信息安全管理体系审核检查表.docxVIP

2020 2020 年 6 月 23 日 信息安全管理体系 审核检查表 1 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 信息安全管理体系审核指南 标准要求的强制性 ISMS 文件 强制性 ISMS文件 说明 ISMS 方针文件 , 包括 ISMS的范围 根据标准” 4.3.1 ” a) 和 b) 的要求。 风险评估程序 根据” 4.3.1 ” d) 和 e) 的要求 , 要有形成文件的”风险评估方法的描述”和”风险评估报告”。为了减少文件量 , 可创立一个《风险评估程序》。该程序文件应包括”风险 评估方法的描述” , 而其运行的结果应产生《风险评估报告》。 风险处理程序 根据标准” 4.3.1 ” f) 的要求 , 要有形成文件的”风险处理计划”。因此 , 可创立一个《风险处理程序》。该程序文 件运行的结果应产生《风险处理计划》。 文件控制程序 根据标准的” 4.3.2 文件控制”的要求 , 要有形成文件的”文件控制程序”。 记录控制程序 根据标准的” 4.3.3 记录控制”的要求 , 要有形成文件的”记录控制程序”。 内部审核程序 根据标准的” 6 内部 ISMS审核”的要求 , 要有形成文件的”内部审核程序”。 纠正措施与预防措施程序 根据标准的” 8.2 纠正措施”的要求 , 要有形成文件的” 纠正措施程序”。根据 ” 8.3 预防措施”的要求 , 要有形成文件的”预防措施程序”。”纠正措施程序”和”预防 措施程序”一般能够合并成一个文件。 (8) 控制措施有效性的测量程序 根据标准的” 4.3.1 g) ”的要求 , 要有形成文件的”控制 措施有效性的测量程序”。 (9) 管理评审程序 ”管理评审”过程不一定要形成文件 , 但最好形成”管理 评审程序”文件 , 以方便实际工作。 (9) 适用性声明 根据标准的” 4.3.1 i) ” 的要求 , 要有形成文件的适用性 声明。 1 审核重点 第二阶段审核 : 检查受审核组织如何评估信息安全风险和如何设计其 ISMS, 包括如何 : 定义风险评估方法 (参见 4.2.1 c) 识别安全风险 (参见 4.2.1 d)) 分析和评价安全风险 (参见 4.2.1 e) 识别和评价风险处理选择措施 (参见的 4.2.1 f) 选择风险处理所需的控制目标和控制措施 (参见 4.2.1 g)) 确保管理者正式批准所有残余风险 (参见 4.2.1 h) 确保在 ISMS 实施和运行之前 , 获得管理者授权 (参见的 4.2.1 i)) 准备适用性声明 (参见 4.2.1 j) 检查受审核组织如何执行 ISMS 监控、 测量、 报告和评审 (包括抽样检查关键的过程是否到 位), 至少包括 : ISMS 监视与评审 (依照 4.2.3 监视与评审 ISMS ”条款 ) 控制措施有效性的测量 (依照 4.3.1 g) 内部 ISMS 审核(依照第 6 章”内部 ISMS 审核” ) 管理评审 (依照第 7 章” ISMS 的管理评审” ) ISMS 改进(依照第 8 章” ISMS 改进” )。 2 检查管理者如何执行管理评审 (包括抽样检查关键的过程是否到位), 依照条款包括 : 4.2.3 监视与评审 ISMS 第 7 章” ISMS 的管理评审”。 检查管理者如何履行信息安全的职责 (包括抽样检查关键的过程是否到位 ), 依照条款包括 : 4.2.3 监视与评审 ISMS 5 管理职责 7 ISMS 的管理评审 检查安全方针、 风险评估结果、 控制目标与控制措施、 各种活动和职责 , 相互之间有如何连带关系 (也参见本文第 8 章”过程要求的符合性审核” )。 监督审核 : 上次审核发现的纠正 /预防措施分析与执行情况 ; 内审与管理评审的实施情况 ; 管理体系的变更情况 ; 信息资产的变更与相应的风险评估和处理情况 ; 信息安全事故的处理和记录等。 3 再认证审核 : 检验组织的 ISMS 是否持续地全面地符合 ISO/IEC 27001: 的要求。 评审在这个认证周期中 ISMS 的实施与继续维护的情况 , 包括: 检查 ISMS 是否按照 ISO/IEC 27001: 的要求加以实施、 维护和改进 ; 评审 ISMS 文件和定期审核 (包括内部审核和监督审核 )的结果 ; 检查 ISMS 如何应对组织的业务与运行的变化 ; 检验管理者对维护 ISMS 有效性的承诺情况。 4