ISMS內(nèi)審員培訓(xùn)教材

ISMS內(nèi)部審核培訓(xùn)1精選ppt一

培訓(xùn)目的了解體系審核的根本概念掌握ISMS內(nèi)部審核流程掌握ISMS內(nèi)部審核方法與技巧2精選ppt審核概論審核籌劃與準(zhǔn)備審核實施糾正及其跟蹤ISMS評價二

培訓(xùn)內(nèi)容3精選ppt審核--為獲得審核證據(jù)〔3.9.5〕并對其進(jìn)行客觀的評價，以確定滿足經(jīng)協(xié)商的準(zhǔn)那么(3.9.4)的程度所進(jìn)行的系統(tǒng)的、獨立的并形成文件的過程(3.4.1)。審核方案--針對特定的時間框架和特定的目的所籌劃的一組(一個或多個)審核(3.9.1)審核范圍--審核(3.9.1)的廣度和界限。注：范圍通常包括對地理位置、組織單元、活動和過程(3.4.1)以及被覆蓋的時間段的表述。準(zhǔn)那么--確定為依據(jù)的一組方針、程序(3.4.5)或要求(3.1.2)。審核證據(jù)--可多方查證的與經(jīng)協(xié)商的準(zhǔn)那么(3.9.4)有關(guān)的記錄(3.7.6)、事實陳述或其他信息(3.7.1)注：審核證據(jù)可以是定性的或定量的。1.1審核概論--有關(guān)審核術(shù)語與定義

注：以下術(shù)語與定義參考GB/T19000-2000idtISO9000:2000質(zhì)量管理體系-根底和術(shù)語4精選ppt1.2審核概論--有關(guān)審核術(shù)語與定義

注：以下術(shù)語與定義參考GB/T19000-2000idtISO9000:2000質(zhì)量管理體系-根底和術(shù)語審核發(fā)現(xiàn)--審核(3.9.1)的結(jié)果。審核結(jié)論--審核組(3.9.10)在考慮了所有審核發(fā)現(xiàn)(3.9.6)以后得出的審核(3.9.1)結(jié)果。

審核委托方--要求或請求審核(3.9.1)的組織(3.3.1)或個人

。受審核方--被審核的組織(3.3.1)。審核組--實施審核(3.9.1)的一個人或一組人。注1：審核組的一個或多個人通常是合格審核員(3.9.14)，并且其中之一通常被任命為審核組長。審核組可包括接受培訓(xùn)的審核員。在需要時可包括技術(shù)專家(3.9.12)。

注2：觀察員可以陪同審核組，但不作為成員。

審核員--被委派實施審核(3.9.1)的人員。注：對所考慮的特定審核，審核員通常要具有必要的資格。

5精選ppt1.2審核概論--有關(guān)審核術(shù)語與定義

注：以下術(shù)語與定義參考GB/T19000-2000idtISO9000:2000質(zhì)量管理體系-根底和術(shù)語技術(shù)專家--〈審核〉提供關(guān)于被審核的某個組織(3.3.1)、過程(3.4.1)、活動或領(lǐng)域的專業(yè)支持的人員

。審核員資格--個人的綜合素質(zhì)、教育、培訓(xùn)、工作經(jīng)歷、審核(3.9.1)經(jīng)歷及能夠一個人作為審核員(3.9.11)被委派所需要證實的能力的組合

。合格審核員--已成功通過了一個審核員鑒定過程(3.8.6)的人員。6精選ppt1.3審核概論—審核的內(nèi)容獲得審核的證據(jù)客觀、公正的評價確定滿足審核準(zhǔn)那么的程度7精選ppt1.4審核概論—過程評價的根本問題過程是否被識別并適當(dāng)?shù)囊?guī)定？職責(zé)是否分配？程序是否得實施和保持？在實施所要求的結(jié)果方面，過程是否有效。8精選ppt1.5審核概論—審核分類第一方審核--〔通?！持傅氖墙M織內(nèi)部的自我審查改進(jìn)。

