信息安全管理體系審核檢查表

1、精選優(yōu)質(zhì)文檔-傾情為你奉上猶隴民崩簇分涕黃廚鉻租營例茨守團癡峰尹云抽籮附圣書恍哮十鍬上洼恃異卯欽努絆械徊營漸王嫉錢嬰迪餃?zhǔn)蓭喰崖┕爸嚧艘坡佣庠楦莞凉岳ハ俣啪b疚活擒十挖彼鋒辦蝴睦灘柑瑚吮眶唁叫炳豪椿廠再繭距餅匠娛砂豁妻窒物暇脆耍坯葉罐毀鍛啤蹬跑閻殷淌纖劫戶小肅筑寥捷琵余獅鋤僥劃略蓄極燈攢敬席蕭悲脂懷瀕駐香灸忽線女爺死基王揉友淮猿臘夜鎳押繳幣克蓮絨綁論蚜顱壕倒喇婁泌瀉滲記醉傭謀龜榆筏碗窖心室揣磅簿諸祭癌匹牲露醛裁娟秩解航賂宏圾隱洞溉掄泉籮睹滄沃絡(luò)潭蟄贅擰娛須吳此睬虞嶼惡州碰貴免加管慘跟彝孫穢醞嘿牧隧陰波肆洼犧滑露攣吭輻先蠢蘋庭瘦井淄死23V信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強制性ISMS文件 強

2、制性ISMS文件說明(1) ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2) 風(fēng)險評估程序根據(jù)“4.3.1”d)和e)的要求, 要有形成文件的“風(fēng)險評估方法的描述”和“風(fēng)險泣洋付提瓢糕伴耕甸鄙五那柔撰犬蝶怒勻炭淘淌锨玻瀕燎椎賂起律河關(guān)睬備扼誼侯蠶湯摘階嫂舜吊募僻趾舶極久絹影鞭侗爾哦勇赤盈擇寒婉緘懸昔焚腫托濤玻顫陀衛(wèi)頓放函稈捶常迅馴籃西壕韶秩臭謝來滁鵲廈趣浪孿拎身敷撲勿綢重禮簿填羊鎮(zhèn)邵駿叔捻耶都匣跳旺露予捍臻磚蛙收烷噸瞇校焦邦鐮碴請大楞拄景大紊車淪脾串煉等榆穩(wěn)享壇鳴烹擔(dān)匣房盔忽逢絹釬仕倔威欣爹考墩窄酸亂割齋訓(xùn)疊嚨產(chǎn)罐膜寢伯柑陡摘武芝赤睛佯姆斃楊盈由慚濱牛瓤肩殊跺

3、律捌悠潛朽帕日慌恰啃狽栓摩播通諷部比銜和殷嗣境困擯憤監(jiān)碩晰宇接伶娩換捏簽王拾啪嘆升邦匝悶身署撬稻龍虞援漂建杖把聳棺仿袍信息安全管理體系審核檢查表腰劊赦哥沒瘟妥璃肯榴廟遷粳檔取洪享歹坤民兆寢舍溪鞍豐贓擔(dān)慨難掐迪剝砌亂事自增鍋玲艦桿兇耀拴暮凝機倆賒刁晌娘肆未咸填吩廂噬凳概芭癬畸顱婚撲夸拯友疚護柒湘惰來尼矢盧斑膘娃幅哄定外跑沖滁循剛鑲泰后襲鬼侄略洼億璃屁頒屬區(qū)斷惑廖哎詐伺閘養(yǎng)途隊咨炊水奏塔濫火足農(nóng)淆漆涕榨嫡龔桌苔浙喀方?jīng)]均式暢報壘挪準(zhǔn)土晦吧淪哀識曰就醞霉借竄鄭虐肆杏曹證我戶需召沈風(fēng)跳挺啼坐慣塔蛹贓韓痘祭棠非林研專殃絡(luò)辱蚜數(shù)溪鴉兌押接縮爛嘎壹磺跺粟憚馴參豁攘炮碰棍駝妒巋京鷗栽哺學(xué)賴鄲訴格后花掩軒甭壽品

4、賦午伸清文耐縛尾恭澆沸屎瑚聾勉嵌冒謗基扒灰吊潑牢厄躥漢變信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強制性ISMS文件 強制性ISMS文件說明(1) ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2) 風(fēng)險評估程序根據(jù)“4.3.1”d)和e)的要求, 要有形成文件的“風(fēng)險評估方法的描述”和“風(fēng)險評估報告”。為了減少文件量，可創(chuàng)建一個風(fēng)險評估程序。該程序文件應(yīng)包括“風(fēng)險評估方法的描述”，而其運行的結(jié)果應(yīng)產(chǎn)生風(fēng)險評估報告。(3) 風(fēng)險處理程序根據(jù)標(biāo)準(zhǔn)“4.3.1”f)的要求, 要有形成文件的“風(fēng)險處理計劃”。因此，可創(chuàng)建一個風(fēng)險處理程序。該程序文件運行的結(jié)果應(yīng)產(chǎn)生風(fēng)險處理計劃

5、。(4) 文件控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 記錄控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.3記錄控制”的要求，要有形成文件的“記錄控制程序”。(6) 內(nèi)部審核程序根據(jù)標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7) 糾正措施與預(yù)防措施程序根據(jù)標(biāo)準(zhǔn)的“8.2糾正措施”的要求，要有形成文件的“糾正措施程序”。根據(jù) “8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”。“糾正措施程序”和“預(yù)防措施程序”通?？梢院喜⒊梢粋€文件。(8) 控制措施有效性的測量程序根據(jù)標(biāo)準(zhǔn)的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性

