第五部分：信息安全管理体系内部审核PPT.ppt

ISMS内审员培训教程;第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核; 了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧;主要内容;1.1 定义 为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程 （ISO 9000） 1.2 审核“成败”的关键 系统的：正式、有序的审查活动 独立的：保持审核的独立性和公正性;1.3 审核的内容 1、获得审核证据 2、客观评价 3、确定满足审核准则的程度 1.4 过程评价的四个基本问题 1、过程是否已被识别并适当规定？ 2、职责是否已被分配？ 3、程序是否得到实施和保持？ 4、在实现所要求的结果方面，过程是否有效？;1.6 内部审核的目的;1.7 ISMS内审的时机、范围和频度 按策划的时间间隔 一般至少每年应覆盖ISMS所涉及部门、过程一次 最初建立体系时频度可适当多一些 特殊情况: 发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前;1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件;1.9 ISMS内部审核的方式 1、集中审核 2、分散审核 1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程;1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析 ; 领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作;明确审核决定 确定审核组 文件审核 编制审核计划 编制检查表 通知受审核部门并约定具体的审核时间; 1、审核目的2、审核范围3、审核时间4、审核方式;1、审核人员的资格 2、确保客观性和公正性 3、专业能力 4、审核组长：负责审核全过程及审核组管理工作 5、审核员：在审核组长指导下进行审核;目的： 体系中所有过程是否被识别并适当规定； 职责是否被分配； 过程文件满足审核准则的程度 对象： 信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等 审核准则： 标准、合同及有关的法律、法规; 时机：在现场审核前进行； 作业指导书、质量计划、规范等可以在现 场审核时进行； 结论：符合标准及法规的要求； 部分不符合要求； 没有覆盖标准及法规的要求； 注意事项：不仅要审核过程文件，还要审核过程 之间的接口是否明确、协调; 组织的大小和性质 员工数量 体系复杂性 ISMS的范围 涉及的地点数目 信息类型-文件/电子等 ; 审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时所用语言、保密承诺等) 审核计划示例：;;;; 一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究， 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性;二、检查表的内容 1、列出审核项目的要点（确保完整） 2、明确审核步骤和方法，进行抽样量的设计 注：ISMS所涉及的过程和部门不能抽样，不同 的类型不能抽样;三、设计检查表的注意事项 1、对照标准和ISMS文件 2、部门与过程相对应 3、选择典型的信息安全问题，抽样应有代表性 4、注意逻辑顺序，明确审核步骤 5、按部门编制的检查表要考虑涉及的条款，按条款 编制的检查表要