第五部分信息安全管理体系内部审核

ISMS内审员培训教程第一页，共七十页。第一部分信息安全基础知识及案例分析第二部分ISO27001标准正文部分详解ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分信息安全管理体系内部审核课程内容第二页，共七十页。了解管理体系审核的基本概念掌握ISMS内部审核的流程掌握ISMS内部审核的方法和技巧教学目标第三页，共七十页。主要内容1、审核概论2、审核策划和准备3、现场审核活动的实施4、纠正措施及其跟踪5、ISMS评价第四页，共七十页。1.1定义为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程

（ISO9000）1.2审核“成败”的关键系统的：正式、有序的审查活动独立的：保持审核的独立性和公正性1审核概论第五页，共七十页。1.3审核的内容1、获得审核证据2、客观评价3、确定满足审核准则的程度1.4过程评价的四个基本问题1、过程是否已被识别并适当规定？2、职责是否已被分配？3、程序是否得到实施和保持？4、在实现所要求的结果方面，过程是否有效？1审核概论第六页，共七十页。1.5审核的类型组织顾客供方认证/注册机构第三方审核(外部)第二方审核第二方审核第一方审核(外部)(外部)(内部)1审核概论第七页，共七十页。1.6内部审核的目的目的主要依据：信息安全管理体系文件外部审核前的准备作为一种管理手段，是组织管理评审输入的重要内容确保信息安全管理体系正常运行和改进的需要1审核概论第八页，共七十页。1.7ISMS内审的时机、范围和频度

按策划的时间间隔一般至少每年应覆盖ISMS所涉及部门、过程一次最初建立体系时频度可适当多一些特殊情况:发生严重信息安全问题或用户投诉组织机构、生产场所、信息安全方针目标等发生重大变化接受第二、第三方审核前1审核概论第九页，共七十页。1.8ISMS内部审核的依据1、ISO27001:2005版标准2、信息安全管理手册3、程序文件4、信息安全策略5、有关的法律、法规6、其他信息安全管理文件1审核概论第十页，共七十页。1.9ISMS内部审核的方式1、集中审核2、分散审核1.10ISMS审核的特点1、被审核的ISMS必须是正规的2、ISMS审核必须是一种正式的活动3、ISMS审核是一种抽样过程1审核概论第十一页，共七十页。1.11ISMS内部审核的一般顺序1、审核策划与审核准备2、现场审核实施与审核报告3、纠正措施的跟踪与汇总分析1审核概论第十二页，共七十页。领导重视是做好ISMS内部审核的关键信息安全经理要亲自抓ISMS内部审核工作ISMS内部审核工作需要一个职能部门来管理要组建一支合格的ISMS内部审核队伍ISMS内部审核需要一套正规的程序建立ISMS时应考虑ISMS内部审核工作2ISMS内部审核的策划和准备第十三页，共七十页。明确审核决定确定审核组文件审核编制审核计划编制检查表通知受审核部门并约定具体的审核时间2ISMS内部审核的策划和准备第十四页，共七十页。1、审核目的

2、审核范围

3、审核时间

4、审核方式2.1明确审核决定第十五页，共七十页。1、审核人员的资格2、确保客观性和公正性3、专业能力4、审核组长：负责审核全过程及审核组管理工作5、审核员：在审核组长指导下进行审核2.2确定审核组第十六页，共七十页。目的：体系中所有过程是否被识别并适当规定；职责是否被分配；过程文件满足审核准则的程度对象：信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等审核准则：标准、合同及有关的法律、法规2.3文件审核第十七页，共七十页。时机：在现场审核前进行；作业指导书、质量计划、规范等可以在现场审核时进行；结论：符合标准及法规的要求；部分不符合要求；没有覆盖标准及法规的要求；注意事项：不仅要审核过程文件，还要审核过程之间的接口是否明确、协调2.3文件审核第十八页，共七十页。组织的大小和性质员工数量体系复杂性ISMS的范围涉及的地点数目信息类型-文件/电子等2.4编制审核计划____要求考虑第十九页，共七十页。审核目的审核范围审核准则审核组成员及其分工现场审核活动的日程安排必要的审核资源的配备其它(如审核时所用语言、保密承诺等)审核计划示例：2.4编制审核计划____内容第二十页，共七十页。NO.20080118-01审核时间:2008年1月18日～1月19日审核目的:验证本公司的ISMS是否符合ISO27001:2005版以及公司ISMS文件的要求，ISMS是否得到有效实施，是否具备申请第三方ISO27001:2005认证注册的条件审核范围:ISMS所涉及的部门和过程审核依据:ISO27001:2005、公司《信息安全管理手册》（LX－M－01）第1版、有关的信息管理文件审核组成员:×××(组长)—A；×××—B；×××—C；××公司ISMS内部审核计划第二十一页，共七十页。日期时间安排A＋CB1月18日08:30～08:45首次会议08:45～12:0013:30～15:00

