第五部分信息安全管理體系內部審核

ISMS內審員培訓教程第一頁，共七十頁。第一部分信息安全基礎知識及案例分析第二部分ISO27001標準正文部分詳解ISO27001標準附錄A詳解第三部分信息安全風險評估與管理第四部分體系文件編寫第五部分信息安全管理體系內部審核課程內容第二頁，共七十頁。了解管理體系審核的基本概念掌握ISMS內部審核的流程掌握ISMS內部審核的方法和技巧教學目標第三頁，共七十頁。主要內容1、審核概論2、審核策劃和準備3、現(xiàn)場審核活動的實施4、糾正措施及其跟蹤5、ISMS評價第四頁，共七十頁。1.1定義為獲得審核證據(jù)并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程

（ISO9000）1.2審核“成敗”的關鍵系統(tǒng)的：正式、有序的審查活動獨立的：保持審核的獨立性和公正性1審核概論第五頁，共七十頁。1.3審核的內容1、獲得審核證據(jù)2、客觀評價3、確定滿足審核準則的程度1.4過程評價的四個基本問題1、過程是否已被識別并適當規(guī)定？2、職責是否已被分配？3、程序是否得到實施和保持？4、在實現(xiàn)所要求的結果方面，過程是否有效？1審核概論第六頁，共七十頁。1.5審核的類型組織顧客供方認證/注冊機構第三方審核(外部)第二方審核第二方審核第一方審核(外部)(外部)(內部)1審核概論第七頁，共七十頁。1.6內部審核的目的目的主要依據(jù)：信息安全管理體系文件外部審核前的準備作為一種管理手段，是組織管理評審輸入的重要內容確保信息安全管理體系正常運行和改進的需要1審核概論第八頁，共七十頁。1.7ISMS內審的時機、范圍和頻度

按策劃的時間間隔一般至少每年應覆蓋ISMS所涉及部門、過程一次最初建立體系時頻度可適當多一些特殊情況:發(fā)生嚴重信息安全問題或用戶投訴組織機構、生產(chǎn)場所、信息安全方針目標等發(fā)生重大變化接受第二、第三方審核前1審核概論第九頁，共七十頁。1.8ISMS內部審核的依據(jù)1、ISO27001:2005版標準2、信息安全管理手冊3、程序文件4、信息安全策略5、有關的法律、法規(guī)6、其他信息安全管理文件1審核概論第十頁，共七十頁。1.9ISMS內部審核的方式1、集中審核2、分散審核1.10ISMS審核的特點1、被審核的ISMS必須是正規(guī)的2、ISMS審核必須是一種正式的活動3、ISMS審核是一種抽樣過程1審核概論第十一頁，共七十頁。1.11ISMS內部審核的一般順序1、審核策劃與審核準備2、現(xiàn)場審核實施與審核報告3、糾正措施的跟蹤與匯總分析1審核概論第十二頁，共七十頁。領導重視是做好ISMS內部審核的關鍵信息安全經(jīng)理要親自抓ISMS內部審核工作ISMS內部審核工作需要一個職能部門來管理要組建一支合格的ISMS內部審核隊伍ISMS內部審核需要一套正規(guī)的程序建立ISMS時應考慮ISMS內部審核工作2ISMS內部審核的策劃和準備第十三頁，共七十頁。明確審核決定確定審核組文件審核編制審核計劃編制檢查表通知受審核部門并約定具體的審核時間2ISMS內部審核的策劃和準備第十四頁，共七十頁。1、審核目的

