《第五部分:信息安全管理体系内部审核》由会员分享,可在线阅读,更多相关《第五部分:信息安全管理体系内部审核(69页珍藏版)》请在金锄头文库上搜索。
1、ISMS内审员培训教程SGS-CSTC通标标准技术服务有限公司SGS-CSTC Standards Technical Services Co., Ltd.SGS-CSTC Standards Technical Services Co., Ltd.http:/http:/2u第一部分 信息安全基础知识及案例分析u第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解u第三部分 信息安全风险评估与管理u第四部分 体系文件编写u第五部分 信息安全管理体系内部审核课程内容3u 了解管理体系审核的基本概念u 掌握ISMS内部审核的流程u 掌握ISMS内部审核的方法和技巧教学目标4
2、主要内容1、审核概论2、审核策划和准备3、现场审核活动的实施4、纠正措施及其跟踪5、ISMS评价51.1 定义为获得审核证据并对其进行客观的评价, 以确定满足审核准则的程度所进行的系统的、 独立的并形成文件的过程(ISO 9000)1.2 审核“成败”的关键系统的:正式、有序的审查活动独立的:保持审核的独立性和公正性1 审核概论61.3 审核的内容1、获得审核证据2、客观评价3、确定满足审核准则的程度1.4 过程评价的四个基本问题1、过程是否已被识别并适当规定?2、职责是否已被分配?3、程序是否得到实施和保持?4、在实现所要求的结果方面,过程是否有效?1 审核概论71.5 审核的类型组 织顾
3、客供 方认证/注册机构第三方审核 (外部)第二方审核第二方审核第一方审核(外部)(外部)(内部)1 审核概论81.6 内部审核的目的目 的主要依据:信息安全管理体系文件外部审核前的准备作为一种管理手段,是组织管理评审输入的重要内容确保信息安全管理体系正常运行和改进的需要1 审核概论91.7 ISMS内审的时机、范围和频度u 按策划的时间间隔u 一般至少每年应覆盖ISMS所涉及部门、过程一次u 最初建立体系时频度可适当多一些u 特殊情况: 发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前1 审核概论101.8 ISMS内部审核的依据1、I
4、SO 27001:2005版标准2、信息安全管理手册3、程序文件4、信息安全策略5、有关的法律、法规6、其他信息安全管理文件1 审核概论111.9 ISMS内部审核的方式1、集中审核2、分散审核1.10 ISMS审核的特点1、被审核的ISMS必须是正规的2、ISMS审核必须是一种正式的活动3、ISMS审核是一种抽样过程1 审核概论121.11 ISMS内部审核的一般顺序1、审核策划与审核准备2、现场审核实施与审核报告3、纠正措施的跟踪与汇总分析 1 审核概论13u 领导重视是做好ISMS内部审核的关键u 信息安全经理要亲自抓ISMS内部审核工作u ISMS内部审核工作需要一个职能部门来管理u
5、要组建一支合格的ISMS内部审核队伍u ISMS内部审核需要一套正规的程序u 建立ISMS时应考虑ISMS内部审核工作2 ISMS内部审核的策划和准备141. 明确审核决定 2. 确定审核组 文件审核 编制审核计划 编制检查表 通知受审核部门并约定具体的审核时间2 ISMS内部审核的策划和准备151、审核目的2、审核范围3、审核时间4、审核方式2.1 明确审核决定161、审核人员的资格2、确保客观性和公正性3、专业能力4、审核组长:负责审核全过程及审核组管理工作5、审核员:在审核组长指导下进行审核2.2 确定审核组17u目的:体系中所有过程是否被识别并适当规定;职责是否被分配;过程文件满足审核
