信息安全管理体系审核检查表

1信息安全管理体系审核指南标准要求的强制性ISMS文件强制性ISMS文件说明(1)ISMS方针文件，包括ISMS的范围根据标准“4.3.1”a)和b)的要求。(2)风险评估程序根据“4.3.1”d)和e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生《风险评估报告》。(3)风险处理程序根据标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。因此，可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。(4)文件控制程序根据标准的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。(5)记录控制程序根据标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6)内部审核程序根据标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7)纠正措施与预防措施程序根据标准的“8.2纠正措施”的要求，要有形成文件的“纠正措施程序”。根据“8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8)控制措施有效性的测量程序根据标准的“4.3.1g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。(9)适用性声明根据标准的“4.3.1i)”的要求,要有形成文件的适用性声明。2审核重点第二阶段审核：a)检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：定义风险评估方法(参见4.2.1c)识别安全风险(参见4.2.1d))分析和评价安全风险(参见4.2.1e)识别和评价风险处理选择措施(参见的4.2.1f)选择风险处理所需的控制目标和控制措施(参见4.2.1g))确保管理者正式批准所有残余风险(参见4.2.1h)确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1i))准备适用性声明(参见4.2.1j)b)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括：ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)控制措施有效性的测量(依照4.3.1g)内部ISMS审核(依照第6章“内部ISMS审核”)管理评审(依照第7章“ISMS的管理评审”)ISMS改进(依照第8章“ISMS改进”)。c)检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括：4.2.3监视与评审ISMS第7章“ISMS的管理评审”。d)检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括：4.2.3监视与评审ISMS5管理职责7ISMS的管理评审e)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。监督审核：a)上次审核发现的纠正/预防措施分析与执行情况；b)内审与管理评审的实施情况；c)管理体系的变更情况；d)信息资产的变更与相应的风险评估和处理情况；e)信息安全事故的处理和记录等。再认证审核：a)检验组织的ISMS是否持续地全面地符合ISO/IEC27001:2005的要求。b)评审在这个认证周期中ISMS的实施与继续维护的情况，包括：检查ISMS是否按照ISO/IEC27001:2005的要求加以实施、维护和改进；评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；检查ISMS如何应对组织的业务与运行的变化；检验管理者对维护ISMS有效性的承诺情况。14信息安全管理体系4.1总要求4.2建立和管理ISMS4.2.1建立ISMS标准的要求审核内容审核记录注释与指南a)组织要定义ISMS的范围组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”要求的符合性审核，要确保ISMS的定义不仅要包括范围，也要包括边界。对任何范围的删减，必须有详细说明和正当性理由。是否有对任何范围的删减？b)组织要定义ISMS方针组织是否有一个ISMS方针文件？要求明确规定ISMS方针的5个基本点，即ISMS方针要：1)包括信息安全的目标框架、信息安全工作的总方向和原则；2)考虑业务要求、法律法规的要求和合同要求；3)与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4)建立风险评价准则；5)获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。组织的ISMS方针文件是否满足ISO/IEC27001:2005规定的5个基本点(见注释与指南栏)？c)组织要定义风险评估方法组织是否有一个定义风险评估方法的文件？要求明确规定，“定义组织的风险评估方法”的工作(活动)要包括：1)确定风险评估方法，而这个评估方法要适合组织的ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求；2)制定接受风险的准则，确定可接受的风险级别。组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求？2在对要求的符合性审核时，要确保上述2个要求得到满足。接受风险的准则是否已经确定？并根据此准则，确定了可接受的风险级别？d)组织要识别安全风险组织是否有一个识别安全风险的过程？“识别安全风险”是一个过程(活动)。而这个过程要包括：1)识别组织ISMS范围内的资产及其责任人；2)识别资产所面临的威胁；3)识别可能被威胁利用的脆弱点；4)识别资产保密性、完整性和可用性的丧失造成的影响。在对要求的符合性审核时，要确保“识别安全风险”要包括上述工作(活动)。