isms内审员培训教材.pptVIP

2.2 确认审核组 审核员的资格—须参加信息管理体系内审员培训并获得“内审员培训合格证书”。 审核的态度--确保审核的客观性与公正性。 注内审员不得审查自身或本部门工作。 审核组长—负责审核全过程及审核组管理工作。 审核员—在组长的审核安排下实施审核。 2.3 文件审核 目的 了解体系中的所有过程是否得到识别并适当管理； 了解过程文件满足审核准则程度； 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等； 准则 信息安全管理体系标准、合同、法律法规等。 2.3 文件审核 时机 在现场审核前进行。注：信息安全管理体系管理制度、办法、计划及指导书等可以在现场审核时进行。 结论 符合标准及法规要求； 部份不符合要求； 未覆盖标准及法规要求。 注意事项 过程中除审核文件外，还须对其过程之间的接口是否明确。 2.3 内部审核计划 2.4 审核检查表的作用 明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研，可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。 2.5 审核检查表举例 2.5 审核检查表举例 3.4.7 审核证据—案例1 审核员在现场发现，全公司都使用同一个口令来登录内部MIS系统，网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间，并且到目前为止也好像没发现有什么问题，大家也觉得挺方便。 请问以上回答能否作为审核证据？理由？ 如果你是内审员你会怎么做？ 3.4.8 审核证据—案例2 审核员从网络管理员那里了解到，防火墙在每个星期五早上都会定期失效，但查阅安全事件记录中却没有发现这些事件的记录，网络管理员解释说他早就知道这个问题了，所以没有必要再记录了。 请问以上回答能否作为审核证据？理由？ 如果你是内审员你会怎么做？ 3.5.1 不符合项判定 观察项：不会对安全造成有意义的影响，可能有潜在影响的一种发现。 例如：某部门在资产识别过程中，发现刚购置一台新设备，但未验收使用，所以识别时未将其列入资产清单中。 一般不符合项 信息安全管理体系的过程、程序或操作的轻微问题； 偶然发生的不符合事项。 例如：某工作人员因工作紧急，带入外部人员进入机房内处理异常事项，等各项工作完成后直接离去，但“机房管理办法”要求所有出入机房工作者必须进行登记，并注意进入工作内容，出入时间等。 严重不符合项 某个部门内与条款要求执行普遍失效 某个条款在体系内审完全缺失。 违反法律法规要求 可导致重大信息安全即时发生或投诉 不符合项长期得不到改进（三次验证后仍未改进），即可列为严重不符合。 例如：某部门将其重要信息与普通信息存放一起，并未将重要信息执行备份，其工作人员说没时间，也很少用，为方便就混放到一起，但该部门文件明文件规定是分类存放并定期备份。 3.5.2 不符合项判定 3.5.3不符合项报告填写要求 核心内容 准确描述观察事实，包括时间、地点、人物（不得用人名，用职务表述），何种情况等。 不符合标准中哪个条款； 不符合程度 注意事项： 语言表达必须简练，正确、完整。 避免用“似乎、总的来说等”词语。 3.5.4 不符合案例练习 2010年2月1日，审核员到某公司进行ISMS评审。公司的备份管理程序要求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定期审查表，发现日志备份在2010年1月25日时备份检查上描述“自动备份失效”。 审核员在现场发现有密钥文件清单、账户申请记录等信息资产，但审核员在公司的资产登记表没有找到这些信息资产。 审核员从网络管理员那里了解到，防火墙在每个星期五早上都会定期失效，但查阅安全事件记录中却没有发现这些事件的记录，网络管理员解释说他早就知道这个问题了，所以没有必要再记录了。 审核员在现场发现，全公司都使用同一个口令来登录内部MIS系统，网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间，并且到目前为止也好像没发现有什么问题，大家也觉得挺方便。 3.5.6 不符合模版 * *