6、准则的程度u对象:信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等u审核准则:标准、合同及有关的法律、法规2.3 文件审核18u时机:在现场审核前进行;作业指导书、质量计划、规范等可以在现场审核时进行;u结论:符合标准及法规的要求;部分不符合要求;没有覆盖标准及法规的要求;u注意事项:不仅要审核过程文件,还要审核过程之间的接口是否明确、协调2.3 文件审核19u 组织的大小和性质u 员工数量u 体系复杂性u ISMS的范围u 涉及的地点数目u 信息类型-文件/电子等2.4 编制审核计划_要求考虑20u 审核目的u 审核范围u 审核准则u 审核组成员及其分工u 现场审核活动的日程安排
7、u 必要的审核资源的配备u 其它(如审核时所用语言、保密承诺等)审核计划示例:2.4 编制审核计划_内容21NO. 20080118-01审核时间:2008年1月18日1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版以及公司ISMS文件的要求,ISMS是否得到有效实施,是否 具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司信息安全管理手册(LXM01)第1版、有关的信息管理文件 审核组成员:(组长)A; B;C;公司ISMS内部审核计划22日 期时间安排ACB1月
8、18日08:3008:45首次会议08:4512:0013:3015:00 15:0017:301月19日08:3012:0013:3015:3015:3016:00审核组总结16:0016:30与受审核方交换意见16:3017:00末次会议说明:对条款的审核还将结合其它条款的审核同时进行公司ISMS内部审核计划23注:对以上人员和日程安排如有异议,请及时反馈。拟制: (组长) 日期:批准:(信息安全经理) 日期: 公司ISMS内部审核计划24一、检查表的作用1、明确与审核目标有关的样本2、使审核程序规范化3、按检查表的要求进行调查研究,可使审核目标始终保持明确4、保持审核进度5、作为审核记录
9、存档6、减少重复的或不必要的工作量7、减少内审员的偏见和随意性2.5 编制检查表25二、检查表的内容1、列出审核项目的要点(确保完整)2、明确审核步骤和方法,进行抽样量的设计注:ISMS所涉及的过程和部门不能抽样,不同 的类型不能抽样2.5 编制检查表26三、设计检查表的注意事项1、对照标准和ISMS文件2、部门与过程相对应3、选择典型的信息安全问题,抽样应有代表性4、注意逻辑顺序,明确审核步骤5、按部门编制的检查表要考虑涉及的条款,按条款编制的检查表要考虑涉及的部门 6、常见问题:陈述句变疑问句;只列出审核项目,忽略审核方法和抽样量的设计;仅依据标准,不符合实际2.5 编制检查表27四、运用
10、检查表的注意事项1、自己掌握,没必要披露2、不要照本宣科3、不要拘泥于检查表五、检查表举例2.5 编制检查表282.5 编制检查表五、检查表举例标标准要求审审核检查题检查题答案记录记录注释释与指南是Y否N理由4.2.1a)组织要定 义ISMS范 围组织是否有一 个定义ISMS范围 的文件?对这个“定义ISMS范围”要求的符合性审 核,要确保ISMS定义不仅要包括范围,也 要包括边界。对任何范围的删减,必须有 详细说 明和正当性理由。是否有对范围 的删减?4.2.1b) 组织要定 义ISMS方 针组织是否有一 个ISMS方针文件 ?这个要求明确规定ISMS方针的5个基本点, 即ISMS方针要 1
11、.包括信息安全的目标框架、信息安全工作 的总方向和原则; 2.考虑业务 要求、法律法规的要求和合同 要求; 3.与组织开发与维护ISMS的战略性风险管 理结合一起或保持一致; 4.建立风险评 价准则 5.获得管理者批准。组织的ISMS方 针文件是否满足 ISO27001规定的 5个基本点?29相关条款控制措施要求与检查题检查题回答(是、 部分、不是 )实实施的方法 或删删减的正当性A7.1.1 资产 清单是否所有资产 都进行了识 别?是否所有重要资产 都进行 了登记,建立了清单文件并 加以维护 ?A7.1.2 资产责 任人所有信息和信息处理设施相 关资产 ,是否都有责任人 ? A7.1.3 资
