第五部分：信息安全管理體系內(nèi)部審核

1、ISMSISMS內(nèi)審員培訓(xùn)教程內(nèi)審員培訓(xùn)教程SGS-CSTCSGS-CSTC通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司2u第一部分第一部分 信息安全基礎(chǔ)知識(shí)及案例分析信息安全基礎(chǔ)知識(shí)及案例分析u第二部分第二部分 ISO27001標(biāo)準(zhǔn)正文部分詳解標(biāo)準(zhǔn)正文部分詳解 ISO27001標(biāo)準(zhǔn)附錄標(biāo)準(zhǔn)附錄A詳解詳解u第三部分第三部分 信息安全風(fēng)險(xiǎn)評(píng)估與管理信息安全風(fēng)險(xiǎn)評(píng)估與管理u第四部分第四部分 體系文件編寫體系文件編寫u第五部分第五部分 信息安全管理體系內(nèi)部審核信息安全管理體系內(nèi)部審核課程內(nèi)容課程內(nèi)容3u 了解管理體系審核的基本概念了解管理體系審核的基本概念u 掌握掌握ISMS內(nèi)部審核的流程內(nèi)部審

2、核的流程u 掌握掌握ISMS內(nèi)部審核的方法和技巧內(nèi)部審核的方法和技巧教學(xué)目標(biāo)教學(xué)目標(biāo)4主要內(nèi)容主要內(nèi)容1 1、審核概論、審核概論2 2、審核策劃和準(zhǔn)備、審核策劃和準(zhǔn)備3 3、現(xiàn)場(chǎng)審核活動(dòng)的實(shí)施、現(xiàn)場(chǎng)審核活動(dòng)的實(shí)施4 4、糾正措施及其跟蹤、糾正措施及其跟蹤5 5、ISMSISMS評(píng)價(jià)評(píng)價(jià)51.1 1.1 定義定義 為獲得為獲得審核證據(jù)審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足以確定滿足審核準(zhǔn)則審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程獨(dú)立的并形成文件的過程 （ISO 9000ISO 9000）1.2 1.2 審核審核“成敗成敗”的關(guān)鍵的關(guān)鍵 系

3、統(tǒng)的：正式、有序的審查活動(dòng)系統(tǒng)的：正式、有序的審查活動(dòng) 獨(dú)立的：保持審核的獨(dú)立性和公正性獨(dú)立的：保持審核的獨(dú)立性和公正性1 1 審核概論審核概論61.3 1.3 審核的內(nèi)容審核的內(nèi)容 1 1、獲得審核證據(jù)、獲得審核證據(jù) 2 2、客觀評(píng)價(jià)、客觀評(píng)價(jià) 3 3、確定滿足審核準(zhǔn)則的程度、確定滿足審核準(zhǔn)則的程度1.4 1.4 過程評(píng)價(jià)的四個(gè)基本問題過程評(píng)價(jià)的四個(gè)基本問題 1 1、過程是否已被識(shí)別并適當(dāng)規(guī)定？、過程是否已被識(shí)別并適當(dāng)規(guī)定？ 2 2、職責(zé)是否已被分配？、職責(zé)是否已被分配？ 3 3、程序是否得到實(shí)施和保持？、程序是否得到實(shí)施和保持？ 4 4、在實(shí)現(xiàn)所要求的結(jié)果方面，過程是否有效？、在實(shí)現(xiàn)所要求

4、的結(jié)果方面，過程是否有效？1 1 審核概論審核概論71.5 1.5 審核的類型審核的類型組組 織織顧顧 客客供供 方方認(rèn)證認(rèn)證/ /注冊(cè)機(jī)構(gòu)注冊(cè)機(jī)構(gòu)第三方審核第三方審核 ( (外部外部) )第二方審核第二方審核第二方審核第二方審核第一方審核第一方審核( (外部外部) )( (外部外部) )( (內(nèi)部?jī)?nèi)部) )1 1 審核概論審核概論81.6 1.6 內(nèi)部審核的目的內(nèi)部審核的目的目目的的主要依據(jù)：信息安全管理體系文件主要依據(jù)：信息安全管理體系文件外部審核前的準(zhǔn)備外部審核前的準(zhǔn)備作為一種管理手段，是組織管理評(píng)審輸入的重要內(nèi)容作為一種管理手段，是組織管理評(píng)審輸入的重要內(nèi)容確保信息安全管理體系正常運(yùn)行

5、和改進(jìn)的需要確保信息安全管理體系正常運(yùn)行和改進(jìn)的需要1 1 審核概論審核概論91.7 ISMS1.7 ISMS內(nèi)審的時(shí)機(jī)、范圍和頻度內(nèi)審的時(shí)機(jī)、范圍和頻度u 按策劃的時(shí)間間隔按策劃的時(shí)間間隔u 一般至少每年應(yīng)覆蓋一般至少每年應(yīng)覆蓋ISMSISMS所涉及部門、過程一次所涉及部門、過程一次u 最初建立體系時(shí)頻度可適當(dāng)多一些最初建立體系時(shí)頻度可適當(dāng)多一些u 特殊情況特殊情況: : 發(fā)生嚴(yán)重信息安全問題或用戶投訴發(fā)生嚴(yán)重信息安全問題或用戶投訴 組織機(jī)構(gòu)、生產(chǎn)場(chǎng)所、信息安全方針目標(biāo)等發(fā)生重大變化組織機(jī)構(gòu)、生產(chǎn)場(chǎng)所、信息安全方針目標(biāo)等發(fā)生重大變化 接受第二、第三方審核前接受第二、第三方審核前1 1 審核概