第二方審核--〔通?！持傅氖枪┓健蔡峁┥獭郴蚩蛻魧M織的審核。

第三方審核--〔通?！持傅氖钦J(rèn)證機構(gòu)對組織的審核。9精選ppt1.6審核概論—內(nèi)審目的10精選ppt1.7審核概論—審核時機、范圍及頻度ISMS內(nèi)審的時機、范圍和頻度按方案時間間隔；一般至少每年應(yīng)覆蓋ISMS所涉及的部門、過程一次；最初建立體系時頻度可適當(dāng)多一些；特殊情況：發(fā)生重大信息平安事件或用戶重大投訴組織機構(gòu)、場地、信息方針、目標(biāo)等發(fā)生了變化；接受第二、三方審核前。11精選ppt1.8審核概論—審核依據(jù)ISMS審核依據(jù)IS0/IEC27001：2005標(biāo)準(zhǔn)信息平安管理體系手冊信息平安管理體系程序文件信息平安策略與信息平安相關(guān)的法律法規(guī)其它與信息平安相關(guān)的文件12精選ppt1.9審核概論—審核方式及特點ISMS審核方式集中定期全面性一次的鋪開成內(nèi)部審核。分散根據(jù)人員安排或現(xiàn)狀，按階段性按條款采取地毯式的逐級審核報告。13精選ppt2審核籌劃與準(zhǔn)備—審核流程圖14精選ppt2審核籌劃與準(zhǔn)備明確審核決定確定審核組文件審核編制審核方案編制審核檢查表發(fā)布審核通知15精選ppt2.1 明確審核決定審核目的--確保信息平安管理體系建立、實施、運行、保持和改進(jìn)活動的有效性與符合性審核范圍--信息中心業(yè)務(wù)及物理邊界本部8樓審核時間--待定審核方式--例如：建議采取集中式審核16精選ppt2.2 確認(rèn)審核組

審核員的資格—須參加信息管理體系內(nèi)審員培訓(xùn)并獲得“內(nèi)審員培訓(xùn)合格證書〞。審核的態(tài)度--確保審核的客觀性與公正性。注內(nèi)審員不得審查自身或本部門工作。審核組長—負(fù)責(zé)審核全過程及審核組管理工作。審核員—在組長的審核安排下實施審核。17精選ppt2.3文件審核目的了解體系中的所有過程是否得到識別并適當(dāng)管理；了解過程文件滿足審核準(zhǔn)那么程度；對象信息平安管理體系手冊信息平安管理體系程序文件信息平安管理體系管理制度、方法、方案及指導(dǎo)書等；準(zhǔn)那么信息平安管理體系標(biāo)準(zhǔn)、合同、法律法規(guī)等。18精選ppt2.3文件審核時機在現(xiàn)場審核前進(jìn)行。注：信息平安管理體系管理制度、方法、方案及指導(dǎo)書等可以在現(xiàn)場審核時進(jìn)行。結(jié)論符合標(biāo)準(zhǔn)及法規(guī)要求；部份不符合要求；未覆蓋標(biāo)準(zhǔn)及法規(guī)要求。本卷須知過程中除審核文件外，還須對其過程之間的接口是否明確。19精選ppt2.3編制審核方案要求需考慮組織的大小和性質(zhì)員體系覆蓋員工數(shù)量體系所涉及的范圍體系所涉及地點等20精選ppt2.3內(nèi)部審核方案21精選ppt2.3內(nèi)部審核方案注：對以上審核日程及人員安排如有異議，請及時反響。

擬制/日期：審核組長批準(zhǔn)/日期：信息平安領(lǐng)導(dǎo)小姐組長22精選ppt2.4審核檢查表的作用明確與審核目標(biāo)有關(guān)的樣本確保審核程序標(biāo)準(zhǔn)化按檢查的要求進(jìn)行調(diào)研，可使用審核目標(biāo)始終保持明確。保持審核進(jìn)度作為審核記錄存擋減少重復(fù)或不必要的工作量減少內(nèi)審員的偏見或隨意性。23精選ppt2.5編制審核檢查表原那么對照標(biāo)準(zhǔn)和ISMS文件編制部門與過程相對應(yīng)選擇典型的信息平安問題，抽樣應(yīng)有代表性。注意邏輯順序，明確審核步驟。按部門編寫的檢查表要考慮涉及條款，按條款編制要考慮所涉及部門。24精選ppt2.5使用審核檢查表原那么自己使用掌握，不須向受審方出示。靈活使用，不需照本宣科。不要屬限于檢查表工程，按實際現(xiàn)場審核時靈活查閱。25精選ppt2.5審核檢查表舉例26精選ppt2.5審核檢查表舉例27精選ppt3現(xiàn)場審核活動的實施審核過程的控制首次會議審核方法審核證據(jù)不合格項報告匯總分析

