信息安全管理体系审核指南

ICS35，040L80中华人民共和国国家标准GB/T××××—××××信息安全管理体系审核指南GuidelinesforInformationSecurityManagementSystemsAuditing（征求意见稿）××××-××-××发布××××-××-××实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T××××—××××I目次GB/T××××—××××2前言本标准由全国信息安全标准化技术委员会提出并归口；本标准起草单位：本标准主要起草人：。GB/T××××—××××3引言GB/T22080-2008/ISO/IEC27001:2005是基于过程的。标准的4-8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如，GB/T22080-2008/ISO/IEC27001:2005标准的5-8章：“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”，可以看作构成ISMS管理体系的相互关系的４大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC27001:2005标准建议:组织使用PDCA模型，构建ISMS过程。这意味着，每一个过程都应有P(即计划),D(即实施、运行与维护)，C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员(包括内部审核员和外部审核员)执行ISMS审核提供指南，以确保ISMS审核：既能符合GB/T22080-2008/ISO/IEC27001:2005标准的要求，又能与GB/T19011-2003/ISO19011：2002和ISO/IEC27006标准保持一致；成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。本标准为审核方案管理、内部和外部ISMS审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者，包括审核员、实施ISMS的组织，因合同原因需要对ISMS实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。本标准旨在提供能够灵活运用的指南。如标准中多处所述，这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式，针对特定的问题提供了补充指南或示例。在某些情况下，这些内容旨在为小型组织使用本标准提供支持。第4章描述了审核的原则，这些原则帮助使用者认识审核的基本性质，是第5，6，7章所必要的序言。第5章提供了管理审核方案的指南，覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源等内容。第6章提供了ISMS审核的指南，包括审核组的选择。第7章提供了审核员所需能力的指南，描述了评价审核员的过程。附录还提供了基于业务流程审核的指南和针对27001具体条款的审核指南。当ISMS与其他管理体系一起实施时，由本标准使用者决定这些管理体系审核是分别进行还是一起进行。本标准仅提供指南，但使用者可以应用该指南制定自己与审核有关的要求。此外，在监视与要求（如产品规范或法律法规）的符合性方面感兴趣的任何其他个人或组织，可以发现本标准中的指南是有用的。GB/T××××—××××4信息安全管理体系审核指南1.范围本标准为审核原则、审核方案管理、信息安全管理体系（ISMS）审核的实施提供了指南，也对审核员的能力提供了指南。本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。2.规范性引用文件下列参考文件对于本文件的应用是必不可少的，其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。GB/T22080-2008/ISO/IEC27001:2005,信息技术—安全技术—信息安全管理体系要求GB/T22081-2008/ISO/IEC27002:2005,信息技术—安全技术—信息安全管理实用规则ISO/IEC27006:2005,信息技术—安全技术—信息安全管理体系审核认证机构要求GB/T27021-2007/ISO/IEC17021:2005，合格评定—管理体系审核认证机构的要求GB/T19000-2005/ISO9000：2005质量管理体系基础和术语GB/T19011-2003/ISO19011:2002质量和（或）环境管理体系审核指南3.术语和定义本标准接受包括GB/T19000-2000/ISO9000；GB/T19011-2003/ISO19011:2002、GB/T22080-2008/ISO/IEC27001:2005和GB/T22081-2008/ISO/IEC27002:2005标准的相关术语和定义。4.审核原则4.1审核原则直接采用GB/T19011-2003/ISO19011：2002的第4章。5.审核方案的管理5.1总则GB/T××××—××××5在采用GB/T19011-2003/ISO19011:2002的第5章5.1的基础上，补充如下。审核方案的权限(5.1)审核方案的制定（5.25.3）——目标和内容——职责——资源——程序审核方案的实施（5.4，5.5）——安排审核日程——评价审核员——选择审核组——指导审核活动——保持记录审核方案的监视和评审（5.6）——监视和评审——识别纠正和预防措施的需求——识别改进的机会图1—审核方案管理流程示图注1：图1说明了策划—实施—检查—处置（PDCA）方法在本条准的应用。注2：图中及下文图表中的数字指的是本标准的相关条款。审核方案的改进(5.6)审核员能力和评价（7）审核活动（6）处置策划实施检查GB/T××××—××××6实用帮助——审核方案的示例审核方案的例子包括：a）覆盖组织信息安全管理管理体系的当年的一系列的内部审核;b）在六个月内对存在信息安全高风险的潜在供方的信息安全管理管理体系进行的第二方审核。