6、論審核概論101.8 ISMS1.8 ISMS內(nèi)部審核的依據(jù)內(nèi)部審核的依據(jù) 1 1、ISO 27001:2005ISO 27001:2005版標(biāo)準(zhǔn)版標(biāo)準(zhǔn) 2 2、信息安全管理手冊(cè)、信息安全管理手冊(cè) 3 3、程序文件、程序文件 4 4、信息安全策略、信息安全策略 5 5、有關(guān)的法律、法規(guī)、有關(guān)的法律、法規(guī) 6 6、其他信息安全管理文件、其他信息安全管理文件1 1 審核概論審核概論111.9 ISMS1.9 ISMS內(nèi)部審核的方式內(nèi)部審核的方式 1 1、集中審核、集中審核 2 2、分散審核、分散審核1.10 ISMS1.10 ISMS審核的特點(diǎn)審核的特點(diǎn) 1 1、被審核的、被審核的ISMSISMS

7、必須是正規(guī)的必須是正規(guī)的 2 2、ISMSISMS審核必須是一種正式的活動(dòng)審核必須是一種正式的活動(dòng) 3 3、ISMSISMS審核是一種抽樣過程審核是一種抽樣過程1 1 審核概論審核概論121.11 ISMS1.11 ISMS內(nèi)部審核的一般順序內(nèi)部審核的一般順序 1 1、審核策劃與審核準(zhǔn)備、審核策劃與審核準(zhǔn)備 2 2、現(xiàn)場(chǎng)審核實(shí)施與審核報(bào)告、現(xiàn)場(chǎng)審核實(shí)施與審核報(bào)告 3 3、糾正措施的跟蹤與匯總分析、糾正措施的跟蹤與匯總分析 1 1 審核概論審核概論13u 領(lǐng)導(dǎo)重視是做好領(lǐng)導(dǎo)重視是做好ISMSISMS內(nèi)部審核的關(guān)鍵內(nèi)部審核的關(guān)鍵u 信息安全經(jīng)理要親自抓信息安全經(jīng)理要親自抓ISMSISMS內(nèi)部審核工

8、作內(nèi)部審核工作u ISMSISMS內(nèi)部審核工作需要一個(gè)職能部門來管理內(nèi)部審核工作需要一個(gè)職能部門來管理u 要組建一支合格的要組建一支合格的ISMSISMS內(nèi)部審核隊(duì)伍內(nèi)部審核隊(duì)伍u ISMSISMS內(nèi)部審核需要一套正規(guī)的程序內(nèi)部審核需要一套正規(guī)的程序u 建立建立ISMSISMS時(shí)應(yīng)考慮時(shí)應(yīng)考慮ISMSISMS內(nèi)部審核工作內(nèi)部審核工作2 ISMS2 ISMS內(nèi)部審核的策劃和準(zhǔn)備內(nèi)部審核的策劃和準(zhǔn)備141.1. 明確審核決定明確審核決定 2.2. 確定審核組確定審核組3.3. 文件審核文件審核4.4. 編制審核計(jì)劃編制審核計(jì)劃5.5. 編制檢查表編制檢查表6.6. 通知受審核部門并約定具體的審核時(shí)

9、間通知受審核部門并約定具體的審核時(shí)間2 ISMS2 ISMS內(nèi)部審核的策劃和準(zhǔn)備內(nèi)部審核的策劃和準(zhǔn)備15 1、審核目的、審核目的2、審核范圍、審核范圍3、審核時(shí)間、審核時(shí)間4、審核方式、審核方式2.1 2.1 明確審核決定明確審核決定161 1、審核人員的資格、審核人員的資格2 2、確?？陀^性和公正性、確?？陀^性和公正性3 3、專業(yè)能力、專業(yè)能力4 4、審核組長(zhǎng)：負(fù)責(zé)審核全過程及審核組管理工作、審核組長(zhǎng)：負(fù)責(zé)審核全過程及審核組管理工作5 5、審核員：在審核組長(zhǎng)指導(dǎo)下進(jìn)行審核、審核員：在審核組長(zhǎng)指導(dǎo)下進(jìn)行審核2.2 2.2 確定審核組確定審核組17u目的：目的： 體系中所有過程是否被識(shí)別并適當(dāng)規(guī)

10、定；體系中所有過程是否被識(shí)別并適當(dāng)規(guī)定； 職責(zé)是否被分配；職責(zé)是否被分配； 過程文件滿足審核準(zhǔn)則的程度過程文件滿足審核準(zhǔn)則的程度u對(duì)象：對(duì)象： 信息安全管理手冊(cè)、程序文件、作業(yè)指導(dǎo)書、信息安全管理手冊(cè)、程序文件、作業(yè)指導(dǎo)書、規(guī)范、風(fēng)險(xiǎn)處理計(jì)劃等規(guī)范、風(fēng)險(xiǎn)處理計(jì)劃等u審核準(zhǔn)則：審核準(zhǔn)則： 標(biāo)準(zhǔn)、合同及有關(guān)的法律、法規(guī)標(biāo)準(zhǔn)、合同及有關(guān)的法律、法規(guī)2.3 2.3 文件審核文件審核18u時(shí)機(jī)：在現(xiàn)場(chǎng)審核前進(jìn)行；時(shí)機(jī)：在現(xiàn)場(chǎng)審核前進(jìn)行； 作業(yè)指導(dǎo)書、質(zhì)量計(jì)劃、規(guī)范等可以在現(xiàn)作業(yè)指導(dǎo)書、質(zhì)量計(jì)劃、規(guī)范等可以在現(xiàn) 場(chǎng)審核時(shí)進(jìn)行；場(chǎng)審核時(shí)進(jìn)行；u結(jié)論：符合標(biāo)準(zhǔn)及法規(guī)的要求；結(jié)論：符合標(biāo)準(zhǔn)及法規(guī)的要求； 部分不

