ISO270012013信息技术安全技术信息安全管理体系内审员培训教材

内审员培训班ISO27001:2013信息技术

安全技术信息安全管理体系要求【温馨提示】-请将手机调到静音或关机状态-请勿任意走动、交谈、接听电话-保持教室宁静并按照座位就坐-请准时到课，不要随便走出-感谢您的配合课程安排第一章ISO27001:2013信息技术安全技术信息安全管理体系

要求第二章ISO27001:2013信息安全管理体系内审知识第三章内审员职责和素养第四章内审员审核技巧第五章考试与答辩穿插游戏和练习第一章ISO27001:2013信息技术安全技术信息安全管理体系

要求引言6.规划7.支持8.运行9.绩效评价10.改进1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导0.引言0.1总则0.2与其他管理体系标准的兼容性

本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。0.引言0.1总则0.2与其他管理体系标准的兼容性

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。

ISO/IEC27000参考信息安全管理体系标准族(包括ISO/IEC27003[2]、ISO/IEC27004[3]、ISO/IEC27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。0.引言0.1总则0.2与其他管理体系标准的兼容性

本标准应用了ISO/IEC导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。

附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。1.范围

本标准规定了在组织环境下建立、实施、运行、保持和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。组织声称符合本标准时,对于第4章到第10章的要求不能删减。2.规范性引用文件

下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改适用于本标准。3.术语和定义

ISO/IEC27000中界定的术语和定义适用于本文件。4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定信息安全管理体系范围4.4信息安全管理体系组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部情况。注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内容。4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定信息安全管理体系范围4.4信息安全管理体系组织应确定:a信息安全管理体系相关方;b这些相关方的信息安全要求。注:相关方的要求可包括法律法规要求和合同义务。4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定信息安全管理体系范围4.4信息安全管理体系组织应确定信息安全管理体系的边界及其适用性以建立其范围。在确定范围时,组织应考虑:a4.1中提到的外部和内部情况;b4.2中提到的要求;c组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。该范围应形成文件化信息并可用。4.组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定信息安全管理体系范围4.4信息安全管理体系

组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。5领导5.1领导和承诺5.2方针5.3组织的角色,职责和权限最高管理者应通过以下方式证明信息安全管理体系的领导和承诺:a确保信息安全方针和信息安全目标已建立,并与组织战略方向一致;b确保将信息安全管理体系要求整合到组织过程中;c确保信息安全管理体系所需资源可用;d传达有效的信息安全管理及符合信息安全管理体系要求的重要性;e确保信息安全管理体系达到预期结果;f指导并支持相关人员为信息安全管理体系有效性做出贡献;g促进持续改进;h支持其他相关管理者角色,在其职责范围内展现领导。5领导5.1领导和承诺5.2方针5.3组织的角色,职责和权限最高管理者应建立信息安全方针,方针应:a与组织意图相适宜;b包括信息安全目标(见6.2或为信息安全目标的设定提供框架;c包括对满足适用的信息安全要求的承诺;d包括持续改进信息安全管理体系的承诺。信息安全方针应:e形成文件化信息并可用;f在组织内得到沟通;g适当时,对相关方可用。5领导5.1领导和承诺5.2方针5.3组织的角色,职责和权限最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。最高管理者应分配职责和权限,以:a确保信息安全管理体系符合本标准的要求;b向最高管理者报告信息安全管理体系绩效。注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划6.1.1总则当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:a确保信息安全管理体系能实现预期结果;b预防或减少意外的影响;c实现持续改进。组织应规划:d应对这些风险和机会的措施;e如何:1将这些措施整合到信息安全管理体系过程中,并予以实施;2评价这些措施的有效性。6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划6.1.2信息安全风险评估组织应定义并应用信息安全风险评估过程,以:a建立和维护信息安全风险准则,包括:1风险接受准则;2信息安全风险评估实施准则。b确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;c识别信息安全风险:1应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;2识别风险责任人;6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划6.1.2信息安全风险评估d分析信息安全风险:1评估6.1.2c1中所识别的风险发生后,可能导致的潜在后果;2评估6.1.2c1中所识别的风险实际发生的可能性;3确定风险级别;e评价信息安全风险:1将风险分析结果与6.1.2a中建立的风险准则进行比较;2排列已分析风险的优先顺序,以便于风险处置。组织应保留信息安全风险评估过程的文件化信息。6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划6.1.3信息安全风险处置组织应定义并应用信息安全风险处置过程,以:a在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;b确定实施已选的信息安全风险处置选项所必需的全部控制措施;注:组织可根据需要设计控制措施,或从任何来源识别控制措施。c将6.1.3b确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏必要的控制措施;注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划6.1.3信息安全风险处置d制定适用性声明,包含必要的控制措施(见6.1.3b和c及其选择的合理性说明(无论该控制措施是否已实施,以及对附录A控制措施删减的合理性说明;e制定信息安全风险处置计划;f获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接受。组织应保留信息安全风险处置过程的文件化信息。注:本标准中的信息安全风险评估和处置过程与ISO31000[5]中给出的原则和通用指南6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划组织应在相关职能和层次上建立信息安全目标。信息安全目标应:a与信息安全方针一致;b可测量（如可行）;c考虑适用的信息安全要求,以及风险评估和风险处置的结果;d得到沟通;e在适当时更新。组织应保留信息安全目标的文件化信息。6.规划6.1应对风险和机会的措施6.2信息安全目标和实现规划在规划如何实现信息安全目标时,组织应确定:f要做什么;g需要什么资源;h由谁负责;i什么时候完成;j如何评价结果。7.支持7.1资源7.2能力