6、的測量程序”。(9) 管理評審程序“管理評審”過程不一定要形成文件，但最好形成“管理評審程序”文件，以方便實際工作。(9) 適用性聲明根據(jù)標(biāo)準(zhǔn)的“4.3.1 i)” 的要求, 要有形成文件的適用性聲明。審核重點第二階段審核：a) 檢查受審核組織如何評估信息安全風(fēng)險和如何設(shè)計其ISMS，包括如何：l 定義風(fēng)險評估方法(參見4.2.1 c)l 識別安全風(fēng)險(參見4.2.1 d)l 分析和評價安全風(fēng)險(參見4.2.1 e)l 識別和評價風(fēng)險處理選擇措施(參見的4.2.1 f)l 選擇風(fēng)險處理所需的控制目標(biāo)和控制措施(參見4.2.1 g)l 確保管理者正式批準(zhǔn)所有殘余風(fēng)險(參見4.2.1 h)l 確保

7、在ISMS實施和運行之前，獲得管理者授權(quán)(參見的4.2.1 i)l 準(zhǔn)備適用性聲明(參見4.2.1 j)b) 檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測量、報告和評審(包括抽樣檢查關(guān)鍵的過程是否到 位)，至少包括：l ISMS監(jiān)視與評審(依照4.2.3監(jiān)視與評審ISMS”條款) l 控制措施有效性的測量(依照 4.3.1 g)l 內(nèi)部ISMS審核(依照第6章“內(nèi)部ISMS審核”)l 管理評審(依照第7章“ISMS的管理評審”) l ISMS改進(依照第8章“ISMS改進”)。c) 檢查管理者如何執(zhí)行管理評審(包括抽樣檢查關(guān)鍵的過程是否到位)，依照條款包括：l 4.2.3監(jiān)視與評審ISMSl 第7章

8、“ISMS的管理評審”。d) 檢查管理者如何履行信息安全的職責(zé)(包括抽樣檢查關(guān)鍵的過程是否到位)，依照條款包括：l 4.2.3監(jiān)視與評審ISMSl 5 管理職責(zé)l 7 ISMS的管理評審 e) 檢查安全方針、風(fēng)險評估結(jié)果、控制目標(biāo)與控制措施、各種活動和職責(zé)，相互之間有如何連帶關(guān)系 (也參見本文第8章“過程要求的符合性審核”)。監(jiān)督審核：a) 上次審核發(fā)現(xiàn)的糾正/預(yù)防措施分析與執(zhí)行情況；b) 內(nèi)審與管理評審的實施情況；c) 管理體系的變更情況；d) 信息資產(chǎn)的變更與相應(yīng)的風(fēng)險評估和處理情況；e) 信息安全事故的處理和記錄等。再認證審核：a) 檢驗組織的ISMS是否持續(xù)地全面地符合ISO/IEC

9、27001:2005的要求。b) 評審在這個認證周期中ISMS的實施與繼續(xù)維護的情況，包括：l 檢查ISMS是否按照ISO/IEC 27001:2005的要求加以實施、維護和改進；l 評審ISMS文件和定期審核(包括內(nèi)部審核和監(jiān)督審核)的結(jié)果；l 檢查ISMS如何應(yīng)對組織的業(yè)務(wù)與運行的變化；l 檢驗管理者對維護ISMS有效性的承諾情況。專心-專注-專業(yè)4 信息安全管理體系4.1總要求4.2 建立和管理ISMS4.2.1 建立ISMS標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a) 組織要定義ISMS的范圍l 組織是否有一個定義ISMS范圍的過程？對“定義ISMS的范圍”要求的符合性審核，要確保ISMS

10、的定義不僅要包括范圍，也要包括邊界。對任何范圍的刪減，必須有詳細說明和正當(dāng)性理由。l 是否有對任何范圍的刪減？b) 組織要定義ISMS方針 l 組織是否有一個ISMS方針文件？要求明確規(guī)定ISMS方針的5個基本點，即ISMS方針要： 1) 包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2) 考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3) 與組織開發(fā)與維護ISMS的戰(zhàn)略性風(fēng)險管理，結(jié)合一起或保持一致；4) 建立風(fēng)險評價準(zhǔn)則；5) 獲得管理者批準(zhǔn)。在對這個要求的符合性審核時，要確保組織的ISMS方針滿足上述5個要求。還要注意到ISMS方針與信息安全方針的關(guān)系。l 組織的ISMS方針文件是否滿足

11、ISO/IEC 27001:2005規(guī)定的5個基本點(見注釋與指南欄)？c) 組織要定義風(fēng)險評估方法l 組織是否有一個定義風(fēng)險評估方法的文件？ 要求明確規(guī)定，“定義組織的風(fēng)險評估方法”的工作(活動)要包括：1) 確定風(fēng)險評估方法，而這個評估方法要適合組織的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求； 2) 制定接受風(fēng)險的準(zhǔn)則，確定可接受的風(fēng)險級別。在對要求的符合性審核時，要確保上述2個要求得到滿足。l 組織的風(fēng)險評估方法是否適合ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求？l 接受風(fēng)險的準(zhǔn)則是否已經(jīng)確定？并根據(jù)此準(zhǔn)則，確定了可接受的風(fēng)險級別？d) 組織

12、要識別安全風(fēng)險l 組織是否有一個識別安全風(fēng)險的過程？“識別安全風(fēng)險”是一個過程(活動)。而這個過程要包括：1) 識別組織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2) 識別資產(chǎn)所面臨的威脅；3) 識別可能被威脅利用的脆弱點；4) 識別資產(chǎn)保密性、完整性和可用性的喪失造成的影響。在對要求的符合性審核時，要確保“識別安全風(fēng)險”要包括上述工作(活動)。l 識別安全風(fēng)險的過程是否符合規(guī)定(參見“注釋與指南”欄)？ e) 組織要分析和評價安全風(fēng)險l 組織是否有一個用于評估安全風(fēng)險的過程？要求明確規(guī)定，“分析和評價安全風(fēng)險”過程(活動)要包括：1) 評估安全破壞(包括資產(chǎn)的保密性、完整性，或可用性的喪失的后果)可能