11、符合要求；部分不符合要求； 沒有覆蓋標(biāo)準(zhǔn)及法規(guī)的要求；沒有覆蓋標(biāo)準(zhǔn)及法規(guī)的要求；u注意事項(xiàng)：不僅要審核過程文件，還要審核過程注意事項(xiàng)：不僅要審核過程文件，還要審核過程 之間的接口是否明確、協(xié)調(diào)之間的接口是否明確、協(xié)調(diào)2.3 2.3 文件審核文件審核19u 組織的大小和性質(zhì)組織的大小和性質(zhì)u 員工數(shù)量員工數(shù)量u 體系復(fù)雜性體系復(fù)雜性u(píng) ISMSISMS的范圍的范圍u 涉及的地點(diǎn)數(shù)目涉及的地點(diǎn)數(shù)目u 信息類型信息類型- -文件文件/ /電子等電子等2.4 2.4 編制審核計(jì)劃編制審核計(jì)劃_要求考慮要求考慮20u 審核目的審核目的u 審核范圍審核范圍u 審核準(zhǔn)則審核準(zhǔn)則u 審核組成員及其分工審核組成

12、員及其分工u 現(xiàn)場(chǎng)審核活動(dòng)的日程安排現(xiàn)場(chǎng)審核活動(dòng)的日程安排u 必要的審核資源的配備必要的審核資源的配備u 其它其它( (如審核時(shí)所用語言、保密承諾等如審核時(shí)所用語言、保密承諾等) )審核計(jì)劃示例：審核計(jì)劃示例：2.4 2.4 編制審核計(jì)劃編制審核計(jì)劃_內(nèi)容內(nèi)容21NO. 20080118-01NO. 20080118-01審核時(shí)間審核時(shí)間: :20082008年年1 1月月1818日日1 1月月1919日日審核目的審核目的: : 驗(yàn)證本公司的驗(yàn)證本公司的ISMSISMS是否符合是否符合ISO 27001:2005ISO 27001:2005版版以及公司以及公司ISMSISMS文件的要求，文件的

13、要求，ISMSISMS是否得到有效實(shí)施，是否是否得到有效實(shí)施，是否具備申請(qǐng)第三方具備申請(qǐng)第三方ISO 27001:2005ISO 27001:2005認(rèn)證注冊(cè)的條件認(rèn)證注冊(cè)的條件審核范圍審核范圍: : ISMS ISMS所涉及的部門和過程所涉及的部門和過程審核依據(jù)審核依據(jù): : ISO 27001:2005 ISO 27001:2005 、公司、公司信息安全管理手冊(cè)信息安全管理手冊(cè)（LXLXM M0101）第）第1 1版、有關(guān)的信息管理文件版、有關(guān)的信息管理文件審核組成員審核組成員: :( (組長(zhǎng)組長(zhǎng)) )A A； B B；C C；公司公司ISMSISMS內(nèi)部審核計(jì)劃內(nèi)部審核計(jì)劃22日日 期期

14、時(shí)間安排時(shí)間安排A AC CB B1 1月月1818日日08:3008:3008:4508:45首次會(huì)議首次會(huì)議08:4508:4512:0012:0013:3013:3015:0015:00 15:0015:0017:3017:301 1月月1919日日08:3008:3012:0012:0013:3013:3015:3015:3015:3015:3016:0016:00審核組總結(jié)審核組總結(jié)16:0016:0016:3016:30與受審核方交換意見與受審核方交換意見16:3016:3017:0017:00末次會(huì)議末次會(huì)議說明說明: :對(duì)條款對(duì)條款的審核還將結(jié)合其它條款的審核同時(shí)進(jìn)行的審核還將

15、結(jié)合其它條款的審核同時(shí)進(jìn)行公司公司ISMSISMS內(nèi)部審核計(jì)劃內(nèi)部審核計(jì)劃23注：對(duì)以上人員和日程安排如有異議，請(qǐng)及時(shí)反饋。注：對(duì)以上人員和日程安排如有異議，請(qǐng)及時(shí)反饋。 擬制：擬制： （組長(zhǎng)）（組長(zhǎng)） 日期：日期： 批準(zhǔn)：（信息安全經(jīng)理）批準(zhǔn)：（信息安全經(jīng)理） 日期：日期： 公司公司ISMSISMS內(nèi)部審核計(jì)劃內(nèi)部審核計(jì)劃24一、檢查表的作用一、檢查表的作用 1 1、明確與審核目標(biāo)有關(guān)的樣本、明確與審核目標(biāo)有關(guān)的樣本 2 2、使審核程序規(guī)范化、使審核程序規(guī)范化 3 3、按檢查表的要求進(jìn)行調(diào)查研究，、按檢查表的要求進(jìn)行調(diào)查研究， 可使審核目標(biāo)始終保持明確可使審核目標(biāo)始終保持明確 4 4、保持審

16、核進(jìn)度、保持審核進(jìn)度 5 5、作為審核記錄存檔、作為審核記錄存檔 6 6、減少重復(fù)的或不必要的工作量、減少重復(fù)的或不必要的工作量 7 7、減少內(nèi)審員的偏見和隨意性、減少內(nèi)審員的偏見和隨意性2.5 編制檢查表編制檢查表25二、檢查表的內(nèi)容二、檢查表的內(nèi)容 1 1、列出審核項(xiàng)目的要點(diǎn)（確保完整）、列出審核項(xiàng)目的要點(diǎn)（確保完整） 2 2、明確審核步驟和方法，進(jìn)行抽樣量的設(shè)計(jì)、明確審核步驟和方法，進(jìn)行抽樣量的設(shè)計(jì) 注：注：ISMSISMS所涉及的過程和部門不能抽樣，不同所涉及的過程和部門不能抽樣，不同 的類型不能抽樣的類型不能抽樣2.5 編制檢查表編制檢查表26三、設(shè)計(jì)檢查表的注意事項(xiàng)三、設(shè)計(jì)檢查表的

