ISMS内审员培训教材课件(PPT 58页)

1、ISMS内部审核培训第1页，共58页。一 培训目的了解体系审核的基本概念掌握ISMS内部审核流程掌握ISMS内部审核方法与技巧第2页，共58页。审核概论审核策划与准备审核实施纠正及其跟踪ISMS评价二 培训内容第3页，共58页。审核-为获得审核证据（3.9.5）并对其进行客观的评价，以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过程(3.4.1)。审核方案-针对特定的时间框架和特定的目的所策划的一组(一个或多个)审核(3.9.1) 审核范围-审核(3.9.1)的广度和界限。注：范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。

2、准则-确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。审核证据-可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注：审核证据可以是定性的或定量的。1.1 审核概论-有关审核术语与定义注：以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语第4页，共58页。1.2 审核概论-有关审核术语与定义注：以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语审核发现-审核(3.9.1)的结果。审核结论-审核组(3.9.10)在考虑了

3、所有审核发现(3.9.6)以后得出的审核(3.9.1)结果。审核委托方-要求或请求审核(3.9.1)的组织(3.3.1)或个人 。受审核方-被审核的组织(3.3.1)。审核组-实施审核(3.9.1)的一个人或一组人。注1：审核组的一个或多个人通常是合格审核员(3.9.14)，并且其中之一通常被任命为审核组长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。注2：观察员可以陪同审核组，但不作为成员。审核员-被委派实施审核(3.9.1)的人员。注：对所考虑的特定审核，审核员通常要具有必要的资格。 第5页，共58页。1.2审核概论-有关审核术语与定义注：以下术语与定义参考GB/

4、T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语技术专家-审核提供关于被审核的某个组织(3.3.1)、过程(3.4.1)、活动或领域的专业支持的人员 。审核员资格-个人的综合素质、教育、培训、工作经历、审核(3.9.1)经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组合 。合格审核员-已成功通过了一个审核员鉴定过程(3.8.6)的人员。第6页，共58页。1.3审核概论审核的内容获得审核的证据客观、公正的评价确定满足审核准则的程度第7页，共58页。1.4 审核概论过程评价的基本问题过程是否被识别并适当的规定？职责是否分配？程序是否得实施和保持

5、？在实施所要求的结果方面，过程是否有效。第8页，共58页。1.5 审核概论审核分类第一方审核-（通常）指的是组织内部的自我审查改进。第二方审核-（通常）指的是供方（提供商）或客户对组织的审核。第三方审核-（通常）指的是认证机构对组织的审核。第9页，共58页。1.6 审核概论内审目的第10页，共58页。1.7 审核概论审核时机、范围及频度ISMS内审的时机、范围和频度按计划时间间隔；一般至少每年应覆盖ISMS所涉及的部门、过程一次；最初建立体系时频度可适当多一些；特殊情况：发生重大信息安全事件或用户重大 投诉组织机构、场地、信息方针、目标等发生了变化；接受第二、三方审核前。第11页，共58页。1

6、.8 审核概论审核依据ISMS审核依据IS0/IEC27001：2005 标准信息安全管理体系手册信息安全管理体系程序文件信息安全策略与信息安全相关的法律法规其它与信息安全相关的文件第12页，共58页。1.9 审核概论审核方式及特点ISMS审核方式集中审核：定期全面性一次的铺开成内部审核。分散审核：根据人员安排或现状，按阶段性按条款采取地毯式的逐级审核报告。第13页，共58页。2 审核策划与准备审核流程图第14页，共58页。2 审核策划与准备明确审核决定确定审核组文件审核编制审核计划编制审核检查表发布审核通知第15页，共58页。2.1 明确审核决定审核目的-确保信息安全管理体系建立、实施、运行

7、、保持和改进活动的有效性与符合性 审核范围-信息中心业务及物理边界本部8楼审核时间-待定审核方式-例如：建议采取集中式审核第16页，共58页。2.2 确认审核组 审核员的资格须参加信息管理体系内审员培训并获得“内审员培训合格证书”。审核的态度-确保审核的客观性与公正性。 注内审员不得审查自身或本部门工作。审核组长负责审核全过程及审核组管理工作。审核员在组长的审核安排下实施审核。第17页，共58页。2.3 文件审核目的了解体系中的所有过程是否得到识别并适当管理；了解过程文件满足审核准则程度；对象信息安全管理体系手册信息安全管理体系程序文件信息安全管理体系管理制度、办法、计划及指导书等；准则信息安

