ISMS【信息安全系列培訓(xùn)】【內(nèi)部審核】課件

信息安全系列培訓(xùn)

-

內(nèi)部審核主要內(nèi)容審核基本概念審核過程審核策劃審核實施審核報告審核跟蹤基本概念為什么進行審核ISO/IEC27001:2005:組織應(yīng)按照計劃的時間間隔進行內(nèi)部ISMS審核，以確定其ISMS的控制目標、控制措施、過程和程序是否：符合本標準和相關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實施和保持；按預(yù)期執(zhí)行。ISO9001:2008組織應(yīng)按策劃的時間間隔進行內(nèi)部審核，以確定質(zhì)量管理體系是否:符合策劃的安排(見7.1)、本標準的要求以及組織所確定的質(zhì)量管理體系的要求;得到有效實施與保持。AgreeDisagree為什么審核向管理層展示觀點向管理層強調(diào)風(fēng)險驗證業(yè)務(wù)有效性識別培訓(xùn)需求發(fā)現(xiàn)不符合進行檢查推動改進的工具獲得證書使相關(guān)方滿意審核的定義為獲得審核證據(jù)，并對其進行客觀評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。ISO19001Firstparty/internalaudit

第一方/內(nèi)部審核SecondParty/externalaudit

第二方/外部審核ThirdParty/externalaudit

第三方/外部審核什么是審核準則Organisation’sprocessesandoperations組織的流程和運營Organisation’smanagementmanual組織的管理手冊Workinstructions工作指導(dǎo)Specifications規(guī)范Systemstandard系統(tǒng)標準Statutory/Legislativerequirements法律需求Codesofpractice

最佳實踐Procedures程序什么是審核證據(jù)通過觀察、測量或?qū)嶒灚@得的，并且能夠被驗證的關(guān)于管理體系要素的實施和運行的定性或定量的信息、記錄或陳述。特點：可陳述的事實；可驗證的事實；不含有推測和猜想。審核發(fā)現(xiàn)將收集的審核證據(jù)與審核準則進行比較所得出得評價結(jié)果。審核發(fā)現(xiàn)使審核的評價結(jié)果，這種結(jié)果是依據(jù)審核準則，在審核證據(jù)的基礎(chǔ)上做出的，審核發(fā)現(xiàn)是編制審核報告的基礎(chǔ)。審核發(fā)現(xiàn)分類Noteworthyeffort值得嘉獎項Observation觀察項Non-conformity不符合項什么是不符合？不符合是指不能滿足要求ArequirementAfailingEvidenceISO9000:2000,clause3.6.2什么是觀察項?潛在問題風(fēng)險無效率無效力錯誤的應(yīng)用最佳實踐錯誤理解缺少溝通什么是值得嘉獎項？采用最佳實踐

