ISMS内审员培训教材

一培训目的了解体系审核的基本概念掌握ISMS内部审核流程掌握ISMS内部审核方法与技巧审核概论审核策划与准备审核实施纠正及其跟踪ISMS评价二培训内容审核--为获得审核证据（3.9.5）并对其进行客观的评价，以确定满足经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过程(3.4.1)。审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多个)审核(3.9.1)审核范围--审核(3.9.1)的广度和界限。注：范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、事实陈述或其他信息(3.7.1)注：审核证据可以是定性的或定量的。1.1审核概论--有关审核术语与定义注：以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语1.2审核概论--有关审核术语与定义注：以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语审核发现--审核(3.9.1)的结果。审核结论--审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的审核(3.9.1)结果。审核委托方--要求或请求审核(3.9.1)的组织(3.3.1)或个人。受审核方--被审核的组织(3.3.1)。审核组--实施审核(3.9.1)的一个人或一组人。注1：审核组的一个或多个人通常是合格审核员(3.9.14)，并且其中之一通常被任命为审核组长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。注2：观察员可以陪同审核组，但不作为成员。审核员--被委派实施审核(3.9.1)的人员。注：对所考虑的特定审核，审核员通常要具有必要的资格。1.2审核概论--有关审核术语与定义注：以下术语与定义参考GB/T19000-2000idtISO9000:2000质量管理体系-基础和术语技术专家--〈审核〉提供关于被审核的某个组织(3.3.1)、过程(3.4.1)、活动或领域的专业支持的人员。审核员资格--个人的综合素质、教育、培训、工作经历、审核(3.9.1)经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组合。合格审核员--已成功通过了一个审核员鉴定过程(3.8.6)的人员。1.3审核概论—审核的内容获得审核的证据客观、公正的评价确定满足审核准则的程度1.4审核概论—过程评价的基本问题过程是否被识别并适当的规定？职责是否分配？程序是否得实施和保持？在实施所要求的结果方面，过程是否有效。1.5审核概论—审核分类第一方审核--（通常）指的是组织内部的自我审查改进。第二方审核--（通常）指的是供方（提供商）或客户对组织的审核。第三方审核--（通常）指的是认证机构对组织的审核。1.6审核概论—内审目的1.7审核概论—审核时机、范围及频度ISMS内审的时机、范围和频度按计划时间间隔；一般至少每年应覆盖ISMS所涉及的部门、过程一次；最初建立体系时频度可适当多一些；特殊情况：发生重大信息安全事件或用户重大投诉组织机构、场地、信息方针、目标等发生了变化；接受第二、三方审核前。1.8审核概论—审核依据ISMS审核依据IS0/IEC27001：2005标准信息安全管理体系手册信息安全管理体系程序文件信息安全策略与信息安全相关的法律法规其它与信息安全相关的文件1.9审核概论—审核方式及特点ISMS审核方式集中审核：定期全面性一次的铺开成内部审核。分散审核：根据人员安排或现状，按阶段性按条款采取地毯式的逐级审核报告。审核策略与审核准备审核实施不符合项纠正及效果跟踪1.明确审核决定2.确定审核组3.熟悉审核文件4.编制审核计划5.编制审核检查表6.发出审核通知1.审核过程控制2.首次会议3.审核方法4.审核证据5.不合格项报告6.汇总分析7.末次会议8.审核报告1.纠正措施计划是否按规定限期完成2.计划中各项措施是否都已完成3.完成后的效果如何4.实施情况是否可查5整体验证评价2审核策划与准备—审核流程图2审核策划与准备明确审核决定确定审核组文件审核编制审核计划编制审核检查表发布审核通知2.1明确审核决定审核目的--确保信息安全管理体系建立、实施、运行、保持和改进活动的有效性与符合性审核范围--信息中心业务及物理边界本部8楼审核时间--待定审核方式--例如：建议采取集中式审核2.2确认审核组审核员的资格—须参加信息管理体系内审员培训并获得“内审员培训合格证书”。审核的态度--确保审核的客观性与公正性。注内审员不得审查自身或本部门工作。审核组长—负责审核全过程及审核组管理工作。审核员—在组长的审核安排下实施审核。2.3文件审核目的了解体系中的所有过程是否得到识别并适当管理；了解过程文件满足审核准则程度；对象信息安全管理体系手册信息安全管理体系程序文件信息安全管理体系管理制度、办法、计划及指导书等；准则信息安全管理体系标准、合同、法律法规等。2.3文件审核时机在现场审核前进行。注：信息安全管理体系管理制度、办法、计划及指导书等可以在现场审核时进行。结论符合标准及法规要求；部份不符合要求；未覆盖标准及法规要求。注意事项过程中除审核文件外，还须对其过程之间的接口是否明确。2.3编制审核计划要求需考虑组织的大小和性质员体系覆盖员工数量体系所涉及的范围体系所涉及地点等2.3内部审核计划2.3内部审核计划注：对以上审核日程及人员安排如有异议，请及时反馈。