15:00～17:30

1月19日08:30～12:0013:30～15:3015:30～16:00审核组总结16:00～16:30与受审核方交换意见16:30～17:00末次会议说明:对条款×××的审核还将结合其它条款的审核同时进行××公司ISMS内部审核计划第二十二页，共七十页。注：对以上人员和日程安排如有异议，请及时反馈。拟制：×××（组长）日期：批准：（信息安全经理）日期：××公司ISMS内部审核计划第二十三页，共七十页。一、检查表的作用1、明确与审核目标有关的样本2、使审核程序规范化3、按检查表的要求进行调查研究，可使审核目标始终保持明确4、保持审核进度5、作为审核记录存档6、减少重复的或不必要的工作量7、减少内审员的偏见和随意性2.5编制检查表第二十四页，共七十页。二、检查表的内容1、列出审核项目的要点（确保完整）2、明确审核步骤和方法，进行抽样量的设计

注：ISMS所涉及的过程和部门不能抽样，不同的类型不能抽样2.5编制检查表第二十五页，共七十页。三、设计检查表的注意事项1、对照标准和ISMS文件2、部门与过程相对应3、选择典型的信息安全问题，抽样应有代表性4、注意逻辑顺序，明确审核步骤5、按部门编制的检查表要考虑涉及的条款，按条款编制的检查表要考虑涉及的部门6、常见问题：陈述句变疑问句；只列出审核项目，忽略审核方法和抽样量的设计；仅依据标准，不符合实际2.5编制检查表第二十六页，共七十页。四、运用检查表的注意事项1、自己掌握，没必要披露2、不要照本宣科3、不要拘泥于检查表五、检查表举例2.5编制检查表第二十七页，共七十页。2.5编制检查表五、检查表举例标准要求审核检查题答案记录注释与指南是Y否N理由4.2.1a)组织要定义ISMS范围组织是否有一个定义ISMS范围的文件?对这个“定义ISMS范围”要求的符合性审核，要确保ISMS定义不仅要包括范围，也要包括边界。对任何范围的删减，必须有详细说明和正当性理由。是否有对范围的删减？4.2.1b)组织要定义ISMS方针组织是否有一个ISMS方针文件？这个要求明确规定ISMS方针的5个基本点，即ISMS方针要包括信息安全的目标框架、信息安全工作的总方向和原则；考虑业务要求、法律法规的要求和合同要求；与组织开发与维护ISMS的战略性风险管理结合一起或保持一致；建立风险评价准则获得管理者批准。组织的ISMS方针文件是否满足ISO27001规定的5个基本点？第二十八页，共七十页。相关条款控制措施要求与检查题回答（是、部分、不是）实施的方法或删减的正当性A7.1.1资产清单是否所有资产都进行了识别？是否所有重要资产都进行了登记，建立了清单文件并加以维护？A7.1.2资产责任人所有信息和信息处理设施相关资产，是否都有责任人？A7.1.3资产的可接受使用信息和信息处理设施相关资产的可接受规则，是否确定、形成文件并加以实施？2.5编制检查表五、检查表举例第二十九页，共七十页。3.1审核过程的控制3.2首次会议3.3审核方法3.4审核证据3.5不合格项报告3.6汇总分析3.7末次会议3.8审核报告3现场审核活动的实施第三十页，共七十页。一、审核计划的控制二、审核活动的控制1、样本策划合理2、辩识关键过程3、评定主要因素4、重视控制结果5、注意相关影响6、营造良好的审核气氛3.1审核过程的控制第三十一页，共七十页。三、审核结果的控制1、合格或不合格要以事实为基础2、不合格事实要得到受审核方确认3、道听途说不能作为证据4、组内要相互沟通，统一意见3.1审核过程的控制第三十二页，共七十页。一、首次会议的内容和程序1、人员介绍2、说明审核目的和范围3、审核计划的确认4、落实后勤安排5、阐明一些重要的问题6、有关审核原则的强调7、澄清一些问题二、首次会议的时间、地点及参加人员3.2首次会议第三十三页，共七十页。审核方式方法：如何抽样查证1、顺向追踪2、逆向追踪3、部门审核 4、过程审核 3.3审核方法审核的基本方法:抽样第三十四页，共七十页。顺向追踪：从影响信息安全的因素跟踪到结束按照业务流程的自然顺序从文件跟踪至实施记录优点：系统性强，可观察接口缺点：较费时3.3审核方法第三十五页，共七十页。逆向追踪：从已形成的结果追溯到影响因素的控制按照业务流程的逆向顺序从现场记录追溯到体系文件的规定优点：从结果找原因，针对性强；有利于发现问题缺点：问题复杂时不易理清（对审核员技术要求高）3.3审核方法第三十六页，共七十页。部门审核：以部门为中心进行一个部门要涉及多个标准条款以部门的主要职能为主线，涉及相关的职能优点：节约审核时间缺点：可能有疏漏，审核准备时要充分考虑相关因素，审核过程中思路要清晰，审核组内部沟通要求高3.3审核方法第三十七页，共七十页。过程审核：以过程为中心进行一个过程要涉及多个部门、多个标准条款要求优点：完整、不易遗漏缺点：部门地点重复往返多，费事；对审核员要求高3.3审核方法第三十八页，共七十页。过程方法的审核思路：建立过程审核的观念，从过程的策划查到过程的实施及效果（PDCA逻辑结构）：过程的目标→过程的策划→过程的实施→测量监控→持续改进3.3审核方法第三十九页，共七十页。1、审核证据的定义(ISO90003.9.4):与审核准则有关的并且能够证实的记录、事实陈述或其他信息。

