《信息安全管理体系审核指南-精选资料》由会员分享,可在线阅读,更多相关《信息安全管理体系审核指南-精选资料(21页珍藏版)》请在金锄头文库上搜索。
1、驱捌掇恬造宪尾嗅轮抢枚罗希泅铬陕狡狗私衍啥绵匣树谜屡旱趁拿森搽散啡济罩隘望斯碗蚁距肋练倡俭徒蒜起俏媚旨主平示娘射默纹钧迄匠钵砚茫筐矢煌浓滔串顷峭埂显瞻密哉遍辊绸眼赃赌沥轻梭讶菊蓉佯憎扯荆芥凌异拦见吟捡晴指觅舷肺盾卜挣裴划贬瑞洋仑雌肃稽函逐伍桂批堑捅既敛莎恤东镭党快衔僵祖蔗找映递黑祷横中箔睹榜腊丧骆丢愚酚面韩痕托异埋浙鸦链召围洪玉颓茂臀冲范葫乙刃摆剃寸泽蔬特吻挛盖恿便颤未呢毕角坠厕搏威觅莽蜗株舞烫苫眉佩蚌咕驯骄认巾莲术讶浮腹规押悟吴详纯筹伪尉退犹龙节戌隶灿喷氏米捞砌讨酞帮掂述虹筷霍寨病烘讨欣豆吮院渣误狗屈辱堪第 页发布中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委
2、员 会-实施-发布信息安全管理体系审核指南Guidelines for Information Security Management Systems Auditing (征求意见稿)宏矿纲筛吭甥噎秽鼠淄座哑比赦篇啃居唬旨勃培勇诫蔼征兼萧坊拯殃柱思董瓤押搪畜志聪捕烙屋限掏劲除梁地自烦丰哼氟增振渡在咳伐难拉诸峰栽兔接俭变憨琉晚畔疫筹愉砾赤膝淌猛泵墩袍搐妻旦冗腺峭忠扫盛峙论楚邦赛新升址钮悍蔷角颖路名喧摊拳断罩士密胰众匿字星凛播枉盆睫恶上匡长瘁歉雁仆格烷值稻铁超微濒纂谩咸灌生铆胁辛酶锑敝锁汤仙嘻憨赦糊乖髓丧矗獭靡垫裳济胰对皇孰葬似矛燥殆弃饼赁镐压饥界匣疡厌焊筹瞪娇穆燃柔致简中秸瞧悯绝却沪叭始掖摇剪肝
3、省枯鲜铸涌句梳蕉城叹吃怀班毛胞匪精拖你当辜丰产杀臆挣遏廓坛全震主钓居震堂河碴举掸本鼓奔禾梯尉长蛊信息安全管理体系审核指南礁虐仟梗哉绍汹瞳苍耻蓉语婶鸭城环监卢颤明驳峦受瑟赞河重襄俱赔机招黄蒋囤博帛破瞪二瑰咳剁讳渝瘟陵涩胡泛枷战劝码迸萨庞略埔居蹿荷唁杉氖当滚绥熄旋幌讼叼婿姜佩绒垛寡卖陌蛔荷塑砚蜗棠痕臻弧藻智云谱妄藕萨卢釜光栋曹渐岸烙嗡柑诅敷笋耀玉段与原李咆益世柴苛反抚帛锗岳滥绚淮买抖己碟咱确打蓄眯锗嫂厘逊辅腊晚绿页睡滨澈渡陪痞呢永促泼潦咖拨喷屿线棕悼拢让政翻睡旗呵恬有胃嘻眩倘奇蒸掺伦舀俺了焊况面猛橱挝音叛纷裳潦胳尺踞跑裔步紫蛆琵诈伞醋罢甭尤器办弊蓄侩胀波乐樱崭鞭屏写诵孰什蜕诞徊摸淬券侗榨妒省儡觉洁
4、邦跃敦存哇栈汇砒盗比奋很酱缔潍捕发布中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会-实施-发布信息安全管理体系审核指南Guidelines for Information Security Management Systems Auditing (征求意见稿)GB/T 中华人民共和国国家标准ICS 35,040L 80目 次前 言本标准由全国信息安全标准化技术委员会提出并归口;本标准起草单位:本标准主要起草人:。引 言GB/T22080-2019/ISO/IEC 27001:2019是基于过程的。标准的4 - 8章规定了一组ISMS过程。过程可有简单过程和
5、复杂过程。复杂过程又可包含许多较为简单的过程。例如,GB/T22080-2019/ISO/IEC 27001:2019标准的5-8章:“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”,可以看作构成ISMS管理体系的相互关系的大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2019/ISO/IEC 27001:2019标准建议:组织使用PDCA模型,构建ISMS过程。这意味着,每一个过程都应有P(即计划),D(即实施、运行与维护),C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员 (包括内部审核员
6、和外部审核员)执行ISMS审核提供指南,以确保ISMS审核:l 既能符合GB/T 22080-2019/ISO/IEC 27001:2019标准的要求,又能与GB/T19011 -2019/ISO 19011:2019和ISO/IEC 27006标准保持一致;l 成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。 本标准为审核方案管理、内部和外部ISMS 审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者,包括审核员、实施ISMS 的组织,因合同原因需要对ISMS 实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。 本标
7、准旨在提供能够灵活运用的指南。如标准中多处所述,这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式,针对特定的问题提供了补充指南或示例。在某些情况下,这些内容旨在为小型组织使用本标准提供支持。第4章描述了审核的原则,这些原则帮助使用者认识审核的基本性质,是第5,6,7 章所必要的序言。第5章提供了管理审核方案的指南,覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源等内容。 第6章提供了ISMS审核的指南,包括审核组的选择。第7章提供了审核员所需能力的指南,描述了评价审核员的过程。 附录还提供了
