《isms内审员培训教程》由会员分享,可在线阅读,更多相关《isms内审员培训教程(69页珍藏版)》请在金锄头文库上搜索。
1、ISMS内审员培训教程,SGS-CSTC通标标准技术服务有限公司 SGS-CSTC Standards Technical Services Co., Ltd. http:/,第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核,课程内容,了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧,教学目标,主要内容,1、审核概论 2、审核策划和准备 3、现场审核活动的实施 4、纠正措施及其跟踪 5、ISMS评价
2、,1.1 定义 为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程 (ISO 9000) 1.2 审核“成败”的关键 系统的:正式、有序的审查活动 独立的:保持审核的独立性和公正性,1 审核概论,1.3 审核的内容 1、获得审核证据 2、客观评价 3、确定满足审核准则的程度 1.4 过程评价的四个基本问题 1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持? 4、在实现所要求的结果方面,过程是否有效?,1 审核概论,1.5 审核的类型,组 织,顾 客,供 方,认证/注册机构,第三方审核,(外部),第二方审核,第二
3、方审核,第一方审核,(外部),(外部),(内部),1 审核概论,1.6 内部审核的目的,目的,主要依据:信息安全管理体系文件,外部审核前的准备,作为一种管理手段,是组织管理评审输入的重要内容,确保信息安全管理体系正常运行和改进的需要,1 审核概论,1.7 ISMS内审的时机、范围和频度 按策划的时间间隔 一般至少每年应覆盖ISMS所涉及部门、过程一次 最初建立体系时频度可适当多一些 特殊情况: 发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前,1 审核概论,1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息
4、安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件,1 审核概论,1.9 ISMS内部审核的方式 1、集中审核 2、分散审核 1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程,1 审核概论,1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析,1 审核概论,领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内
5、部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作,2 ISMS内部审核的策划和准备,明确审核决定 确定审核组 文件审核 编制审核计划 编制检查表 通知受审核部门并约定具体的审核时间,2 ISMS内部审核的策划和准备,1、审核目的 2、审核范围 3、审核时间 4、审核方式,2.1 明确审核决定,1、审核人员的资格 2、确保客观性和公正性 3、专业能力 4、审核组长:负责审核全过程及审核组管理工作 5、审核员:在审核组长指导下进行审核,2.2 确定审核组,目的: 体系中所有过程是否被识别并适当规定; 职责是否被分配; 过程文件满足审核准则的程度 对象: 信息
6、安全管理手册、程序文件、作业指导书、规范、风险处理计划等 审核准则: 标准、合同及有关的法律、法规,2.3 文件审核,时机:在现场审核前进行; 作业指导书、质量计划、规范等可以在现 场审核时进行; 结论:符合标准及法规的要求; 部分不符合要求; 没有覆盖标准及法规的要求; 注意事项:不仅要审核过程文件,还要审核过程 之间的接口是否明确、协调,2.3 文件审核,组织的大小和性质 员工数量 体系复杂性 ISMS的范围 涉及的地点数目 信息类型-文件/电子等,2.4 编制审核计划_要求考虑,审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时
7、所用语言、保密承诺等) 审核计划示例:,2.4 编制审核计划_内容,NO. 20080118-01 审核时间:2008年1月18日1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版以及公司ISMS文件的要求,ISMS是否得到有效实施,是否具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司信息安全管理手册(LXM01)第1版、有关的信息管理文件 审核组成员:(组长)A; B;C;,公司ISMS内部审核计划,说明:对条款的审核还将结合其它条款的审核同时进行,公司ISMS内
8、部审核计划,注:对以上人员和日程安排如有异议,请及时反馈。 拟制: (组长) 日期: 批准:(信息安全经理) 日期:,公司ISMS内部审核计划,一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性,2.5 编制检查表,二、检查表的内容 1、列出审核项目的要点(确保完整) 2、明确审核步骤和方法,进行抽样量的设计 注:ISMS所涉及的过程和部门不能抽样,不同 的类型不能抽样,2.5 编制检查表,三、设计检查表的注意事项
