信息安全管理体系审核检查表

《信息安全管理体系审核检查表》由会员分享，可在线阅读，更多相关《信息安全管理体系审核检查表（46页珍藏版）》请在金锄头文库上搜索。

1、信息安全管理体系审核指南标准要求的强制性 ISMS文件强制性ISMS文件说明(1) ISMS方针文件，包括ISMS的范围根据标准“ 431” a和b)的要求。(2)风险评估程序根据“ 431” d)和e)的要求，要有形成文件的“风险评估方 法的描述”和“风险评估报告”。 为了减少文件量，可创建 一个风险评估程序。该程序文件应包括“风险评估方法 的描述”，而其运行的结果应产生风险评估报告。(3)风险处理程序根据标准“ 431” f)的要求，要有形成文件的“风险处理计 戈。因此，可创建一个风险处理程序。该程序文件运行的结果应产生风险处理计划。(4)文件控制程序根据标准的“ 文件控制”的要求，要有形

2、成文件的“文 件控制程序”。(5)记录控制程序根据标准的“ 记录控制”的要求，要有形成文件的“记 录控制程序”。(6)内部审核程序根据标准的“ 6内部ISMS审核”的要求，要有形成文件的 “内部审核程序”。(7)纠正措施与预防措施程序根据标准的“ 8.2纠正措施”的要求，要有形成文件的“纠 正措施程序”。根据 “ 8.3预防措施”的要求，要有形成文 件的“预防措施程序”。“纠正措施程序”和“预防措施程序” 通常可以合并成一个文件。(8)控制措施有效性的测量程序根据标准的“ 431 g)”的要求，要有形成文件的“控制措施 有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件，但

3、最好形成“管理评 审程序”文件，以方便实际工作。(9)适用性声明根据标准的“431 i)”的要求，要有形成文件的适用性声明。审核重点第二阶段审核：a）检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何：定义风险评估方法 （参见 4.2.1 c） 识别安全风险 （参见 4.2.1 d） 分析和评价安全风险 （参见 4.2.1 e） 识别和评价风险处理选择措施 （参见的 4.2.1 f） 选择风险处理所需的控制目标和控制措施（参见 4.2.1 g）确保管理者正式批准所有残余风险 （参见 4.2.1 h） 确保在 ISMS 实施和运行之前，获得管理者授权（参见的 4.2.1 i）准备适

4、用性声明 （参见 4.2.1 j）b）检查受审核组织如何执行 ISMS监控、测量、报告和评审（包括抽样检查关键的过程是否到 位 ），至少包括：ISMS监视与评审（依照423监视与评审ISMS”条款） 控制措施有效性的测量 （依照 4.3.1 g） 内部ISMS审核（依照第6章“内部ISMS审核”） 管理评审（依照第7章“ ISMS的管理评审”）ISMS改进（依照第8章“ ISMS改进”）。c）检查管理者如何执行管理评审 （包括抽样检查关键的过程是否到位），依照条款包括：监视与评审 ISMS第 7 章“ ISMS 的管理评审” 。d）检查管理者如何履行信息安全的职责（包括抽样检查关键的过程是否到

5、位），依照条款包括：监视与评审 ISMS5 管理职责7 ISMS 的管理评审e）检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何 连带关系 （也参见本文第 8 章“过程要求的符合性审核” ）。监督审核：a）上次审核发现的纠正 / 预防措施分析与执行情况；b）内审与管理评审的实施情况；c）管理体系的变更情况；d）信息资产的变更与相应的风险评估和处理情况；e）信息安全事故的处理和记录等。再认证审核：a）检验组织的ISMS是否持续地全面地符合 ISO/IEC 27001:2005的要求。b）评审在这个认证周期中ISMS的实施与继续维护的情况，包括：检查 ISMS 是否按

6、照 ISO/IEC 27001:2005 的要求加以实施、维护和改进； 评审 ISMS 文件和定期审核 （包括内部审核和监督审核 ）的结果； 检查 ISMS 如何应对组织的业务与运行的变化；检验管理者对维护ISMS有效性的承诺情况。4信息安全管理体系4.1总要求4.2建立和管理ISMS4.2.1 建立 ISMS标准的要求审核内容审核记录注释与指南a）组织要定义ISMS的 范围组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”要求的符合性审核，要 确保ISMS的定义不仅要包括范围，也要包括边界。 对任何范围的删减，必须有详细说明和正当性理由。是否有对任何范围的删 减？b）组织要定义I

7、SMS 方针组织是否有一个ISMS 方针文件？要求明确规定ISMS方针的5个基本点，即ISMS 方针要：1）包括信息安全的目标框架、信息安全工作的总方向和原则；2）考虑业务要求、法律法规的要求和合冋要求；3）与组织开发与维护ISMS的战略性风险管理，结合 一起或保持一致；4）建立风险评价准则；5）获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述 5个要求。还要注意到 ISMS方 针与信息安全方针的关系。组织的ISMS方针文件是否满足ISO/IEC27001:2005规定的5个基本点（见注释与指南栏）？C）组织要定义风险评 估方法组织是否有一个定义 风险评估方法的文件

8、？要求明确规定，“定义组织的风险评估方法”的工 作（活动）要包括：1）确定风险评估方法， 而这个评估方法要适合组织 的ISMS的要求、适合已确定的组织的业务信息安 全要求和法律法规要求；2）制定接受风险的准则，确定可接受的风险级别。组织的风险评估方法是 否适合ISMS的要求、适合已 确定的组织的业务信息安全 要求和法律法规要求？接受风险的准则是否已 经确定？并根据此准则，确 定了可接受的风险级别？在对要求的符合性审核时，要确保上述2个要求得到满足。d）组织要识别安全 风险组织是否有一个识别安 全风险的过程？“识别安全风险”是一个过程 （活动）。而这个过程 要包括：1）识别组织ISMS范围内的资