识别安全风险的过程是否符合规定(参见“注释与指南”栏)？e)组织要分析和评价安全风险组织是否有一个用于评估安全风险的过程？要求明确规定，“分析和评价安全风险”过程(活动)要包括：1)评估安全破坏(包括资产的保密性、完整性，或可用性的丧失的后果)可能产生的对组织的业务影响；2)评估由主要威胁和脆弱点导致的安全破坏的现实可能性、对资产的影响和当前所实施的控制措施；3)估算风险的级别；4)确定风险是否可接受，或者是否需要使用本组织的接受风险的准则进行处理。“分析和评价安全风险”的结果应产生一个“风险评估报告”。在对要求的符合性审核时，要确保满足上述要求。是否评估了安全破坏可能产生对组织的业务影响？这个安全风险评估过程是否符合规定(参见“注释与指南栏”)？f)组织要识别和评价风险处理选择措施组织是否有一个用于识别和评价风险处理选择措施的过程？要求明确规定，可选择的措施包括：1)采用适当的控制措施；2)接受风险；33)避免风险；4)转移风险。在对要求的审核时，要确保组织有一个“识别和评价风险处理选择措施”的过程，并考虑了上述4种可能的选择。这个过程是否虑了4种可能的选择(参见“注释与指南栏”)？g)组织要选择风险处理所需的控制目标和控制措施组织是否有一个用于选择ISO/IEC27001:2005附录A的风险处理控制目标和控制措施的过程？“选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求：1)控制目标和控制措施要进行选择和实施，以满足风险评估和风险处理过程中所识别的安全要求；2)控制目标和控制措施的选择要考虑接受风险的准则，以及法律法规要求和合同要求；3)附录A中的控制目标和控制措施要加以选择，作为此“选择风险处理所需的控制目标和控制措施”过程的一部分，以满足已识别的安全需求。在对要求的审核时，要与本书第9章“控制目标和控制措施的审核”结合一起进行。最重要的是要确保所选择的控制目标和控制措施：符合风险评估与处理过程中已经识别安全要求；符合接受风险准则的要求，以及法律法规的要求和合同的要求；如果附录A中的控制目标和控制措施适用于已识别的安全要求，要加以选择，不要错漏。可参见本书第9章“控制目标和控制措施的审核”。这个过程是否确保所选择的控制目标和控制措施满足相关要求(参见“注释与指南”栏)？附录A的控制目标和控制措施是否都被选择？如果不选择，是否有正当性理由？是否选择了附录A以外的控制措施？h)组织要确保管理者正式批准所有残余风险所有残余风险是否获得管理者正式批准？首先要理解“残余风险”的意义。4i)组织要确保在ISMS实施和运行之前，获得管理者授权ISMS实施和运行是否获得管理者授权？要检查是否有领导的签字(可参见后面“4.3.2文件控制”的审核)。j)组织要准备适用性声明组织是否有一个准备适用性声明的过程？要求明确规定,“适用性声明”必须至少包括以下3项内容：1)所选择控制目标和控制措施，及其选择的理由；2)当前实施的控制目标和控制措施；3)附录A中任何控制目标和控制措施的删减，以及删减的正当性理由。在对要求审核时，最重要的是要确保：“适用性声明”的内容至少含有上述3项；不选择的理由必须是合理的，或证明其是正当性的。由于附录A推荐的控制目标和控制措施是最佳实践，所以如果没有正当性理由，都要加以选择，要防止漏选。对要求的审核，可与后面“4.3.1总则”i)的审核和第9章“控制目标和控制措施的审核”结合一起进行。适用性声明的内容是否有含有标准规定的“3项内容”(参见“注释与指南”栏)？适用性声明是否记载附录A中任何控制目标和控制措施的删减，以及删减的正当性理由？4.2.2实施与运行ISMS标准要求审核内容审核记录注释与指南a)组织要制定风险处理计划组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程？要求明确规定，组织要有一个产生风险处理计划的过程或程序。而这个过程要确定信息安全风险的管理措施、资源、职责和优先级。由于标准的第4章只是“计划”阶段，在标准第5章中将提出更具体的“资源”要求。对于“风险处理计划”，可与“4.3.1总则”条款的要求一起审核(见“4.3.1总则”f)审核)。是否有一个“风险处理计划”文件？5b)组织要实施风险处理计划组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程？要求明确规定，组织要有一个“实施风险处理计划”的过程，或程序。而这个过程的目的是要达到已确定的控制目标，包括资金安排、角色和职责的分配。c)组织要实施所选择的控制措施组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程？要求明确规定，组织要有一个“实施所选择的控制措施”的过程，或程序，其目的是要满足控制目标。d)组织要定义如何测量所选控制措施的有效性组织是否有一个“测量所选控制措施有效性”的过程？即组织要：1)定义如何测量所选控制措施的有效性，即要有一个“测量所选控制措施有效性”的过程；2)规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)；据此，管理者和员工就可以确定所选控制措施是否实现原计划的控制目标，或实现的程度。在对这个要求的审核时，审核员必须检查受审核组织：是否有一个测量所选择控制措施有效性的“测量措施”；如何使用其测量措施进行测量；所选控制措施是否达到既定的控制目标。可与4.2.3c)规定的要求同时审核(参见“4.2.3监视与评审ISMS”)如何使用测量措施，去测量控制措施的有效性？e)组织要实施培训和意识教育计划组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程？对于实施ISMS的组织来说，很重要的事情是培训，使其员工了解标准的意图和信息安全的原理。因此在“实施与运行组织的ISMS”中，首先要有“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。f)组织要管理ISMS组织是否有“管理ISMS要求明确规定,ISMS的运行需要管理。6的运行的运行”的过程？g)组织要管理ISMS的资源组织是否有对ISMS实施所需要的资源进行管理的过程？要求明确规定,ISMS实施所需要的资源要加以管理(参见