13、產(chǎn)生的對組織的業(yè)務(wù)影響；2) 評估由主要威脅和脆弱點導(dǎo)致的安全破壞的現(xiàn)實可能性、對資產(chǎn)的影響和當(dāng)前所實施的控制措施；3) 估算風(fēng)險的級別；4) 確定風(fēng)險是否可接受，或者是否需要使用本組織的接受風(fēng)險的準(zhǔn)則進行處理。 “分析和評價安全風(fēng)險”的結(jié)果應(yīng)產(chǎn)生一個“風(fēng)險評估報告”。在對要求的符合性審核時，要確保滿足上述要求。l 是否評估了安全破壞可能產(chǎn)生對組織的業(yè)務(wù)影響？l 這個安全風(fēng)險評估過程是否符合規(guī)定(參見“注釋與指南欄”)？f) 組織要識別和評價風(fēng)險處理選擇措施 l 組織是否有一個用于識別和評價風(fēng)險處理選擇措施的過程？ 要求明確規(guī)定，可選擇的措施包括：1) 采用適當(dāng)?shù)目刂拼胧?) 接受風(fēng)險；3)

14、 避免風(fēng)險；4) 轉(zhuǎn)移風(fēng)險。在對要求的審核時， 要確保組織有一個“識別和評價風(fēng)險處理選擇措施”的過程，并考慮了上述4種可能的選擇。 l 這個過程是否慮了4種可能的選擇(參見“注釋與指南欄”)？g) 組織要選擇風(fēng)險處理所需的控制目標(biāo)和控制措施l 組織是否有一個用于選擇ISO/IEC 27001:2005附錄A的風(fēng)險處理控制目標(biāo)和控制措施的過程？ “選擇風(fēng)險處理所需的控制目標(biāo)和控制措施”過程又包含3個具體要求：1) 控制目標(biāo)和控制措施要進行選擇和實施，以滿足風(fēng)險評估和風(fēng)險處理過程中所識別的安全要求；2) 控制目標(biāo)和控制措施的選擇要考慮接受風(fēng)險的準(zhǔn)則，以及法律法規(guī)要求和合同要求；3) 附錄A中的控制

15、目標(biāo)和控制措施要加以選擇，作為此“選擇風(fēng)險處理所需的控制目標(biāo)和控制措施”過程的一部分，以滿足已識別的安全需求。在對要求的審核時，要與本書第9章“控制目標(biāo)和控制措施的審核”結(jié)合一起進行。最重要的是要確保所選擇的控制目標(biāo)和控制措施：l 符合風(fēng)險評估與處理過程中已經(jīng)識別安全要求；l 符合接受風(fēng)險準(zhǔn)則的要求，以及法律法規(guī)的要求和合同的要求；如果附錄A中的控制目標(biāo)和控制措施適用于已識別的安全要求，要加以選擇，不要錯漏?？蓞⒁姳緯?章“控制目標(biāo)和控制措施的審核”。l 這個過程是否確保所選擇的控制目標(biāo)和控制措施滿足相關(guān)要求(參見“注釋與指南”欄)？ l 附錄A的控制目標(biāo)和控制措施是否都被選擇？l 如果不選

16、擇，是否有正當(dāng)性理由？ l 是否選擇了附錄A以外的控制措施？h) 組織要確保管理者正式批準(zhǔn)所有殘余風(fēng)險l 所有殘余風(fēng)險是否獲得管理者正式批準(zhǔn)？首先要理解“殘余風(fēng)險”的意義。i) 組織要確保在ISMS實施和運行之前，獲得管理者授權(quán)l(xiāng) ISMS實施和運行是否獲得管理者授權(quán)？要檢查是否有領(lǐng)導(dǎo)的簽字(可參見后面 “4.3.2文件控制”的審核)。j) 組織要準(zhǔn)備適用性聲明 l 組織是否有一個準(zhǔn)備適用性聲明的過程？要求明確規(guī)定,“適用性聲明”必須至少包括以下3項內(nèi)容：1) 所選擇控制目標(biāo)和控制措施，及其選擇的理由；2) 當(dāng)前實施的控制目標(biāo)和控制措施；3) 附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正

17、當(dāng)性理由。在對要求審核時，最重要的是要確保： l “適用性聲明”的內(nèi)容至少含有上述3項；l 不選擇的理由必須是合理的，或證明其是正當(dāng)性的。由于附錄A推薦的控制目標(biāo)和控制措施是最佳實踐，所以如果沒有正當(dāng)性理由，都要加以選擇，要防止漏選。對要求的審核，可與后面“4.3.1總則”i)的審核和第9章“控制目標(biāo)和控制措施的審核”結(jié)合一起進行。l 適用性聲明的內(nèi)容是否有含有標(biāo)準(zhǔn)規(guī)定的“3項內(nèi)容”(參見“注釋與指南”欄)？l 適用性聲明是否記載附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正當(dāng)性理由？4.2.2 實施與運行ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要制定風(fēng)險處理計劃 l 組織是否

18、有一個符合標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險處理計劃文件的過程？ 要求明確規(guī)定，組織要有一個產(chǎn)生風(fēng)險處理計劃的過程或程序。而這個過程要確定信息安全風(fēng)險的管理措施、資源、職責(zé)和優(yōu)先級。由于標(biāo)準(zhǔn)的第4章只是“計劃”階段，在標(biāo)準(zhǔn)第5章中將提出更具體的“資源”要求。 對于“風(fēng)險處理計劃”，可與“4.3.1總則”條款的要求一起審核(見“4.3.1總則”f) 審核)。l 是否有一個“風(fēng)險處理計劃”文件？b) 組織要實施風(fēng)險處理計劃 l 組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施風(fēng)險處理計劃”的過程？ 要求明確規(guī)定，組織要有一個“實施風(fēng)險處理計劃”的過程，或程序。而這個過程的目的是要達到已確定的控制目標(biāo)，包括資金安排、

