- 1、本文档共89页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
一培训目的
一培训目的
◆了解体系审核的基本概念
◆掌握ISMS内部审核流程
◆掌握ISMS内部审核方法与技巧
二培训内容
二培训内容
◆审核概论
◆审核策划与准备
◆审核实施
◆纠正及其跟踪
◆ISMS评价
1.1审核概论--有关审核术语与定义
1.1审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语
◆审核--为获得审核证据并对其进行客观的评价,以确定满足经协商的准则的程度所进行的系统的、独立的并形成文件的过程。
◆审核方案一-针对特定的时间框架和特定的目的所策划的一组(一个或多个)审核
◆审核范围--审核的广度和界限。
注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
◆准则一-确定为依据的一组方针、程序或要求。
◆审核证据一-可多方查证的与经协商的准则有关的记录、事实陈述或其他信息注:审核证据可以是定性的或定量的。
1
1.2审核概论--有关审核术语与定义
◆审核发现--审核的结果。
◆审核结论-审核组在考虑了所有审核发现以后得出的审核结果。
◆审核委托方-要求或请求审核的组织或个人。
◆受审核方一一被审核的组织。
◆审核组--实施审核的一个人或一组人。
注1:审核组的一个或多个人通常是合格审核员,并且其中之一通常被任命为审核组长。审核组可包括接受培训的审核员。在需要时可包括技术专家。
注2:观察员可以陪同审核组,但不作为成员。
◆审核员-一被委派实施审核的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
1.2审核概论--有关审核术语与定义
1.2审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语
◆技术专家--〈审核〉提供关于被审核的某个组织、过程、活动或领域的专业支持的人员。
◆审核员资格一个人的综合素质、教育、培训、工作经历、审核经历及能够一个人作为审核员被委派所需要证实的能力的组合。
◆合格审核员--已成功通过了一个审核员鉴定过程的人员。
1.3
1.3审核概论—审核的内容
◆获得审核的证据
◆客观、公正的评价
◆确定满足审核准则的程度
1.
1.4审核概论—过程评价的基本问题
◆过程是否被识别并适当的规定?
◆职责是否分配?
◆程序是否得实施和保持?
◆在实施所要求的结果方面,过程是否有效。
1.5审核概论—审核分类
1.5审核概论—审核分类
第一方审核(内部)
第二方审核(外部)第二方审核(外部)顾客
第二方审核
(外部)
第二方审核
(外部)
顾客
组织
第三方审核(外部)
认证/注册机构
第一方审核--(通常)指的是组织内部的自我审查改进。
第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。
第三方审核--(通常)指的是认证机构对组织的审核。
目
目的
1.6审核概论—内审目的
确保信息安全管理体系正常运行和改进的需要
作为一种管理手段,是组织管理评审输入的重要内容
外部审核前的准备
主要依据:信息安全管理体系文件
1.7审核概论—审核时机、范围及频度
1.7审核概论—审核时机、范围及频度
◆ISMS内审的时机、范围和频度按计划时间间隔;
一般至少每年应覆盖ISMS所涉及的部门、过程一次;
最初建立体系时频度可适当多一些;
特殊情况:
●发生重大信息安全事件或用户重大投诉
●组织机构、场地、信息方针、目标等发生了变化;
●接受第二、三方审核前。
1
1.8审核概论—审核依据
◆ISMS审核依据
IS0/IEC27001:2022标准
信息安全管理体系手册
信息安全管理体系程序文件
信息安全策略和客户的信息安全管理体系要求
与信息安全相关的法律法规
其它与信息安全相关的文件
1
1.9审核概论—审核方式及特点
◆ISMS审核方式
集中审核:定期全面性一次的铺开成内部审核。
分散审核:根据人员安排或现状,按阶段性按条款采取地毯式的逐级审核报告。
2审核策划与准备—审核流程图
2审核策划与准备—审核流程图
审核策略与审核
准备
审核实施
不符合项纠正及效果跟踪
1.纠正措施计划是
1.审核过程控制
否按规定限期完成
1.明确审核决定
2.首次会议
2.计划中各项措施
2.确定审核组
3.审核方法
是否都已完成
3.熟悉审核文件
4.审核证据
3.完成后的效果如
4.编制审核计划
5.不合格项报告
何
5.编制审核检查表
6.汇总分析
4.实施情况是否可
6.发出审核通知
7.末次会议
8.审核报告
文档评论(0)