组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力组织应:a确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能力;b确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d保留适当的文件化信息作为能力的证据。注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力在组织控制下工作的人员应了解:a信息安全方针;b其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c不符合信息安全管理体系要求带来的影响。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:a沟通内容;b沟通时间;c沟通对象;d谁应负责沟通;e影响沟通的过程。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力7.5.1总则组织的信息安全管理体系应包括:a本标准要求的文件化信息;b组织为有效实施信息安全管理体系所确定的必要的文件化信息。注:不同组织的信息安全管理体系文件化信息的详略程度取决于:

1组织的规模及其活动、过程、产品和服务的类型;

2过程的复杂性及其相互作用;

3人员的能力。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力7.5.2创建和更新创建和更新文件化信息时,组织应确保适当的:a标识和描述(例如标题、日期、作者或编号;b格式(例如语言、软件版本、图表和介质(例如纸质、电子介质;c对适宜性和充分性的评审和批准。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力7.5.3文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:a在需要的地点和时间,是可用和适宜的;b得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等。为控制文件化信息,适用时,组织应开展以下活动:c分发,访问,检索和使用;d存储和保护,包括保持可读性;e控制变更(例如版本控制;f保留和处置。7.3意识7.4沟通7.5文件化信息7.支持7.1资源7.2能力组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。注:访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。7.3意识7.4沟通7.5文件化信息8.运行8.1运行规划和控制8.2信息安全风险评估组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。组织应保持文件化信息达到必要的程度,以确信过程按计划得到执行。组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。组织应确保外包过程得到确定和控制。8.3信息安全风险处置8.运行8.1运行规划和控制8.2信息安全风险评估组织应考虑6.1.2a建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。组织应保留信息安全风险评估结果的文件化信息。8.3信息安全风险处置8.运行8.1运行规划和控制8.2信息安全风险评估组织应实施信息安全风险处置计划。组织应保留信息安全风险处置结果的文件化信息。8.3信息安全风险处置9.绩效评价9.1监视、测量、分析和评价9.2内部审核组织应评价信息安全绩效和信息安全管理体系的有效性。组织应确定:a需要被监视和测量的内容,包括信息安全过程和控制措施;b监视、测量、分析和评价的方法,适用时,以确保得到有效的结果。注:所选的方法宜产生可比较和可再现的有效结果。c何时应执行监视和测量;d谁应监视和测量;e何时应分析和评价监视和测量的结果;f谁应分析和评价这些结果。组织应保留适当的文件化信息作为监视和测量结果的证据。9.3管理评审9.绩效评价9.1监视、测量、分析和评价9.2内部审核组织应按计划的时间间隔进行内部审核,提供信息以确定信息安全管理体系是否:a符合1组织自身对信息安全管理体系的要求;2本标准的要求。b得到有效实施和保持。9.3管理评审9.绩效评价9.1监视、测量、分析和评价9.2内部审核组织应:c规划、建立、实施和保持审核方案(一个或多个,包括审核频次、方法、职责、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果;d确定每次审核的审核准则和范围;e选择审核员,实施审核,确保审核过程的客观性和公正性;f确保将审核结果报告至相关管理者;g保留文件化信息作为审核方案和审核结果的证据。9.3管理评审9.绩效评价9.1监视、测量、分析和评价9.2内部审核最高管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。管理评审应考虑:a以往管理评审要求采取措施的状态;b与信息安全管理体系相关的外部和内部情况的变化;c信息安全绩效有关的反馈,包括以下方面的趋势:

1不符合和纠正措施;

2监视和测量结果;

3审核结果;

4信息安全目标完成情况;d相关方反馈;e风险评估结果及风险处置计划的状态;f持续改进的机会。9.3管理评审9.绩效评价9.1监视、测量、分析和评价9.2内部审核管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。组织应保留文件化信息作为管理评审结果的证据。9.3管理评审10.改进10.1不符合和纠正措施10.2持续改进当发生不符合时,组织应:a对不符合做出反应,适用时:

1采取措施控制并纠正不符合;

2处理后果;10.改进10.1不符合和纠正措施10.2持续改进b通过以下方法,评价采取消除不符合原因的措施的需求,防止不符合再发生,或在其他地方发生:

1评审不符合;

2确定不符合的原因;