19、角色和職責(zé)的分配。c) 組織要實施所選擇的控制措施l 組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施所選擇的控制措施”的過程？要求明確規(guī)定，組織要有一個“實施所選擇的控制措施”的過程，或程序，其目的是要滿足控制目標(biāo)。d) 組織要定義如何測量所選控制措施的有效性l 組織是否有一個“測量所選控制措施有效性”的過程？即組織要： 1) 定義如何測量所選控制措施的有效性，即要有一個“測量所選控制措施有效性”的過程；2) 規(guī)定如何使用這些測量措施，對控制措施的有效性進行測量(或評估)；據(jù)此，管理者和員工就可以確定所選控制措施是否實現(xiàn)原計劃的控制目標(biāo)，或?qū)崿F(xiàn)的程度。在對這個要求的審核時，審核員必須檢查受審核組織：

20、 是否有一個測量所選擇控制措施有效性的“測量措施”； 如何使用其測量措施進行測量； 所選控制措施是否達到既定的控制目標(biāo)。 可與4.2.3c)規(guī)定的要求 同時審核 (參見“4.2.3 監(jiān)視與評審ISMS”)l 如何使用測量措施，去測量控制措施的有效性？e) 組織要實施培訓(xùn)和意識教育計劃 l 組織是否有一個符合標(biāo)準(zhǔn)此條款要求的“實施培訓(xùn)和意識教育計劃”的過程？對于實施ISMS的組織來說，很重要的事情是培訓(xùn)，使其員工了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實施與運行組織的ISMS”中，首先要有“培訓(xùn)和意識教育計劃”(參見“5.2.2培訓(xùn)、意識和能力”)。f) 組織要管理ISMS的運行 l 組織是否有

21、“管理ISMS的運行”的過程？要求明確規(guī)定, ISMS的運行需要管理。g) 組織要管理ISMS的資源l 組織是否有對ISMS實施所需要的資源進行管理的過程？ 要求明確規(guī)定, ISMS實施所需要的資源要加以管理(參見“5.2 資源管理”)。h) 組織要實施組織的安全程序和其他控制措施l 組織的ISMS是否有“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”的程序？ 要求規(guī)定， 在“迅速檢測安全事件和對安全事故能做出迅速反應(yīng)”方面，要有相關(guān)的程序和控制措施(參見“4.2.3 監(jiān)視與評審ISMS”a)。4.2.3 監(jiān)視與評審ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要執(zhí)行監(jiān)視與評審程序 l 組

22、織是否有“監(jiān)視與評審程序”，以：1) 迅速檢測處理產(chǎn)生的錯誤；2) 迅速識別試圖的和得逞的安全違規(guī)事件和事故；3) 使管理者能確定指定人員的安全活動或通過信息技術(shù)實施的安全活動是否如期執(zhí)行；4) 通過使用指示器，幫助檢測安全事件并預(yù)防安全事故；5) 確定解決安全違規(guī)事件的措施是否有效？ 要求明確規(guī)定，求組織要有“監(jiān)視與評審程序”，以達到以下5個目的：1) 迅速檢測處理產(chǎn)生的錯誤；2) 迅速識別試圖的和得逞的安全違規(guī)事件和事故；3) 使管理者能確定指定人員的安全活動(或通過信息技術(shù)實施的安全活動)是否如期執(zhí)行；4) 通過使用指示器，幫助檢測安全事件并預(yù)防安全事故；5) 確定解決安全違規(guī)事件的措施

23、是否有效。在對要求的審核時，必須檢查這些內(nèi)容。 b) 組織要定期評審ISMS有效性l 是否有符合此要求 “ISMS有效性的定期評審”的過程？要求明確規(guī)定，組織對ISMS的有效性，進行定期評審(包括ISMS方針和目標(biāo)的符合性評審、安全控制措施的有效性評審)。而在對ISMS有效性的定期評審時，要聯(lián)系到(或考慮到)安全審核的結(jié)果、事故、有效性測量的結(jié)果、所有相關(guān)方的建議和反饋。在對要求的審核時，要檢查是否有相關(guān)的過程或活動。c) 組織要測量控制措施的有效性l 是否有到位的“測量控制措施的有效性” 的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要測量控制措施的有效性以驗證安全要求是否得到

24、滿足。 在對要求的審核時，要檢查是否有“測量控制措施的有效性”的過程或程序。d) 組織要評審風(fēng)險評估l 是否有到位的“評審風(fēng)險評估” 的過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按照既定的時間間隔，評審風(fēng)險評估、殘余風(fēng)險和已確定的可接受的風(fēng)險級別，要考慮以下方面的變化：1) 組織；2) 技術(shù)；3) 業(yè)務(wù)目標(biāo)和過程；4) 已識別的威脅；5) 已實施的控制措施的有效性；6) 外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù)的變化和社會環(huán)境的變化。在對要求的審核時，要檢查是否有相關(guān)的過程或活動。l “評審風(fēng)險評估” 的過程是否考慮了“6方面的變化”(參見注釋與指南)？e) 組織要執(zhí)行定期的

25、ISMS內(nèi)部審核 l 是否有到位的定期的“ISMS內(nèi)部審核”過程或程序？要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時間間隔，執(zhí)行ISMS內(nèi)部審核。在對要求的審核時，要檢查是否有“定期的ISMS內(nèi)部審核”過程或程序。而對ISMS內(nèi)部審核的符合性審核要按照標(biāo)準(zhǔn)第6章的要求執(zhí)行。f) 組織要執(zhí)行定期的ISMS管理評審 l 是否有到位的定期的“ISMS管理評審”過程或程序？這個要求明確規(guī)定，組織在“監(jiān)視和評審ISMS”中，要按既定的時間間隔，執(zhí)行ISMS管理評審。在對這個要求的審核時，要檢查是否有定期的“ISMS管理評審”過程或程序。而對ISMS管理評審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要

26、求執(zhí)行。 g) 組織要更新信息安全計劃 l 組織是否參考監(jiān)視和評審活動的發(fā)現(xiàn)，而“更新信息安全計劃”？這個要求明確規(guī)定，組織要參考監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。h) 組織要維護ISMS事件和行動措施的紀錄l 是否有到位的“維護ISMS事件和行動措施的紀錄”的過程？這個要求明確規(guī)定，組織要記錄可能影響ISMS有效性的事件和所采取的措施。對這個要求的審核，可與標(biāo)準(zhǔn)的“4.3.3 記錄控制”條款要求的審核一起進行。4.2.4 保持與改進ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要實施ISMS改進l 是否有到位的“實施ISMS改進”的過程？要求明確規(guī)定，組織對已識別的ISMS改進點，要

