第五部分信息安全管理体系内部审核

ISMS内审员培训教程SGS-CSTC通标标准技术服务有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.第一部分信息安全基础知识及案例分析第二部分ISO27001标准正文部分详解ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分信息安全管理体系内部审核课程内容3了解管理体系审核的基本概念掌握ISMS内部审核的流程掌握ISMS内部审核的方法和技巧教学目标4主要内容1、审核概论2、审核策划和准备3、现场审核活动的实施4、纠正措施及其跟踪5、ISMS评价51.1定义为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程（ISO9000）1.2审核“成败”的关键系统的：正式、有序的审查活动独立的：保持审核的独立性和公正性1审核概论61.3审核的内容1、获得审核证据2、客观评价3、确定满足审核准则的程度1.4过程评价的四个基本问题1、过程是否已被识别并适当规定？2、职责是否已被分配？3、程序是否得到实施和保持？4、在实现所要求的结果方面，过程是否有效？1审核概论71.5审核的类型组织顾客供方认证/注册机构第三方审核(外部)第二方审核第二方审核第一方审核(外部)(外部)(内部)1审核概论81.6内部审核的目的目的主要依据：信息安全管理体系文件外部审核前的准备作为一种管理手段，是组织管理评审输入的重要内容确保信息安全管理体系正常运行和改进的需要1审核概论91.7ISMS内审的时机、范围和频度按策划的时间间隔一般至少每年应覆盖ISMS所涉及部门、过程一次最初建立体系时频度可适当多一些特殊情况:•发生严重信息安全问题或用户投诉•组织机构、生产场所、信息安全方针目标等发生重大变化•接受第二、第三方审核前1审核概论101.8ISMS内部审核的依据1、ISO27001:2005版标准2、信息安全管理手册3、程序文件4、信息安全策略5、有关的法律、法规6、其他信息安全管理文件1审核概论111.9ISMS内部审核的方式1、集中审核2、分散审核1.10ISMS审核的特点1、被审核的ISMS必须是正规的2、ISMS审核必须是一种正式的活动3、ISMS审核是一种抽样过程1审核概论121.11ISMS内部审核的一般顺序1、审核策划与审核准备2、现场审核实施与审核报告3、纠正措施的跟踪与汇总分析1审核概论13领导重视是做好ISMS内部审核的关键信息安全经理要亲自抓ISMS内部审核工作ISMS内部审核工作需要一个职能部门来管理要组建一支合格的ISMS内部审核队伍ISMS内部审核需要一套正规的程序建立ISMS时应考虑ISMS内部审核工作2ISMS内部审核的策划和准备141.明确审核决定2.确定审核组3.文件审核4.编制审核计划5.编制检查表6.通知受审核部门并约定具体的审核时间2ISMS内部审核的策划和准备151、审核目的2、审核范围3、审核时间4、审核方式2.1明确审核决定161、审核人员的资格2、确保客观性和公正性3、专业能力4、审核组长：负责审核全过程及审核组管理工作5、审核员：在审核组长指导下进行审核2.2确定审核组17目的：体系中所有过程是否被识别并适当规定；职责是否被分配；过程文件满足审核准则的程度对象：信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等审核准则：标准、合同及有关的法律、法规2.3文件审核18时机：在现场审核前进行；作业指导书、质量计划、规范等可以在现场审核时进行；结论：符合标准及法规的要求；部分不符合要求；没有覆盖标准及法规的要求；注意事项：不仅要审核过程文件，还要审核过程之间的接口是否明确、协调2.3文件审核19组织的大小和性质员工数量体系复杂性ISMS的范围涉及的地点数目信息类型-文件/电子等2.4编制