《ISMS内审员培训教材.ppt》由会员分享,可在线阅读,更多相关《ISMS内审员培训教材.ppt(58页珍藏版)》请在金锄头文库上搜索。
1、一 培训目的u了解体系审核的基本概念u掌握ISMS内部审核流程u掌握ISMS内部审核方法与技巧u审核概论u审核策划与准备u审核实施u纠正及其跟踪uISMS评价二 培训内容u审核-为获得审核证据(3.9.5)并对其进行客观的评价,以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过程(3.4.1)。u审核方案-针对特定的时间框架和特定的目的所策划的一组(一个或多个)审核(3.9.1) u审核范围-审核(3.9.1)的广度和界限。注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)(3.4.1)以及被覆盖的时间段的表述。 u准则-确定为依据的一组方针、程序(3
2、.4.5)或要求(3.1.2)。u审核证据-可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。1.1 审核概论-有关审核术语与定义注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语1.2 审核概论-有关审核术语与定义注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语u审核发现-审核(3.9.1)的结果。u审核结论-审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的审核(3.9
3、.1)结果。u审核委托方-要求或请求审核(3.9.1)的组织(3.3.1)或个人 。u受审核方-被审核的组织(3.3.1)。u审核组-实施审核(3.9.1)的一个人或一组人。注1 1:审核组的一个或多个人通常是合格审核员(3.9.14)(3.9.14),并且其中之一通常被任命为审核组长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)(3.9.12)。注2 2:观察员可以陪同审核组,但不作为成员。u审核员-被委派实施审核(3.9.1)的人员。注:对所考虑的特定审核,审核员通常要具有必要的资格。 1.2审核概论-有关审核术语与定义注:以下术语与定义参考GB/T 19000-2
4、000 idt ISO9000:2000质量管理体系-基础和术语u技术专家-审核提供关于被审核的某个组织(3.3.1)、过程(3.4.1)、活动或领域的专业支持的人员 。u审核员资格-个人的综合素质、教育、培训、工作经历、审核(3.9.1)经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组合 。u合格审核员-已成功通过了一个审核员鉴定过程(3.8.6)的人员。1.3审核概论审核的内容u获得审核的证据u客观、公正的评价u确定满足审核准则的程度1.4 审核概论过程评价的基本问题u过程是否被识别并适当的规定?u职责是否分配?u程序是否得实施和保持?u在实施所要求的结果方面,过程是否
5、有效。1.5 审核概论审核分类第一方审核-(通常)指的是组织内部的自我审查改进。第二方审核-(通常)指的是供方(提供商)或客户对组织的审核。第三方审核-(通常)指的是认证机构对组织的审核。1.6 审核概论内审目的1.7 审核概论审核时机、范围及频度uISMS内审的时机、范围和频度内审的时机、范围和频度按计划时间间隔;按计划时间间隔;一般至少每年应覆盖一般至少每年应覆盖ISMS所涉及的部门、过程一次;所涉及的部门、过程一次;最初建立体系时频度可适当多一些;最初建立体系时频度可适当多一些;特殊情况:特殊情况:l发生重大信息安全事件或用户重大发生重大信息安全事件或用户重大 投诉投诉l组织机构、场地、
