信息安全管理体系审核指南.docVIP

目 次 前 言 本标准由全国信息安全标准化技术委员会提出并归口； 本标准起草单位： 本标准主要起草人：。 引 言 GB/T22080-2008/ISO/IEC 27001:2005是基于过程的。标准的4 - 8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如，GB/T22080-2008/ISO/IEC 27001:2005标准的5-8章：“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”，可以看作构成ISMS管理体系的相互关系的４大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC 27001:2005标准建议:组织使用PDCA模型，构建ISMS过程。这意味着，每一个过程都应有P(即计划),D(即实施、运行与维护)，C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员 (包括内部审核员和外部审核员)执行ISMS审核提供指南，以确保ISMS审核： 既能符合GB/T 22080-2008/ISO/IEC 27001:2005标准的要求，又能与GB/T19011 -2003/ISO 19011：2002和ISO/IEC 27006标准保持一致； 成为帮助受审核的组织完成其目标、改进其工作的一个增值