信息安全管理体系审核检查表.docVIP

信息安全管理体系审核指南 标准要求的强制性ISMS文件 强制性ISMS文件 说明 (1) ISMS方针文件，包括ISMS的范围 根据标准“4.3.1” (2) 风险评估程序 根据“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个《风险评估程序》。该程序文件应包括“ (3) 风险处理程序 根据标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此，可创建一个《风险处理程序》。 (4) 文件控制程序 根据标准的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 记录控制程序 根据标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序” (6) 内部审核程序 根据标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。 (7) 纠正措施与预防措施程序 根据标准的“8.2纠正措施”的要求，要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。 (8) 控制措施有效性的测量程序 根据标准的“4.3.1 g)”的要求，要有形成文件的“ (9) 管理评审程序 “管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。 (9) 适用性声明 根据标准的“4.3.1 i)” 的要求, 要有形成文件的 审核重点 第二阶段审核： 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何： 定义风险评估方法(参见4.2.1 识别安全风险(参见4.2.1 d)) 分析和评价安全风险(参见4.2.1 e) 识别和评价风险处理选择措施(参见的4.2.1 选择风险处理所需的控制目标和控制措施(参见4.2.1 确保管理者正式批准所有残余风险(参见4.2.1 h) 确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1 i)) 准备适用性声明(参见4.2.1 j) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到 位)，至少包括： ISMS监视与评审(依照4.2.3监视与评审ISMS” 控制措施有效性的测量(依照 4.3 内部ISMS审核(依照第6章“内部ISMS审核”) 管理评审(依照第7章“ISMS的管理评审”) ISMS改进(依照第8章“ISMS改进”)。 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括： 4.2.3监视与 第7章“ISMS的管理评审”。 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括： 4.2.3监视与 5 管理职责 7 ISMS的管理评审 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。 监督审核： 上次审核发现的纠正/预防措施分析与执行情况； 内审与管理评审的实施情况； 管理体系的变更情况； 信息资产的变更与相应的风险评估和处理情况； 信息安全事故的处理和记录等。 再认证审核： 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。 评审在这个认证周期中ISMS的实施与继续维护的情况，包括： 检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进； 评审ISMS文件和定期审核(包括内部审核和监督审核)的结果； 检查ISMS如何应对组织的业务与运行的变化； 检验管理者对维护ISMS有效性的承诺情况。 4 信息安全管理体系 4.1总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 标准的要求 审核内容 审核记录 注释与指南 a) 组织要定义ISMS的范围 组织是否有一个定义ISMS范围的过程？ 对“定义ISMS的范围”要求的符合性审核，要确保ISMS的定义不仅要包括范围，也要包括边界。对任何范围的删减，必须有详细说明和正当性理由。 是否有对任何范围的删减？ b) 组织要定义ISMS方针 组织是否有一个ISMS方针文件？ 要求明确规定ISMS方针的5个基本点，即ISMS方针要： 1) 包括信息安全的目标框架、信息安全工作的总方向和原则； 2) 考虑业务要求、法律法规的要求和合同要求； 3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4) 建立风险评价准则； 5) 获得管理者批准。 在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。 组织的ISMS方针文件是否满足ISO/IEC 27001:2005规定的5个基本点(见注释与指南栏)？