6、信息方针、目标等发生了变化;组织机构、场地、信息方针、目标等发生了变化;l接受第二、三方审核前。接受第二、三方审核前。1.8 审核概论审核依据uISMS审核依据审核依据IS0/IEC27001:2005 标准信息安全管理体系手册信息安全管理体系程序文件信息安全策略与信息安全相关的法律法规其它与信息安全相关的文件1.9 审核概论审核方式及特点uISMS审核方式审核方式集中审核集中审核:定期全面性一次的铺开成内部审核。分散审核分散审核:根据人员安排或现状,按阶段性按条款采取地毯式的逐级审核报告。2 审核策划与准备审核流程图2 审核策划与准备u明确审核决定u确定审核组u文件审核u编制审核计划u编制审
7、核检查表u发布审核通知2.1 明确审核决定u审核目的审核目的-确保信息安全管理体系建立、实施、运行、保持和改进活动的有效性与符合性 u审核范围审核范围-信息中心业务及物理边界本部8楼u审核时间审核时间-待定u审核方式审核方式-例如:建议采取集中式审核2.2 确认审核组 审核员的资格审核员的资格须参加信息管理体系内审员培训并获得“内审员培训合格证书”。审核的态度审核的态度-确保审核的客观性与公正性。 注内审员不得审查自身或本部门工作。审核组长审核组长负责审核全过程及审核组管理工作。审核员审核员在组长的审核安排下实施审核。2.3 2.3 文件审核文件审核u目的目的了解体系中的所有过程是否得到识别并
8、适当管理;了解过程文件满足审核准则程度;u对象对象信息安全管理体系手册信息安全管理体系程序文件信息安全管理体系管理制度、办法、计划及指导书等;u准则准则信息安全管理体系标准、合同、法律法规等。2.3 2.3 文件审核文件审核u时机时机在现场审核前进行。注:信息安全管理体系管理制度、办法、计划及指导书等可以在现场审核时进行。u结论结论符合标准及法规要求;部份不符合要求;未覆盖标准及法规要求。u注意事项注意事项过程中除审核文件外,还须对其过程之间的接口是否明确。2.3 2.3 编制审核计划要求需考虑编制审核计划要求需考虑u组织的大小和性质u员体系覆盖员工数量u体系所涉及的范围u体系所涉及地点等2.
9、3 2.3 内部审核计划内部审核计划2.3 2.3 内部审核计划内部审核计划注:对以上审核日程及人员安排如有异议,请及时反馈。拟制/日期:审核组长 批准/日期:信息安全领导小姐组长2.4 2.4 审核检查表的作用审核检查表的作用u明确与审核目标有关的样本u确保审核程序规范化u按检查的要求进行调研,可使用审核目标始终保持明确。u保持审核进度u作为审核记录存挡u减少重复或不必要的工作量u减少内审员的偏见或随意性。2.5 2.5 编制审核检查表原则编制审核检查表原则u对照标准和ISMS文件编制u部门与过程相对应u选择典型的信息安全问题,抽样应有代表性。 u注意逻辑顺序,明确审核步骤。u按部门编写的检
10、查表要考虑涉及条款,按条款编制要考虑所涉及部门。2.5 2.5 使用审核检查表原则使用审核检查表原则u自己使用掌握,不须向受审方出示。u灵活使用,不需照本宣科。u不要属限于检查表项目,按实际现场审核时灵活查阅。2.5 2.5 审核检查表举例审核检查表举例2.5 2.5 审核检查表举例审核检查表举例3 3 现场审核活动的实施现场审核活动的实施u审核过程的控制u首次会议u审核方法u审核证据u不合格项报告u汇总分析 u末次会议u审核报告3.13.1审核过程的控制审核过程的控制u审核计划的控制u审核活动的控制u抽样合理(一到三个)u辨别关键过程u评定主要因素u重视控制结果u注意相关影响u营造良好的气氛
11、3.13.1审核过程的控制审核过程的控制u审核结果的控制;u合格与不合格要以事实为基础;u不合格事实要得到受审核方确认;u组内须相互沟通,保持统一意见。3.2 3.2 首次会议首次会议u首次会议时间、地址及参加人员首次会议时间、地址及参加人员u首次会议内容和程序u人员介绍u简明审核目的与范围u重新陈述审核计划及人员安排u落实后勤安排u表明审核态度及原则u保密性承诺3.3 3.3 审核方法审核方法u顺向追踪取证顺向追踪取证u逆向追踪取证逆向追踪取证u独立审核(部门审核)独立审核(部门审核)u过程审核(按条款审核)过程审核(按条款审核)注:审核的基本方法均采取抽样方式执行。3.3 3.3 审核方法
