ISMS【信息安全系列培训】【内部审核】课件

信息安全系列培训

-

内部审核主要内容审核基本概念审核过程审核策划审核实施审核报告审核跟踪基本概念为什么进行审核ISO/IEC27001:2005:组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否：符合本标准和相关法律法规的要求；符合已确定的信息安全要求；得到有效地实施和保持；按预期执行。ISO9001:2008组织应按策划的时间间隔进行内部审核，以确定质量管理体系是否:符合策划的安排(见7.1)、本标准的要求以及组织所确定的质量管理体系的要求;得到有效实施与保持。AgreeDisagree为什么审核向管理层展示观点向管理层强调风险验证业务有效性识别培训需求发现不符合进行检查推动改进的工具获得证书使相关方满意审核的定义为获得审核证据，并对其进行客观评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。ISO19001Firstparty/internalaudit

第一方/内部审核SecondParty/externalaudit

第二方/外部审核ThirdParty/externalaudit

第三方/外部审核什么是审核准则Organisation’sprocessesandoperations组织的流程和运营Organisation’smanagementmanual组织的管理手册Workinstructions工作指导Specifications规范Systemstandard系统标准Statutory/Legislativerequirements法律需求Codesofpractice

最佳实践Procedures程序什么是审核证据通过观察、测量或实验获得的，并且能够被验证的关于管理体系要素的实施和运行的定性或定量的信息、记录或陈述。特点：可陈述的事实；可验证的事实；不含有推测和猜想。审核发现将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价结果，这种结果是依据审核准则，在审核证据的基础上做出的，审核发现是编制审核报告的基础。审核发现分类Noteworthyeffort值得嘉奖项Observation观察项Non-conformity不符合项什么是不符合？不符合是指不能满足要求ArequirementAfailingEvidenceISO9000:2000,clause3.6.2什么是观察项?潜在问题风险无效率无效力错误的应用最佳实践错误理解缺少沟通什么是值得嘉奖项？采用最佳实践

证明持续改进

高层承诺动机体系优化审核案例（1）理赔部的Robin收到了一个从admin@来的email。这个email有一个免费下载一个搜索工具。Robin点击这个连接，他的计算机被毁坏了。立刻填了一个事故报告表并发给了Paul–系统管理员要求解释和快速解决方案。Paul否认曾送过那个email，但是帮助Robin格式化了他的计算机系统的硬盘并根据《保险备份恢复程序》的要求恢复了他的数据有没有不符合事项？审核案例（2）一个星期之后，Robin又收到了一个发自admin@邮件，这一次要求他的邮件口令字。Robin很生气，与Paul发生了争吵并要求对此类问题有个解决方案。他发出一个事故报告给Paul并转发这个邮件给他，要求措施。Paul回答说“对不起”并保证调查这个问题Paul于是删除了邮件，因为此类邮件问题好像经常发生Isthisanonconformity?这是不符合事项吗？审核案例（3）审核员在审核数据库控制的时候发现某些在工作时间所进行的变更需要通过一系列的处理过程，而在非工作时间进行的变更却只需要进行很少的几个步骤。审核案例（4）在物品接收检验部门，稽核员注意到检验员正在供货商出货计算机系统上输入其员工代号，以作为物品接收检验已满意完成的证据。但是该员工的代号却能在内部的电话号码表中轻易得知。审核案例（5）审核日期2001年11月14日。当审查组织的管理阶层审查会议纪录时，稽核员注意到最后的会议纪录日期是2001年5月15日。现行的管制性公司程序复本AP.01第3版发行给稽核员，该程序上要求每三个月举行管理阶层审查会议。信息安全经理说明是因为管理处长在上个月已经出国，而他们想要在稽核完成后立即举行一次管理阶层审查会议。系统方法将相互关联的过程作为体系来看待、理解和管理，有助于组织提高实现目标的有效性和效率。链条效应审核的独立性ISO9001:2008条款8.2.2组织应策划审核方案，策划时应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果。应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。ISO/IEC27001:2005条款6应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。审核的原则与审核员有关的原则道德行为公正表达职业素养与审核活动有关的原则独立性基于证据的方法审核员在体系审核中，审核员的“质量”将直接影响到管理体系的审核质量，进而影响到审核机构的信誉。审核的一致性，是体系审核活动的最基本的要求。它是指不同的审核员在相同的条件下，其审核结果应该是基本相同的。为了达到这一目的，应该对审核员提出相应的要求，以确保审核工作的质量。概要审核员审核组长全面负责各阶段的审核工作；协助选择审核组的成员；制定审核计划、起草工作文件、给审核组成员布置工作；代表审核组与受审核方领导接触；及时向受审核方报告关键性的不合格（不符合）情况；报告审核过程中遇到的重大障碍；审核组长有权对审核工作的开展和审核观察结果作出最后的决定；清晰、明确地报告审核结果。组长职责审核员在确定的审核范围内进行工作；收集和分析与受审核的管理体系有关并足以对其下结论的证据；将观察结果整理成书面资料；报告审核结果；验证由审核结果导致的纠正措施的有效性（当委托方提出要求时）；收存、保管和呈送与审核有关的文件；配合和支持审核组长的工作。组员职责审核过程审核过程PLANCONDUCTREPORTFOLLOW-UP审核过程–策划审核计划审核计划包括年度审核计划和审核活动计划（审核大纲）。年度审核计划是审核策划的始端也是总纲，审核活动计划则是按照年度审核计划安排具体实施。审核计划的内容可包括：审核目的、范围、审核准则、审核组成员及分工、主要审核活动的时间安排、首末次会议时间等。组织年度审核计划应以文件形式颁发，审核活动计划应有审核组长签名和主管领导的批准。年度审核计划审核活动计划跟踪审核计划临时性审核计划成立审核小组根据审核活动目的、范围、部门、过程以及审核日程安排，选定审核组长和成员，建立审核小组。小组成立后，应明确各成员分工和要求，这是审核组长的责任。审核组长应注意“审核员不能审核自己的工作”的原则。审核员按分配任务做好各项准备工作。主要有：熟悉必要的文件和程序；根据要求编制检查表；考虑前次审核结果应跟踪的项目。小组成立后通常应举行审核组会议，以确保审核前准备工作全部完成，每个审核员对审核任务完全了解。审核计划表COMPANY:LOCATION:LOCATION:AUDITCRITERIA:SCOPE:AUDITDATES:2nd-5thDecember2005AUDITTEAMFSmith LeadAuditorAanotherTimeAuditorActivity10:15OpeningMeetingwithSeniorManagementtoexplainthescopeoftheauditandthemethodofreporting.…..…..…….审核检查表ACTIVITY:REFERENCES:DATE:DATE:ItemRequirement/questionResp/Ref.Findings/