8、全管理体系标准、合同、法律法规等。第18页，共58页。2.3 文件审核时机在现场审核前进行。注：信息安全管理体系管理制度、办法、计划及指导书等可以在现场审核时进行。结论符合标准及法规要求；部份不符合要求；未覆盖标准及法规要求。注意事项过程中除审核文件外，还须对其过程之间的接口是否明确。第19页，共58页。2.3 编制审核计划要求需考虑组织的大小和性质员体系覆盖员工数量体系所涉及的范围体系所涉及地点等第20页，共58页。2.3 内部审核计划第21页，共58页。2.3 内部审核计划注：对以上审核日程及人员安排如有异议，请及时反馈。拟制/日期：审核组长 批准/日期：信息安全领导小姐组长第22页，共5

9、8页。2.4 审核检查表的作用明确与审核目标有关的样本确保审核程序规范化按检查的要求进行调研，可使用审核目标始终保持明确。保持审核进度作为审核记录存挡减少重复或不必要的工作量减少内审员的偏见或随意性。第23页，共58页。2.5 编制审核检查表原则对照标准和ISMS文件编制部门与过程相对应选择典型的信息安全问题，抽样应有代表性。 注意逻辑顺序，明确审核步骤。按部门编写的检查表要考虑涉及条款，按条款编制要考虑所涉及部门。第24页，共58页。2.5 使用审核检查表原则自己使用掌握，不须向受审方出示。灵活使用，不需照本宣科。不要属限于检查表项目，按实际现场审核时灵活查阅。第25页，共58页。2.5 审

10、核检查表举例第26页，共58页。2.5 审核检查表举例第27页，共58页。3 现场审核活动的实施审核过程的控制首次会议审核方法审核证据不合格项报告汇总分析 末次会议审核报告第28页，共58页。3.1审核过程的控制审核计划的控制审核活动的控制抽样合理（一到三个）辨别关键过程评定主要因素重视控制结果注意相关影响营造良好的气氛第29页，共58页。3.1审核过程的控制审核结果的控制；合格与不合格要以事实为基础；不合格事实要得到受审核方确认；组内须相互沟通，保持统一意见。第30页，共58页。3.2 首次会议首次会议时间、地址及参加人员首次会议内容和程序人员介绍简明审核目的与范围重新陈述审核计划及人员安排

11、落实后勤安排表明审核态度及原则保密性承诺第31页，共58页。3.3 审核方法顺向追踪取证逆向追踪取证独立审核（部门审核）过程审核（按条款审核）注：审核的基本方法均采取抽样方式执行。第32页，共58页。3.3 审核方法-顺向追踪取证顺向追踪取证从影响信息安全的因素跟踪到结束；按照业务流程的自然顺序；从文件要求跟踪到执行记录，确保要求的和实施的一致。优点系统连贯性强，可确认系统衔接整体情况。缺点费时（审核单项花费时间较长）。第33页，共58页。3.3 审核方法-逆向追踪取证逆向追踪取证从已形成的结果追溯到影响因素的控制；按照业务流程的逆向顺序；从现场记录查询到到文件要求，确保实施的和要求的一致。优

12、点从结果找问题，针对性强，有利于发现问题。缺点问题复杂时不易理清，对审核的知识面要求较高。第34页，共58页。3.3 审核方法-独立审核独立审核（部门审核）以单个部门为中心，审核所涉及的相关职能业务；部门所涉及条款。优点节约时间。缺点缺乏系统性的衔接，可能存在疏漏，审核准备时需充分考虑相关因素，过程审核思路要清晰，审核组内部沟通要求高。第35页，共58页。3.3 审核方法过程审核过程审核（部门审核）以过程为中心；一个过程要涉及多个部门、多个标准条款。优点系统性完整、全面，不易遗漏。缺点部门之间重复返往较多，费时、费事；对审核知识要求较高。第36页，共58页。3.4.1 审核证据证据获取原则可作

13、为证据原则不可作为证据原则存在客观的事实或情况估计、猜想、分析、推测受审人谈话过程并相应实物旁证陪同人或其它无关人的谈话与传闻现行有效文件及有效记录过期或者作废文件，擅自涂改的记录等。第37页，共58页。3.4.2 审核证据提问技巧查阅过程文件记录观察现场情况现场或查阅过程提问交流现场测量验证第38页，共58页。3.4.3 审核证据提问技巧封闭式：主动简单的用“是与否”来询问。主要用于获取专门信息，例如：贵公司（组织）是否有信息安全管理手册；贵公司（组织）是否有任命管理者代表；贵公司（组织）是否有建立信息安全管理机构等。优点有主动权，省时，能把握重点，一针见血。缺点所获取的信息小。第39页，共