2、審核范圍

3、審核時間

4、審核方式2.1明確審核決定第十五頁，共七十頁。1、審核人員的資格2、確?？陀^性和公正性3、專業(yè)能力4、審核組長：負責審核全過程及審核組管理工作5、審核員：在審核組長指導下進行審核2.2確定審核組第十六頁，共七十頁。目的：體系中所有過程是否被識別并適當規(guī)定；職責是否被分配；過程文件滿足審核準則的程度對象：信息安全管理手冊、程序文件、作業(yè)指導書、規(guī)范、風險處理計劃等審核準則：標準、合同及有關的法律、法規(guī)2.3文件審核第十七頁，共七十頁。時機：在現(xiàn)場審核前進行；作業(yè)指導書、質量計劃、規(guī)范等可以在現(xiàn)場審核時進行；結論：符合標準及法規(guī)的要求；部分不符合要求；沒有覆蓋標準及法規(guī)的要求；注意事項：不僅要審核過程文件，還要審核過程之間的接口是否明確、協(xié)調2.3文件審核第十八頁，共七十頁。組織的大小和性質員工數(shù)量體系復雜性ISMS的范圍涉及的地點數(shù)目信息類型-文件/電子等2.4編制審核計劃____要求考慮第十九頁，共七十頁。審核目的審核范圍審核準則審核組成員及其分工現(xiàn)場審核活動的日程安排必要的審核資源的配備其它(如審核時所用語言、保密承諾等)審核計劃示例：2.4編制審核計劃____內容第二十頁，共七十頁。NO.20080118-01審核時間:2008年1月18日～1月19日審核目的:驗證本公司的ISMS是否符合ISO27001:2005版以及公司ISMS文件的要求，ISMS是否得到有效實施，是否具備申請第三方ISO27001:2005認證注冊的條件審核范圍:ISMS所涉及的部門和過程審核依據(jù):ISO27001:2005、公司《信息安全管理手冊》（LX－M－01）第1版、有關的信息管理文件審核組成員:×××(組長)—A；×××—B；×××—C；××公司ISMS內部審核計劃第二十一頁，共七十頁。日期時間安排A＋CB1月18日08:30～08:45首次會議08:45～12:0013:30～15:00

15:00～17:30

1月19日08:30～12:0013:30～15:3015:30～16:00審核組總結16:00～16:30與受審核方交換意見16:30～17:00末次會議說明:對條款×××的審核還將結合其它條款的審核同時進行××公司ISMS內部審核計劃第二十二頁，共七十頁。注：對以上人員和日程安排如有異議，請及時反饋。擬制：×××（組長）日期：批準：（信息安全經(jīng)理）日期：××公司ISMS內部審核計劃第二十三頁，共七十頁。一、檢查表的作用1、明確與審核目標有關的樣本2、使審核程序規(guī)范化3、按檢查表的要求進行調查研究，可使審核目標始終保持明確4、保持審核進度5、作為審核記錄存檔6、減少重復的或不必要的工作量7、減少內審員的偏見和隨意性2.5編制檢查表第二十四頁，共七十頁。二、檢查表的內容1、列出審核項目的要點（確保完整）2、明確審核步驟和方法，進行抽樣量的設計

