信息安全管理体系ISMS内审员培训.pdf

一培训目的

u了解体系审核的基本概念

u掌握ISMS内部审核流程

u掌握ISMS内部审核方法与技巧

二培训内容

u审核概论

u审核策划与准备

u审核实施

u纠正及其跟踪

uISMS评价

1.1审核概论--有关审核术语与定义

注：以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语

u审核--为获得审核证据并对其进行客观的评价，以确定满足经协商

的准则的程度所进行的系统的、独立的并形成文件的过程。

u审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多

个)审核

u审核范围--审核的广度和界限。

注：范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。

u准则--确定为依据的一组方针、程序或要求。

u审核证据--可多方查证的与经协商的准则有关的记录、事实陈述或其

他信息注：审核证据可以是定性的或定量的。

1.2审核概论--有关审核术语与定义

u审核发现--审核的结果。

u审核结论--审核组在考虑了所有审核发现以后得出的审核结果。

u审核委托方--要求或请求审核的组织或个人。

u受审核方--被审核的组织。

u审核组--实施审核的一个人或一组人。

注1：审核组的一个或多个人通常是合格审核员，并且其中之一通常被任命为审核组长。审核

组可包括接受培训的审核员。在需要时可包括技术专家。

注2：观察员可以陪同审核组，但不作为成员。

u审核员--被委派实施审核的人员。

注：对所考虑的特定审核，审核员通常要具有必要的资格。

1.2审核概论--有关审核术语与定义

注：以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语

u技术专家--〈审核〉提供关于被审核的某个组织、过程、活动或领域

的专业支持的人员。

u审核员资格--个人的综合素质、教育、培训、工作经历、审核经历及

能够一个人作为审核员被委派所需要证实的能力的组合。

u合格审核员--已成功通过了一个审核员鉴定过程的人员。

1.3审核概论—审核的内容

u获得审核的证据

u客观、公正的评价

u确定满足审核准则的程度

1.4审核概论—过程评价的基本问题

u过程是否被识别并适当的规定？

u职责是否分配？

u程序是否得实施和保持？

u在实施所要求的结果方面，过程是否有效。

1.5审核概论—审核分类

第一方审核--（通常）指的是组织内部的自我审查改进。

第二方审核--（通常）指的是供方（提供商）或客户对组织的审核。

第三方审核--（通常）指的是认证机构对组织的审核。

1.6审核概论—内审目的

1.7审核概论—审核时机、范围及频度

uISMS内审的时机、范围和频度

Ø按计划时间间隔；

Ø一般至少每年应覆盖ISMS所涉及的部门、过程一次；

Ø最初建立体系时频度可适当多一些；

Ø特殊情况：

l发生重大信息安全事件或用户重大投诉

l组织机构、场地、信息方针、目标等发生了变化；

l接受第二、三方审核前。

1.8审核概论—审核依据

uISMS审核依据

ØIS0/IEC27001：2022标准

Ø信息安全管理体系手册

Ø信息安全管理体系程序文件

Ø信息安全策略和客户的信息安全管理体系要求

Ø与信息安全相关的法律法规

Ø其它与信息安全相关的文件

1.9审核概论—审核方式及特点

uISMS审核方式

Ø集中审核：定期全面性一次的铺开成内部审核。

Ø分散审核：根据人员安排或现状，按阶段性按条款采取地毯式

的逐级审核报告。

2审核策划