12、审核方法-顺向追踪取证顺向追踪取证u顺向追踪取证顺向追踪取证从影响信息安全的因素跟踪到结束;按照业务流程的自然顺序;从文件要求跟踪到执行记录,确保要求的和实施的一致。u优点优点系统连贯性强,可确认系统衔接整体情况。u缺点缺点费时(审核单项花费时间较长)。3.3 3.3 审核方法审核方法-逆向追踪取证逆向追踪取证u逆向追踪取证逆向追踪取证从已形成的结果追溯到影响因素的控制;按照业务流程的逆向顺序;从现场记录查询到到文件要求,确保实施的和要求的一致。u优点优点从结果找问题,针对性强,有利于发现问题。u缺点缺点问题复杂时不易理清,对审核的知识面要求较高。3.3 3.3 审核方法审核方法-独立审核独立
13、审核u独立审核(部门审核)独立审核(部门审核)以单个部门为中心,审核所涉及的相关职能业务;部门所涉及条款。u优点优点节约时间。u缺点缺点缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑相关因素,过程审核思路要清晰,审核组内部沟通要求高。3.3 3.3 审核方法审核方法过程审核过程审核u过程审核(部门审核)过程审核(部门审核)以过程为中心;一个过程要涉及多个部门、多个标准条款。u优点优点系统性完整、全面,不易遗漏。u缺点缺点部门之间重复返往较多,费时、费事;对审核知识要求较高。3.4.1 3.4.1 审核证据审核证据证据获取原则证据获取原则可作为证据原则可作为证据原则不可作为证据原则不可作为
14、证据原则存在客观的事实或情况存在客观的事实或情况估计、猜想、分析、推测估计、猜想、分析、推测受审人谈话过程并相应实物旁证受审人谈话过程并相应实物旁证陪同人或其它无关人的谈话与传闻陪同人或其它无关人的谈话与传闻现行有效文件及有效记录现行有效文件及有效记录过期或者作废文件,擅自涂改的记录等。过期或者作废文件,擅自涂改的记录等。3.4.2 3.4.2 审核证据审核证据提问技巧提问技巧u查阅过程文件记录u观察现场情况u现场或查阅过程提问交流u现场测量验证3.4.3 3.4.3 审核证据审核证据提问技巧提问技巧u封闭式:封闭式:主动简单的用“是与否”来询问。主要用于获取专门信息,例如:贵公司(组织)是否
15、有信息安全管理手册;贵公司(组织)是否有任命管理者代表;贵公司(组织)是否有建立信息安全管理机构等。u优点优点有主动权,省时,能把握重点,一针见血。u缺点缺点所获取的信息小。3.4.4 3.4.4 审核证据审核证据提问技巧提问技巧u开放式:开放式:提问交流过程需要解释。主要用于获取全面信息,例如:贵公司(组织)有没有建立信息安全目标指标,如何管理,实施结果,是否满足计划要求;贵公司(组织)是否建立资产清单,如何评定重要资产,如何管理维护等。u优点优点可获取信息面较广。u缺点缺点被动,过程可能会出现等待证据提供时间。3.4.5 3.4.5 审核证据审核证据开放式提问技巧开放式提问技巧u带主题问题
16、-XX如何做?u扩展性问题-为什么这样做,依据?u讨论性问题-对询问问题过程表达个人观点。u调查性问题-觉得怎么样,有什么想法?u重复性问题-得到明确答案?u假设性问题-如果则?u验证性问题-麻烦您拿出相应证据?3.4.6 3.4.6 审核证据审核证据提问技巧提问技巧u澄清式:澄清式:结合以上两项方法,用以获得更多专门的信息,例如:贵公司(组织)是否建立资产清单,想看看资产清单识别要求与文件要求是不是一致,识别范围怎么超出文件要求或识别范围不全面等。u优点优点可获取更多专门信息。u缺点缺点带有个人主观导向,不能常用。3.4.7 3.4.7 审核证据审核证据案例案例1 1u审核员在现场发现,全公
17、司都使用同一个口令来登录内部MIS系统,网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间,并且到目前为止也好像没发现有什么问题,大家也觉得挺方便。u请问以上回答能否作为审核证据?理由?u如果你是内审员你会怎么做?3.4.8 3.4.8 审核证据审核证据案例案例2 2u审核员从网络管理员那里了解到,防火墙在每个星期五早上都会定期失效,但查阅安全事件记录中却没有发现这些事件的记录,网络管理员解释说他早就知道这个问题了,所以没有必要再记录了。u请问以上回答能否作为审核证据?理由?u如果你是内审员你会怎么做?3.5 3.5 不符合项报告不符合项报告u不符合项:未满足审核准则要求发