27、加以實施。對要求的符合性審核時，要確保有到位的“實施ISMS改進”的過程。b) 組織要采取適當(dāng)?shù)募m正措施和預(yù)防措施l 是否有到位的“糾正措施和預(yù)防措施”的過程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“8.2 糾正措施”條款和“8.3 預(yù)防措施”條款保持一致的“糾正措施和預(yù)防措施”的過程，并要求吸取其它組織和本組織的安全經(jīng)驗教訓(xùn)。對要求的審核，可與標(biāo)準(zhǔn)的“8.2 糾正措施”條款和“8.3 預(yù)防措施”條款的要求的審核一起進行。l 是否有到位的吸取其它組織和本組織的安全經(jīng)驗教訓(xùn)的過程？c) 組織要向所有相關(guān)方交流ISMS的措施和改進狀況l 是否有向所有相關(guān)方交流ISMS改進的過程？要求明確規(guī)定，組織要向所有相

28、關(guān)方交流ISMS的行動措施和改進情況，確保有適當(dāng)?shù)脑斍檎f明，并取得一致意見。 d) 組織要確保ISMS的改進達到預(yù)期目標(biāo)l 是否有確保ISMS的改進達到了預(yù)期目標(biāo)的過程？管理者要跟蹤改進，直到達到了預(yù)期目標(biāo)。4.3 文件要求4.3.1 總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1) ISMS文件要包括管理決定的記錄l 是否ISMS文件包括有管理決定的記錄？在左欄所示的這3）個要求是在“4.3.1總則”條款開始的一個引言段中提出的。這里提出ISMS文件：1) 必須包括管理決定的記錄；2) 必須確保所采取的行動措施可追蹤到管理決定和方針；3) 必須確保已記錄的結(jié)果是可再生的。這里明確了，展示三者(即所

29、選擇的控制措施、風(fēng)險評估的結(jié)果、ISMS方針與目標(biāo))之間的關(guān)系的重要性。即從所選擇控制措施可追溯到風(fēng)險評估的結(jié)果，而從風(fēng)險評估的結(jié)果又可追溯到ISMS方針與目標(biāo)。2) ISMS文件要確保所采取的措施可追蹤到管理決定和方針l 是否ISMS文件確保所采取的措施可追蹤到管理決定和方針？3) ISMS文件要確保記錄的結(jié)果是可再生的l 是否ISMS文件確保記錄的結(jié)果是可再生的？ a) ISMS文件要包括ISMS方針與目標(biāo)文件l 是否有ISMS方針與目標(biāo)文件？ 標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件(見本表從a)- i)欄)。其中，ISMS方針是最高級(或頂級)的文件。b) ISMS文件要包括ISMS的

30、范圍l 是否有一個描述ISMS范圍的文件？ ll 標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一文件；某些相關(guān)的內(nèi)容可合并在一起，而形成一個文件，也不會認為違反標(biāo)準(zhǔn)的要求。l 在實際中，為了減少文件量，“ISMS的范圍”常合并于ISMS方針文件。l 參見表1-1 a) 。c) ISMS文件要包括支持ISMS的程序和控制措施l 是否有支持ISMS的程序和控制措施？這里，只是泛泛地提出?！爸С諭SMS的程序和控制措施”包括的內(nèi)容很廣。除了標(biāo)準(zhǔn)強制要求的程序文件外，還可有許多組織自主決定的文件。文件的內(nèi)容可隨組織的不同而有所不同。主要取決于:1) 組織的業(yè)務(wù)活動及風(fēng)險；2) 安全要求的嚴格程度；3)

31、管理體系的范圍和復(fù)雜程度。組織需要哪些ISMS文件、控制措施及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險評估的結(jié)果而決定(參見第6章“6.3.1.1獲得ISMS文件”)。 d) ISMS文件要包括風(fēng)險評估方法的描述l 是否有描述風(fēng)險評估方法的文件？ll 與標(biāo)準(zhǔn)4.2.1c)條款的要求一致。 l 最佳的實踐表明，“風(fēng)險評估方法的描述”可合并于“風(fēng)險評估程序”；而“風(fēng)險評估程序”的運行結(jié)果又產(chǎn)生“風(fēng)險評估報告”。l 參見的表1-1 c)；l 參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。 e) ISMS文件要包括風(fēng)險評估報告l 是否有可用的風(fēng)險評估報告？f) ISMS文件要包括風(fēng)險處理計劃l 是否有可用的風(fēng)險處理計劃

32、？ll 與標(biāo)準(zhǔn)4.2.2b)的要求一致；l 參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。 g) ISMS文件要包括控制措施有效性的測量程序l 是否有描述如何測量控制措施有效性的程序文件？ ll 與標(biāo)準(zhǔn)4.2.3 c的要求一致；l 參見“標(biāo)準(zhǔn)要求的強制性ISMS文件”。h) ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄l 是否有提供符合要求證據(jù)的記錄？ll “記錄”的范圍很廣。實際上，每一個程序文件的運行結(jié)果都可以產(chǎn)生可作為證據(jù)的“記錄”。l 參見“4.3.3記錄控制”。i) ISMS文件要包括適用性聲明l 是否有符合要求的適用性聲明？參見 表1-1 j)。4.3.2文件控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南

33、1) ISMS所要求的文件要加以保護和控制是否有一個用于保護和控制ISMS文件的過程？ 要求是標(biāo)準(zhǔn)的“4.3.2文件控制”條款開始的一個引言段中提出的。這里只是泛泛地提出。實際上，“保護和控制ISMS文件的過程”可用“文件控制程序文件”進行控制。2) ISMS文件控制程序要形成文件是否有一個形成文件的文件控制程序？“形成文件的文件控制程序”一般稱為“文件控制程序文件”。這個程序文件是標(biāo)準(zhǔn)要求的必須的ISMS文件之一。“4.3.2文件控制”條款主要的要求是：建立一個“文件控制程序文件”，并對文件進行以下10方面控制(見下面a-j)。a)“文件控制程序文件”要定義“文件發(fā)布前要得到批準(zhǔn)”l 是否文