12、产 的可接受使用信息和信息处理设施相关 资产 的可接受规则 ,是否 确定、形成文件并加以实施 ?2.5 编制检查表五、检查表举例303.1 审核过程的控制 3.2 首次会议 3.3 审核方法 3.4 审核证据 3.5 不合格项报告 3.6 汇总分析 3.7 末次会议 3.8 审核报告3 现场审核活动的实施31一、审核计划的控制二、审核活动的控制1、样本策划合理2、辩识关键过程 3、评定主要因素4、重视控制结果 5、注意相关影响6、营造良好的审核气氛3.1 审核过程的控制32三、审核结果的控制1、合格或不合格要以事实为基础2、不合格事实要得到受审核方确认3、道听途说不能作为证据4、组内要相互沟通
13、,统一意见3.1 审核过程的控制33一、首次会议的内容和程序1、人员介绍2、说明审核目的和范围3、审核计划的确认4、落实后勤安排5、阐明一些重要的问题6、有关审核原则的强调7、澄清一些问题二、首次会议的时间、地点及参加人员3.2 首次会议34审核方式方法:如何抽样查证1、顺向追踪2、逆向追踪3、部门审核 4、过程审核 3.3 审核方法审核的基本方法:抽样35顺向追踪:u 从影响信息安全的因素跟踪到结束u 按照业务流程的自然顺序u 从文件跟踪至实施记录优点:系统性强,可观察接口缺点:较费时3.3 审核方法36逆向追踪:u 从已形成的结果追溯到影响因素的控制u 按照业务流程的逆向顺序u 从现场记录
14、追溯到体系文件的规定优点:从结果找原因,针对性强;有利于发现问题缺点:问题复杂时不易理清(对审核员技术要求高)3.3 审核方法37部门审核:u 以部门为中心进行u 一个部门要涉及多个标准条款u 以部门的主要职能为主线,涉及相关的职能优点:节约审核时间缺点:可能有疏漏,审核准备时要充分考虑相关因素,审核过程中思路要清晰,审核组内部沟通要求高3.3 审核方法38过程审核:u 以过程为中心进行u 一个过程要涉及多个部门、多个标准条款要求优点:完整、不易遗漏缺点:部门地点重复往返多,费事;对审核员要求高3.3 审核方法39过程方法的审核思路:建立过程审核的观念,从过程的策划查到过程的实施及效果(PDC
15、A逻辑结构):过程的目标 过程的策划 过程的实施 测量监控 持续改进3.3 审核方法401、审核证据的定义(ISO 9000 3.9.4):与审核准则有关的并且能够证实的记录、事实陈述或其他信息。注:审核证据可以是定性或定量的。2、在审核中应分清什么可以作为审核证据,什么不 可以作为审核证据。3.4 审核证据41可作审核证据u 存在的客观事实或情况u 部门负责人或当事人谈话(并 有其他实物旁证)u 现行有效文件(审核当前的信 息安全活动)和有效的信息安 全记录不可作审核证据u 估计、猜想、分析、推断u 陪同人员或其他无关人员谈话、 传闻u 过期的或作废的文件,擅自涂改 的信息安全记录,未经证实
16、的新 闻报道3.4 审核证据42案例:星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会,主要讨论一宗大订单的详细规范。在 他去李飞办公室的路上,遇到了事故,受了重伤。李飞 接到张三出事的消息时,张三已被送往医院做X光透视 。李飞给医院打电话想问一下情况,但好象没有人知道 张三的任何情况,很可能李飞打错了医院的电话。3.4 审核证据43请问以下陈述是否正确:u张三是一位工程师。u张三要去见李飞。u张三要去参加的会定在上午10点钟开。u该事故发生在星际公司。u张三被送到了医院做X光透视。u李飞打电话询问的医院里没有人知道张三的任何事 。u李飞打错了医院的电话。3.4 审核证据44审核证据的获得方法u查阅文件和记录u现场观察u提问与交流u实际测定3.4 审核证据45提问的技巧u封闭式:可用简单的“是
