ISMS【信息安全系列培训】【06】【内部审核】

演讲人：职称：高级咨询师日期：北京天融信网络安全技术有限公司信息安全系列培训-内部审核2主要内容审核基本概念审核过程审核策划审核实施审核报告审核跟踪3基本概念4为什么进行审核ISO/IEC27001:2005:组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否：符合本标准和相关法律法规的要求；符合已确定的信息安全要求；得到有效地实施和保持；按预期执行。ISO9001:2008组织应按策划的时间间隔进行内部审核，以确定质量管理体系是否:符合策划的安排(见7.1)、本标准的要求以及组织所确定的质量管理体系的要求;得到有效实施与保持。5为什么审核向管理层展示观点向管理层强调风险验证业务有效性识别培训需求发现不符合进行检查推动改进的工具获得证书使相关方满意6审核的定义为获得审核证据，并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。ISO19001Firstparty/internalaudit第一方/内部审核SecondParty/externalaudit第二方/外部审核ThirdParty/externalaudit第三方/外部审核7什么是审核准则Organisation’smanagementmanual组织的管理手册Workinstructions工作指导Codesofpractice最佳实践8什么是审核证据通过观察、测量或实验获得的，并且能够被验证的关于管理体系要素的实施和运行的定性或定量的信息、记录或陈述。特点：可陈述的事实；可验证的事实；不含有推测和猜想。9审核发现将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价结果，这种结果是依据审核准则，在审核证据的基础上做出的，审核发现是编制审核报告的基础。10审核发现分类Noteworthyeffort值得嘉奖项Observation观察项Non-conformity不符合项11什么是不符合？不符合是指不能满足要求ArequirementAfailingEvidenceISO9000:2000,clause3.6.212什么是观察项?潜在问题风险无效率无效力错误的应用最佳实践错误理解缺少沟通13什么是值得嘉奖项？采用最佳实践证明持续改进高层承诺动机体系优化14审核案例（1）理赔部的Robin收到了一个从admin@insurecare.com来的email。这个email有一个免费下载一个搜索工具。Robin点击这个连接，他的计算机被毁坏了。立刻填了一个事故报告表并发给了Paul–系统管理员要求解释和快速解决方案。Paul否认曾送过那个email，但是帮助Robin格式化了他的计算机系统的硬盘并根据《保险备份恢复程序》的要求恢复了他的数据有没有不符合事项？15审核案例（2）一个星期之后，Robin又收到了一个发自admin@insurecare.com邮件，这一次要求他的邮件口令字。Robin很生气，与Paul发生了争吵并要求对此类问题有个解决方案。他发出一个事故报告给Paul并转发这个邮件给他，要求措施。Paul回答说“对不起”并保证调查这个问题Paul于是删除了邮件，因为此类邮件问题好像经常发生Isthisanonconformity?这是不符合事项吗？16审核案例（3）审核员在审核数据库控制的时候发现某些在工作时间所进行的变更需要通过一系列的处理过程，而在非工作时间进行的变更却只需要进行很少的几个步骤。17审核案例（4）在物品接收检验部门，稽核员注意到检验员正在供货商出货计算机系统上输入其员工代号，以作为物品接收检验已满意完成的证据。但是该员工的代号却能在内部的电话号码表中轻易得知。18审核案例（5）审核日期2001年11月14日。当审查组织的管理阶层审查会议纪录时，稽核员注意到最后的会议纪录日期是2001年5月15日。现行的管制性公司程序复本AP.01第3版发行给稽核员，该程序上要求每三个月举行管理阶层审查会议。信息安全经理说明是因为管理处长在上个月已经出国，而他们想要在稽核完成后立即举行一次管理阶层审查会议。19活动输入输出活动输出活动输出第1个第2个第N个系统系统方法将相互关联的过程作为体系来看待、理解和管理，有助于组织提高实现目标的有效性和效率。链条效应20审核的独立性ISO9001:2008条款8.2.2组织应策划审核方案，策划时应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。ISO/IEC27001:2005条款6应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。21审核的原则与审核员有关的原则道德行为公正表达职业素养与审核活动有关的原则独立性基于证据的方法22审核员在体系审核中，审核员的“质量”将直接影响到管理体系的审核质量，进而影响到审核机构的信誉。审核的一致性，是体系审核活动的最基本的要求。它是指不同的审核员在相同的条件下，其审核结果应该是基本相同的。为了达到这一目的，应该对审核员提出相应的要求，以确保审核工作的质量。概要23审核员审核组长全面负责各阶段的审核工作；协助选择审核组的成员；制定审核计划、起草工作文件、给审核组成员布置工作；代表审核组与受审核方领导接触；及时向受审核方报告关键性的不合格（不符合）情况；报告审核过程中遇到的重大障碍；审核组长有权对审核工作的开展和审核观察结果作出最后的决定；清晰、明确地报告审核结果。组长职责24审核员在确定的审核范围内进行工作；收集和分析与受审核的管理体系有关并足以对其下结论的证据；将观察结果整理成书面资料；报告审核结果；验证由审核结果导致的纠正措施的有效性（当委托方提出要求时）；收存、保管和呈送与审核有关的文件；配合和支持审核组长的工作。