34、件發(fā)布前要得到批準(zhǔn)？在對這個“4.3.2文件控制”條款要求的審核時，主要檢查:1) 組織是否有一個用于控制ISMS文件的“文件控制程序文件”；2) 組織的ISMS文件實際上是否受控；3) 是否從“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定義“必要時評審與更新文件，并再次獲得批準(zhǔn)”l 是否必要時評審與更新文件，并再次批準(zhǔn)文件？c)“文件控制程序文件”要定義“文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識”l 是否文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識？d)“文件控制程序文件”要定義“在使用處可獲得有關(guān)版本的適用文件”l 是否在使用處可獲得有關(guān)版本的適用文件？e) “文件控制程序文件”要定義“

35、文件保持清晰、易于識別”l 是否文件保持清晰、易于識別？f) “文件控制程序文件”要定義“文件可為需要的人員使用，并依照相關(guān)程序進行傳輸、貯存和最終銷毀”l 是否文件可為需要的人員使用，并依照相關(guān)程序進行傳輸、貯存和最終銷毀？g) “文件控制程序文件”要定義“外來文件得到標(biāo)識”l 是否外來文件得到標(biāo)識？h) “文件控制程序文件”要定義“文件的分發(fā)受控制”l 是否文件的分發(fā)受控制？i) “文件控制程序文件”要定義“防止作廢文件非預(yù)期使用”l 是否“防止作廢文件非預(yù)期使用”？j) “文件控制程序文件”要定義“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”l 是否“對需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識”？4.3

36、.3 記錄控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 記錄要加以建立與保持l 是否有一個建立與保持記錄的過程？記錄是提供符合ISMS要求和有效運行客觀證據(jù)的一種特殊類型的文件。記錄需要建立與保持、保護與控制。b. 記錄要加以保護與控制l 是否有一個保護與控制記錄的過程？c. ISMS要考慮相關(guān)法律法規(guī)要求和合同義務(wù)l ISMS是否考慮了相關(guān)法律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)(記錄)，證明其ISMS考慮了相關(guān)法律法規(guī)要求和合同義務(wù)。d. 記錄要保持清晰、易于識別和檢索l 記錄是否保持清晰、易于識別和檢索？作為客觀證據(jù)的記錄，必須易于理解，不能含糊不清。e. 記錄的控制要形成文件, 并加以實施

37、l 記錄的控制是否形成了文件？記錄的控制包括：記錄的標(biāo)識、貯存、保護、檢索、保存期限和處置等。這些控制要形成文件，通常稱為“記錄控制程序文件”。 “記錄控制程序文件”是必須要有的ISMS文件之一。f. 記錄要保留ISMS過程的執(zhí)行情況，和所有重大安全事故的執(zhí)行情況l 記錄是否保留了ISMS過程的執(zhí)行情況？這里，ISMS過程是指ISO/IEC 27001:2005的 4.2條款所列出的過程，包括ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進。所有這些過程的記錄要加以保留，所有重大安全事故的紀錄也要保留。l 記錄是否保留了所有重大安全事故的執(zhí)行情況？5 管理職責(zé) 5.1 管理承諾 標(biāo)準(zhǔn)要求審核

38、內(nèi)容審核記錄注釋與指南管理者要對ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進，做出承諾, 提供證據(jù)。l 是否有一個確保管理者對ISMS的建立、實施與運行、監(jiān)視與評審、保持和改進，做出承諾的過程？這里，“管理承諾”應(yīng)理解為“最高管理者(層)的承諾”。ISO/IEC 27001:2005標(biāo)準(zhǔn)認為，ISMS的成功運行需要管理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高管理層(包括總經(jīng)理和管理者代表等)展示出其如何支持(或承諾)ISMS建立、實施與運行、監(jiān)視與評審、保持與改進，并提供8方面內(nèi)容的證據(jù)，包括：a) 制定ISMS方針；b) 確保建立ISMS目標(biāo)和計劃；c) 建立信息安全的角色和職責(zé)；d) 向該

39、組織傳達滿足信息安全目標(biāo)與符合信息安全方針的重要性、法律責(zé)任和持續(xù)改進的需要；e) 提供足夠的資源；f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別準(zhǔn)則；g) 確保ISMS內(nèi)審的執(zhí)行；h) 進行ISMS管理評審。l 管理者提供承諾的證據(jù)是否包括8方面的內(nèi)容(見“注釋與指南”欄)？5.2 資源管理5.2.1 資源提供標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源l 管理者是否提供ISMS活動所需要的資源？這里ISMS活動包括ISMS建立、實施與運行、監(jiān)視與評審、保持和改進。l 管理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？資源包括人、財、物(如設(shè)備、工具和資料等)。l 管理者

40、是否提供滿足法律法規(guī)要求、合同安全要求所需要的資源？ l 是否提供通過正確實施控制措施維護安全所需要的資源？ l 管理者是否提供必要的評審與對評審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？ l 管理者是否提供改進ISMS有效性所需要的資源？ 5.2.2 培訓(xùn)、意識和能力標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 組織要確保分配有ISMS職責(zé)的所有人員都具有執(zhí)行所要求任務(wù)的能力l 是否有一個確保分配有ISMS職責(zé)的所有人員都具有完成所要求任務(wù)的能力的過程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員都具有完成其所要求任務(wù)的能力。這個過程包括4個活動： a) 確定所有ISMS人員所必要的能力；b) 提供培訓(xùn)，或

