ISMS【信息安全系列培训】【06】【内部审核】.pptxVIP

演讲人：职　称：高级咨询师日　期：北京天融信网络安全技术有限公司信息安全系列培训 - 内部审核主要内容审核基本概念审核过程审核策划审核实施审核报告审核跟踪基本概念为什么进行审核ISO/IEC 27001:2005:组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否：符合本标准和相关法律法规的要求；符合已确定的信息安全要求；得到有效地实施和保持；按预期执行。ISO 9001:2008组织应按策划的时间间隔进行内部审核，以确定质量管理体系是否 :符合策划的安排(见7. 1)、本标准的要求以及组织所确定的质量管理体系的要求;得到有效实施与保持。为什么审核AgreeDisagree向管理层展示观点向管理层强调风险验证业务有效性识别培训需求发现不符合进行检查推动改进的工具获得证书使相关方满意审核的定义为获得审核证据，并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。 ISO 19001First party / internal audit第一方/内部审核Second Party/external audit第二方/外部审核Third Party/external audit第三方/外部审核什么是审核准则Statutory/Legislative requirements法律需求Organisation’s processes and operations组织的流程和运营Codes of practice最佳实践Procedures程序System standard系统标准Work instructions工作指导Specifications规范Organisation’s management manual组织的管理手册什么是审核证据通过观察、测量或实验获得的，并且能够被验证的关于管理体系要素的实施和运行的定性或定量的信息、记录或陈述。特点：可陈述的事实；可验证的事实；不含有推测和猜想。审核发现将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价结果，这种结果是依据审核准则，在审核证据的基础上做出的，审核发现是编制审核报告的基础。审核发现分类Noteworthy effort值得嘉奖项Observation观察项Non-conformity不符合项什么是不符合？ISO 9000:2000, clause 3.6.2A requirementA failingEvidence不符合是指不能满足要求什么是观察项?潜在问题错误的应用最佳实践错误理解风险无效率缺少沟通无效力什么是值得嘉奖项？采用最佳实践证明持续改进高层承诺动机体系优化审核案例（1）理赔部的Robin收到了一个从admin@来的email。这个email有一个免费下载一个搜索工具。Robin点击这个连接，他的计算机被毁坏了。立刻填了一个事故报告表并发给了Paul – 系统管理员要求解释和快速解决方案。Paul否认曾送过那个email，但是帮助Robin格式化了他的计算机系统的硬盘并根据《保险备份恢复程序》的要求恢复了他的数据有没有不符合事项？审核案例（2）一个星期之后，Robin又收到了一个发自admin@邮件，这一次要求他的邮件口令字。Robin很生气，与Paul发生了争吵并要求对此类问题有个解决方案。他发出一个事故报告给Paul并转发这个邮件给他，要求措施。Paul回答说“对不起”并保证调查这个问题Paul 于是删除了邮件，因为此类邮件问题好像经常发生Is this a nonconformity? 这是不符合事项吗？审核案例（3）审核员在审核数据库控制的时候发现某些在工作时间所进行的变更需要通过一系列的处理过程，而在非工作时间进行的变更却只需要进行很少的几个步骤。审核案例（4）在物品接收检验部门，稽核员注意到检验员正在供货商出货计算机系统上输入其员工代号，以作为物品接收检验已满意完成的证据。但是该员工的代号却能在内部的电话号码表中轻易得知。审核案例（5）审核日期2001年11月14日。当审查组织的管理阶层审查会议纪录时，稽核员注意到最后的会议纪录日期是2001年5月15日。现行的管制性公司程序复本AP.01第3版发行给稽核员，该程序上要求每三个月举行管理阶层审查会议。信息安全经理说明是因为管理处长在上个月已经出国，而他们想要在稽核完成后立即举行一次管理阶层审查会议。系统方法将相互关联的过程作为体系来看待、理解和管理，有助于组织提高实现目标的有效性和效率。链条效应审核的独立性ISO 9001:2008 条款8.2.2组织应策划审核方案，策划时应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程