ISMS信息安全系列培训.ppt

质量管理体系培训教材 * * ISO/IEC 20000:2005 管理者应按计划的时间间隔确定服务管理要求是否： 符合服务管理计划和本标准的要求；以及 得到有效实施和维持。 * * * * ISO 19011:2000, 3.2 审核准则：一组方针、程序或要求。审核准则是用作与审核证据相比较的依据。 * * Better presentation * Better presentation 质量管理体系培训教材 * 证据应该是可信的并且可重现的。 * * * * * * * * * 审核员 审核组长全面负责各阶段的审核工作； 协助选择审核组的成员； 制定审核计划、起草工作文件、给审核组成员布置工作； 代表审核组与受审核方领导接触； 及时向受审核方报告关键性的不合格（不符合）情况； 报告审核过程中遇到的重大障碍； 审核组长有权对审核工作的开展和审核观察结果作出最后的决定； 清晰、明确地报告审核结果。 组长职责 第二十三页，共五十四页。 审核员 在确定的审核范围内进行工作； 收集和分析与受审核的管理体系有关并足以对其下结论的证据； 将观察结果整理成书面资料； 报告审核结果； 验证由审核结果导致的纠正措施的有效性（当委托方提出要求时）； 收存、保管和呈送与审核有关的文件； 配合和支持审核组长的工作。 组员职责 第二十四页，共五十四页。 审核过程 第二十五页，共五十四页。 审核过程 PLAN CONDUCT REPORT FOLLOW-UP 第二十六页，共五十四页。 审核过程 – 策划 第二十七页，共五十四页。 审核计划 审核计划包括年度审核计划和审核活动计划（审核大纲）。年度审核计划是审核策划的始端也是总纲，审核活动计划则是按照年度审核计划安排具体实施。 审核计划的内容可包括：审核目的、范围、审核准则、审核组成员及分工、主要审核活动的时间安排、首末次会议时间等。 组织年度审核计划应以文件形式颁发，审核活动计划应有审核组长签名和主管领导的批准。 年度审核计划 审核活动计划 跟踪审核计划 临时性审核计划 第二十八页，共五十四页。 成立审核小组 根据审核活动目的、范围、部门、过程以及审核日程安排，选定审核组长和成员，建立审核小组。 小组成立后，应明确各成员分工和要求，这是审核组长的责任。审核组长应注意“审核员不能审核自己的工作”的原则。 审核员按分配任务做好各项准备工作。主要有：熟悉必要的文件和程序；根据要求编制检查表；考虑前次审核结果应跟踪的项目。 小组成立后通常应举行审核组会议，以确保审核前准备工作全部完成，每个审核员对审核任务完全了解。 第二十九页，共五十四页。 审核计划表 COMPANY: LOCATION: LOCATION: AUDIT CRITERIA: SCOPE: AUDIT DATES: 2nd-5th December 2005 AUDIT TEAM F Smith Lead Auditor A another Time Auditor Activity 10:15 Opening Meeting with Senior Management to explain the scope of the audit and the method of reporting. ………………….. ………………….. …………………… . 第三十页，共五十四页。 审核检查表 ACTIVITY : REFERENCES : DATE: DATE: Item Requirement / question Resp/Ref. Findings ?/? 第三十一页，共五十四页。 Helps with preparation 帮助准备 Focuses the auditor 审核员关注 Ensures issues are not forgotten 确问题不被忘记 Time control 时间控制 Assists with reporting 报告 Aids Consistency 目标坚持 ? ? ? ? ? ? 不要思路狭窄,管理审核并不是检查表 ? 审核检查表的目的 第三十二页，共五十四页。 检查表参考(1) 类别 序号 审核条目 不符合项发现 个人使用设备 1 检查是否安装了未授权软件？对照《授权软件清单》进行检查。 　 2 检查病毒软件版本、病毒库是否最新？应小于3天。 　 3 检查操作系统补丁是否最新？小于1个月。 　 4 检查本地用户口令是否设置,强度是否符合公司管理规定？8位，大小写。 　 5 检查屏保时间间隔是否=5分钟，并设置了口令恢复保护？ 　 6 检查下班是否关机？ 　 7 检查下班后桌面是否无“机密”及其它敏感资料？ 　 8 检查下班后文件柜是否锁闭？ 　 9 检查是否删除了共享（默认及非默