ISMSISMS内审员培训教程内审员培训教程2u第一部分第一部分 信息安全基础知识及案例分析信息安全基础知识及案例分析u第二部分第二部分 ISO27001标准正文部分详解标准正文部分详解 ISO27001标准附录标准附录A详解详解u第三部分第三部分 信息安全风险评估与管理信息安全风险评估与管理u第四部分第四部分 体系文件编写体系文件编写u第五部分第五部分 信息安全管理体系内部审核信息安全管理体系内部审核课程内容课程内容3u 了解管理体系审核的基本概念了解管理体系审核的基本概念u 掌握掌握ISMS内部审核的流程内部审核的流程u 掌握掌握ISMS内部审核的方法和技巧内部审核的方法和技巧教学目标教学目标4主要内容主要内容1 1、审核概论、审核概论2 2、审核策划和准备、审核策划和准备3 3、现场审核活动的实施、现场审核活动的实施4 4、纠正措施及其跟踪、纠正措施及其跟踪5 5、ISMSISMS评价评价51.1 1.1 定义定义 为获得为获得审核证据审核证据并对其进行客观的评价,并对其进行客观的评价,以确定满足以确定满足审核准则审核准则的程度所进行的系统的、的程度所进行的系统的、独立的并形成文件的过程独立的并形成文件的过程 (ISO 9000ISO 9000)1.2 1.2 审核审核“成败成败”的关键的关键 系统的:正式、有序的审查活动系统的:正式、有序的审查活动 独立的:保持审核的独立性和公正性独立的:保持审核的独立性和公正性1 1 审核概论审核概论61.3 1.3 审核的内容审核的内容 1 1、获得审核证据、获得审核证据 2 2、客观评价、客观评价 3 3、确定满足审核准则的程度、确定满足审核准则的程度1.4 1.4 过程评价的四个基本问题过程评价的四个基本问题 1 1、过程是否已被识别并适当规定?、过程是否已被识别并适当规定? 2 2、职责是否已被分配?、职责是否已被分配? 3 3、程序是否得到实施和保持?、程序是否得到实施和保持? 4 4、在实现所要求的结果方面,过程是否有效?、在实现所要求的结果方面,过程是否有效?1 1 审核概论审核概论71.5 1.5 审核的类型审核的类型组组 织织顾顾 客客供供 方方认证认证/ /注册机构注册机构第三方审核第三方审核 ( (外部外部) )第二方审核第二方审核第二方审核第二方审核第一方审核第一方审核( (外部外部) )( (外部外部) )( (内部内部) )1 1 审核概论审核概论81.6 1.6 内部审核的目的内部审核的目的目目的的主要依据:信息安全管理体系文件主要依据:信息安全管理体系文件外部审核前的准备外部审核前的准备作为一种管理手段,是组织管理评审输入的重要内容作为一种管理手段,是组织管理评审输入的重要内容确保信息安全管理体系正常运行和改进的需要确保信息安全管理体系正常运行和改进的需要1 1 审核概论审核概论91.7 ISMS1.7 ISMS内审的时机、范围和频度内审的时机、范围和频度u 按策划的时间间隔按策划的时间间隔u 一般至少每年应覆盖一般至少每年应覆盖ISMSISMS所涉及部门、过程一次所涉及部门、过程一次u 最初建立体系时频度可适当多一些最初建立体系时频度可适当多一些u 特殊情况特殊情况: : 发生严重信息安全问题或用户投诉发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前接受第二、第三方审核前1 1 审核概论审核概论101.8 ISMS1.8 ISMS内部审核的依据内部审核的依据 1 1、ISO 27001:2005ISO 27001:2005版标准版标准 2 2、信息安全管理手册、信息安全管理手册 3 3、程序文件、程序文件 4 4、信息安全策略、信息安全策略 5 5、有关的法律、法规、有关的法律、法规 6 6、其他信息安全管理文件、其他信息安全管理文件1 1 审核概论审核概论111.9 ISMS1.9 ISMS内部审核的方式内部审核的方式 1 1、集中审核、集中审核 2 