注:审核证据可以是定性或定量的。2、在审核中应分清什么可以作为审核证据,什么不可以作为审核证据。3.4审核证据第四十页，共七十页。可作审核证据存在的客观事实或情况部门负责人或当事人谈话（并有其他实物旁证）现行有效文件（审核当前的信息安全活动）和有效的信息安全记录不可作审核证据估计、猜想、分析、推断陪同人员或其他无关人员谈话、传闻过期的或作废的文件，擅自涂改的信息安全记录，未经证实的新闻报道3.4审核证据第四十一页，共七十页。案例：星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会，主要讨论一宗大订单的详细规范。在他去李飞办公室的路上，遇到了事故，受了重伤。李飞接到张三出事的消息时，张三已被送往医院做X光透视。李飞给医院打电话想问一下情况，但好象没有人知道张三的任何情况，很可能李飞打错了医院的电话。3.4审核证据第四十二页，共七十页。请问以下陈述是否正确：张三是一位工程师。张三要去见李飞。张三要去参加的会定在上午10点钟开。该事故发生在星际公司。张三被送到了医院做X光透视。李飞打电话询问的医院里没有人知道张三的任何事。李飞打错了医院的电话。3.4审核证据第四十三页，共七十页。审核证据的获得方法查阅文件和记录现场观察提问与交流实际测定3.4审核证据第四十四页，共七十页。提问的技巧封闭式：可用简单的“是”或“否”回答用以获取专门的信息有主动权，但信息量小开放式：答案需要解释或表达可获得较大的信息量被动，有时会浪费时间澄清式：用以获得更多的专门信息或确认已获得的信息，带有主观导向，不能经常用3.4审核证据第四十五页，共七十页。开放式提问的技巧：带主题的问题－－什么是如何做？扩展性的问题－－为什么、如何、怎样？讨论性的问题－－说出个人见解调查性的问题－－觉得怎样、有什么想法重复性的问题－－得到明确的答案假设性的问题－－如果…则…验证性的问题－－请拿出证据、在哪儿3.4审核证据第四十六页，共七十页。观察的技巧：是否符合正常作业所需的环境条件审核现场人员的工作状态是否符合信息安全规定要求资产、设备的状态过程的记录面谈人员的神态3.4审核证据第四十七页，共七十页。随时记录审核过程情况时间、地点访问、调查的对象见证人观察（表格、文件、记录、编写等）到的实施3.4审核证据第四十八页，共七十页。一、不合格项：未满足审核准则要求二、不合格项分类1、按性质分类a.体系性不合格b.实施性不合格c.效果性不合格2、按严重程度分类a.严重不合格b.一般不合格3.5不合格项报告第四十九页，共七十页。严重 －某个部门内，与之相关条款要求执行的普遍失效

－某个条款要求在体系内部完全缺失

－违反相关法律法规要求

－可导致重大信息安全即时事故或顾客投诉的事项－不执行一个以上所需要的体系要素（CH4-8任一条要求或ISMS方针和程序）－一般不符合项若持久稳固的存在，则可作为重大不符合项轻微

－信息安全管理体系的过程、程序或操作的轻微的问題

－偶然发生的不符合事项－如出现的记录不完整，或容易改正的个别缺陷观察项：不会对信息安全造成有意义的影响，可能有潜在影响的一种发现３、不符合性分类及判定3.5不合格项报告第五十页，共七十页。——不符合事实描述的要求：1.准确地描述观察到的事实，包括时间﹑地点﹑人物（用职务﹑职称而不用人名）﹑何种情况等。2.使其有重查性和可追溯性。3.简明精炼，抓住核心的不符合加以提炼。4.对统计数据要有分析和归纳，不要遗漏任何有益信息。5.观点﹑结论要从描述中自然流露，不要光写结论，不写事实。