末次會議審核報告28精選ppt3.1審核過程的控制審核方案的控制審核活動的控制抽樣合理〔一到三個〕區(qū)分關(guān)鍵過程評定主要因素重視控制結(jié)果注意相關(guān)影響營造良好的氣氛29精選ppt3.1審核過程的控制審核結(jié)果的控制；合格與不合格要以事實為根底；不合格事實要得到受審核方確認(rèn)；組內(nèi)須相互溝通，保持統(tǒng)一意見。30精選ppt3.2首次會議首次會議時間、地址及參加人員首次會議內(nèi)容和程序人員介紹簡明審核目的與范圍重新陳述審核方案及人員安排落實后勤安排說明審核態(tài)度及原那么保密性承諾31精選ppt3.3審核方法順向追蹤取證逆向追蹤取證獨立審核〔部門審核〕過程審核〔按條款審核〕注：審核的根本方法均采取抽樣方式執(zhí)行。32精選ppt3.3審核方法--順向追蹤取證順向追蹤取證從影響信息平安的因素跟蹤到結(jié)束；按照業(yè)務(wù)流程的自然順序；從文件要求跟蹤到執(zhí)行記錄，確保要求的和實施的一致。優(yōu)點系統(tǒng)連貫性強，可確認(rèn)系統(tǒng)銜接整體情況。缺點費時〔審核單項花費時間較長〕。