14、58页。3.4.4 审核证据提问技巧开放式：提问交流过程需要解释。主要用于获取全面信息，例如：贵公司（组织）有没有建立信息安全目标指标，如何管理，实施结果，是否满足计划要求；贵公司（组织）是否建立资产清单，如何评定重要资产，如何管理维护等。优点可获取信息面较广。缺点被动，过程可能会出现等待证据提供时间。第40页，共58页。3.4.5 审核证据开放式提问技巧带主题问题-XX如何做？扩展性问题-为什么这样做，依据？讨论性问题-对询问问题过程表达个人观点。调查性问题-觉得怎么样，有什么想法？重复性问题-得到明确答案？假设性问题-如果则？验证性问题-麻烦您拿出相应证据？第41页，共58页。3.4.6

15、审核证据提问技巧澄清式：结合以上两项方法，用以获得更多专门的信息，例如：贵公司（组织）是否建立资产清单，想看看资产清单识别要求与文件要求是不是一致，识别范围怎么超出文件要求或识别范围不全面等。优点可获取更多专门信息。缺点带有个人主观导向，不能常用。第42页，共58页。3.4.7 审核证据案例1审核员在现场发现，全公司都使用同一个口令来登录内部MIS系统，网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间，并且到目前为止也好像没发现有什么问题，大家也觉得挺方便。请问以上回答能否作为审核证据？理由？如果你是内审员你会怎么做？第43页，共58页。3.4.8 审核证据案例2审核员从

16、网络管理员那里了解到，防火墙在每个星期五早上都会定期失效，但查阅安全事件记录中却没有发现这些事件的记录，网络管理员解释说他早就知道这个问题了，所以没有必要再记录了。请问以上回答能否作为审核证据？理由？如果你是内审员你会怎么做？第44页，共58页。3.5 不符合项报告不符合项：未满足审核准则要求发现项。不符合项分类：按性质上分：体系性不符合实施性不符合效果性不符合按不符合程度分：观察项一般不符合严重不符合第45页，共58页。3.5.1 不符合项判定观察项：不会对安全造成有意义的影响，可能有潜在影响的一种发现。例如：某部门在资产识别过程中，发现刚购置一台新设备，但未验收使用，所以识别时未将其列入资

17、产清单中。一般不符合项信息安全管理体系的过程、程序或操作的轻微问题；偶然发生的不符合事项。例如：某工作人员因工作紧急，带入外部人员进入机房内处理异常事项，等各项工作完成后直接离去，但“机房管理办法”要求所有出入机房工作者必须进行登记，并注意进入工作内容，出入时间等。第46页，共58页。严重不符合项某个部门内与条款要求执行普遍失效某个条款在体系内审完全缺失。违反法律法规要求可导致重大信息安全即时发生或投诉不符合项长期得不到改进（三次验证后仍未改进），即可列为严重不符合。例如：某部门将其重要信息与普通信息存放一起，并未将重要信息执行备份，其工作人员说没时间，也很少用，为方便就混放到一起，但该部门文

18、件明文件规定是分类存放并定期备份。3.5.2 不符合项判定第47页，共58页。3.5.3不符合项报告填写要求核心内容准确描述观察事实，包括时间、地点、人物（不得用人名，用职务表述），何种情况等。不符合标准中哪个条款；不符合程度注意事项：语言表达必须简练，正确、完整。避免用“似乎、总的来说等”词语。第48页，共58页。3.5.4 不符合案例练习2010年2月1日，审核员到某公司进行ISMS评审。公司的备份管理程序要求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定期审查表，发现日志备份在2010年1月25日时备份检查上描述“自动备份失效”。审核员在现场发现有密钥文件清单、账户申请记录等信息资产，但审核员在公司的资产登记表没有找到这些信息资产。审核员从网络管理员那里了解到，防火墙在每个星期五早上都会定期失效，但查阅安全事件记录中却没有发现这些事件的记录，网络管理员解释说他早就知道这个问题了，所以没有必要再记录了。审核员在现场发现，全公司都使用同一个口令来登录内部MIS系统，网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间，并且到目前为止也好像没发现有什么问题，大家也觉得挺方便。 第49页，共58页。3.5.