9、1、对照标准和ISMS文件 2、部门与过程相对应 3、选择典型的信息安全问题,抽样应有代表性 4、注意逻辑顺序,明确审核步骤 5、按部门编制的检查表要考虑涉及的条款,按条款 编制的检查表要考虑涉及的部门 6、常见问题:陈述句变疑问句;只列出审核项目,忽略 审核方法和抽样量的设计;仅依据标准,不符合实际,2.5 编制检查表,四、运用检查表的注意事项 1、自己掌握,没必要披露 2、不要照本宣科 3、不要拘泥于检查表 五、检查表举例,2.5 编制检查表,2.5 编制检查表,五、检查表举例,2.5 编制检查表,五、检查表举例,3.1 审核过程的控制 3.2 首次会议 3.3 审核方法 3.4 审核证据
10、 3.5 不合格项报告 3.6 汇总分析 3.7 末次会议 3.8 审核报告,3 现场审核活动的实施,一、审核计划的控制 二、审核活动的控制 1、样本策划合理 2、辩识关键过程 3、评定主要因素 4、重视控制结果 5、注意相关影响 6、营造良好的审核气氛,3.1 审核过程的控制,三、审核结果的控制 1、合格或不合格要以事实为基础 2、不合格事实要得到受审核方确认 3、道听途说不能作为证据 4、组内要相互沟通,统一意见,3.1 审核过程的控制,一、首次会议的内容和程序 1、人员介绍 2、说明审核目的和范围 3、审核计划的确认 4、落实后勤安排 5、阐明一些重要的问题 6、有关审核原则的强调 7、
11、澄清一些问题 二、首次会议的时间、地点及参加人员,3.2 首次会议,审核方式方法:如何抽样查证 1、顺向追踪 2、逆向追踪 3、部门审核 4、过程审核,3.3 审核方法,审核的基本方法:抽样,顺向追踪: 从影响信息安全的因素跟踪到结束 按照业务流程的自然顺序 从文件跟踪至实施记录 优点:系统性强,可观察接口 缺点:较费时,3.3 审核方法,逆向追踪: 从已形成的结果追溯到影响因素的控制 按照业务流程的逆向顺序 从现场记录追溯到体系文件的规定 优点:从结果找原因,针对性强;有利于发现问题 缺点:问题复杂时不易理清(对审核员技术要求高),3.3 审核方法,部门审核: 以部门为中心进行 一个部门要涉
12、及多个标准条款 以部门的主要职能为主线,涉及相关的职能 优点:节约审核时间 缺点:可能有疏漏,审核准备时要充分考虑相关因素,审核过程中思路要清晰,审核组内部沟通要求高,3.3 审核方法,过程审核: 以过程为中心进行 一个过程要涉及多个部门、多个标准条款要求 优点:完整、不易遗漏 缺点:部门地点重复往返多,费事; 对审核员要求高,3.3 审核方法,过程方法的审核思路: 建立过程审核的观念,从过程的策划查到过程的实施及效果(PDCA逻辑结构): 过程的目标 过程的策划 过程的实施 测量监控 持续改进,3.3 审核方法,1、审核证据的定义(ISO 9000 3.9.4): 与审核准则有关的并且能够证
13、实的记录、 事实陈述或其他信息。 注:审核证据可以是定性或定量的。 2、在审核中应分清什么可以作为审核证据,什么不可以作为审核证据。,3.4 审核证据,可作审核证据 存在的客观事实或情况 部门负责人或当事人谈话(并有其他实物旁证) 现行有效文件(审核当前的信息安全活动)和有效的信息安全记录,不可作审核证据 估计、猜想、分析、推断 陪同人员或其他无关人员谈话、传闻 过期的或作废的文件,擅自涂改的信息安全记录,未经证实的新闻报道,3.4 审核证据,案例: 星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会,主要讨论一宗大订单的详细规范。在他去李飞办公室的路上,遇到了事故,受了重伤。李
14、飞接到张三出事的消息时,张三已被送往医院做X光透视。李飞给医院打电话想问一下情况,但好象没有人知道张三的任何情况,很可能李飞打错了医院的电话。,3.4 审核证据,请问以下陈述是否正确: 张三是一位工程师。 张三要去见李飞。 张三要去参加的会定在上午10点钟开。 该事故发生在星际公司。 张三被送到了医院做X光透视。 李飞打电话询问的医院里没有人知道张三的任何事。 李飞打错了医院的电话。,3.4 审核证据,审核证据的获得方法 查阅文件和记录 现场观察 提问与交流 实际测定,3.4 审核证据,提问的技巧 封闭式:可用简单的“是”或“否”回答 用以获取专门的信息 有主动权,但信息量小 开放式:答案需要
15、解释或表达 可获得较大的信息量 被动,有时会浪费时间 澄清式:用以获得更多的专门信息或确认已获得 的信息,带有主观导向,不能经常用,3.4 审核证据,开放式提问的技巧: 带主题的问题什么是如何做? 扩展性的问题为什么、如何、怎样? 讨论性的问题说出个人见解 调查性的问题觉得怎样、有什么想法 重复性的问题得到明确的答案 假设性的问题如果则 验证性的问题请拿出证据、在哪儿,3.4 审核证据,观察的技巧: 是否符合正常作业所需的环境条件 审核现场人员的工作状态 是否符合信息安全规定要求 资产、设备的状态 过程的记录 面谈人员的神态,3.4 审核证据,随时记录审核过程情况 时间、地点 访问、调查的对象
16、 见证人 观察(表格、文件、记录、编写等)到的实施,3.4 审核证据,一、不合格项:未满足审核准则要求 二、不合格项分类 1、按性质分类 a. 体系性不合格 b. 实施性不合格 c. 效果性不合格 2、按严重程度分类 a. 严重不合格 b. 一般不合格,3.5 不合格项报告,严重 某个部门内,与之相关条款要求执行的普遍失效 某个条款要求在体系内部完全缺失 违反相关法律法规要求 可导致重大信息安全即时事故或顾客投诉的事项 不执行一个以上所需要的体系要素(CH4-8任一条要求或ISMS方针和程序) 一般不符合项若持久稳固的存在,则可作为重大不符合项 轻微 信息安全管理体系的过程、程序或操作的轻微的问題 偶然发生的不符合事项 如出现的记录不完整,或容易改正的个别缺陷 观察项:不会对信息安全造成有意义的影响,可能有潜在影响的一种发现,、不符合性分类及判