9、产及其责任人；2）识别资产所面临的威胁；3）识别可能被威胁利用的脆弱点；4）识别资产保密性、完整性和可用性的丧失造成的 影响。在对要求的符合性审核时，要确保“识别安全风 险”要包括上述工作（活动）。识别安全风险的过程 是否符合规定（参见“注释与 指南”栏）？e）组织要分析和评价 安全风险组织是否有一个用于 评估安全风险的过程？要求明确规定，“分析和评价安全风险”过程（活 动）要包括：1）评估安全破坏（包括资产的保密性、完整性，或可 用性的丧失的后果）可能产生的对组织的业务影响；2）评估由主要威胁和脆弱点导致的安全破坏的现实 可能性、对资产的影响和当前所实施的控制措施；3）估算风险的级别；4）确

10、定风险是否可接受，或者是否需要使用本组织的接受风险的准则进行处理。“分析和评价安全风险”的结果应产生一个“风险 评估报告”。在对要求的符合性审核时，要确保满足 上述要求。是否评估了安全破坏可 能产生对组织的业务影响？这个安全风险评估过 程是否符合规定（参见“注释 与指南栏” ）？f）组织要识别和评价 风险处理选择措施组织是否有一个用于识 别和评价风险处理选择措施 的过程？要求明确规定，可选择的措施包括：1）采用适当的控制措施；2）接受风险；这个过程是否虑了 4种 可能的选择（参见“注释与指 南栏”）？3）避免风险；4）转移风险。在对要求的审核时，要确保组织有一个“识别和 评价风险处理选择措施”

11、的过程，并考虑了上述 4 种可能的选择。g）组织要选择风险处 理所需的控制目标和 控制措施组织是否有一个用于 选择 ISO/IEC 27001:2005 附 录A的风险处理控制目标 和控制措施的过程？“选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求：1）控制目标和控制措施要进行选择和实施，以满 足风险评估和风险处理过程中所识别的安全要求；2）控制目标和控制措施的选择要考虑接受风险的 准则，以及法律法规要求和合冋要求；3）附录A中的控制目标和控制措施要加以选择， 作为此“选择风险处理所需的控制目标和控制措施” 过程的一部分，以满足已识别的安全需求。在对要求的审核时， 要与本书第9章

12、“控制目标和 控制措施的审核”结合一起进行。最重要的是要确保 所选择的控制目标和控制措施：符合风险评估与处理过程中已经识别安全要求； 符合接受风险准则的要求，以及法律法规的要 求和合同的要求；如果附录A中的控制目标和控制措施适用于已识 别的安全要求，要加以选择，不要错漏。可参见本书第9章“控制目标和控制措施的审核”。这个过程是否确保所 选择的控制目标和控制措 施满足相关要求（参见“注释 与指南”栏）？附录A的控制目标和 控制措施是否都被选择？如果不选择，是否有正 当性理由？是否选择了附录A以 外的控制措施？h）组织要确保管理者 正式批准所有残余风 险所有残余风险是否获得 管理者正式批准？首先要

13、理解“残余风险”的意义。i）组织要确保在ISMS 实施和运行之前，获得 管理者授权ISMS实施和运行是否获 得管理者授权？要检查是否有领导的签字 （可参见后面 “ 432文件 控制”的审核）。j）组织要准备适用性 声明组织是否有一个准备适 用性声明的过程？要求明确规定，“适用性声明”必须至少包括以 下3项内容：1）所选择控制目标和控制措施，及其选择的理由；2）当前实施的控制目标和控制措施；3）附录A中任何控制目标和控制措施的删减，以 及删减的正当性理由。在对要求审核时，最重要的是要确保：“适用性声明”的内容至少含有上述3项；不选择的理由必须是合理的，或证明其是正当 性的。由于附录A推荐的控制目

14、标和控制措施是最 佳实践，所以如果没有正当性理由，都要加以选择，要防止漏选。对要求的审核，可与后面“ 431总则” i）的审核 和第9章“控制目标和控制措施的审核”结合一起 进行。适用性声明的内容是否 有含有标准规定的“ 3项内 容”（参见“注释与指南”栏）？适用性声明是否记载 附录A中任何控制目标和 控制措施的删减，以及删减 的正当性理由？422实施与运行ISMS标准要求审核内容审核记录注释与指南a）组织要制定风险处 理计划组织是否有一个符合 标准此条款要求的产生风 险处理计划文件的过程？要求明确规定，组织要有一个产生风险处理计划的 过程或程序。而这个过程要确定信息安全风险的管理 措施、资源

15、、职责和优先级。由于标准的第4章只是“计划”阶段，在标准第5 章中将提出更具体的“资源”要求。对于“风险处理计划”，可与“ 431总则”条款的 要求一起审核（见“ 431总则” f）审核）。是否有一个“风险处理 计划”文件？b）组织要实施风险处 理计划组织是否有一个符合 标准此条款要求的“实施风 险处理计划”的过程？要求明确规定，组织要有一个“实施风险处理计 戈的过程，或程序。而这个过程的目的是要达到 已确定的控制目标，包括资金安排、角色和职责的 分配。c）组织要实施所选择 的控制措施组织是否有一个符合标 准此条款要求的“实施所选 择的控制措施”的过程？要求明确规定，组织要有一个“实施所选择的控制 措施”的过程，或程序，其目的是要满足控制目标