审核计划____要求考虑20审核目的审核范围审核准则审核组成员及其分工现场审核活动的日程安排必要的审核资源的配备其它(如审核时所用语言、保密承诺等)审核计划示例：2.4编制审核计划____内容21NO.20080118-01审核时间:2008年1月18日～1月19日审核目的:验证本公司的ISMS是否符合ISO27001:2005版以及公司ISMS文件的要求，ISMS是否得到有效实施，是否具备申请第三方ISO27001:2005认证注册的条件审核范围:ISMS所涉及的部门和过程审核依据:ISO27001:2005、公司《信息安全管理手册》（LX－M－01）第1版、有关的信息管理文件审核组成员:×××(组长)—A；×××—B；×××—C；××公司ISMS内部审核计划22日期时间安排A＋CB1月18日08:30～08:45首次会议08:45～12:0013:30～15:0015:00～17:301月19日08:30～12:0013:30～15:3015:30～16:00审核组总结16:00～16:30与受审核方交换意见16:30～17:00末次会议说明:对条款×××的审核还将结合其它条款的审核同时进行××公司ISMS内部审核计划23注：对以上人员和日程安排如有异议，请及时反馈。拟制：×××（组长）日期：批准：（信息安全经理）日期：××公司ISMS内部审核计划24一、检查表的作用1、明确与审核目标有关的样本2、使审核程序规范化3、按检查表的要求进行调查研究，可使审核目标始终保持明确4、保持审核进度5、作为审核记录存档6、减少重复的或不必要的工作量7、减少内审员的偏见和随意性2.5编制检查表25二、检查表的内容1、列出审核项目的要点（确保完整）2、明确审核步骤和方法，进行抽样量的设计注：ISMS所涉及的过程和部门不能抽样，不同的类型不能抽样2.5编制检查表26三、设计检查表的注意事项1、对照标准和ISMS文件2、部门与过程相对应3、选择典型的信息安全问题，抽样应有代表性4、注意逻辑顺序，明确审核步骤5、按部门编制的检查表要考虑涉及的条款，按条款编制的检查表要考虑涉及的部门6、常见问题：陈述句变疑问句；只列出审核项目，忽略审核方法和抽样量的设计；仅依据标准，不符合实际2.5编制检查表27四、运用检查表的注意事项1、自己掌握，没必要披露2、不要照本宣科3、不要拘泥于检查表五、检查表举例2.5编制检查表282.5编制检查表五、检查表举例标准要求审核检查题答案记录注释与指南是Y否N理由4.2.1a)组织要定义ISMS范围组织是否有一个定义ISMS范围的文件?对这个“定义ISMS范围”要求的符合性审核，要确保ISMS定义不仅要包括范围，也要包括边界。对任何范围的删减，必须有详细说明和正当性理由。是否有对范围的删减？4.2.1b)组织要定义ISMS方针组织是否有一个ISMS方针文件？这个要求明确规定ISMS方针的5个基本点，即ISMS方针要1.包括信息安全的目标框架、信息安全工作的总方向和原则；2.考虑业务要求、法律法规的要求和合同要求；3.与组织开发与维护ISMS的战略性风险管理结合一起或保持一致；4.建立风险评价准则5.获得管理者批准。组织的ISMS方针文件是否满足ISO27001规定的5个基本点？29相关条款控制措施要求与检查题回答（是、部分、不是）实施的方法或删减的正当性A7.1.1资产清单是否所有资产都进行了识别？是否所有重要资产都进行了登记，建立了清单文件并加以维护？A7.1.2资产责任人所有信息和信息处理设施相关资产，是否都有责任人？A7.1.3资产的可接受使用信息和信息处理设施相关资产的可接受规则，是否确定、形成文件并加以实施？