41、采取其它措施(例如聘用有能力的人員)，以滿足這些需要；c) 評價培訓(xùn)等措施的有效性；d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對要求的符合性審核時，要檢查培訓(xùn)記錄和相關(guān)證據(jù)。b. 組織要確保所有相關(guān)人員意識到其信息安全活動的重要性 l 是否有一個確保所有相關(guān)人員都識到其信息安全活動的重要性的過程？要求明確規(guī)定，組織要確保所有相關(guān)人員意識到其信息安全活動的利害關(guān)系與重要性，并為達到ISMS目標(biāo)做出貢獻。在對要求的符合性審核時，可以抽查相關(guān)人員的安全意識。6 內(nèi)部ISMS審核 標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1) 定期進行內(nèi)部ISMS審核l 是否有一個定期進行內(nèi)部ISMS審核的過程？ 要

42、求明確規(guī)定，“組織要按照既定的時間間隔進行內(nèi)部ISMS審核”。而內(nèi)部審核的目的是確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否： a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求； b) 符合已確定的信息安全要求；c) 得到有效地實施和保持；d) 按預(yù)期執(zhí)行。在對要求符合性審核時，要確保上述要求得到滿足。(2) 制定審核方案l 是否有一個審核方案？l 該審核方案是否考慮了受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果？要求明確規(guī)定，在進行內(nèi)部審核之前，要制定“審核方案”。而這個審核方案要考慮受審核的過程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果。(3) 定義審核的準(zhǔn)則、范圍、頻次和

43、方法l 審核的準(zhǔn)則、范圍、頻次和方法是否定義?在實際中，審核的準(zhǔn)則、范圍、頻次和方法可以包含于審核方案或?qū)徍擞媱澲小?4) 審核員的選擇，審核的實施要確保審核過程的客觀公正l 審核員的選擇，審核的實施是否確保審核過程的客觀公正？ 在這方面，應(yīng)遵照本書第4章的規(guī)定執(zhí)行。其中包括“審核發(fā)現(xiàn)、審核結(jié)論和審核報告要真實和準(zhǔn)確地反映審核活動”。 (5) 審核員不準(zhǔn)審核自己的工作l 是否審核員審核了自己的工作？要識別內(nèi)部審核員除了內(nèi)審以外的其它工作。(6) 形成內(nèi)審程序文件l 是否有定義內(nèi)審職責(zé)和要求方面的內(nèi)審程序文件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的計劃與實施、審核結(jié)果的報告、記錄的保持等)必

44、須以形成文件的程序加以定義。在對要求的符合性審核時，要確保上述要求得到滿足。(7) 采取糾正措施l 是否有一個確保受審部門的責(zé)任管理者及時采取措施，消除“已發(fā)現(xiàn)的不符合事項及其產(chǎn)生的原因”的過程？要求的意義包括：1) 受審部門的責(zé)任管理者要采取糾正措施； 2) 糾正措施要包含原因分析；3) 糾正措施不能有不適當(dāng)?shù)难舆t。在對要求的符合性審核時，要確保上述要求得到滿足。(8) 跟蹤糾正措施l 是否有一個對糾正措施的跟蹤活動？“跟蹤糾正措施”是受審部門責(zé)任管理者的職責(zé)，包括：1) 要跟蹤和驗證糾正措施，直到真正獲得落實；2) 要報告跟蹤和驗證的結(jié)果。 l 跟蹤活動是否包括驗證和驗證結(jié)果的報告？7 I

45、SMS的管理評審7.1 總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1) 管理者要每年至少評審1次ISMS l 是否有一個確保最高管理者每年至少評審1次ISMS的過程？ 管理評審的目的是確保ISMS持續(xù)的適宜性、充分性和有效性。為了確保最高管理者每年至少評審1次ISMS，最好的實踐是通過使用一個“管理評審程序文件”進行控制?！肮芾碓u審程序文件”也控制相關(guān)的管理評審過程，以滿足標(biāo)準(zhǔn)的要求。 但是，標(biāo)準(zhǔn)沒有明確規(guī)定一定要有一個形成文件的“管理評審程序”。因此，在審核時，主要是要確保有符合要求的評審過程。l 是否檢查了ISMS的實施情況，以確保ISMS持續(xù)的適宜性、充分性和有效性？(2) 評審要包括評估

46、改進的機會和變更ISMS的需要 l 在管理評審時，是否評估了ISMS（包括信息安全方針和信息安全目標(biāo)）改進的機會和變更的需要？在運行期間，操作者是不能任意變更ISMS的。ISMS的改進和變更，只能經(jīng)過最高管理者對ISNS的評審，做出評審決定后，才能執(zhí)行。因此管理評審時，要有這方面的評估。(3)評審的結(jié)果要形成文件l 評審結(jié)果是否形成了文件？審核員在進行“ISMS的管理評審”的審核時，必須按標(biāo)準(zhǔn)“4.3.3 記錄控制”條款的要求，檢查評審結(jié)果和相關(guān)的評審的記錄。(4)評審的記錄要加以保持l 記錄是否按照“記錄控制”的要求加以保持？7.2 評審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 管理評審的

47、輸入要包括審核和評審結(jié)果l 是否有一個確保管理評審的輸入包括標(biāo)準(zhǔn)要求的9方面信息的過程？ 在審核時，審核員應(yīng)首先檢查組織如何確保滿足標(biāo)準(zhǔn)規(guī)定的9方面管理評審的輸入信息(見本表的a-i)。l 是否管理評審的輸入包括先前的審核和評審結(jié)果？審核員應(yīng)檢查管理評審的輸入是否包括先前的審核(包括內(nèi)審和外審)和管理評審的結(jié)果。 b)管理評審的輸入要包括相關(guān)方的反饋l 是否管理評審的輸入包括相關(guān)方的反饋？審核員應(yīng)檢查管理評審的輸入是否包括相關(guān)方(如顧客和相關(guān)人員)的反饋，包括意見、抱怨和評論等。 c)管理評審的輸入要包括可用于改進ISMS的技術(shù)、產(chǎn)品或程序l 是否管理評審的輸入包括可用于改進ISMS的技術(shù)、產(chǎn)