17、注意事項(xiàng) 1 1、對(duì)照標(biāo)準(zhǔn)和、對(duì)照標(biāo)準(zhǔn)和ISMSISMS文件文件 2 2、部門與過程相對(duì)應(yīng)、部門與過程相對(duì)應(yīng) 3 3、選擇典型的信息安全問題，抽樣應(yīng)有代表性、選擇典型的信息安全問題，抽樣應(yīng)有代表性 4 4、注意邏輯順序，明確審核步驟、注意邏輯順序，明確審核步驟 5 5、按部門編制的檢查表要考慮涉及的條款，按條款、按部門編制的檢查表要考慮涉及的條款，按條款 編制的檢查表要考慮涉及的部門編制的檢查表要考慮涉及的部門 6 6、常見問題：、常見問題：陳述句變疑問句；只列出審核項(xiàng)目，忽略陳述句變疑問句；只列出審核項(xiàng)目，忽略 審核方法和抽樣量的設(shè)計(jì)；僅依據(jù)標(biāo)準(zhǔn)，不符合實(shí)際審核方法和抽樣量的設(shè)計(jì)；僅依據(jù)標(biāo)準(zhǔn)

18、，不符合實(shí)際2.5 編制檢查表編制檢查表27四、運(yùn)用檢查表的注意事項(xiàng)四、運(yùn)用檢查表的注意事項(xiàng) 1 1、自己掌握，沒必要披露、自己掌握，沒必要披露 2 2、不要照本宣科、不要照本宣科 3 3、不要拘泥于檢查表、不要拘泥于檢查表五、檢查表舉例五、檢查表舉例2.5 編制檢查表編制檢查表282.5 編制檢查表編制檢查表五、檢查表舉例五、檢查表舉例標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)要求審核檢查題審核檢查題答案記錄答案記錄注釋與指南注釋與指南是是Y否否N理由理由4.2.1a) 組織要定義ISMS范圍組織是否有一個(gè)定義ISMS范圍的文件?對(duì)這個(gè)“定義ISMS范圍”要求的符合性審核，要確保ISMS定義不僅要包括范圍，也要包括邊界。

19、對(duì)任何范圍的刪減，必須有詳細(xì)說明和正當(dāng)性理由。是否有對(duì)范圍的刪減？4.2.1b)組織要定義ISMS方針組織是否有一個(gè)ISMS方針文件？這個(gè)要求明確規(guī)定ISMS方針的5個(gè)基本點(diǎn)，即ISMS方針要1.包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2.考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3.與組織開發(fā)與維護(hù)ISMS的戰(zhàn)略性風(fēng)險(xiǎn)管理結(jié)合一起或保持一致；4.建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則5.獲得管理者批準(zhǔn)。組織的ISMS方針文件是否滿足ISO27001規(guī)定的5個(gè)基本點(diǎn)？29相關(guān)條款相關(guān)條款控制措施要求與檢查題控制措施要求與檢查題回答（是、回答（是、部分、不是）部分、不是）實(shí)施的方法實(shí)施的方法或刪減的正當(dāng)性或

20、刪減的正當(dāng)性A7.1.1資產(chǎn)清單是否所有資產(chǎn)都進(jìn)行了識(shí)別？是否所有重要資產(chǎn)都進(jìn)行了登記，建立了清單文件并加以維護(hù)？A7.1.2資產(chǎn)責(zé)任人所有信息和信息處理設(shè)施相關(guān)資產(chǎn)，是否都有責(zé)任人？A7.1.3資產(chǎn)的可接受使用信息和信息處理設(shè)施相關(guān)資產(chǎn)的可接受規(guī)則，是否確定、形成文件并加以實(shí)施？2.5 編制檢查表編制檢查表五、檢查表舉例五、檢查表舉例303.1 3.1 審核過程的控制審核過程的控制3.2 3.2 首次會(huì)議首次會(huì)議3.3 3.3 審核方法審核方法3.4 3.4 審核證據(jù)審核證據(jù)3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告3.6 3.6 匯總分析匯總分析3.7 3.7 末次會(huì)議末次會(huì)議3.8 3.8

21、 審核報(bào)告審核報(bào)告3 現(xiàn)場(chǎng)審核活動(dòng)的實(shí)施現(xiàn)場(chǎng)審核活動(dòng)的實(shí)施31一、審核計(jì)劃的控制一、審核計(jì)劃的控制二、審核活動(dòng)的控制二、審核活動(dòng)的控制 1 1、樣本策劃合理、樣本策劃合理 2 2、辯識(shí)關(guān)鍵過程、辯識(shí)關(guān)鍵過程 3 3、評(píng)定主要因素、評(píng)定主要因素 4 4、重視控制結(jié)果、重視控制結(jié)果 5 5、注意相關(guān)影響、注意相關(guān)影響 6 6、營造良好的審核氣氛、營造良好的審核氣氛3.1 3.1 審核過程的控制審核過程的控制32三、審核結(jié)果的控制三、審核結(jié)果的控制 1 1、合格或不合格要以事實(shí)為基礎(chǔ)、合格或不合格要以事實(shí)為基礎(chǔ) 2 2、不合格事實(shí)要得到受審核方確認(rèn)、不合格事實(shí)要得到受審核方確認(rèn) 3 3、道聽途說不能

22、作為證據(jù)、道聽途說不能作為證據(jù) 4 4、組內(nèi)要相互溝通，統(tǒng)一意見、組內(nèi)要相互溝通，統(tǒng)一意見3.1 3.1 審核過程的控制審核過程的控制33一、首次會(huì)議的內(nèi)容和程序一、首次會(huì)議的內(nèi)容和程序 1 1、人員介紹、人員介紹 2 2、說明審核目的和范圍、說明審核目的和范圍 3 3、審核計(jì)劃的確認(rèn)、審核計(jì)劃的確認(rèn) 4 4、落實(shí)后勤安排、落實(shí)后勤安排 5 5、闡明一些重要的問題、闡明一些重要的問題 6 6、有關(guān)審核原則的強(qiáng)調(diào)、有關(guān)審核原則的強(qiáng)調(diào) 7 7、澄清一些問題、澄清一些問題二、首次會(huì)議的時(shí)間、地點(diǎn)及參加人員二、首次會(huì)議的時(shí)間、地點(diǎn)及參加人員3.2 3.2 首次會(huì)議首次會(huì)議34審核方式方法：如何抽樣查證