Helpswithpreparation帮助准备Focusestheauditor审核员关注Ensuresissuesarenotforgotten确问题不被忘记Timecontrol时间控制Assistswithreporting报告AidsConsistency目标坚持不要思路狭窄,管理审核并不是检查表审核检查表的目的检查表参考(1)类别序号审核条目不符合项发现个人使用设备1检查是否安装了未授权软件？对照《授权软件清单》进行检查。

2检查病毒软件版本、病毒库是否最新？应小于3天。

3检查操作系统补丁是否最新？小于1个月。

4检查本地用户口令是否设置,强度是否符合公司管理规定？8位，大小写。

5检查屏保时间间隔是否<=5分钟，并设置了口令恢复保护？

6检查下班是否关机？

7检查下班后桌面是否无“机密”及其它敏感资料？

8检查下班后文件柜是否锁闭？

9检查是否删除了共享（默认及非默认）？机器上有无共享目录？

检查表参考(2)类别序号审查条目不符合项发现备注人事管理1询问人力资源管理流程

2查看重要岗位是否做背景调查

3查看重要岗位背景调查

重要岗位背景调查表4查看例行背景调查表

例行背景调查表5查看新员工录用流程流转单，权限的申请设置

录用批准书6查看人员离职流转单，权限的取消设置

员工离职申请书7查看几个最新离职人员名单，并记录

8入社时公司对长期客户员工交代过哪些必须注意事项

长期客户员工须知9长期客户员工入社时作过何种形式的承诺

入社承诺书10入社时公司对外借人员交代过哪些必须注意事项

外借人员实习生员工须知11外借人员入社时作过何种形式的承诺

入社承诺书12查看岗位变更申请书

岗位变更申请书13查看长期出差申请书

长期出差申请书14查看长期请假申请书

长期请假申请书15查看有无工资变更申请

工资变更确认表16保洁担当有没有按照要求签署劳动合同

劳动合同中保密条款17抽查员工的1-3份劳动合同

劳动合同中保密条款18查看信息安全年度培训计划

信息安全全年度培训计划表19查看对新员工培训计划

20查看培训记录/（签到表，一览表）

是否有被培训人的签字却确认21查看已经发生的信息安全奖惩记录

审核过程–实施审核审核的两大阶段文件审核现场审核首次会议审核活动审核报告末次会议首次会议首次会议应该是正式的，并保存出席人员的纪录。会议应该有审核组长主持。适当时，首次会议应该包括以下内容：介绍与会者，包括概述其职责；确认审核目的、范围和准则；与受审核方确认审核日程以及相关的其他安排，例如：末此会议的日期和时间，审核组和受审放管理层之间的临时会议以及任何新的变动；实施符合所用的方法和程序，包括告知审核方证据只是给可获得信息的样本，因此在审核中存在不确定的因素；确认审核组和受审核方之间的正式沟通渠道；确认审核所用的语言；确认在审核中将及时向受审核方通报审核进展情况；确认已具备审核组所需的资源和设施；确认有关保密事宜；确认审核工作时的安全事项、应急和安全程序；确认向导的安排、作用和身份；报告的方法，包括不符合的分级；有关审核可能被终止的条件的信息；关于审核的实施或结论的申诉系统的信息。审核活动信息的收集方法面谈对活动的观察文件评审审核的方式抽样审核过程-报告编写你的审核发现根据风险和公司目标排序发现决定公布那些不符合项/观察项/值得努力项独立完成报告编写（应包括要求、不满足、证据）审核报告格式

