信息安全管理体系ISMS内审员培训

一培训目的一培训目的◆了解体系审核的基本概念◆掌握ISMS内部审核流程◆掌握ISMS内部审核方法与技巧二培训内容二培训内容◆审核概论◆审核策划与准备◆审核实施◆纠正及其跟踪1.1审核概论--有关审核术语与定义1.1审核概论--有关审核术语与定义◆审核--为获得审核证据并对其进行客观的评价，以确定满足经协商的准则的程度所进行的系统的、独立的并形成文件的过程。个)审核◆审核证据一-可多方查证的与经协商的准则有关的记录、事实陈述或其11.2审核概论--有关审核术语与定义◆审核结论-审核组在考虑了所有审核发现以后得出的审核结果。◆审核委托方-要求或请求审核的组织或个人。◆审核组--实施审核的一个人或一组人。1.2审核概论--有关审核术语与定义1.2审核概论--有关审核术语与定义的专业支持的人员。1.1.4审核概论—过程评价的基本问题第一方审核(内部)(外部)顾客(外部)顾客第三方审核(外部)认证/注册机构第一方审核--(通常)指的是组织内部的自我审查改进。第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。第三方审核--(通常)指的是认证机构对组织的审核。目目的>一般至少每年应覆盖ISMS所涉及的部门、过程一次；>IS0/IEC27001:2022标准>信息安全管理体系程序文件>信息安全策略和客户的信息安全管理体系要求2审核策划与准备—审核流程图2审核策划与准备—审核流程图审核策略与审核准备审核实施不符合项纠正及效果跟踪何查2审核策划与准备2审核策划与准备◆文件审核2.1明确审核决定2.1明确审核决定◆审核目的--确保信息安全管理体系建立、实施、运行、保持和改进活动的有效性与符合性◆审核范围--信息中心业务及物理边界本部8楼◆审核时间--待定◆审核方式--例如：建议采取集中式审核>审核员的资格—须参加信息管理体系内审员培训并获得“内审>审核组长—负责审核全过程及审核组管理工作。>审核员—在组长的审核安排下实施审核。2.3文件审核2.3文件审核>信息安全管理体系管理制度、办法、计划及指导书等；2.3文件审核2.3文件审核2.3编制审核计划要求需考虑2.3编制审核计划要求需考虑2.3内部审核计划2.3内部审核计划日期：2023年6月9日及法律法规要求；通过审核发现问题采取纠正预防和改进措施，以达到管理体系持续改进和有效本次审核涉及IS0/IBC27001:2022适用于公司的全部要素及本公司与产品有27001:用于数码电子产品液态硅胶、塑胶和皮革保护套的设计、制造与销售；尼龙编织手表带的设计、制造4)审核组长：张xx时间内审员IS027001:4.1/4.2/4.3/4.3/10.2/A.5.1/A.5.2//A.5.4/A5.5/A5IS027001:5.3/7.2/7.3/7.A.5.12/A.5.14/A.5.16/A.5.19//A.5.20/A.5.20/A.6.22/A.5.31/A.5.34/A.6.1/A.6.2/A.6.3/A.6.4/A.6.5/A.7.6/A.7.7/A.8.3/IS027001:5.3/6.1.2/6.1.3//.5.1/A.5.7/A.5.9/A.5.10/A.5.11/A.5.12/A.5.,12/A.14/A.5.15/A.5.16/A5.17/A.5.18/A.5.19/A.5.20/A.5A.5.23/A.5.24/A.5.25/A.5.26/A.5.27A/A5.28/A.5.29/A.5.3A.5.31/A.5.32/A.5.33/A.6.34/A.5.35/A.5.36/A.5.37/A.7.1.7.2/A.7,3/A.7.4/A.7.5/A.7.6/A.7.7/A.7.8/A.7.9/A.7.10/A7.11/A.7.12/A.7.13/A7.14/A.8.1/A.8.2/A.8.3/A.8.A.8.6/A.8.8/A.8.9/A.8.10/A.8.9/A.8.10/A.8.11/A.8.12/A.13/A.8.14/A.8.15/A.8.16/A.8.17/A.8.18/A.8.21/A.8.22/A.8.23/A.8.24/A.8.25/A8.26/A.8.27/A.8.28/A.8.29/A.8.30/A.8.31/A.8.32/A.8.33/2.3内部审核计划2.3内部审核计划6月14至15日2/A.5.12/A.5.13/A.5.15/A.5.18/A.5.33/A.7.3/A.7.7/A.8.3/A.8.5/A.8.11/A.8.19质量管理中心6月14至15日13/A.5.15/A.5.18/A.7.3/A.7.5/A.