23、審核方式方法：如何抽樣查證 1 1、順向追蹤、順向追蹤 2 2、逆向追蹤、逆向追蹤 3 3、部門審核、部門審核 4 4、過程審核、過程審核 3.3 3.3 審核方法審核方法審核的基本方法審核的基本方法: :抽樣抽樣35順向追蹤：順向追蹤：u 從影響信息安全的因素跟蹤到結(jié)束從影響信息安全的因素跟蹤到結(jié)束u 按照業(yè)務(wù)流程的自然順序按照業(yè)務(wù)流程的自然順序u 從文件跟蹤至實(shí)施記錄從文件跟蹤至實(shí)施記錄優(yōu)點(diǎn)：系統(tǒng)性強(qiáng)，可觀察接口優(yōu)點(diǎn)：系統(tǒng)性強(qiáng)，可觀察接口缺點(diǎn)：較費(fèi)時(shí)缺點(diǎn)：較費(fèi)時(shí)3.3 3.3 審核方法審核方法36逆向追蹤：逆向追蹤：u 從已形成的結(jié)果追溯到影響因素的控制從已形成的結(jié)果追溯到影響因素的控制u

24、 按照業(yè)務(wù)流程的逆向順序按照業(yè)務(wù)流程的逆向順序u 從現(xiàn)場(chǎng)記錄追溯到體系文件的規(guī)定從現(xiàn)場(chǎng)記錄追溯到體系文件的規(guī)定優(yōu)點(diǎn)：從結(jié)果找原因，針對(duì)性強(qiáng)；有利于發(fā)現(xiàn)問題優(yōu)點(diǎn)：從結(jié)果找原因，針對(duì)性強(qiáng)；有利于發(fā)現(xiàn)問題缺點(diǎn)：?jiǎn)栴}復(fù)雜時(shí)不易理清（對(duì)審核員技術(shù)要求高）缺點(diǎn)：?jiǎn)栴}復(fù)雜時(shí)不易理清（對(duì)審核員技術(shù)要求高）3.3 3.3 審核方法審核方法37部門審核：部門審核：u 以部門為中心進(jìn)行以部門為中心進(jìn)行u 一個(gè)部門要涉及多個(gè)標(biāo)準(zhǔn)條款一個(gè)部門要涉及多個(gè)標(biāo)準(zhǔn)條款u 以部門的主要職能為主線，涉及相關(guān)的職能以部門的主要職能為主線，涉及相關(guān)的職能優(yōu)點(diǎn)：節(jié)約審核時(shí)間優(yōu)點(diǎn)：節(jié)約審核時(shí)間缺點(diǎn)：可能有疏漏，審核準(zhǔn)備時(shí)要充分考慮相關(guān)因素

25、，缺點(diǎn)：可能有疏漏，審核準(zhǔn)備時(shí)要充分考慮相關(guān)因素，審核過程中思路要清晰，審核組內(nèi)部溝通要求高審核過程中思路要清晰，審核組內(nèi)部溝通要求高3.3 3.3 審核方法審核方法38過程審核：過程審核：u 以過程為中心進(jìn)行以過程為中心進(jìn)行u 一個(gè)過程要涉及多個(gè)部門、多個(gè)標(biāo)準(zhǔn)條款要求一個(gè)過程要涉及多個(gè)部門、多個(gè)標(biāo)準(zhǔn)條款要求優(yōu)點(diǎn)：完整、不易遺漏優(yōu)點(diǎn)：完整、不易遺漏缺點(diǎn)：部門地點(diǎn)重復(fù)往返多，費(fèi)事；缺點(diǎn)：部門地點(diǎn)重復(fù)往返多，費(fèi)事； 對(duì)審核員要求高對(duì)審核員要求高3.3 3.3 審核方法審核方法39過程方法的審核思路：過程方法的審核思路： 建立過程審核的觀念，從過程的策劃查到過建立過程審核的觀念，從過程的策劃查到過程

26、的實(shí)施及效果（程的實(shí)施及效果（PDCAPDCA邏輯結(jié)構(gòu)）：邏輯結(jié)構(gòu)）： 過程的目標(biāo)過程的目標(biāo) 過程的策劃過程的策劃 過程的實(shí)施過程的實(shí)施 測(cè)量監(jiān)控測(cè)量監(jiān)控 持續(xù)改進(jìn)持續(xù)改進(jìn)3.3 3.3 審核方法審核方法401 1、審核證據(jù)的定義、審核證據(jù)的定義(ISO 9000 (ISO 9000 3.9.4):3.9.4): 與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息。事實(shí)陳述或其他信息。 注注: :審核證據(jù)可以是定性或定量的。審核證據(jù)可以是定性或定量的。2 2、在審核中應(yīng)分清什么可以作為審核證據(jù)、在審核中應(yīng)分清什么可以作為審核證據(jù), ,什么不什么不可以作為

27、審核證據(jù)?？梢宰鳛閷徍俗C據(jù)。3.4 3.4 審核證據(jù)審核證據(jù)41可作審核證據(jù)可作審核證據(jù)u 存在的客觀事實(shí)或情況存在的客觀事實(shí)或情況u 部門負(fù)責(zé)人或當(dāng)事人談話（并部門負(fù)責(zé)人或當(dāng)事人談話（并有其他實(shí)物旁證）有其他實(shí)物旁證）u 現(xiàn)行有效文件（審核當(dāng)前的信現(xiàn)行有效文件（審核當(dāng)前的信息安全活動(dòng)）和有效的信息安息安全活動(dòng)）和有效的信息安全記錄全記錄不可作審核證據(jù)不可作審核證據(jù)u 估計(jì)、猜想、分析、推斷估計(jì)、猜想、分析、推斷u 陪同人員或其他無關(guān)人員談話、陪同人員或其他無關(guān)人員談話、傳聞傳聞u 過期的或作廢的文件，擅自涂改過期的或作廢的文件，擅自涂改的信息安全記錄，未經(jīng)證實(shí)的新的信息安全記錄，未經(jīng)證實(shí)的新