18、现项。u不符合项分类:按性质上分:体系性不符合实施性不符合效果性不符合按不符合程度分:观察项一般不符合严重不符合3.5.1 3.5.1 不符合项判定不符合项判定u观察项:不会对安全造成有意义的影响,可能有潜在影响的一种发现。例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用,所以识别时未将其列入资产清单中。u一般不符合项信息安全管理体系的过程、程序或操作的轻微问题;偶然发生的不符合事项。例如:某工作人员因工作紧急,带入外部人员进入机房内处理异常事项,等各项工作完成后直接离去,但“机房管理办法”要求所有出入机房工作者必须进行登记,并注意进入工作内容,出入时间等。u严重不符合项某个部
19、门内与条款要求执行普遍失效某个条款在体系内审完全缺失。违反法律法规要求可导致重大信息安全即时发生或投诉不符合项长期得不到改进(三次验证后仍未改进),即可列为严重不符合。例如:某部门将其重要信息与普通信息存放一起,并未将重要信息执行备份,其工作人员说没时间,也很少用,为方便就混放到一起,但该部门文件明文件规定是分类存放并定期备份。3.5.2 3.5.2 不符合项判定不符合项判定3.5.33.5.3不符合项报告填写要求不符合项报告填写要求u核心内容准确描述观察事实,包括时间、地点、人物(不得用人名,用职务表述),何种情况等。不符合标准中哪个条款;不符合程度u注意事项:语言表达必须简练,正确、完整。
20、避免用“似乎、总的来说等”词语。3.5.4 3.5.4 不符合案例练习不符合案例练习u2010年2月1日,审核员到某公司进行ISMS评审。公司的备份管理程序要求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定期审查表,发现日志备份在2010年1月25日时备份检查上描述“自动备份失效”。u审核员在现场发现有密钥文件清单、账户申请记录等信息资产,但审核员在公司的资产登记表没有找到这些信息资产。u审核员从网络管理员那里了解到,防火墙在每个星期五早上都会定期失效,但查阅安全事件记录中却没有发现这些事件的记录,网络管理员解释说他早就知道这个问题了,所以没有必要再记录了。u审核员在现场发现,全
21、公司都使用同一个口令来登录内部MIS系统,网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间,并且到目前为止也好像没发现有什么问题,大家也觉得挺方便。 3.5.5 3.5.5 不符合判定原则不符合判定原则从直接原因上找(就近不就远);慎判严重不符合(就小不就大);按事实不符合情况找对应条款;仅是文件过程文件要求,对部门没多大帮助的可以不提;应考虑不符合条款正确性,有利于改进部门采取纠正措施。3.5.6 3.5.6 不符合模版不符合模版3.6 3.6 末次会议目的末次会议目的u末次会议目的末次会议目的公布内部审核结果;宣布审核结论;提出改进要求;结束现场审核。u感谢大家配合与
22、支持;u重申审核目的与范围;u陈述审核的局限性;u提交不符合报告;u澄清审核过程不确认问题;u提出采取纠正措施;u对本次审核作出总结;u宣读审核结论;(注以上内容圴由审核组长主持)u领导讲话。3.6.1 3.6.1 末次会议内容末次会议内容3.6.2 3.6.2 审核报告内容审核报告内容u审核目的与范围;u审核组成员;u审核日期;u审核依据;u审核情况概述;u不符合项的分布表;u体系改进建议性意见。3.6.3 3.6.3 审核报告模版审核报告模版3.6.3 3.6.3 审核报告模版审核报告模版3.6.3 3.6.3 不符合项跟踪验证不符合项跟踪验证u验证时机:按不符合报告措施时间。u实施验证员:区域内审员/审核组长/管理代表均可。u验证内容:改进计划是否按规定时间完成;计划听各项措施是否都已完成;完成后的效果确认情况(注:查询改进记录或实际运行情况)。u不符合报告结论措施改进有效;措施改进仍未满足体系要求,需进一步改进,重新开出不符合报告,标明报告编号为XXX,并交改进部门签字确认。