组员职责25审核过程26审核过程PLANCONDUCTREPORTFOLLOW-UP27审核过程–策划28审核计划审核计划包括年度审核计划和审核活动计划（审核大纲）。年度审核计划是审核策划的始端也是总纲，审核活动计划则是按照年度审核计划安排具体实施。审核计划的内容可包括：审核目的、范围、审核准则、审核组成员及分工、主要审核活动的时间安排、首末次会议时间等。组织年度审核计划应以文件形式颁发，审核活动计划应有审核组长签名和主管领导的批准。年度审核计划审核活动计划跟踪审核计划临时性审核计划29成立审核小组根据审核活动目的、范围、部门、过程以及审核日程安排，选定审核组长和成员，建立审核小组。小组成立后，应明确各成员分工和要求，这是审核组长的责任。审核组长应注意“审核员不能审核自己的工作”的原则。审核员按分配任务做好各项准备工作。主要有：熟悉必要的文件和程序；根据要求编制检查表；考虑前次审核结果应跟踪的项目。小组成立后通常应举行审核组会议，以确保审核前准备工作全部完成，每个审核员对审核任务完全了解。30审核计划表COMPANY:LOCATION:LOCATION:AUDITCRITERIA:SCOPE:AUDITDATES:2nd-5thDecember2005AUDITTEAMFSmithLeadAuditorAanotherTimeAuditorActivity10:15OpeningMeetingwithSeniorManagementtoexplainthescopeoftheauditandthemethodofreporting.…………………..…………………..…………………….31审核检查表ACTIVITY:REFERENCES:DATE:DATE:ItemRequirement/questionResp/Ref.Findings/32Helpswithpreparation帮助准备Focusestheauditor审核员关注Ensuresissuesarenotforgotten确问题不被忘记Timecontrol时间控制Assistswithreporting报告AidsConsistency目标坚持不要思路狭窄,管理审核并不是检查表审核检查表的目的33检查表参考(1)类别序号审核条目不符合项发现个人使用设备1检查是否安装了未授权软件？对照《授权软件清单》进行检查。2检查病毒软件版本、病毒库是否最新？应小于3天。3检查操作系统补丁是否最新？小于1个月。4检查本地用户口令是否设置,强度是否符合公司管理规定？8位，大小写。5检查屏保时间间隔是否=5分钟，并设置了口令恢复保护？6检查下班是否关机？7检查下班后桌面是否无“机密”及其它敏感资料？8检查下班后文件柜是否锁闭？9检查是否删除了共享（默认及非默认）？机器上有无共享目录？34检查表参考(2)类别序号审查条目不符合项发现备注人事管理1询问人力资源管理流程2查看重要岗位是否做背景调查3查看重要岗位背景调查重要岗位背景调查表4查看例行背景调查表例行背景调查表5查看新员工录用流程流转单，权限的申请设置录用批准书6查看人员离职流转单，权限的取消设置员工离职申请书7查看几个最新离职人员名单，并记录8入社时公司对长期客户员工交代过哪些必须注意事项长期客户员工须知9长期客户员工入社时作过何种形式的承诺入社承诺书10入社时公司对外借人员交代过哪些必须注意事项外借人员实习生员工须知11外借人员入社时作过何种形式的承诺入社承诺书12查看岗位变更申请书岗位变更申请书13查看长期出差申请书长期出差申请书14查看长期请假申请书长期请假申请书15查看有无工资变更申请工资变更确认表16保洁担当有没有按照要求签署劳动合同劳动合同中保密条款17抽查员工的1-3份劳动合同劳动合同中保密条款18查看信息安全年度培训计划信息安全全年度培训计划表19查看对新员工培训计划20查看培训记录/（签到表，一览表）是否有被培训人的签字却确认21查看已经发生的信息安全奖惩记录35审核过程–实施审核36审核的两大阶段文件审核现场审核首次会议审核活动审核报告末次会议37首次会议首次会议应该是正式的，并保存出席人员的纪录。会议应该有审核组长主持。适当时，首次会议应该包括以下内容：介绍与会者，包括概述其职责；确认审核目的、范围和准则；与受审核方确认审核日程以及相关的其他安排，例如：末此会议的日期和时间，审核组和受审放管理层之间的临时会议以及任何新的变动；实施符合所用的方法和程序，包括告知审核方证据只是给可获得信息的样本，因此在审核中存在不确定的因素；确认审核组和受审核方之间的正式沟通渠道；确认审核所用的语言；确认在审核中将及时向受审核方通报审核进展情况；确认已具备审核组所需的资源和设施；确认有关保密事宜；确认审核工作时的安全事项、应急和安全程序；确认向导的安排、作用和身份；报告的方法，包括不符合的分级；有关审核可能被终止的条件的信息；关于审核的实施或结论的申诉系统的信息。38审核活动信息的收集方法面谈对活动的观察文件评审审核的方式抽样39审核过程-报告40编写你的审核发现根据风险和公司目标排序发现决定公布那些不符合项/观察项/值得努力项独立完成报告编写（应包括要求、不满足、证据）41审核报告格式INTERNALAUDIT–FINDINGREPORTDate:Company/Department:RefNumber:Areaunderreview:Focus/RiskArea:Category:Non-conformity/Observation/Noteworthyeffort(deleteasneeded)Finding:Action:CloseDate:Auditor:42审核报告分析（1）财务系