28、聞報(bào)道聞報(bào)道3.4 3.4 審核證據(jù)審核證據(jù)42案例：案例： 星際公司的一位設(shè)計(jì)工程師張三被通知上午星際公司的一位設(shè)計(jì)工程師張三被通知上午1010點(diǎn)鐘到李點(diǎn)鐘到李飛的辦公室開會(huì)，主要討論一宗大訂單的詳細(xì)規(guī)范。在飛的辦公室開會(huì)，主要討論一宗大訂單的詳細(xì)規(guī)范。在他去李飛辦公室的路上，遇到了事故，受了重傷。李飛他去李飛辦公室的路上，遇到了事故，受了重傷。李飛接到張三出事的消息時(shí)，張三已被送往醫(yī)院做接到張三出事的消息時(shí)，張三已被送往醫(yī)院做X X光透視。光透視。李飛給醫(yī)院打電話想問一下情況，但好象沒有人知道張李飛給醫(yī)院打電話想問一下情況，但好象沒有人知道張三的任何情況，很可能李飛打錯(cuò)了醫(yī)院的電話。三的任

29、何情況，很可能李飛打錯(cuò)了醫(yī)院的電話。3.4 3.4 審核證據(jù)審核證據(jù)43請(qǐng)問以下陳述是否正確：請(qǐng)問以下陳述是否正確：u張三是一位工程師。張三是一位工程師。u張三要去見李飛。張三要去見李飛。u張三要去參加的會(huì)定在上午張三要去參加的會(huì)定在上午1010點(diǎn)鐘開。點(diǎn)鐘開。u該事故發(fā)生在星際公司。該事故發(fā)生在星際公司。u張三被送到了醫(yī)院做張三被送到了醫(yī)院做X X光透視。光透視。u李飛打電話詢問的醫(yī)院里沒有人知道張三的任何事。李飛打電話詢問的醫(yī)院里沒有人知道張三的任何事。u李飛打錯(cuò)了醫(yī)院的電話。李飛打錯(cuò)了醫(yī)院的電話。3.4 3.4 審核證據(jù)審核證據(jù)44審核證據(jù)的獲得方法審核證據(jù)的獲得方法u查閱文件和記錄查閱

30、文件和記錄u現(xiàn)場(chǎng)觀察現(xiàn)場(chǎng)觀察u提問與交流提問與交流u實(shí)際測(cè)定實(shí)際測(cè)定3.4 3.4 審核證據(jù)審核證據(jù)45提問的技巧提問的技巧u封閉式：可用簡(jiǎn)單的封閉式：可用簡(jiǎn)單的“是是”或或“否否”回答回答 用以獲取專門的信息用以獲取專門的信息 有主動(dòng)權(quán)，但信息量小有主動(dòng)權(quán)，但信息量小u開放式：答案需要解釋或表達(dá)開放式：答案需要解釋或表達(dá) 可獲得較大的信息量可獲得較大的信息量 被動(dòng)，有時(shí)會(huì)浪費(fèi)時(shí)間被動(dòng)，有時(shí)會(huì)浪費(fèi)時(shí)間u澄清式：用以獲得更多的專門信息或確認(rèn)已獲得澄清式：用以獲得更多的專門信息或確認(rèn)已獲得 的信息，帶有主觀導(dǎo)向，不能經(jīng)常用的信息，帶有主觀導(dǎo)向，不能經(jīng)常用3.4 3.4 審核證據(jù)審核證據(jù)46開放式提

31、問的技巧：開放式提問的技巧：u 帶主題的問題什么是如何做？帶主題的問題什么是如何做？u 擴(kuò)展性的問題為什么、如何、怎樣？擴(kuò)展性的問題為什么、如何、怎樣？u 討論性的問題說出個(gè)人見解討論性的問題說出個(gè)人見解u 調(diào)查性的問題覺得怎樣、有什么想法調(diào)查性的問題覺得怎樣、有什么想法u 重復(fù)性的問題得到明確的答案重復(fù)性的問題得到明確的答案u 假設(shè)性的問題如果假設(shè)性的問題如果則則u 驗(yàn)證性的問題請(qǐng)拿出證據(jù)、在哪兒驗(yàn)證性的問題請(qǐng)拿出證據(jù)、在哪兒3.4 3.4 審核證據(jù)審核證據(jù)47觀察的技巧：觀察的技巧：u是否符合正常作業(yè)所需的環(huán)境條件是否符合正常作業(yè)所需的環(huán)境條件u審核現(xiàn)場(chǎng)人員的工作狀態(tài)審核現(xiàn)場(chǎng)人員的工作狀態(tài)

32、u是否符合信息安全規(guī)定要求是否符合信息安全規(guī)定要求u資產(chǎn)、設(shè)備的狀態(tài)資產(chǎn)、設(shè)備的狀態(tài)u過程的記錄過程的記錄u面談人員的神態(tài)面談人員的神態(tài)3.4 3.4 審核證據(jù)審核證據(jù)48隨時(shí)記錄審核過程情況隨時(shí)記錄審核過程情況u時(shí)間、地點(diǎn)時(shí)間、地點(diǎn)u訪問、調(diào)查的對(duì)象訪問、調(diào)查的對(duì)象u見證人見證人u觀察（表格、文件、記錄、編寫等）到的實(shí)施觀察（表格、文件、記錄、編寫等）到的實(shí)施3.4 3.4 審核證據(jù)審核證據(jù)49一、不合格項(xiàng)：一、不合格項(xiàng)：未滿足審核準(zhǔn)則要求未滿足審核準(zhǔn)則要求二、不合格項(xiàng)分類二、不合格項(xiàng)分類 1 1、按性質(zhì)分類、按性質(zhì)分類 a. a. 體系性不合格體系性不合格 b. b. 實(shí)施性不合格實(shí)施性不