注：ISMS所涉及的過程和部門不能抽樣，不同的類型不能抽樣2.5編制檢查表第二十五頁，共七十頁。三、設計檢查表的注意事項1、對照標準和ISMS文件2、部門與過程相對應3、選擇典型的信息安全問題，抽樣應有代表性4、注意邏輯順序，明確審核步驟5、按部門編制的檢查表要考慮涉及的條款，按條款編制的檢查表要考慮涉及的部門6、常見問題：陳述句變疑問句；只列出審核項目，忽略審核方法和抽樣量的設計；僅依據(jù)標準，不符合實際2.5編制檢查表第二十六頁，共七十頁。四、運用檢查表的注意事項1、自己掌握，沒必要披露2、不要照本宣科3、不要拘泥于檢查表五、檢查表舉例2.5編制檢查表第二十七頁，共七十頁。2.5編制檢查表五、檢查表舉例標準要求審核檢查題答案記錄注釋與指南是Y否N理由4.2.1a)組織要定義ISMS范圍組織是否有一個定義ISMS范圍的文件?對這個“定義ISMS范圍”要求的符合性審核，要確保ISMS定義不僅要包括范圍，也要包括邊界。對任何范圍的刪減，必須有詳細說明和正當性理由。是否有對范圍的刪減？4.2.1b)組織要定義ISMS方針組織是否有一個ISMS方針文件？這個要求明確規(guī)定ISMS方針的5個基本點，即ISMS方針要包括信息安全的目標框架、信息安全工作的總方向和原則；考慮業(yè)務要求、法律法規(guī)的要求和合同要求；與組織開發(fā)與維護ISMS的戰(zhàn)略性風險管理結合一起或保持一致；建立風險評價準則獲得管理者批準。組織的ISMS方針文件是否滿足ISO27001規(guī)定的5個基本點？第二十八頁，共七十頁。相關條款控制措施要求與檢查題回答（是、部分、不是）實施的方法或刪減的正當性A7.1.1資產(chǎn)清單是否所有資產(chǎn)都進行了識別？是否所有重要資產(chǎn)都進行了登記，建立了清單文件并加以維護？A7.1.2資產(chǎn)責任人所有信息和信息處理設施相關資產(chǎn)，是否都有責任人？A7.1.3資產(chǎn)的可接受使用信息和信息處理設施相關資產(chǎn)的可接受規(guī)則，是否確定、形成文件并加以實施？2.5編制檢查表五、檢查表舉例第二十九頁，共七十頁。3.1審核過程的控制3.2首次會議3.3審核方法3.4審核證據(jù)3.5不合格項報告3.6匯總分析3.7末次會議3.8審核報告3現(xiàn)場審核活動的實施第三十頁，共七十頁。一、審核計劃的控制二、審核活動的控制1、樣本策劃合理2、辯識關鍵過程3、評定主要因素4、重視控制結果5、注意相關影響6、營造良好的審核氣氛3.1審核過程的控制第三十一頁，共七十頁。三、審核結果的控制1、合格或不合格要以事實為基礎2、不合格事實要得到受審核方確認3、道聽途說不能作為證據(jù)4、組內要相互溝通，統(tǒng)一意見3.1審核過程的控制第三十二頁，共七十頁。一、首次會議的內容和程序1、人員介紹2、說明審核目的和范圍3、審核計劃的確認4、落實后勤安排5、闡明一些重要的問題6、有關審核原則的強調7、澄清一些問題二、首次會議的時間、地點及參加人員3.2首次會議第三十三頁，共七十頁。審核方式方法：如何抽樣查證1、順向追蹤2、逆向追蹤3、部門審核 4、過程審核 3.3審核方法審核的基本方法:抽樣第三十四頁，共七十頁。順向追蹤：從影響信息安全的因素跟蹤到結束按照業(yè)務流程的自然順序從文件跟蹤至實施記錄優(yōu)點：系統(tǒng)性強，可觀察接口缺點：較費時3.3審核方法第三十五頁，共七十頁。逆向追蹤：從已形成的結果追溯到影響因素的控制按照業(yè)務流程的逆向順序從現(xiàn)場記錄追溯到體系文件的規(guī)定優(yōu)點：從結果找原因，針對性強；有利于發(fā)現(xiàn)問題缺點：問題復雜時不易理清（對審核員技術要求高）3.3審核方法第三十六頁，共七十頁。部門審核：以部門為中心進行一個部門要涉及多個標準條款以部門的主要職能為主線，涉及相關的職能優(yōu)點：節(jié)約審核時間缺點：可能有疏漏，審核準備時要充分考慮相關因素，審核過程中思路要清晰，審核組內部溝通要求高3.3審核方法第三十七頁，共七十頁。過程審核：以過程為中心進行一個過程要涉及多個部門、多個標準條款要求優(yōu)點：完整、不易遺漏缺點：部門地點重復往返多，費事；對審核員要求高3.3審核方法第三十八頁，共七十頁。過程方法的審核思路：建立過程審核的觀念，從過程的策劃查到過程的實施及效果（PDCA邏輯結構）：過程的目標→過程的策劃→過程的實施→測量監(jiān)控→持續(xù)改進3.3審核方法第三十九頁，共七十頁。1、審核證據(jù)的定義(ISO90003.9.4):與審核準則有關的并且能夠證實的記錄、事實陳述或其他信息。