證明持續(xù)改進

高層承諾動機體系優(yōu)化審核案例（1）理賠部的Robin收到了一個從admin@來的email。這個email有一個免費下載一個搜索工具。Robin點擊這個連接，他的計算機被毀壞了。立刻填了一個事故報告表并發(fā)給了Paul–系統(tǒng)管理員要求解釋和快速解決方案。Paul否認曾送過那個email，但是幫助Robin格式化了他的計算機系統(tǒng)的硬盤并根據(jù)《保險備份恢復(fù)程序》的要求恢復(fù)了他的數(shù)據(jù)有沒有不符合事項？審核案例（2）一個星期之后，Robin又收到了一個發(fā)自admin@郵件，這一次要求他的郵件口令字。Robin很生氣，與Paul發(fā)生了爭吵并要求對此類問題有個解決方案。他發(fā)出一個事故報告給Paul并轉(zhuǎn)發(fā)這個郵件給他，要求措施。Paul回答說“對不起”并保證調(diào)查這個問題Paul于是刪除了郵件，因為此類郵件問題好像經(jīng)常發(fā)生Isthisanonconformity?這是不符合事項嗎？審核案例（3）審核員在審核數(shù)據(jù)庫控制的時候發(fā)現(xiàn)某些在工作時間所進行的變更需要通過一系列的處理過程，而在非工作時間進行的變更卻只需要進行很少的幾個步驟。審核案例（4）在物品接收檢驗部門，稽核員注意到檢驗員正在供貨商出貨計算機系統(tǒng)上輸入其員工代號，以作為物品接收檢驗已滿意完成的證據(jù)。但是該員工的代號卻能在內(nèi)部的電話號碼表中輕易得知。審核案例（5）審核日期2001年11月14日。當審查組織的管理階層審查會議紀錄時，稽核員注意到最后的會議紀錄日期是2001年5月15日?，F(xiàn)行的管制性公司程序復(fù)本AP.01第3版發(fā)行給稽核員，該程序上要求每三個月舉行管理階層審查會議。信息安全經(jīng)理說明是因為管理處長在上個月已經(jīng)出國，而他們想要在稽核完成后立即舉行一次管理階層審查會議。系統(tǒng)方法將相互關(guān)聯(lián)的過程作為體系來看待、理解和管理，有助于組織提高實現(xiàn)目標的有效性和效率。鏈條效應(yīng)審核的獨立性ISO9001:2008條款8.2.2組織應(yīng)策劃審核方案，策劃時應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果。應(yīng)規(guī)定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。ISO/IEC27001:2005條款6應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。應(yīng)確定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。審核的原則與審核員有關(guān)的原則道德行為公正表達職業(yè)素養(yǎng)與審核活動有關(guān)的原則獨立性基于證據(jù)的方法審核員在體系審核中，審核員的“質(zhì)量”將直接影響到管理體系的審核質(zhì)量，進而影響到審核機構(gòu)的信譽。審核的一致性，是體系審核活動的最基本的要求。它是指不同的審核員在相同的條件下，其審核結(jié)果應(yīng)該是基本相同的。為了達到這一目的，應(yīng)該對審核員提出相應(yīng)的要求，以確保審核工作的質(zhì)量。概要審核員審核組長全面負責(zé)各階段的審核工作；協(xié)助選擇審核組的成員；制定審核計劃、起草工作文件、給審核組成員布置工作；代表審核組與受審核方領(lǐng)導(dǎo)接觸；及時向受審核方報告關(guān)鍵性的不合格（不符合）情況；報告審核過程中遇到的重大障礙；審核組長有權(quán)對審核工作的開展和審核觀察結(jié)果作出最后的決定；清晰、明確地報告審核結(jié)果。組長職責(zé)審核員在確定的審核范圍內(nèi)進行工作；收集和分析與受審核的管理體系有關(guān)并足以對其下結(jié)論的證據(jù)；將觀察結(jié)果整理成書面資料；報告審核結(jié)果；驗證由審核結(jié)果導(dǎo)致的糾正措施的有效性（當委托方提出要求時）；收存、保管和呈送與審核有關(guān)的文件；配合和支持審核組長的工作。組員職責(zé)審核過程審核過程PLANCONDUCTREPORTFOLLOW-UP審核過程–策劃審核計劃審核計劃包括年度審核計劃和審核活動計劃（審核大綱）。年度審核計劃是審核策劃的始端也是總綱，審核活動計劃則是按照年度審核計劃安排具體實施。審核計劃的內(nèi)容可包括：審核目的、范圍、審核準則、審核組成員及分工、主要審核活動的時間安排、首末次會議時間等。組織年度審核計劃應(yīng)以文件形式頒發(fā)，審核活動計劃應(yīng)有審核組長簽名和主管領(lǐng)導(dǎo)的批準。年度審核計劃審核活動計劃跟蹤審核計劃臨時性審核計劃成立審核小組根據(jù)審核活動目的、范圍、部門、過程以及審核日程安排，選定審核組長和成員，建立審核小組。小組成立后，應(yīng)明確各成員分工和要求，這是審核組長的責(zé)任。審核組長應(yīng)注意“審核員不能審核自己的工作”的原則。審核員按分配任務(wù)做好各項準備工作。主要有：熟悉必要的文件和程序；根據(jù)要求編制檢查表；考慮前次審核結(jié)果應(yīng)跟蹤的項目。小組成立后通常應(yīng)舉行審核組會議，以確保審核前準備工作全部完成，每個審核員對審核任務(wù)完全了解。審核計劃表COMPANY:LOCATION:LOCATION:AUDITCRITERIA:SCOPE:AUDITDATES:2nd-5thDecember2005AUDITTEAMFSmith LeadAuditorAanotherTimeAuditorActivity10:15OpeningMeetingwithSeniorManagementtoexplainthescopeoftheauditandthemethodofreporting.…..…..…….審核檢查表ACTIVITY:REFERENCES:DATE:DATE:ItemRequirement/questionResp/Ref.Findings/

Helpswithpreparation幫助準備Focusestheauditor審核員關(guān)注Ensuresissuesarenotforgotten確問題不被忘記Timecontrol時間控制Assistswithreporting報告AidsConsistency目標堅持不要思路狹窄,管理審核并不是檢查表審核檢查表的目的檢查表參考(1)類別序號審核條目不符合項發(fā)現(xiàn)個人使用設(shè)備1檢查是否安裝了未授權(quán)軟件？對照《授權(quán)軟件清單》進行檢查。

