信息安全管理体系审核清单.pdfVIP

信息安全管理体系审核指南

原则规定的强制性ISMS文献

强制性ISMS文献阐明

(1)ISMS方针文献，包括ISMS11勺范围根据原则“4.3.1a)和b)的规定。

(2)风险评估程序根据“4.3.1”d)和e)口勺规定，要形成文献日勺“风险评估

措施的描述”和“风险评估汇报“。为了减少文献量，可创

立一种《风险评估程序》。该程序文献应包括“风险评估措

施的描述”，而其运行的成果应产生《风险评估汇报》。

(3)风险处理程序根据原则”4.3.1f)H勺规定，要形成文献H勺“风险处理

计划”。因此，可创立一种《风险处理程序》。该程序文献

运行的成果应产生《风险处理计划》。

(4)文献控制程序根据原则的“文献控制”的规定，要形成文献的“文献控

制程序”。

(5)记录控制程序根据原则的“4.3.3记录控制”的规定，要形成文献H勺“记

录控制程序工

(6)内部审核程序根据原则的“6内部ISMS审核”H勺规定，要形成文献的

“内部审核程序”。

(7)纠正措施与防止措施程序根据原则的“8.2纠正措施”的规定,要形成文献的I“纠

正措施程序”。根据“8.3防止措施”的规定，要形成文

献的“防止措施程产二“纠正措施程序”和“防止措施程序”

一般可以合并成一种文献。

(8)控制措施效性的测量程序根据原则的“4.3.1g)”的规定，要形成文献的“控制措

施效性的测量程序”。

(9)管理评审程序“管理评审”过程穴一定要形成文献，但最佳形成“管理评

审程序”文献，以以便实际工作。

(9)合用性申明根据原则的“4.3.1i)H勺规定，要形成文献H勺合用性

申明。

审核重点

第二阶段

a）检查受审核组织怎样评估信息安全风险和怎样设计其ISMS,包括怎样：

・定义风险评估措施参（见4.2.1c）

•识别安全风险参（见d））

•分析和评价安全风险参（见e）

•识别和评价风险处理选择措施参（见的4.2.1f）

・选择风险处理所需的控制目的和控制措施参（见4.2.1g））

•保证管理者正式同意所残存风险参（见h）

•保证在ISMS实行和运行之前，获得管理者授权参（见的i））

•准备合用性申明参（见j）

b）检查受审核组织怎样执行ISMS监控、测量、汇报和评审包（括