ISMS内审员培训教材.ppt

3.5.5 不符合判定原则 从直接原因上找（就近不就远）； 慎判严重不符合（就小不就大）； 按事实不符合情况找对应条款； 仅是文件过程文件要求，对部门没多大帮助的可以不提； 应考虑不符合条款正确性，有利于改进部门采取纠正措施。 3.5.6 不符合模版 3.6 末次会议目的 末次会议目的 公布内部审核结果； 宣布审核结论； 提出改进要求； 结束现场审核。 感谢大家配合与支持； 重申审核目的与范围； 陈述审核的局限性； 提交不符合报告； 澄清审核过程不确认问题； 提出采取纠正措施； 对本次审核作出总结； 宣读审核结论；（注以上内容圴由审核组长主持） 领导讲话。 3.6.1 末次会议内容 3.6.2 审核报告内容 审核目的与范围； 审核组成员； 审核日期； 审核依据； 审核情况概述； 不符合项的分布表； 体系改进建议性意见。 3.6.3 审核报告模版 3.6.3 审核报告模版 3.6.3 不符合项跟踪验证 验证时机：按《不符合报告措施时间》。 实施验证员：区域内审员/审核组长/管理代表均可。 验证内容： 改进计划是否按规定时间完成； 计划听各项措施是否都已完成； 完成后的效果确认情况（注：查询改进记录或实际运行情况）。 不符合报告结论 措施改进有效； 措施改进仍未满足体系要求，需进一步改进，重新开出不符合报告，标明报告编号为XXX，并交改进部门签字确认。 * 2.3 文件审核 目的 了解体系中的所有过程是否得到识别并适当管理； 了解过程文件满足审核准则程度； 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等； 准则 信息安全管理体系标准、合同、法律法规等。 2.3 文件审核 时机 在现场审核前进行。注：信息安全管理体系管理制度、办法、计划及指导书等可以在现场审核时进行。 结论 符合标准及法规要求； 部份不符合要求； 未覆盖标准及法规要求。 注意事项 过程中除审核文件外，还须对其过程之间的接口是否明确。 2.3 编制审核计划要求需考虑 组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等 2.3 内部审核计划 2.3 内部审核计划 注：对以上审核日程及人员安排如有异议，请及时反馈。拟制/日期：审核组长 批准/日期：信息安全领导小姐组长 2.4 审核检查表的作用 明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研，可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。 2.5 编制审核检查表原则 对照标准和ISMS文件编制 部门与过程相对应 选择典型的信息安全问题，抽样应有代表性。 注意逻辑顺序，明确审核步骤。 按部门编写的检查表要考虑涉及条款，按条款编制要考虑所涉及部门。 2.5 使用审核检查表原则 自己使用掌握，不须向受审方出示。 灵活使用，不需照本宣科。 不要属限于检查表项目，按实际现场审核时灵活查阅。 2.5 审核检查表举例 2.5 审核检查表举例 3 现场审核活动的实施 审核过程的控制 首次会议 审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告 3.1审核过程的控制 审核计划的控制 审核活动的控制 抽样合理（一到三个） 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛 3.1审核过程的控制 审核结果的控制； 合格与不合格要以事实为基础； 不合格事实要得到受审核方确认； 组内须相互沟通，保持统一意见。 3.2 首次会议 首次会议时间、地址及参加人员 首次会议内容和程序 人员介绍 简明审核目的与范围 重新陈述审核计划及人员安排 落实后勤安排 表明审核态度及原则 保密性承诺 3.3 审核方法 顺向追踪取证 逆向追踪取证 独立审核（部门审核） 过程审核（按条款审核） 注：审核的基本方法均采取抽样方式执行。 3.3 审核方法--顺向追踪取证 顺向追踪取证 从影响信息安全的因素跟踪到结束； 按照业务流程的自然顺序； 从文件要求跟踪到执行记录，确保要求的和实施的一致。 优点 系统连贯性强，可确认系统衔接整体情况。 缺点 费时（审核单项花费时间较长）。 3.3 审核方法--逆向追踪取证 逆向追踪取证 从已形成的结果追溯到影响因素的控制； 按照业务流程的逆向顺序； 从现场记录查询到到文件要求，确保实施的和要求的一致。 优点 从结果找问题，针对性强，有利于发现问题。 缺点 问题复杂时不易理清，对审核的知识面要求较高。 3.3 审核方法--独立审核 独立审核（部门审核） 以单个部门为中心，审核所涉及的相关职能业务； 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接，可能存在疏漏，审核准备时需充分考虑相关因素，过程审核