33、合格 c. c. 效果性不合格效果性不合格 2 2、按嚴(yán)重程度分類、按嚴(yán)重程度分類 a. a. 嚴(yán)重不合格嚴(yán)重不合格 b. b. 一般不合格一般不合格3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告50n嚴(yán)重 某個(gè)部門內(nèi)，與之相關(guān)條款要求執(zhí)行的普遍失效 某個(gè)條款要求在體系內(nèi)部完全缺失 違反相關(guān)法律法規(guī)要求 可導(dǎo)致重大信息安全即時(shí)事故或顧客投訴的事項(xiàng) 不執(zhí)行一個(gè)以上所需要的體系要素（CH4-8任一條要求或ISMS方針和程序） 一般不符合項(xiàng)若持久穩(wěn)固的存在，則可作為重大不符合項(xiàng)n輕微 信息安全管理體系的過程、程序或操作的輕微的問題 偶然發(fā)生的不符合事項(xiàng) 如出現(xiàn)的記錄不完整，或容易改正的個(gè)別缺陷n觀察項(xiàng)：不

34、會(huì)對(duì)信息安全造成有意義的影響，可能有潛在影響的一種發(fā)現(xiàn)、不符合性分類及判定、不符合性分類及判定3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告51不符合事實(shí)描述的要求：不符合事實(shí)描述的要求：1.1.準(zhǔn)確地描述觀察到的事實(shí)，包括時(shí)間地點(diǎn)準(zhǔn)確地描述觀察到的事實(shí)，包括時(shí)間地點(diǎn) 人物（用職務(wù)職稱而不用人名）何種情況等。人物（用職務(wù)職稱而不用人名）何種情況等。2.2.使其有重查性和可追溯性。使其有重查性和可追溯性。3.3.簡(jiǎn)明精煉，抓住核心的不符合加以提煉。簡(jiǎn)明精煉，抓住核心的不符合加以提煉。4.4.對(duì)統(tǒng)計(jì)數(shù)據(jù)要有分析和歸納，不要遺漏任何有益信息。對(duì)統(tǒng)計(jì)數(shù)據(jù)要有分析和歸納，不要遺漏任何有益信息。5.5.觀點(diǎn)結(jié)論

35、要從描述中自然流露，不要光寫結(jié)論，不寫事實(shí)。觀點(diǎn)結(jié)論要從描述中自然流露，不要光寫結(jié)論，不寫事實(shí)。 3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告52不符合事實(shí)例舉：不符合事實(shí)例舉： 不好的描述：不好的描述：xxxx部門少數(shù)借閱記錄有亂寫亂畫現(xiàn)象。部門少數(shù)借閱記錄有亂寫亂畫現(xiàn)象。 好的描述：好的描述： xx部門部門xx信息借閱登記薄在信息借閱登記薄在2007年年9月月18日日 的借閱記錄上不能辨識(shí)借閱人和批準(zhǔn)人。的借閱記錄上不能辨識(shí)借閱人和批準(zhǔn)人。3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告53三、不合格報(bào)告三、不合格報(bào)告 1 1、核心內(nèi)容、核心內(nèi)容 a. a. 不符合事實(shí)描述不符合事實(shí)描述 時(shí)間、地點(diǎn)、

36、人物、細(xì)節(jié)時(shí)間、地點(diǎn)、人物、細(xì)節(jié) 盡量具體；無關(guān)的內(nèi)容不填寫盡量具體；無關(guān)的內(nèi)容不填寫 b. b. 理由理由: :哪一點(diǎn)做錯(cuò)了哪一點(diǎn)做錯(cuò)了? ? c. c. 不符合標(biāo)準(zhǔn)哪一條款不符合標(biāo)準(zhǔn)哪一條款? ? d. d. 嚴(yán)重程度嚴(yán)重程度 2 2、總要求、總要求 清楚、正確、全面、簡(jiǎn)練清楚、正確、全面、簡(jiǎn)練3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告543 3、應(yīng)避免的詞語、應(yīng)避免的詞語 似乎好象似乎好象 總的說來總的說來 曾經(jīng)有人說過曾經(jīng)有人說過4、用下一頁的表格學(xué)員進(jìn)行、用下一頁的表格學(xué)員進(jìn)行“不符合項(xiàng)書寫不符合項(xiàng)書寫”5、分組進(jìn)行、分組進(jìn)行“不符合項(xiàng)案例不符合項(xiàng)案例”分析分析3.5 3.5 不合格項(xiàng)

37、報(bào)告不合格項(xiàng)報(bào)告55受審核部門受審核部門陪陪 同同 人人 員員內(nèi)內(nèi) 審審 員員審審 核核 日日 期期不合格事實(shí)的描述：不合格事實(shí)的描述：不合格的理由：不合格的理由： 不符合不符合 程序的規(guī)定或程序的規(guī)定或 ISO 27001:2005ISO 27001:2005標(biāo)準(zhǔn)的規(guī)定標(biāo)準(zhǔn)的規(guī)定 不合格性質(zhì)不合格性質(zhì) 嚴(yán)重不合格項(xiàng)嚴(yán)重不合格項(xiàng) 一般不合格項(xiàng)一般不合格項(xiàng)內(nèi)審員簽名內(nèi)審員簽名 受審核部門負(fù)責(zé)人確認(rèn)受審核部門負(fù)責(zé)人確認(rèn) 不合格原因及糾正措施不合格原因及糾正措施制定者制定者 實(shí)施者實(shí)施者 糾正措施實(shí)施期限：糾正措施實(shí)施期限： 月月 日日跟蹤驗(yàn)證情況跟蹤驗(yàn)證情況內(nèi)審員內(nèi)審員 日期日期 管理者代表批準(zhǔn)管