2、分散审核、分散审核1.10 ISMS1.10 ISMS审核的特点审核的特点 1 1、被审核的、被审核的ISMSISMS必须是正规的必须是正规的 2 2、ISMSISMS审核必须是一种正式的活动审核必须是一种正式的活动 3 3、ISMSISMS审核是一种抽样过程审核是一种抽样过程1 1 审核概论审核概论121.11 ISMS1.11 ISMS内部审核的一般顺序内部审核的一般顺序 1 1、审核策划与审核准备、审核策划与审核准备 2 2、现场审核实施与审核报告、现场审核实施与审核报告 3 3、纠正措施的跟踪与汇总分析、纠正措施的跟踪与汇总分析 1 1 审核概论审核概论13u 领导重视是做好领导重视是做好ISMSISMS内部审核的关键内部审核的关键u 信息安全经理要亲自抓信息安全经理要亲自抓ISMSISMS内部审核工作内部审核工作u ISMSISMS内部审核工作需要一个职能部门来管理内部审核工作需要一个职能部门来管理u 要组建一支合格的要组建一支合格的ISMSISMS内部审核队伍内部审核队伍u ISMSISMS内部审核需要一套正规的程序内部审核需要一套正规的程序u 建立建立ISMSISMS时应考虑时应考虑ISMSISMS内部审核工作内部审核工作2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备141.1.明确审核决定明确审核决定 2.2.确定审核组确定审核组3.3.文件审核文件审核4.4.编制审核计划编制审核计划5.5.编制检查表编制检查表6.6.通知受审核部门并约定具体的审核时间通知受审核部门并约定具体的审核时间2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备15 1、审核目的、审核目的2、审核范围、审核范围3、审核时间、审核时间4、审核方式、审核方式2.1 2.1 明确审核决定明确审核决定161 1、审核人员的资格、审核人员的资格2 2、确保客观性和公正性、确保客观性和公正性3 3、专业能力、专业能力4 4、审核组长:负责审核全过程及审核组管理工作、审核组长:负责审核全过程及审核组管理工作5 5、审核员:在审核组长指导下进行审核、审核员:在审核组长指导下进行审核2.2 2.2 确定审核组确定审核组17u目的:目的: 体系中所有过程是否被识别并适当规定;体系中所有过程是否被识别并适当规定; 职责是否被分配;职责是否被分配; 过程文件满足审核准则的程度过程文件满足审核准则的程度u对象:对象: 信息安全管理手册、程序文件、作业指导书、信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等规范、风险处理计划等u审核准则:审核准则: 标准、合同及有关的法律、法规标准、合同及有关的法律、法规2.3 2.3 文件审核文件审核18u时机:在现场审核前进行;时机:在现场审核前进行; 作业指导书、质量计划、规范等可以在现作业指导书、质量计划、规范等可以在现 场审核时进行;场审核时进行;u结论:符合标准及法规的要求;结论:符合标准及法规的要求; 部分不符合要求;部分不符合要求; 没有覆盖标准及法规的要求;没有覆盖标准及法规的要求;u注意事项:不仅要审核过程文件,还要审核过程注意事项:不仅要审核过程文件,还要审核过程 之间的接口是否明确、协调之间的接口是否明确、协调2.3 2.3 文件审核文件审核19u 组织的大小和性质组织的大小和性质u 员工数量员工数量u 体系复杂性体系复杂性u ISMSISMS的范围的范围u 涉及的地点数目涉及的地点数目u 信息类型信息类型- -文件文件/ /电子等电子等2.4 2.4 编制审核计划编制审核计划_要求考虑要求考虑20u 审核目的审核目的u 审核范围审核范围u 审核准则审核准则u 审核组成员及其分工审核组成员及其分工u 现场审核活动的日程安排现场审核活动的日程安排u 必要的审核资源的配备必要的审核资源的配备u 