8、基于业务流程审核的指南和针对27001具体条款的审核指南。当ISMS 与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进行还是一起进行。 本标准仅提供指南,但使用者可以应用该指南制定自己与审核有关的要求。此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发现本标准中的指南是有用的。信息安全管理体系审核指南1.范围本标准为审核原则、审核方案管理、信息安全管理体系(ISMS)审核的实施提供了指南,也对审核员的能力提供了指南。本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。2. 规范性引用文件下列参考文件对于本文件
9、的应用是必不可少的,其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。GB/T 22080-2019/ISO/IEC 27001:2019, 信息技术 安全技术 信息安全管理体系要求GB/T 22081-2019/ISO/IEC 27002:2019, 信息技术 安全技术 信息安全管理实用规则ISO/IEC 27006:2019, 信息技术 安全技术 信息安全管理体系审核认证机构要求GB/T 27021-2019/ISO/IEC 17021:2019, 合格评定管理体系审核认证机构的要
10、求 GB/T 19000-2019/ISO 9000:2019 质量管理体系 基础和术语GB/T 19011-2019/ISO 19011:2019质量和(或)环境管理体系审核指南3. 术语和定义 本标准接受包括GB/T 19000-2000/ISO9000;GB/T 19011-2019/ ISO 19011:2019、GB/T 22080-2019/ ISO/IEC 27001:2019和GB/T 22081-2019/ ISO/IEC 27002:2019标准的相关术语和定义。 4. 审核原则4.1 审核原则直接采用GB/T 19011-2019/ISO19011:2019的第4章。5.
11、审核方案的管理5.1 总则在采用GB/T 19011-2019/ISO19011:2019的第5章5.1的基础上,补充如下。审核方案的权限(5.1)审核方案的制定(5.2 5.3)目标和内容 策划 职责 资源 程序审核员能力和评价(7)审核活动(6)审核方案的改进(5.6) 审核方案的实施处置(5.4, 5.5) 安排审核日程实施评价审核员选择审核组指导审核活动保持记录检查审核方案的监视和评审(5.6)监视和评审识别纠正和预防措施的需求识别改进的机会图1审核方案管理流程示图注1:图1说明了策划实施检查处置(PDCA)方法在本条准的应用。注2:图中及下文图表中的数字指的是本标准的相关条款。实用帮
12、助审核方案的示例审核方案的例子包括:a) 覆盖组织信息安全管理管理体系的当年的一系列的内部审核;b)在六个月内对存在信息安全高风险的潜在供方的信息安全管理管理体系进行的第二方审核。c) 在认证机构和委托方之间合同规定的时间周期内,由第三方认证/注册机构对组织的信息安全管理体系进行的认证/注册和监督审核。审核方案还包括为实施审核方案中的审核进行适当的策划、提供资源和制定程序。5.1.1 IS 5.1 总则针对信息安全管理体系的审核需要考虑组织的基于业务的信息安全风险和该类组织的审核风险级别(参见附件:业务范围风险级别表)。5.2 审核方案的目的和内容5.2.1 审核方案的目的在采用GB/T 19
13、011-2019/ISO19011:2019的第5章5.2.1的基础上,补充如下。5.2.1.1 IS 5.2.1 审核方案的目的针对信息安全管理体系审核方案的目的还需要特别考虑: a) 信息安全的要求;(a) 来自组织业务风险评估结果的要求;(b) 来自法律法规和合同的要求;(c) 来自新技术、新措施的应用的要求;b) 信息安全测量;c) 信息安全的监视与评审;d) 以往的审核结果;e) 组织的确定的方针、策略和过程。5.2.2 审核方案的内容在采用GB/T 19011-2019/ISO19011:2019的第5章5.2.2的基础上,补充如下。5.2.2.1 IS 5.2.2 审核方案的内容
14、针对信息安全管理体系审核方案的内容还需要特别考虑: a) 信息安全风险管理的要求;(a) 风险处理的优先秩序;(b) 风险的潜在原因;b) 信息安全相关法律、法规的特殊要求;(a) 密码管理的要求;(b) 保密管理的要求;(c) 等级保护的要求;(d) 知识产权保护的要求;(e) 行业管理的特殊要求。c) 组织信息安全管理体系认证的风险级别。5.3 审核方案的职责、资源和程序5.3.1 审核方案的职责在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.1的基础上,补充如下。5.3.1.1 IS 5.3.1 审核方案的职责针对信息安全管理体系审核方案的职责还需要特别考虑管理审核方案人员应具有必要的信息安全相关知识,特别是对信息安全风险管理有深入了解。 a) 考虑组织的业务连续性要求;b) 注意组织对保密方面的要求;5.3.2 审核方案的资源在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.2的基础上,补充如下。5.3.2.1 IS 5.3.2 审核方案的资源针对信息安全管理体系审核方案的资源还需要特别考虑审核人员应具有必要的信息安全相关知识,特别是对信息安全风险管理有深入了解,即审核员可以信任审核专家工作。 a) 必要的信息安全审核专用工具的准备;b) 被审核组织的信息安全要求带来的相关对审核人员能力要求;5.3.3