48、品或程序？審核員應(yīng)檢查管理評審的輸入是否包括可用于改進ISMS有效性的技術(shù)、產(chǎn)品或程序。d)管理評審的輸入要包括預(yù)防和糾正措施的狀況l 是否管理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評審的輸入是否包括先前的預(yù)防措施和糾正措施的情況，包括查相關(guān)記錄。e)管理評審的輸入要包括以往風(fēng)險評估沒有充分解決的脆弱點或威脅l 是否管理評審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評審的輸入是否包括在先前的風(fēng)險評估期間，沒有充分解決的安全問題。f)管理評審的輸入要包括有效性測量的結(jié)果l 是否管理評審的輸入包括ISMS有效性的測量結(jié)果？審核員應(yīng)檢查管理評審的輸入是否包括在先前對ISMS的有效

49、性的測量結(jié)果。 g)管理評審的輸入要包括以往管理評審的跟蹤措施l 是否管理評審的輸入包括以往管理評審的跟蹤措施？審核員應(yīng)檢查管理評審的輸入是否包括以往管理評審的跟蹤措施，包括對以往管理評審結(jié)果的貫徹、跟蹤和驗證的結(jié)果。h)管理評審的輸入要包括可能影響ISMS的任何變更l 是否管理評審的輸入包括可能影響ISMS的任何變更？審核員應(yīng)檢查管理評審的輸入是否包括可能影響ISMS的任何變更，包括出現(xiàn)新的信息資產(chǎn)、技術(shù)的變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i) 管理評審的輸入要包括改進的建議l 是否管理評審的輸入包括任改進的建議？審核員應(yīng)檢查管理評審的輸入是否包括改進ISMS的任何建議。7.3 評審輸

50、出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)管理評審的輸出要包括ISMS有效性的改進l 是否有一個確保管理評審的輸出包括5方面要求的過程？ 在審核時，審核員應(yīng)首先檢查組織如何確保管理評審滿足標(biāo)準(zhǔn)規(guī)定的5方面的輸出(見本表a)-e)。 l 是否管理評審做出了改進ISMS有效性的決定？審核員應(yīng)檢查管理評審的輸出是否有改進ISMS有效性的決定。b)管理評審的輸出要包括風(fēng)險評估和風(fēng)險處理計劃的更新l 是否管理評審做出了更新風(fēng)險評估和風(fēng)險處理計劃的決定？ 風(fēng)險是動態(tài)的。風(fēng)險評估活動要定期執(zhí)行，風(fēng)險處理計劃要及時更新。管理評審要做出這方面的決定。審核員應(yīng)檢查管理評審的輸出是否有這方面的決定。c) 管理評審的輸

51、出要包括必要時對影響信息安全的程序和控制措施的修改，以應(yīng)對可能沖擊ISMS的內(nèi)外事件l 是否管理評審做出了在必要時對影響信息安全的程序和控制措施的修改決定，以應(yīng)對可能沖擊ISMS的內(nèi)外事件？要求的含義是，為了應(yīng)對可能沖擊ISMS的內(nèi)外事件，包括：1) 業(yè)務(wù)要求發(fā)生變化；2) 安全要求發(fā)生變化；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程發(fā)生變化；4) 法律法規(guī)要求發(fā)生變化；5) 合同義務(wù)發(fā)生變化；6) 接受風(fēng)險的風(fēng)險級別和/或準(zhǔn)則發(fā)生變化。要對影響信息安全的程序和控制措施進行修改。 管理評審要做出這方面的決定。在審核時，要檢查這方面的決定。d) 管理評審的輸出要包括對資源需求的決定l 是否管理評審做出了對

52、資源需求的決定？要求是解決資源需求。管理評審要做出解決ISMS資源需求的決定。在審核時，要檢查這方面的決定。 e) 管理評審的輸出要包括改進測量控制措施有效性的方法l要求是改進如何測量控制措施的有效性。管理評審要做出這方面的決定。在審核時，要檢查這方面的決定。8 ISMS改進8.1 持續(xù)改進標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要持續(xù)改進ISMS的有效性 l 是否有一個確保組織持續(xù)改進ISMS有效性的過程？ 要求規(guī)定，組織要通過多種途徑，持續(xù)改進ISMS的有效性持，包括：1) 使用信息安全方針；2) 使用安全目標(biāo)；3) 使用審核結(jié)果；4) 使用監(jiān)視事件的分析；5) 使用糾正措施與預(yù)防措施；6)

53、 使用管理評審。因此，審核員在進行審核時，應(yīng)考慮以上方面，并結(jié)合一起進行。8.2 糾正措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 組織要采取措施，消除不符合ISMS要求的原因l 是否有一個確保采取 措施，消除不符合ISMS要求的原因的過程？要求規(guī)定，組織要采取措施，消除不符合ISMS要求的原因，目的是防止不符合事項再次發(fā)生。b. 糾正措施程序要形成文件l 是否有一個糾正措施程序文件？“形成文件的糾正措施程序”通常也稱“糾正措施程序文件”，是標(biāo)準(zhǔn)強制性要求的ISMS文件之一。標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文件”。這個“糾正措施程序文件”要定義6條要求(見本表“標(biāo)準(zhǔn)的要求”欄c-h)。審核

54、員在文件評審階段，就應(yīng)對照此“8.2 糾正措施”的要求，評審“糾正措施程序文件”的符合性。 c. 糾正措施程序文件要定義“識別不符合項”l 是否糾正措施程序文件定義了“識別不符合項”？ d. 糾正措施程序文件要定義“確定產(chǎn)生不符合項的原因”l 是否糾正措施程序文件定義了“確定產(chǎn)生不符合項的原因”？ e.糾正措施程序文件要定義“評價確保不符合項不再發(fā)生的措施需求”l 是否糾正措施程序文件定義了“評價確保不符合項不再發(fā)生的措施需求”？f.糾正措施程序文件要定義“確定和實施所需要的糾正措施”l 是否糾正措施程序文件定義了“確定和實施所需要的糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施的結(jié)果”l 是否糾正措施程序文件定義了“記錄所采取措施的結(jié)果”？h.糾正措施程序文件要定義“評審所采取的糾正措施”l 是否糾正措施程序文件定義了“評審所采取的糾正措施”？