3.5不合格项报告第五十一页，共七十页。——不符合事实例举：不好的描述：xx部门少数借阅记录有乱写乱画现象。好的描述：xx部门xx信息借阅登记薄在2007年9月18日的借阅记录上不能辨识借阅人和批准人。3.5不合格项报告第五十二页，共七十页。三、不合格报告1、核心内容a.不符合事实描述时间、地点、人物、细节……尽量具体；无关的内容不填写b.理由:哪一点做错了?c.不符合标准哪一条款?d.严重程度2、总要求清楚、正确、全面、简练3.5不合格项报告第五十三页，共七十页。3、应避免的词语——似乎好象……——总的说来……——曾经有人说过……4、用下一页的表格学员进行

“不符合项书写”5、分组进行“不符合项案例”分析3.5不合格项报告第五十四页，共七十页。受审核部门陪同人员内审员审核日期不合格事实的描述：不合格的理由：不符合程序的规定或ISO27001:2005标准的规定不合格性质□严重不合格项□一般不合格项内审员签名受审核部门负责人确认不合格原因及纠正措施制定者实施者纠正措施实施期限：月日跟踪验证情况内审员日期管理者代表批准日期××公司内部ISMS审核不合格报告报告编号：20000118－01013.5不合格项报告第五十五页，共七十页。5、判定原则就近不就远（从直接原因上找）就小不就大（慎判严重不合格）应对被审核部门有帮助（仅是从文件到文件，对部门提高信息安全管理水平帮助不大，可以不提）有利于被审核部门采取纠正措施（应考虑条款的正确性）按不合格的结果或事实找对应条款（不应按不合格事实去推测其可能的原因）3.5不合格项报告第五十六页，共七十页。一、末次会议的目的1、向受审核方领导介绍审核观察结果2、宣布审核结论3、提出下面的要求（跟踪、监督）4、结束现场审核二、末次会议的内容1、感谢2、重申审核的目的和范围3、讲清审核的局限方面4、提交不合格报告3.6末次会议第五十七页，共七十页。

5、澄清疑问6、提出采取纠正措施要求7、对本次审核作出总结8、宣读审核结论9、受审核方领导讲话三、末次会议的时间、地点及参加人员3.6末次会议第五十八页，共七十页。一、对不符合项从体系性、实施性和效果性来进行分析二、从不符合项发展的历史和趋势进行分析三、总结受审核部门信息安全管理工作的优点四、从部门的角度进行分析五、从过程或条款的角度进行分析3.7汇总分析第五十九页，共七十页。一、审核目的和范围二、审核组成员和受审核部门三、审核日期四、审核依据五、审核情况的概述六、不合格项分布表（不合格项报告作为附件）七、ISMS有效运行的结论性意见八、审核报告的分发清单3.8审核报告第六十页，共七十页。内审总结报告审核组长审核日期审核组员：审核目的：审核范围：审核依据：审核中发现的问题摘要：2006年8月16日至17日，我公司在会议室于上午9：00分召开首次会议后开始进行第一次内部信息安全体系审核。由公司内部质量审核员组成的审核组分别对xxxx部、xxxx部、…等进行了验证信息安全体系运行的有效性、适宜性、符合性为目的的内部审核。经过二天时间寻找出存在的一些问题，总计不合格项7项，xxxx部项，xxxx部项，…。下面对各个部门和岗位在审核中发现的问题进行汇总分析：xxxx部

xxxx部…编号：3.8审核报告第六十一页，共七十页。内审结论：通过这次内审情况来看，我公司整个体系已经初步建立并运行，但整个体系尚须不断的完善和改进。主要体现在如下方面：1、人员意识有待加强；2、实施贯彻的力度有待加强；3、对部分部门的资产识别还须细化；4、不断改进并细化管理流程；针对以上的问题，我们将从加大宣贯力度着手，不断提高员工信息安全意识；加强检查、监督的力度，从而保障公司的规定得到执行；继续更新资产调查清单，切实可行的将信息资产管理到位；通过内审、收集改进建议、结合公司的总体目标不断改进整个体系。审核组长：日期：管理者代表：日期：3.8审核报告第六十二页，共七十页。一、纠正措施的定义二、纠正措施的几个方面1、补救方面的——针对问题2、原因分析3、永久性的——防止再次发生4、确定纠正措施的期限4纠正措施及其跟踪第六十三页，共七十页。纠正措施的跟踪和验证时机：按纠正措施确定的时间实施者：内审员/审核组长/管理者代表