程、产品和服务-使审核员能够了解受审核方的技术知识;行业专用术语,行业过程、产品或服务的关键特性,行业接受的过程和惯例。Cui en ISMS/ITSMS/QMS Lead Auditor17September,20093、审核技能 审核的重要原则 审核方式 审核方法 审核记录Cui en ISMS/ITSMS/QMS Lead Auditor18September,20093 . 1审 核 的 重 要 原 则 独立性:审核的公正性和审核结论的客观性的基础。 基于证据的方法:在一个系统的审核过程中,得出可信的和可重 视的审核结
8、论的合理方法。 按照计划的日程行事、遵守商定的审核计划 需要时使用检查表 要客观,保证有必要的证据,不符合项必须被受审核部门确认审核的对象:主管领导、主管人员、执行人员 抓住部门的主要职能,不能吹毛求疵。Cui en ISMS/ITSMS/QMS Lead Auditor19September,20093.2审 核 方 式顺向追踪按信息安全管理体系活动运作的顺序进行审核。优点:系统性强,可观察接口缺点:有可能费时逆向追踪按信息安全管理体系活动运作的反方向进行审核优点:从结果找原因,针对性强;有利于发现问题 缺点:问题复杂时不易理清一般情况下,在部门内按活动的重要性进行审核,可能会同时采取不同的
9、审核方式。203.3审核方法面谈提问(特别是在没有文件的情况下,要多提问);对活动和周围的工作环境与条件的观察:仔细观察现场环境、设备、产品和记录,既要获得证明符合性的证据,又要通过反复求证弄清不符合项。查阅文件、记录,必须口问手写,善于追踪验证; 倾听:听取问答并作出反应,观察表情并加以引导。213.3.1面谈 面谈的方式应与面谈情况和接受面谈的人员相适应。 代表性:不同层次和职能的人员。 尽可能在接受面谈人员的正式工作场所进行。 采取各种方式,避免对方感到紧张。 面谈的理由与所做的笔录应予以说明。 面谈可以首先要求对方介绍其工作内容。 面谈的结果应予以归纳。 对接受面谈的人员的参与和合作应表示感谢。Cui en ISMS/ITSMS/QMS Lead Auditor22September,20093.3.2审核提问提问的目的: 需要了解的主题:职责、过程、地点、时间、责任人等 拓展调查(原因、接口) 确认和验证某些事实,找出证据 注意几点: 按检查表提问,但不死板,应组织得自然和谐 及时抓住信息线索 仔细有效地听取问答,注意对方的态度和表情Cui en ISMS/ITSMS/QMS Lead Auditor23Se