注:審核證據(jù)可以是定性或定量的。2、在審核中應分清什么可以作為審核證據(jù),什么不可以作為審核證據(jù)。3.4審核證據(jù)第四十頁，共七十頁?？勺鲗徍俗C據(jù)存在的客觀事實或情況部門負責人或當事人談話（并有其他實物旁證）現(xiàn)行有效文件（審核當前的信息安全活動）和有效的信息安全記錄不可作審核證據(jù)估計、猜想、分析、推斷陪同人員或其他無關人員談話、傳聞過期的或作廢的文件，擅自涂改的信息安全記錄，未經(jīng)證實的新聞報道3.4審核證據(jù)第四十一頁，共七十頁。案例：星際公司的一位設計工程師張三被通知上午10點鐘到李飛的辦公室開會，主要討論一宗大訂單的詳細規(guī)范。在他去李飛辦公室的路上，遇到了事故，受了重傷。李飛接到張三出事的消息時，張三已被送往醫(yī)院做X光透視。李飛給醫(yī)院打電話想問一下情況，但好象沒有人知道張三的任何情況，很可能李飛打錯了醫(yī)院的電話。3.4審核證據(jù)第四十二頁，共七十頁。請問以下陳述是否正確：張三是一位工程師。張三要去見李飛。張三要去參加的會定在上午10點鐘開。該事故發(fā)生在星際公司。張三被送到了醫(yī)院做X光透視。李飛打電話詢問的醫(yī)院里沒有人知道張三的任何事。李飛打錯了醫(yī)院的電話。3.4審核證據(jù)第四十三頁，共七十頁。審核證據(jù)的獲得方法查閱文件和記錄現(xiàn)場觀察提問與交流實際測定3.4審核證據(jù)第四十四頁，共七十頁。提問的技巧封閉式：可用簡單的“是”或“否”回答用以獲取專門的信息有主動權，但信息量小開放式：答案需要解釋或表達可獲得較大的信息量被動，有時會浪費時間澄清式：用以獲得更多的專門信息或確認已獲得的信息，帶有主觀導向，不能經(jīng)常用3.4審核證據(jù)第四十五頁，共七十頁。開放式提問的技巧：帶主題的問題－－什么是如何做？擴展性的問題－－為什么、如何、怎樣？討論性的問題－－說出個人見解調查性的問題－－覺得怎樣、有什么想法重復性的問題－－得到明確的答案假設性的問題－－如果…則…驗證性的問題－－請拿出證據(jù)、在哪兒3.4審核證據(jù)第四十六頁，共七十頁。觀察的技巧：是否符合正常作業(yè)所需的環(huán)境條件審核現(xiàn)場人員的工作狀態(tài)是否符合信息安全規(guī)定要求資產(chǎn)、設備的狀態(tài)過程的記錄面談人員的神態(tài)3.4審核證據(jù)第四十七頁，共七十頁。隨時記錄審核過程情況時間、地點訪問、調查的對象見證人觀察（表格、文件、記錄、編寫等）到的實施3.4審核證據(jù)第四十八頁，共七十頁。一、不合格項：未滿足審核準則要求二、不合格項分類1、按性質分類a.體系性不合格b.實施性不合格c.效果性不合格2、按嚴重程度分類a.嚴重不合格b.一般不合格3.5不合格項報告第四十九頁，共七十頁。嚴重 －某個部門內，與之相關條款要求執(zhí)行的普遍失效

－某個條款要求在體系內部完全缺失

－違反相關法律法規(guī)要求

－可導致重大信息安全即時事故或顧客投訴的事項－不執(zhí)行一個以上所需要的體系要素（CH4-8任一條要求或ISMS方針和程序）－一般不符合項若持久穩(wěn)固的存在，則可作為重大不符合項輕微

－信息安全管理體系的過程、程序或操作的輕微的問題

－偶然發(fā)生的不符合事項－如出現(xiàn)的記錄不完整，或容易改正的個別缺陷觀察項：不會對信息安全造成有意義的影響，可能有潛在影響的一種發(fā)現(xiàn)３、不符合性分類及判定3.5不合格項報告第五十頁，共七十頁?！环鲜聦嵜枋龅囊螅?.準確地描述觀察到的事實，包括時間﹑地點﹑人物（用職務﹑職稱而不用人名）﹑何種情況等。2.使其有重查性和可追溯性。3.簡明精煉，抓住核心的不符合加以提煉。4.對統(tǒng)計數(shù)據(jù)要有分析和歸納，不要遺漏任何有益信息。5.觀點﹑結論要從描述中自然流露，不要光寫結論，不寫事實。

3.5不合格項報告第五十一頁，共七十頁。——不符合事實例舉：不好的描述：xx部門少數(shù)借閱記錄有亂寫亂畫現(xiàn)象。好的描述：xx部門xx信息借閱登記薄在2007年9月18日的借閱記錄上不能辨識借閱人和批準人。3.5不合格項報告第五十二頁，共七十頁。三、不合格報告1、核心內容a.不符合事實描述時間、地點、人物、細節(jié)……盡量具體；無關的內容不填寫b.理由:哪一點做錯了?c.不符合標準哪一條款?d.嚴重程度2、總要求清楚、正確、全面、簡練3.5不合格項報告第五十三頁，共七十頁。3、應避免的詞語——似乎好象……——總的說來……——曾經(jīng)有人說過……4、用下一頁的表格學員進行