制造中心6月14至15日/A.5.13/A.5.15/A.5.18/A.5.31/A.5.32/A.7.3/A.7.58.3/A.8.5/A.8.11/A.8.19营销中心6月14至15日/A.5.12/A.5.13/A.5.15/A.5.18/A.5.19/A.5.20/A.5./A.7.3/A.7.5/A.7.7/A.8.3/A.8.5/A.8.11/A.8.19产品交付中心末次会议(向公司通报本次审核的不合格项并要求在两周内改善完毕；不能完成需要延时的需有正当理由。)受审核全体部门1.审核具体时间安排；2.受审部门；3.审核要素及审核员；4.首次、末次会议及审核小组内部会管代组长组长2.4审核检查表的作用2.4审核检查表的作用◆明确与审核目标有关的样本2.5编制审核检查表原则2.5编制审核检查表原则◆对照标准和ISMS文件编制2.5使用审核检查表原则2.5使用审核检查表原则2.5审核检查表举例2.5审核检查表举例响信息安全目标实现的风险?等和期望安全相关要求体系的范围明确管理范围?现管理体系范围和适用性2.5审核检查表举例2.5审核检查表举例资产清单1、获取组织的信息资产清单；2、检查信息资产清单是否至少1年更新1次?(检查更新记录)资产责任人责任人?息资产责任人是否与实际相符；抽查本部门员工对应的信息资产，与资产的允许使用员?等进行登记、签字，办公用电脑不能资产的归还文件中是否含有该条款)安全的删除相关电子资产?(查资产归还记录)3现场审核活动的实施3现场审核活动的实施◆汇总分析◆抽样合理(一到三个)◆重视控制结果3.2首次会议3.2首次会议◆人员介绍◆独立审核(部门审核)◆过程审核(按条款审核)3.3审核方法--顺向追踪取证3.3审核方法--顺向追踪取证◆优点费时(审核单项花费时间较长)。3.3审核方法--逆向追踪取证3.3审核方法--逆向追踪取证3.3审核方法--独立审核3.3审核方法--独立审核◆独立审核(部门审核)3.3审核方法一过程审核3.3审核方法一过程审核◆过程审核(部门审核)>以过程为中心；>一个过程要涉及多个部门、多个标准条款。3.4.1审核证据一证据获取原则3.4.1审核证据一证据获取原则3.4.2审核证据一提问技巧3.4.2审核证据一提问技巧◆现场或查阅过程提问交流3.4.3审核证据一提问技巧3.4.3审核证据一提问技巧贵公司(组织)是否有信息安全管理手册；贵公司(组织)是否有建立信息安全管理机构等。3.4.4审核证据—提问技巧3.4.4审核证据—提问技巧3.4.5审核证据一开放式提问技巧3.4.5审核证据一开放式提问技巧◆带主题问题--XX如何做?◆扩展性问题一为什么这样做，依据?◆重复性问题得到明确答案?3.4.6审核证据一提问技巧3.4.6审核证据一提问技巧3.4.7审核证据—案例13.4.7审核证据—案例1◆请问以上回答能否作为审核证据?理由?3.4.8审核证据—案例23.4.8审核证据—案例23.5不符合项报告3.5不符合项报告◆一般不符合项3.5.2不符合项判定3.5.2不符合项判定不符合项长期得不到改进(三次验证后仍未改进),即可列用职务表述),何种情况等。3.5.4不符合案例练习3.5.4不符合案例练习◆审核员在现场发现有密钥文件清单、账户申请记录等信息资产，但审核3.5.5不符合判定原则3.5.5不符合判定原则从直接原因上找(就近不就远);慎判严重不符合(就小不就大);3.5.6不符合模版3.5.6不符合模版编号SEI-IA-31页数廖文鼎审核陪同抽查部分工程师如工号A1031的电子由箱密码未定期更新，不符合IS0270审核员：廖文鼎日期：2023-6-15结合部门员工的陈述，由邮箱都是自己用没有给别人用过，所以没1定期更改密码，同时加强密码的难度，离开位置时可设置自动锁屏。定审核员：廖文鼎日期：2022-6-213.6末次会议目的3.6末次会议目的3.6.3审核报告模版3.6.3审核报告模版页数：1/1审核时间2023年6月14日-25日审核成员审核目的审核范围与产品有关的所有部门造与销售；尼龙编织手表带的设计、制造与销售相关活动地址范围：XX市X工业区1)IS0/IEC27001:2022、法律法规要求、合同要求2)信息安全管理体系文件3)公司信息安全要求3.6.3审核报告模版3.6.3审核报告模版通过这次内审情况来看，我公司整个体系已经初步建立并运行，但整个体系尚须不断的完善和改进。主要体现在如下方1、人员意识有