2.5编制检查表五、检查表举例303.1审核过程的控制3.2首次会议3.3审核方法3.4审核证据3.5不合格项报告3.6汇总分析3.7末次会议3.8审核报告3现场审核活动的实施31一、审核计划的控制二、审核活动的控制1、样本策划合理2、辩识关键过程3、评定主要因素4、重视控制结果5、注意相关影响6、营造良好的审核气氛3.1审核过程的控制32三、审核结果的控制1、合格或不合格要以事实为基础2、不合格事实要得到受审核方确认3、道听途说不能作为证据4、组内要相互沟通，统一意见3.1审核过程的控制33一、首次会议的内容和程序1、人员介绍2、说明审核目的和范围3、审核计划的确认4、落实后勤安排5、阐明一些重要的问题6、有关审核原则的强调7、澄清一些问题二、首次会议的时间、地点及参加人员3.2首次会议34审核方式方法：如何抽样查证1、顺向追踪2、逆向追踪3、部门审核4、过程审核3.3审核方法审核的基本方法:抽样35顺向追踪：从影响信息安全的因素跟踪到结束按照业务流程的自然顺序从文件跟踪至实施记录优点：系统性强，可观察接口缺点：较费时3.3审核方法36逆向追踪：从已形成的结果追溯到影响因素的控制按照业务流程的逆向顺序从现场记录追溯到体系文件的规定优点：从结果找原因，针对性强；有利于发现问题缺点：问题复杂时不易理清（对审核员技术要求高）3.3审核方法37部门审核：以部门为中心进行一个部门要涉及多个标准条款以部门的主要职能为主线，涉及相关的职能优点：节约审核时间缺点：可能有疏漏，审核准备时要充分考虑相关因素，审核过程中思路要清晰，审核组内部沟通要求高3.3审核方法38过程审核：以过程为中心进行一个过程要涉及多个部门、多个标准条款要求优点：完整、不易遗漏缺点：部门地点重复往返多，费事；对审核员要求高3.3审核方法39过程方法的审核思路：建立过程审核的观念，从过程的策划查到过程的实施及效果（PDCA逻辑结构）：过程的目标→过程的策划→过程的实施→测量监控→持续改进3.3审核方法401、审核证据的定义(ISO90003.9.4):与审核准则有关的并且能够证实的记录、事实陈述或其他信息。注:审核证据可以是定性或定量的。2、在审核中应分清什么可以作为审核证据,什么不可以作为审核证据。3.4审核证据41可作审核证据存在的客观事实或情况部门负责人或当事人谈话（并有其他实物旁证）现行有效文件（审核当前的信息安全活动）和有效的信息安全记录不可作审核证据估计、猜想、分析、推断陪同人员或其他无关人员谈话、传闻过期的或作废的文件，擅自涂改的信息安全记录，未经证实的新闻报道3.4审核证据42案例：星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会，主要讨论一宗大订单的详细规范。在他去李飞办公室的路上，遇到了事故，受了重伤。李飞接到张三出事的消息时，张三已被送往医院做X光透视。李飞给医院打电话想问一下情况，但好象没有人知道张三的任何情况，很可能李飞打错了医院的电话。3.4审核证据43请问以下陈述是否正确：张三是一位工程师。张三要去见李飞。张三要去参加的会定在上午10点钟开。该事故发生在星际公司。张三被送到了医院做X光透视。李飞打电话询问的医院里没有人知道张三的任何事。李飞打错了医院的电话。3.4审核证据44审核证据的获得方法查阅文件和记录现场观察提问与交流实际测定3.4审核证据45提问的技巧封闭式：可用简单的“是”或“否”回答用以获取专门的信息有主动权，但信息量小开放式：答案需要解释或表达可获得较大的信息量被动，有时会浪费时间澄清式：用以获得更多的专门信息或确认已获得的信息，带有主观导向，不能经常用3.4审核证据46开放式提问的技巧：带主题的问题－－什么是如何做？扩展性的问题－－为什么、如何、怎样？讨论性的问题－－说出个人见解调查性的问题－－觉得怎样、有什么想法重复性的问题－－得到明确的答案假设性的问题－－如果…则…验证性的问题－－请拿出证据、在哪儿3.4审核证据47观察的技巧：是否符合正常作业所需的环境条件审核现场人员的工作状态是否符合信息安全规定要求资产、设备的状态过程的记录面谈人员的神态3.4审核证据48随时记录审核过程情况时间、地点访问、调查的对象见证人观察（表格、文件、记录