“不符合項書寫”5、分組進行“不符合項案例”分析3.5不合格項報告第五十四頁，共七十頁。受審核部門陪同人員內審員審核日期不合格事實的描述：不合格的理由：不符合程序的規(guī)定或ISO27001:2005標準的規(guī)定不合格性質□嚴重不合格項□一般不合格項內審員簽名受審核部門負責人確認不合格原因及糾正措施制定者實施者糾正措施實施期限：月日跟蹤驗證情況內審員日期管理者代表批準日期××公司內部ISMS審核不合格報告報告編號：20000118－01013.5不合格項報告第五十五頁，共七十頁。5、判定原則就近不就遠（從直接原因上找）就小不就大（慎判嚴重不合格）應對被審核部門有幫助（僅是從文件到文件，對部門提高信息安全管理水平幫助不大，可以不提）有利于被審核部門采取糾正措施（應考慮條款的正確性）按不合格的結果或事實找對應條款（不應按不合格事實去推測其可能的原因）3.5不合格項報告第五十六頁，共七十頁。一、末次會議的目的1、向受審核方領導介紹審核觀察結果2、宣布審核結論3、提出下面的要求（跟蹤、監(jiān)督）4、結束現(xiàn)場審核二、末次會議的內容1、感謝2、重申審核的目的和范圍3、講清審核的局限方面4、提交不合格報告3.6末次會議第五十七頁，共七十頁。

5、澄清疑問6、提出采取糾正措施要求7、對本次審核作出總結8、宣讀審核結論9、受審核方領導講話三、末次會議的時間、地點及參加人員3.6末次會議第五十八頁，共七十頁。一、對不符合項從體系性、實施性和效果性來進行分析二、從不符合項發(fā)展的歷史和趨勢進行分析三、總結受審核部門信息安全管理工作的優(yōu)點四、從部門的角度進行分析五、從過程或條款的角度進行分析3.7匯總分析第五十九頁，共七十頁。一、審核目的和范圍二、審核組成員和受審核部門三、審核日期四、審核依據(jù)五、審核情況的概述六、不合格項分布表（不合格項報告作為附件）七、ISMS有效運行的結論性意見八、審核報告的分發(fā)清單3.8審核報告第六十頁，共七十頁。內審總結報告審核組長審核日期審核組員：審核目的：審核范圍：審核依據(jù)：審核中發(fā)現(xiàn)的問題摘要：2006年8月16日至17日，我公司在會議室于上午9：00分召開首次會議后開始進行第一次內部信息安全體系審核。由公司內部質量審核員組成的審核組分別對xxxx部、xxxx部、…等進行了驗證信息安全體系運行的有效性、適宜性、符合性為目的的內部審核。經(jīng)過二天時間尋找出存在的一些問題，總計不合格項7項，xxxx部項，xxxx部項，…。下面對各個部門和崗位在審核中發(fā)現(xiàn)的問題進行匯總分析：xxxx部

xxxx部…編號：3.8審核報告第六十一頁，共七十頁。內審結論：通過這次內審情況來看，我公司整個體系已經(jīng)初步建立并運行，但整個體系尚須不斷的完善和改進。主要體現(xiàn)在如下方面：1、人員意識有待加強；2、實施貫徹的力度有待加強；3、對部分部門的資產(chǎn)識別還須細化；4、不斷改進并細化管理流程；針對以上的問題，我們將從加大宣貫力度著手，不斷提高員工信息安全意識；加強檢查、監(jiān)督的力度，從而保障公司的規(guī)定得到執(zhí)行；繼續(xù)更新資產(chǎn)調查清單，切實可行的將信息資產(chǎn)管理到位；通過內審、收集改進建議、結合公司的總體目標不斷改進整個體系。審核組長：日期：管理者代表：日期：3.8審核報告第六十二頁，共七十頁。一、糾正措施的定義二、糾正措施的幾個方面1、補救方面的——針對問題2、原因分析3、永久性的——防止再次發(fā)生4、確定糾正措施的期限4糾正措施及其跟蹤第六十三頁，共七十頁。糾正措施的跟蹤和驗證時機：按糾正措施確定的時間實施者：內審員/審核組長/管理者代表