2檢查病毒軟件版本、病毒庫是否最新？應(yīng)小于3天。

3檢查操作系統(tǒng)補丁是否最新？小于1個月。

4檢查本地用戶口令是否設(shè)置,強度是否符合公司管理規(guī)定？8位，大小寫。

5檢查屏保時間間隔是否<=5分鐘，并設(shè)置了口令恢復(fù)保護？

6檢查下班是否關(guān)機？

7檢查下班后桌面是否無“機密”及其它敏感資料？

8檢查下班后文件柜是否鎖閉？

9檢查是否刪除了共享（默認及非默認）？機器上有無共享目錄？

檢查表參考(2)類別序號審查條目不符合項發(fā)現(xiàn)備注人事管理1詢問人力資源管理流程

2查看重要崗位是否做背景調(diào)查

3查看重要崗位背景調(diào)查

重要崗位背景調(diào)查表4查看例行背景調(diào)查表

例行背景調(diào)查表5查看新員工錄用流程流轉(zhuǎn)單，權(quán)限的申請設(shè)置

錄用批準書6查看人員離職流轉(zhuǎn)單，權(quán)限的取消設(shè)置

員工離職申請書7查看幾個最新離職人員名單，并記錄

8入社時公司對長期客戶員工交代過哪些必須注意事項

長期客戶員工須知9長期客戶員工入社時作過何種形式的承諾

入社承諾書10入社時公司對外借人員交代過哪些必須注意事項

外借人員實習(xí)生員工須知11外借人員入社時作過何種形式的承諾

入社承諾書12查看崗位變更申請書

崗位變更申請書13查看長期出差申請書

長期出差申請書14查看長期請假申請書

長期請假申請書15查看有無工資變更申請

工資變更確認表16保潔擔(dān)當有沒有按照要求簽署勞動合同

勞動合同中保密條款17抽查員工的1-3份勞動合同

勞動合同中保密條款18查看信息安全年度培訓(xùn)計劃

信息安全全年度培訓(xùn)計劃表19查看對新員工培訓(xùn)計劃

20查看培訓(xùn)記錄/（簽到表，一覽表）

是否有被培訓(xùn)人的簽字卻確認21查看已經(jīng)發(fā)生的信息安全獎懲記錄

審核過程–實施審核審核的兩大階段文件審核現(xiàn)場審核首次會議審核活動審核報告末次會議首次會議首次會議應(yīng)該是正式的，并保存出席人員的紀錄。會議應(yīng)該有審核組長主持。適當時，首次會議應(yīng)該包括以下內(nèi)容：介紹與會者，包括概述其職責(zé)；確認審核目的、范圍和準則；與受審核方確認審核日程以及相關(guān)的其他安排，例如：末此會議的日期和時間，審核組和受審放管理層之間的臨時會議以及任何新的變動；實施符合所用的方法和程序，包括告知審核方證據(jù)只是給可獲得信息的樣本，因此在審核中存在不確定的因素；確認審核組和受審核方之間的正式溝通渠道；確認審核所用的語言；確認在審核中將及時向受審核方通報審核進展情況；確認已具備審核組所需的資源和設(shè)施；確認有關(guān)保密事宜；確認審核工作時的安全事項、應(yīng)急和安全程序；確認向?qū)У陌才?、作用和身份；報告的方法，包括不符合的分級；有關(guān)審核可能被終止的條件的信息；關(guān)于審核的實施或結(jié)論的申訴系統(tǒng)的信息。審核活動信息的收集方法面談對活動的觀察文件評審審核的方式抽樣審核過程-報告編寫你的審核發(fā)現(xiàn)根據(jù)風(fēng)險和公司目標排序發(fā)現(xiàn)決定公布那些不符合項/觀察項/值得努力項獨立完成報告編寫（應(yīng)包括要求、不滿足、證據(jù)）審核報告格式

INTERNALAUDIT–FINDINGREPORTDate:Company/Department: RefNumber:Areaunderreview: Focus/RiskArea:Category:Non-conformity/Observation/Noteworthyeffort(deleteasneeded)Finding:Action: CloseDate:Auditor:審核報告分析（1）財務(wù)系統(tǒng)-新中大訪問權(quán)限和密碼-應(yīng)明確系統(tǒng)的訪問權(quán)限分配和加強密碼強度A.11.2.3風(fēng)險評估-需要對網(wǎng)絡(luò)的評估符合實際的情況，例如：應(yīng)對網(wǎng)絡(luò)安全設(shè)備的硬件和策略的變更的風(fēng)險進行識別并符合風(fēng)險要求；評估的風(fēng)險應(yīng)有相應(yīng)的措施才能確認風(fēng)險已經(jīng)降低到可接受的程度。4.2.1加強開發(fā)庫與受控庫的同步管理。并提高開發(fā)庫的基線管理。A12.5.1應(yīng)明確軟件安裝基線及對正版軟件使用的要求和監(jiān)督檢查。A15.1.2內(nèi)部網(wǎng)絡(luò)維護的過程中需要加強遵照信息安全事故的管理規(guī)定進行處理。A13應(yīng)加強對網(wǎng)絡(luò)、資源的安全和使用狀況進行數(shù)據(jù)分析和統(tǒng)計，并提供容量管理方案和計劃；豐富應(yīng)急方案的內(nèi)容并進行和參加相應(yīng)的演練。A14應(yīng)加強對基礎(chǔ)架構(gòu)、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用的變更分類原則和標準。