33精選ppt3.3審核方法--逆向追蹤取證逆向追蹤取證從已形成的結(jié)果追溯到影響因素的控制；按照業(yè)務(wù)流程的逆向順序；從現(xiàn)場記錄查詢到到文件要求，確保實施的和要求的一致。優(yōu)點從結(jié)果找問題，針對性強，有利于發(fā)現(xiàn)問題。缺點問題復(fù)雜時不易理清，對審核的知識面要求較高。34精選ppt3.3審核方法--獨立審核獨立審核〔部門審核〕以單個部門為中心，審核所涉及的相關(guān)職能業(yè)務(wù)；部門所涉及條款。優(yōu)點節(jié)約時間。缺點缺乏系統(tǒng)性的銜接，可能存在疏漏，審核準(zhǔn)備時需充分考慮相關(guān)因素，過程審核思路要清晰，審核組內(nèi)部溝通要求高。35精選ppt3.3審核方法—過程審核過程審核〔部門審核〕以過程為中心；一個過程要涉及多個部門、多個標(biāo)準(zhǔn)條款。優(yōu)點系統(tǒng)性完整、全面，不易遺漏。缺點部門之間重復(fù)返往較多，費時、費事；對審核知識要求較高。36精選ppt3.4.1審核證據(jù)—證據(jù)獲取原那么可作為證據(jù)原則不可作為證據(jù)原則存在客觀的事實或情況估計、猜想、分析、推測受審人談話過程并相應(yīng)實物旁證陪同人或其它無關(guān)人的談話與傳聞現(xiàn)行有效文件及有效記錄過期或者作廢文件，擅自涂改的記錄等。37精選ppt3.4.2審核證據(jù)—提問技巧查閱過程文件記錄觀察現(xiàn)場情況現(xiàn)場或查閱過程提問交流現(xiàn)場測量驗證38精選ppt3.4.3審核證據(jù)—提問技巧封閉式：主動簡單的用“是與否〞來詢問。主要用于獲取專門信息，例如：貴公司〔組織〕是否有信息平安管理手冊；貴公司〔組織〕是否有任命管理者代表；貴公司〔組織〕是否有建立信息平安管理機構(gòu)等。優(yōu)點有主動權(quán)，省時，能把握重點，一針見血。缺點所獲取的信息小。39精選ppt3.4.4審核證據(jù)—提問技巧開放式：提問交流過程需要解釋。主要用于獲取全面信息，例如：貴公司〔組織〕有沒有建立信息平安目標(biāo)指標(biāo)，如何管理，實施結(jié)果，是否滿足方案要求；貴公司〔組織〕是否建立資產(chǎn)清單，如何評定重要資產(chǎn)，如何管理維護等。優(yōu)點可獲取信息面較廣。缺點被動，過程可能會出現(xiàn)等待證據(jù)提供時間。40精選ppt3.4.5審核證據(jù)—開放式提問技巧帶主題問題--XX如何做？擴展性問題--為什么這樣做，依據(jù)？討論性問題--對詢問問題過程表達(dá)個人觀點。調(diào)查性問題--覺得怎么樣，有什么想法？重復(fù)性問題--得到明確答案？假設(shè)性問題--如果…那么…？驗證性問題--麻煩您拿出相應(yīng)證據(jù)？41精選ppt3.4.6審核證據(jù)—提問技巧澄清式：結(jié)合以上兩項方法，用以獲得更多專門的信息，例如：貴公司〔組織〕是否建立資產(chǎn)清單，想看看資產(chǎn)清單識別要求與文件要求是不是一致，識別范圍怎么超出文件要求或識別范圍不全面等。優(yōu)點可獲取更多專門信息。缺點帶有個人主觀導(dǎo)向，不能常用。42精選ppt3.4.7審核證據(jù)—案例1審核員在現(xiàn)場發(fā)現(xiàn)，全公司都使用同一個口令來登錄內(nèi)部MIS系統(tǒng)，網(wǎng)絡(luò)管理員解釋說主要是為了節(jié)省向公司50個用戶分發(fā)和再次分發(fā)口令的時間，并且到目前為止也好似沒發(fā)現(xiàn)有什么問題，大家也覺得挺方便。請問以上答復(fù)能否作為審核證據(jù)？理由？如果你是內(nèi)審員你會怎么做？43精選ppt3.4.8審核證據(jù)—案例2審核員從網(wǎng)絡(luò)管理員那里了解到，防火墻在每個星期五早上都會定期失效，但查閱平安事件記錄中卻沒有發(fā)現(xiàn)這些事件的記錄，網(wǎng)絡(luò)管理員解釋說他早就知道這個問題了，所以沒有必要再記錄了。請問以上答復(fù)能否作為審核證據(jù)？理由？如果你是內(nèi)審員你會怎么做？44精選ppt3.5不符合項報告不符合項：未滿足審核準(zhǔn)那么要求發(fā)現(xiàn)項。不符合項分類：按性質(zhì)上分：體系性不符合實施性不符合效果性不符合按不符合程度分：觀察項一般不符合嚴(yán)重不符合45精選ppt3.5.1不符合項判定觀察項：不會對平安造成有意義的影響，可能有潛在影響的一種發(fā)現(xiàn)。例如：某部門在資產(chǎn)識別過程中，發(fā)現(xiàn)剛購置一臺新設(shè)備，但未驗收使用，所以識別時未將其列入資產(chǎn)清單中。一般不符合項信息平安管理體系的過程、程序或操作的輕微問題；偶然發(fā)生的不符合事項。例如：某工作人員因工作緊急，帶入外部人員進(jìn)入機房內(nèi)處理異常事項，等各項工作完成后直接離去，但“機房管理方法〞要求所有出入機房工作者必須進(jìn)行登記，并注意進(jìn)入工作內(nèi)容，出入時間等。46精選ppt嚴(yán)重不符合項某個部門內(nèi)與條款要求執(zhí)行普遍失效某個條款在體系內(nèi)審?fù)耆笔?。違反法律法規(guī)要求可導(dǎo)致重大信息平安即時發(fā)生或投訴不符合項長期得不到改進(jìn)〔三次驗證后仍未改進(jìn)〕，即可列為嚴(yán)重不符合。例如：某部門將其重要信息與普通信息存放一起，并未將重要信息執(zhí)行備份，其工作人員說沒時間，也很少用，為方便就混放到一起，但該部門文件明文件規(guī)定是分類存放并定期備份。3.5.2不符合項判定47精選ppt3.5.3不符合項報告填寫要求核心內(nèi)容準(zhǔn)確描述觀察事實，包括時間、地點、人物〔不得用人名，用職務(wù)表述〕，何種情況等。不符合標(biāo)準(zhǔn)中哪個條款；不符合程度本卷須知：語言表達(dá)必須簡練，正確、完整。防止用“似乎、總的來說等〞詞語。48精選ppt3.5.4不符合案例練習(xí)2021年2月1日，審核員到某公司進(jìn)行ISMS評審。公司的備份管理程序要求每一個月對備份有效性進(jìn)行全部評審。審核員抽查了公司備份方案定期審查表，發(fā)現(xiàn)日志備份在2021年1月25日時備份檢查上描述“自動備份失效〞。審核員在現(xiàn)場發(fā)現(xiàn)有密鑰文件清單、賬戶申請記錄等信息資產(chǎn)，但審核員在公司的資產(chǎn)登記表沒有找到這些信息資產(chǎn)。審核員從網(wǎng)絡(luò)管理員那里了解到，防火墻在每個星期五早上都會定期失效，但查閱平安事件記錄中卻沒有發(fā)現(xiàn)這些事件的記錄，網(wǎng)絡(luò)管理員解釋說他早就知道這個問題了，所以沒有必要再記錄了。審核員在現(xiàn)場發(fā)現(xiàn)，全公司都使用同一個口令來登錄內(nèi)部MIS系統(tǒng)，網(wǎng)絡(luò)管理員解釋說主要是為了節(jié)省向公司50個用戶分發(fā)和再次分發(fā)口令的時間，并且到目前為止也好似沒發(fā)現(xiàn)有什么問題，大家也覺得挺方便。49