其它其它( (如审核时所用语言、保密承诺等如审核时所用语言、保密承诺等) )审核计划示例:审核计划示例:2.4 2.4 编制审核计划编制审核计划_内容内容21NO. 20080118-01NO. 20080118-01审核时间审核时间: :20082008年年1 1月月1818日日1 1月月1919日日审核目的审核目的: : 验证本公司的验证本公司的ISMSISMS是否符合是否符合ISO 27001:2005ISO 27001:2005版版以及公司以及公司ISMSISMS文件的要求,文件的要求,ISMSISMS是否得到有效实施,是否是否得到有效实施,是否具备申请第三方具备申请第三方ISO 27001:2005ISO 27001:2005认证注册的条件认证注册的条件审核范围审核范围: : ISMS ISMS所涉及的部门和过程所涉及的部门和过程审核依据审核依据: : ISO 27001:2005 ISO 27001:2005 、公司、公司信息安全管理手册信息安全管理手册(LXLXM M0101)第)第1 1版、有关的信息管理文件版、有关的信息管理文件审核组成员审核组成员: :( (组长组长) )A A; B B;C C;公司公司ISMSISMS内部审核计划内部审核计划22日日 期期时间安排时间安排A AC CB B1 1月月1818日日08:3008:3008:4508:45首次会议首次会议08:4508:4512:0012:0013:3013:3015:0015:00 15:0015:0017:3017:301 1月月1919日日08:3008:3012:0012:0013:3013:3015:3015:3015:3015:3016:0016:00审核组总结审核组总结16:0016:0016:3016:30与受审核方交换意见与受审核方交换意见16:3016:3017:0017:00末次会议末次会议说明说明: :对条款对条款的审核还将结合其它条款的审核同时进行的审核还将结合其它条款的审核同时进行公司公司ISMSISMS内部审核计划内部审核计划23注:对以上人员和日程安排如有异议,请及时反馈。
注:对以上人员和日程安排如有异议,请及时反馈 拟制:拟制: (组长)(组长) 日期:日期: 批准:(信息安全经理)批准:(信息安全经理) 日期:日期: 公司公司ISMSISMS内部审核计划内部审核计划24一、检查表的作用一、检查表的作用 1 1、明确与审核目标有关的样本、明确与审核目标有关的样本 2 2、使审核程序规范化、使审核程序规范化 3 3、按检查表的要求进行调查研究,、按检查表的要求进行调查研究, 可使审核目标始终保持明确可使审核目标始终保持明确 4 4、保持审核进度、保持审核进度 5 5、作为审核记录存档、作为审核记录存档 6 6、减少重复的或不必要的工作量、减少重复的或不必要的工作量 7 7、减少内审员的偏见和随意性、减少内审员的偏见和随意性2.5 编制检查表编制检查表25二、检查表的内容二、检查表的内容 1 1、列出审核项目的要点(确保完整)、列出审核项目的要点(确保完整) 2 2、明确审核步骤和方法,进行抽样量的设计、明确审核步骤和方法,进行抽样量的设计 注:注:ISMSISMS所涉及的过程和部门不能抽样,不同所涉及的过程和部门不能抽样,不同 的类型不能抽样的类型不能抽样2.5 编制检查表编制检查表26三、设计检查表的注意事项三、设计检查表的注意事项 1 1、对照标准和、对照标准和ISMSISMS文件文件 2 2、部门与过程相对应、部门与过程相对应 3 3、选择典型的信息安全问题,抽样应有代表性、选择典型的信息安全问题,抽样应有代表性 4 4、注意逻辑顺序,明确审核步骤、注意逻辑顺序,明确审核步骤 5 5、按部门编制的检查表要考虑涉及的条款,按条款、按部门编制的检查表要考虑涉及的条款,按条款 编制的检查表要考虑涉及的部门编制的检查表要考虑涉及的部门 6 6、常见问题:、常见问题:陈述句变疑问句;只列出审核项目,忽略陈述句变疑。