INTERNALAUDIT–FINDINGREPORTDate:Company/Department: RefNumber:Areaunderreview: Focus/RiskArea:Category:Non-conformity/Observation/Noteworthyeffort(deleteasneeded)Finding:Action: CloseDate:Auditor:审核报告分析（1）财务系统-新中大访问权限和密码-应明确系统的访问权限分配和加强密码强度A.11.2.3风险评估-需要对网络的评估符合实际的情况，例如：应对网络安全设备的硬件和策略的变更的风险进行识别并符合风险要求；评估的风险应有相应的措施才能确认风险已经降低到可接受的程度。4.2.1加强开发库与受控库的同步管理。并提高开发库的基线管理。A12.5.1应明确软件安装基线及对正版软件使用的要求和监督检查。A15.1.2内部网络维护的过程中需要加强遵照信息安全事故的管理规定进行处理。A13应加强对网络、资源的安全和使用状况进行数据分析和统计，并提供容量管理方案和计划；丰富应急方案的内容并进行和参加相应的演练。A14应加强对基础架构、系统、网络、应用的变更分类原则和标准。

防火墙策略应加强可审计性。并提供相应的策略列表A10.6加强第三方服务交付的管理，把实际为我们提供服务的第三方列入《第三方服务汇总表》，并需要完善相应的第三方工作记录单。A10.2应该将管理体系整合纳入公司体系建设工作计划,体系文件需要整合,内部组织和管理过程需要整合.4公司ERP系统中的部分资产信息不完整,资产信息有缺项.应该有计划实施资产配置审计,确保ERP中资产信息的完整和准确.A7审核报告分析（2）标准条款A10.1.2要求“对信息处理设施和系统的变更应加以控制。”

防火墙的安全控制规则在7月2日发生了变更，但未能提供相关的防火墙变更控制记录。未能满足标准的要求。A10.1.2《ISMS-L2-信息系统运维管理规定》条款2.6要求“组织与外部网络之间默认禁止所有端口和协议，根据需要经申请后开通相应端口”

但防火墙上却启用了”ANYTOANY“规则（规则号105）。

违背了公司所设定的”默认禁止“的规定。A11.1.1标准条款A11.2.2要求“应限制和控制特殊权限的分配及使用。”

组织内普通员工均拥有客户端PC的管理员权限，存在普通员工利用管理员管线修改安全规则的风险，如修改禁用USB端口的安全策略的风险。未能满足“应限制和控制特殊权限的分配及使用”的要求。A11.2.2标准条款A10.3.1要求”资源的使用应加以监视、调整，并应作出对于未来容量要求的预测，以确保拥有所需的系统性能。“

但组织没有对容量的监视要求以及监视结果的记录形成规定。A10.3.1末次会议审核组长主持清楚的解释审核发现

将审核发现与此同时公司业务目标相联系，并排序风险审核过程–审核跟踪什么是审核跟踪?验证纠正措施的实施和有效性确认根本原因被描述,不仅仅找到直接问题Nonconformities失误原因模式LACKOFCONTROLBASIC

CAUSESIMMEDIATE

CAUSESINCIDENTSLOSSInadequate:-Policy-System-ComplianceInadequateorganisationfactors:-Human-Process-HardwareSubstandard:-Acts-ConditionsUndesiredevents:-Defects-Deviations-Non-conformance-Customer-Possibilities-Product-ReputationLACKOFCONTROL缺少控制不充分-策略-系统-符合性BASIC

CAUSES基本原因不充分的组织因素

人力-

流程-硬件IMMEDIATE

CAUSES直接原因不合格-行为-条件INCIDENTS事故不期望的事件-过失-背离不符合LOSS损失-客户-

可能性-

产品-

名誉不符合项纠正措施案例（1）不符合项内容描述原因分析纠正措施ISO/IEC27001:2005条款A11.3.1规定“应要求用户在选择及使用口令时，遵循良好的安全习惯。”但审核时发现，员工张三/李四的计算机登录口令分别为6个1和6个a。未能满足标准要求的“遵循良好安全习惯”的要求。员工安全意识不强。不符合项纠正措施案例（2）不符合项内容描述原因分析纠正措施ISO/IEC27001:2005条款A11.3.1规定“应要求用户在选择及使用口令时，遵循良好的安全习惯。”但审核时发现，员工张三/李四的计算机登录口令分别为6个1和6个a。未能满足标准要求的“遵循良好安全习惯”的要求。员工安全意识不强。对员工是否遵循公司有关口令规定，缺乏定期及不定期检查的规定和流程不符合项纠正措施案例（3）不符合项内容描述原因分析纠正措施ISO/IEC2