c)在认证机构和委托方之间合同规定的时间周期内，由第三方认证/注册机构对组织的信息安全管理体系进行的认证/注册和监督审核。审核方案还包括为实施审核方案中的审核进行适当的策划、提供资源和制定程序。5.1.1IS5.1总则针对信息安全管理体系的审核需要考虑组织的基于业务的信息安全风险和该类组织的审核风险级别（参见附件：业务范围风险级别表）。5.2审核方案的目的和内容5.2.1审核方案的目的在采用GB/T19011-2003/ISO19011:2002的第5章5.2.1的基础上，补充如下。5.2.1.1IS5.2.1审核方案的目的针对信息安全管理体系审核方案的目的还需要特别考虑：a）信息安全的要求；(a）来自组织业务风险评估结果的要求；(b）来自法律法规和合同的要求；(c)来自新技术、新措施的应用的要求；b）信息安全测量；c）信息安全的监视与评审；d）以往的审核结果；e）组织的确定的方针、策略和过程。5.2.2审核方案的内容在采用GB/T19011-2003/ISO19011:2002的第5章5.2.2的基础上，补充如下。5.2.2.1IS5.2.2审核方案的内容针对信息安全管理体系审核方案的内容还需要特别考虑：a）信息安全风险管理的要求；(a）风险处理的优先秩序；(b）风险的潜在原因；b）信息安全相关法律、法规的特殊要求；GB/T××××—××××7(a）密码管理的要求；(b）保密管理的要求；(c)等级保护的要求；(d)知识产权保护的要求；(e)行业管理的特殊要求。c）组织信息安全管理体系认证的风险级别。5.3审核方案的职责、资源和程序5.3.1审核方案的职责在采用GB/T19011-2003/ISO19011:2002的第5章5.3.1的基础上，补充如下。5.3.1.1IS5.3.1审核方案的职责针对信息安全管理体系审核方案的职责还需要特别考虑管理审核方案人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。a）考虑组织的业务连续性要求；b）注意组织对保密方面的要求；5.3.2审核方案的资源在采用GB/T19011-2003/ISO19011:2002的第5章5.3.2的基础上，补充如下。5.3.2.1IS5.3.2审核方案的资源针对信息安全管理体系审核方案的资源还需要特别考虑审核人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解，即审核员可以信任审核专家工作。a）必要的信息安全审核专用工具的准备；b）被审核组织的信息安全要求带来的相关对审核人员能力要求；5.3.3审核方案的程序在采用GB/T19011-2003/ISO19011:2002的第5章5.3.3的基础上，补充如下。5.3.3.1IS5.3.3审核方案的程序针对信息安全管理体系审核方案的程序还需要特别考虑审核员和审核组长应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。a）审核组成员的选择需要充分考虑其专业领域的背景情况；b）实施审核要充分注意被审核方的业务特性；5.4审核方案的实施在采用GB/T19011-2003/ISO19011:2002的第5章5.4的基础上，补充如下。5.4.1IS5.4审核方案的实施针对信息安全管理体系审核方案的实施还需要特别考虑在审核方案的维护过程中应考虑信息安全风险评估的变化。GB/T××××—××××85.5审核方案的记录直接采用GB/T19011-2003/ISO19011：2002的第5章的5.5节。5.6审核方案的监视和评审直接采用GB/T19011-2003/ISO19011：2002的第5章的5.6节。6.审核活动6.1总则在采用GB/T19011-2003/ISO19011:2002的第6章6.1的基础上，补充如下。6.1.1IS6.1总则针对信息安全管理体系审核活动的总则还需要特别考虑被审核组织的业务流程和连续性要求。GB/T××××—××××96.2审核的启动6.2.1指定审核组长在采用GB/T19011-2003/ISO19011:2002的第6章6.2.1的基础上，补充如下。6.2.1.1IS6.2.1指定审核组长针对信息安全管理体系审核活动的中指定审核组长需要特别提出制定的审核组长需要有相应的能力，特别是对新的应用领域，其应该是该领域有经验的审核员。6.2.2确定审核目的、范围和准则在采用GB/T19011-2003/ISO19011:2002的第6章6.2.2的基础上，补充如下。6.2.2.1IS6.2.2确定审核目的、范围和准则针对信息安全管理体系审核活动的中确定审核目的需要特别注意：a）确定受审核方依据其适用性声明落实控制措施的有效性；b）确定受审核方风险处理计划是否按计划完全落实。针对信息安全管理体系审核活动的中确定审核范围需要特别注意：a)确定物理范围时需要注意注册地址和经营地址不同，需要特别关注的地方有机房、电源放置处、监控室、测试室、开发场所等；b）确定业务范围时需要注意申请范围应在经营许可范围之内，对于特许经营业务要确定是否有经营权；c)一个组织部分申请信息安全管理体系认证的需要注意主营业务必须包含，人事保障、财务保障必须包含。6.2.3确定审核的可行性直接采用GB/T19011-2003/ISO19011：2002的第6章的6.2.3节。6.2.4选择审核组直接采用GB/T19011-2003/ISO19011：2002的第6章的6.2.4节。6.2.5下达审核任务直接采用GB/T19011-2003/ISO19011：2002的第6章的6.2.5节。6.2.6与受审核方的初始接触直接采用GB/T19011-2003/ISO19011：2002的第6章的6.2.6节。6.3文件评审在采用GB/T19011-2003/ISO19011:2002的第6章6.3的基础上，补充如下。6.3.1IS6.3.1文件评审针对信息安全管理体系审核活动的中的文件评审的需要特别注意：a）文件体系的完