防火墻策略應(yīng)加強可審計性。并提供相應(yīng)的策略列表A10.6加強第三方服務(wù)交付的管理，把實際為我們提供服務(wù)的第三方列入《第三方服務(wù)匯總表》，并需要完善相應(yīng)的第三方工作記錄單。A10.2應(yīng)該將管理體系整合納入公司體系建設(shè)工作計劃,體系文件需要整合,內(nèi)部組織和管理過程需要整合.4公司ERP系統(tǒng)中的部分資產(chǎn)信息不完整,資產(chǎn)信息有缺項.應(yīng)該有計劃實施資產(chǎn)配置審計,確保ERP中資產(chǎn)信息的完整和準確.A7審核報告分析（2）標準條款A(yù)10.1.2要求“對信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。”

防火墻的安全控制規(guī)則在7月2日發(fā)生了變更，但未能提供相關(guān)的防火墻變更控制記錄。未能滿足標準的要求。A10.1.2《ISMS-L2-信息系統(tǒng)運維管理規(guī)定》條款2.6要求“組織與外部網(wǎng)絡(luò)之間默認禁止所有端口和協(xié)議，根據(jù)需要經(jīng)申請后開通相應(yīng)端口”

但防火墻上卻啟用了”ANYTOANY“規(guī)則（規(guī)則號105）。

違背了公司所設(shè)定的”默認禁止“的規(guī)定。A11.1.1標準條款A(yù)11.2.2要求“應(yīng)限制和控制特殊權(quán)限的分配及使用。”

組織內(nèi)普通員工均擁有客戶端PC的管理員權(quán)限，存在普通員工利用管理員管線修改安全規(guī)則的風(fēng)險，如修改禁用USB端口的安全策略的風(fēng)險。未能滿足“應(yīng)限制和控制特殊權(quán)限的分配及使用”的要求。A11.2.2標準條款A(yù)10.3.1要求”資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能?！?/p>

但組織沒有對容量的監(jiān)視要求以及監(jiān)視結(jié)果的記錄形成規(guī)定。A10.3.1末次會議審核組長主持清楚的解釋審核發(fā)現(xiàn)

將審核發(fā)現(xiàn)與此同時公司業(yè)務(wù)目標相聯(lián)系，并排序風(fēng)險審核過程–審核跟蹤什么是審核跟蹤?驗證糾正措施的實施和有效性確認根本原因被描述,不僅僅找到直接問題Nonconformities失誤原因模式LACKOFCONTROLBASIC

CAUSESIMMEDIATE

CAUSESINCIDENTSLOSSInadequate:-Policy-System-ComplianceInadequateorganisationfactors:-Human-Process-HardwareSubstandard:-Acts-ConditionsUndesiredevents:-Defects-Deviations-Non-conformance-Customer-Possibilities-Product-ReputationLACKOFCONTROL缺少控制不充分-策略-系統(tǒng)-符合性BASIC

CAUSES基本原因不充分的組織因素

人力-

流程-硬件IMMEDIATE

CAUSES直接原因不合格-行為-條件INCIDENTS事故不期望的事件-過失-背離不符合LOSS損失-客戶-

可能性-

產(chǎn)品-

名譽不符合項糾正措施案例（1）不符合項內(nèi)容描述原因分析糾正措施ISO/IEC27001:2005條款A(yù)11.3.1規(guī)定“應(yīng)要求用戶在選擇及使用口令時，遵循良好的安全習(xí)慣?！钡珜徍藭r發(fā)現(xiàn)，員工張三/李四的計算機登錄口令分別為6個1和6個a。未能滿足標準要求的“遵循良好安全習(xí)慣”的要求。員工安全意識不強。不符合項糾正措施案例（2）不符合項內(nèi)容描述原因分析糾正措施ISO/IEC27001:2005條款A(yù)11.3.1規(guī)定“應(yīng)要求用戶在選擇及使用口令時，遵循良好的安全習(xí)慣。”但審核時發(fā)現(xiàn)，員工張三/李四的計算機登錄口令分別為6個1和6個a。未能滿足標準要求的“遵循良好安全習(xí)慣”的要求。員工安全意識不強。對員工是否遵循公司有關(guān)口令規(guī)定，缺乏定期及不定期檢查的規(guī)定和流程不符合項糾正措施案例（3）不符合項內(nèi)容描述原因分析糾正措施ISO/IEC2