拟制/日期：审核组长批准/日期：信息安全领导小姐组长2.4审核检查表的作用明确与审核目标有关的样本确保审核程序规范化按检查的要求进行调研，可使用审核目标始终保持明确。保持审核进度作为审核记录存挡减少重复或不必要的工作量减少内审员的偏见或随意性。2.5编制审核检查表原则对照标准和ISMS文件编制部门与过程相对应选择典型的信息安全问题，抽样应有代表性。注意逻辑顺序，明确审核步骤。按部门编写的检查表要考虑涉及条款，按条款编制要考虑所涉及部门。2.5使用审核检查表原则自己使用掌握，不须向受审方出示。灵活使用，不需照本宣科。不要属限于检查表项目，按实际现场审核时灵活查阅。2.5审核检查表举例2.5审核检查表举例3现场审核活动的实施审核过程的控制首次会议审核方法审核证据不合格项报告汇总分析末次会议审核报告3.1审核过程的控制审核计划的控制审核活动的控制抽样合理（一到三个）辨别关键过程评定主要因素重视控制结果注意相关影响营造良好的气氛3.1审核过程的控制审核结果的控制；合格与不合格要以事实为基础；不合格事实要得到受审核方确认；组内须相互沟通，保持统一意见。3.2首次会议首次会议时间、地址及参加人员首次会议内容和程序人员介绍简明审核目的与范围重新陈述审核计划及人员安排落实后勤安排表明审核态度及原则保密性承诺3.3审核方法顺向追踪取证逆向追踪取证独立审核（部门审核）过程审核（按条款审核）注：审核的基本方法均采取抽样方式执行。3.3审核方法--顺向追踪取证顺向追踪取证从影响信息安全的因素跟踪到结束；按照业务流程的自然顺序；从文件要求跟踪到执行记录，确保要求的和实施的一致。优点系统连贯性强，可确认系统衔接整体情况。缺点费时（审核单项花费时间较长）。3.3审核方法--逆向追踪取证逆向追踪取证从已形成的结果追溯到影响因素的控制；按照业务流程的逆向顺序；从现场记录查询到到文件要求，确保实施的和要求的一致。优点从结果找问题，针对性强，有利于发现问题。缺点问题复杂时不易理清，对审核的知识面要求较高。3.3审核方法--独立审核独立审核（部门审核）以单个部门为中心，审核所涉及的相关职能业务；部门所涉及条款。优点节约时间。缺点缺乏系统性的衔接，可能存在疏漏，审核准备时需充分考虑相关因素，过程审核思路要清晰，审核组内部沟通要求高。3.3审核方法—过程审核过程审核（部门审核）以过程为中心；一个过程要涉及多个部门、多个标准条款。优点系统性完整、全面，不易遗漏。缺点部门之间重复返往较多，费时、费事；对审核知识要求较高。3.4.1审核证据—证据获取原则可作为证据原则不可作为证据原则存在客观的事实或情况估计、猜想、分析、推测受审人谈话过程并相应实物旁证陪同人或其它无关人的谈话与传闻现行有效文件及有效记录过期或者作废文件，擅自涂改的记录等。3.4.2审核证据—提问技巧查阅过程文件记录观察现场情况现场或查阅过程提问交流现场测量验证3.4.3审核证据—提问技巧封闭式：主动简单的用“是与否”来询问。主要用于获取专门信息，例如：贵公司（组织）是否有信息安全管理手册；贵公司（组织）是否有任命管理者代表；贵公司（组织）是否有建立信息安全管理机构等。优点有主动权，省时，能把握重点，一针见血。缺点所获取的信息小。3.4.4审核证据—提问技巧开放式：提问交流过程需要解释。主要用于获取全面信息，例如：贵公司（组织）有没有建立信息安全目标指标，如何管理，实施结果，是否满足计划要求；贵公司（组织）是否建立资产清单，如何评定重要资产，如何管理维护等。优点可获取信息面较广。缺点被动，过程可能会出现等待证据提供时间。3.4.5审核证据—开放式提问技巧带主题问题--XX如何做？扩展性问题--为什么这样做，依据？讨论性问题--对询问问题过程表达个人观点。调查性问题--觉得怎么样，有什么想法？重复性问题--得到明确答案？假设性问题--如果…则…？验证性问题--麻烦您拿出相应证据？3.4.6审核证据—提问技巧澄清式：结合以上两项方法，用以获得更多专门的信息，例如：贵公司（组织）是否建立资产清单，想看看资产清单识别要求与文件要求是不是一致，识别范围怎么超出文件要求或识别范围不全面等。优点可获取更多专门信息。缺点带有个人主观导向，不能常用。3.4.7审核证据—案例1审核员在现场发现，全公司都使用同一个口令来登录内部MIS系统，网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间，并且到目前为止也好像没发现有什么问题，大家也觉得挺方便。请问以上回答能否作为审核证据？理由？如果你是内审员你会怎么做？3.4.8审核证据—案例2审核员从网络管理员那里了解到，防火墙在每个星期五早上都会定期失效，但查阅安全事件记录中却没有发现这些事件的记录，网络管理员解释说他早就知道这个问题了，所以没有必要再记录了。请问以上回答能否作为审核证据？理由？如果你是内审员你会怎么做？3.5不符合项报告不符合项：未满足审核准则要求发现项。不符合项分类：按性质上分：•体系性不符合•实施性不符合•效果性不符合按不符合程度分：•观察项•一般不符合•严重不符合3.5.1不符合项判定观察项：不会对安全造成有意义的影响，可能有潜在影响的一种发现。例如：某部门在资产识别过程中，发现刚购置一台新设备，但未验收使用，所以识别时未将其列入资产清单中。一般不符合项信息安全管理体系的过程、程序或操作的轻微问题；偶然发生的不符合事项。例如：某工作人员因工作紧急，带入外部人员进入机房内处理异常事项，等各项工作完成后直接离去，但“机房管理办法”要求所有出入机房工作者必须进行登记，并注意进入工作内容，出入时间等。严重不符合项某个部门内与条款要求执行普遍失效某个条款在体系内审完全缺失。违反法律法规要求可导致重大信息安全即时发生或投诉不符合项长期得不到改进（三次验证后仍未改进），即可列为严重不符合。例如：某部门将其重要信息与普通信息存放一起，并未将重要信息执行备