38、理者代表批準(zhǔn) 日期日期公司內(nèi)部公司內(nèi)部ISMS審核不合格報(bào)告審核不合格報(bào)告報(bào)告編號(hào)：報(bào)告編號(hào)：2000011801013.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告565 5、判定原則、判定原則u 就近不就遠(yuǎn)（從直接原因上找）就近不就遠(yuǎn)（從直接原因上找）u 就小不就大（慎判嚴(yán)重不合格）就小不就大（慎判嚴(yán)重不合格）u 應(yīng)對(duì)被審核部門有幫助（僅是從文件到文件，對(duì)應(yīng)對(duì)被審核部門有幫助（僅是從文件到文件，對(duì) 部門提高信息安全管理水平幫助不大，可以不提）部門提高信息安全管理水平幫助不大，可以不提）u 有利于被審核部門采取糾正措施（應(yīng)考慮條款的有利于被審核部門采取糾正措施（應(yīng)考慮條款的 正確性）正確性）u 按不

39、合格的結(jié)果或事實(shí)找對(duì)應(yīng)條款（不應(yīng)按不合按不合格的結(jié)果或事實(shí)找對(duì)應(yīng)條款（不應(yīng)按不合 格事實(shí)去推測(cè)其可能的原因）格事實(shí)去推測(cè)其可能的原因）3.5 3.5 不合格項(xiàng)報(bào)告不合格項(xiàng)報(bào)告57一、末次會(huì)議的目的一、末次會(huì)議的目的 1 1、向受審核方領(lǐng)導(dǎo)介紹審核觀察結(jié)果、向受審核方領(lǐng)導(dǎo)介紹審核觀察結(jié)果 2 2、宣布審核結(jié)論、宣布審核結(jié)論 3 3、提出下面的要求（跟蹤、監(jiān)督）、提出下面的要求（跟蹤、監(jiān)督） 4 4、結(jié)束現(xiàn)場(chǎng)審核、結(jié)束現(xiàn)場(chǎng)審核二、末次會(huì)議的內(nèi)容二、末次會(huì)議的內(nèi)容 1 1、感謝、感謝 2 2、重申審核的目的和范圍、重申審核的目的和范圍 3 3、講清審核的局限方面、講清審核的局限方面 4 4、提交不合

40、格報(bào)告、提交不合格報(bào)告3.6 3.6 末次會(huì)議末次會(huì)議58 5 5、澄清疑問、澄清疑問 6 6、提出采取糾正措施要求、提出采取糾正措施要求 7 7、對(duì)本次審核作出總結(jié)、對(duì)本次審核作出總結(jié) 8 8、宣讀審核結(jié)論、宣讀審核結(jié)論 9 9、受審核方領(lǐng)導(dǎo)講話、受審核方領(lǐng)導(dǎo)講話三、末次會(huì)議的時(shí)間、地點(diǎn)及參加人員三、末次會(huì)議的時(shí)間、地點(diǎn)及參加人員3.6 3.6 末次會(huì)議末次會(huì)議59一、對(duì)不符合項(xiàng)從體系性、實(shí)施性和效果性一、對(duì)不符合項(xiàng)從體系性、實(shí)施性和效果性 來進(jìn)行分析來進(jìn)行分析二、從不符合項(xiàng)發(fā)展的歷史和趨勢(shì)進(jìn)行分析二、從不符合項(xiàng)發(fā)展的歷史和趨勢(shì)進(jìn)行分析三、總結(jié)受審核部門信息安全管理工作的優(yōu)點(diǎn)三、總結(jié)受審核部

41、門信息安全管理工作的優(yōu)點(diǎn)四、從部門的角度進(jìn)行分析四、從部門的角度進(jìn)行分析五、從過程或條款的角度進(jìn)行分析五、從過程或條款的角度進(jìn)行分析3.7 3.7 匯總分析匯總分析60一、審核目的和范圍一、審核目的和范圍二、審核組成員和受審核部門二、審核組成員和受審核部門三、審核日期三、審核日期四、審核依據(jù)四、審核依據(jù)五、審核情況的概述五、審核情況的概述六、不合格項(xiàng)分布表（不合格項(xiàng)報(bào)告作為附件）六、不合格項(xiàng)分布表（不合格項(xiàng)報(bào)告作為附件）七、七、ISMSISMS有效運(yùn)行的結(jié)論性意見有效運(yùn)行的結(jié)論性意見八、審核報(bào)告的分發(fā)清單八、審核報(bào)告的分發(fā)清單3.8 3.8 審核報(bào)告審核報(bào)告61內(nèi)審總結(jié)報(bào)告內(nèi)審總結(jié)報(bào)告審核組長(zhǎng)

42、審核日期審核組員：審核目的：審核范圍：審核依據(jù)：審核中發(fā)現(xiàn)的問題摘要： 2006年8月16日至17日，我公司在會(huì)議室于上午9：00分召開首次會(huì)議后開始進(jìn)行第一次內(nèi)部信息安全體系審核。由公司內(nèi)部質(zhì)量審核員組成的審核組分別對(duì)xxxx部、xxxx部、等進(jìn)行了驗(yàn)證信息安全體系運(yùn)行的有效性、適宜性、符合性為目的的內(nèi)部審核。經(jīng)過二天時(shí)間尋找出存在的一些問題，總計(jì)不合格項(xiàng)7項(xiàng)，xxxx部 項(xiàng)，xxxx部 項(xiàng)，。下面對(duì)各個(gè)部門和崗位在審核中發(fā)現(xiàn)的問題進(jìn)行匯總分析：1.xxxx部 1.xxxx部 編號(hào)：3.8 3.8 審核報(bào)告審核報(bào)告62內(nèi)審結(jié)論：通過這次內(nèi)審情況來看，我公司整個(gè)體系已經(jīng)初步建立并運(yùn)行，但整個(gè)體系尚須不斷的完善和改進(jìn)。主要體現(xiàn)在如下方面：1、人員意識(shí)有待加強(qiáng)；2、實(shí)施貫徹的力度有待加強(qiáng)；3、對(duì)部分部門的資產(chǎn)識(shí)別還須細(xì)化；4、不斷改進(jìn)并細(xì)化管理流程；針對(duì)以上的問題，我