信息安全管理体系审核检查表.docxVIP

信息安全管理体系审核指南 标准要求的强制性 ISMS 文件 强制性 ISMS 文件 说明 (1) ISMS 方针文件，包括 ISMS 的范围 根据标准“4.3.1”a)和 b)的要求。 (2) 风险评估程序 根据“4.3.1”d)和 e)的要求, 要有形成文件的“风险评估 方法的描述”和“风险评估报告”。为了减少文件量，可创 建一个《风险评估程序》。该程序文件应包括“风险评估方 法的描述”，而其运行的结果应产生《风险评估报告》。 (3) 风险处理程序 根据标准“4.3.1”f)的要求, 要有形成文件的“风险处理 计划”。因此，可创建一个《风险处理程序》。该程序文件 运行的结果应产生《风险处理计划》。 (4) 文件控制程序 根据标准的“4.3.2 文件控制”的要求，要有形成文件的“文 件控制程序”。 (5) 记录控制程序 根据标准的“4.3.3 记录控制”的要求，要有形成文件的“记 录控制程序”。 (6) 内部审核程序 根据标准的“6 内部 ISMS 审核”的要求，要有形成文件的 “内部审核程序”。 (7) 纠正措施与预防措施程序 根据标准的“8.2 纠正措施”的要求，要有形成文件的“纠 正措施程序”。根据 “8.3 预防措施”的要求，要有形成文 件的“预防措施程序”。“纠正措施程序”和“预防措施程序” 通常可以合并成一个文件。 (8) 控制措施有效性的测量程序 根据标准的“4.3.1 g)”的要求，要有形成文件的“控制措 施有效性的测量程序”。 (9) 管理评审程序 “管理评审”过程不一定要形成文件，但最好形成“管理评 审程序”文件，以方便实际工作。 (9) 适用性声明 根据标准的“4.3.1 i)” 的要求, 要有形成文件的适用性 声明。 1 审核重点 第二阶段审核： 检查受审核组织如何评估信息安全风险和如何设计其 ISMS，包括如何： 定义风险评估方法(参见 4.2.1 c) 识别安全风险(参见 4.2.1 d)) 分析和评价安全风险(参见 4.2.1 e) 识别和评价风险处理选择措施(参见的 4.2.1 f) 选择风险处理所需的控制目标和控制措施(参见 4.2.1 g)) 确保管理者正式批准所有残余风险(参见 4.2.1 h) 确保在 ISMS 实施和运行之前，获得管理者授权(参见的 4.2.1 i)) 准备适用性声明(参见 4.2.1 j) b) 检查受审核组织如何执行 ISMS 监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括： ISMS 监视与评审(依照 4.2.3 监视与评审 ISMS”条款) 控制措施有效性的测量(依照 4.3.1 g) 内部 ISMS 审核(依照第 6 章“内部 ISMS 审核”) 管理评审(依照第 7 章“ISMS 的管理评审”) ISMS 改进(依照第 8 章“ISMS 改进”)。 c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括： 4.2.3 监视与评审 ISMS 第 7 章“ISMS 的管理评审”。 d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括： 4.2.3 监视与评审 ISMS 5 管理职责 7 ISMS 的管理评审 e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第 8 章“过程要求的符合性审核”)。 监督审核： a) 上次审核发现的纠正/预防措施分析与执行情况； b) 内审与管理评审的实施情况； c) 管理体系的变更情况； d) 信息资产的变更与相应的风险评估和处理情况； e) 信息安全事故的处理和记录等。 再认证审核： a) 检验组织的 ISMS 是否持续地全面地符合 ISO/IEC 27001:2005 的要求。 b) 评审在这个认证周期中 ISMS 的实施与继续维护的情况，包括： 检查 ISMS 是否按照 ISO/IEC 27001:2005 的要求加以实施、维护和改进； 评审 ISMS 文件和定期审核(包括内部审核和监督审核)的结果； 检查 ISMS 如何应对组织的业务与运行的变化； 检验管理者对维护 ISMS 有效性的承诺情况。 2 4 信息安全管理体系 4.1 总要求 4.2 建立和管理 ISMS 4.2.1 建立 ISMS 标准的要求 审核内容 审核记录 注释与指南 a) 组织要定义 ISMS ? 组织是否有一个定义 对“定义 ISMS 的范围”要求的符合性审核，要确 的范围 ISMS 范围的过程？ 保 ISMS 的定义不仅要包括范围，也要包括边界。对 任何范围的删减，必须有详细说明和正当性理由。 ? 是否有对任何范围的删 减？ b) 组织要定义 ISMS ? 组织是否有一个 ISMS 要求明确规定 ISMS 方针的