3确定类似的不符合是否存在,或可能发生;c实施需要的措施;d评审所采取的纠正措施的有效性;e必要时,对信息安全管理体系进行变更。纠正措施应与所遇到的不符合的影响程度相适应。10.改进10.1不符合和纠正措施10.2持续改进组织应保留文件化信息作为以下方面的证据:f不符合的性质及所采取的后续措施;g纠正措施的结果。10.改进10.1不符合和纠正措施10.2持续改进组织应持续改进信息安全管理体系的适宜性、充分性和有效性。第二章ISO27001信息安全管理体系内审知识一、内部审核概述二、内部信息安全管理体系审核准备三、实施审核的步骤四、纠正措施一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划审核：为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划审核准则：用于与客观证据进行比较的一组方针、程序或要求。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划审核证据：与审核准则有关的并能够证实的记录、事实陈述或其他信息。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划审核发现：将收集到的审核证据对照审核准则进行评价的结果。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划审核结论：在考虑了审核目标和所有审核发现后得出的审核结果。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划A.内审B.外审第一方审核第二方审核第三方审核一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划1依据信息安全管理体系要求来评价组织自身的信息安全管理体系；2验证组织自身的信息安全管理体系是否持续满足规定的要求并得到有效运行；3作为一种重要的管理手段和自我改进的机制，及时发现问题,采取纠正或预防措施，使管理体系不断完善，持续改进;4在外部审核前作好准备；5内部沟通。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划1领导重视是关键；2管理者代表要亲自抓内审工作；3内审的具体工作最好由一个职能部门来管理；4要组建一支合格的内审员队伍；5要有一套正规的程序，完善的办法。一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划1审核准备：约占40%的工作量；2审核实施：约占40%的工作量；3审核报告：约占10%的工作量；4跟踪验证：约占10%的工作量；一、内部审核概述1、审核的定义3、体系审核目的2、审核的分类5、审核四个步骤4、审核的策划二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知目的：性质：范围：依据：审核组：审核期间：审核日程安排二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知例：内审计划目的：验证本公司信息安全管理体系是否符合ISO27001：2013标准的要求，是否得到了有效的实施和保持，是否具备申请认证的条件；性质：例行的内部信息安全管理体系审核；范围：信息安全管理体系所覆盖的所有部门和场所；依据：信息安全管理体系要求、公司信息安全管理体系文件、相关法律法规及要求，相关方的要求；审核组：组长：孙小明；组员：杨云飞、赵强审核期间：2020年09月16日二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知例：内审计划

ISO14001:2015内审员培训－59－二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知管理者代表任命审核组长，审核组长根据需要选定审核员，组成审核组；选择审核组长时主要考虑：—资格、业务范围、工作经验、组织能力选择审核员时主要考虑：—资格、业务范围、专业知识、协调能力、个人素质二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知重点是与受审核部门信息安全管理活动有关的程序文件、作业指导书和规定等；审阅有关文件并作好审阅记录—受审核部门自身中心工作的主要内容—与其他部门的接口—对整个组织各部门都通用的文件（如手册和有关程序）—外来标准（如相关法律法规和其他要求）二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知1检查表的作用2检查表的设计二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知提示和备忘明确与受审核目标有关的样本使审核程序规范化可使审核目标始终保持明确，不致分散注意力保持审核进度作为审核记录存档1检查表的作用2检查表的设计二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知对照标准、手册和程序的要求；选择典型的信息安全管理问题；结合受审核部门的特点；抽样要具有代表性，样本量一般3~4个，最多12个；应具有可操作性（审核的问题内容、审核方法、抽样数量等）；按部门进行审核时，要包括涉及的要素（主要职责要素、相关职责要素、通用职责要素）。二、内部信息安全管理体系审核准备1制订审核方案2组成审核组3文件审核4编制检查表5审核通知1在审核前3~5天与受审核部门负责人接触，以确定：—具体的审核时间—受审核部门的接待人员、陪同人员2集中式内审，应在审核前发出书面通知。三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告1参加会议人员：受审核部门负责人、审核组成员、记录人员2会议议程：—向受审核方介绍审核组成员—重申审核范围和目的—简要介绍审核实施可采用的方法和程序—在审核组和受审核方之间建立正式联系—确认审核组所需的资源和设施—确认末次会议时间—澄清计划中不明确的内容三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告现场审核需注意之处：1审核组长要控制审核的全过程—控制审核计划—控制审核进度—控制审核气氛—控制客观性—控制纪律—控制审核结果三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告2通过询问、查看记录、观察等方式收集客观证据；3要相信样本；4选择样本要有代表性，应进行随机抽样；5要依靠检查表，若要偏离检查表，必须小心谨慎；6要从问题的各种表现形式去寻找客观证据；7当发现不合格时，要调查研究到必要的深度；8要与受审核方共同确认事实；9要始终保持客观、公正、有礼貌。三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告审核的线路和方法1按照手册中描述的要素逐个进行—不会遗漏也不会混淆—不容易发现相关问题2以部门为单位进行审核—容易操作—缺乏关联性三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告3以信息安全管理项目为主线进行—这种审核方法以某些信息安全管理项目作为审核线索，贯穿全部体系要素。—这种审核方法通常又分为正向和逆向两种审核思路三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告正向审核思路如：选定某一信息安全管理项目，可检查①该信息安全管理项目是否已被识别出来，是如何被识别和评价的？②有无对此信息安全管理项目建立目标、指标和管理方案？③此项管理职责是否明确、落实，相关人员是否接受了培训？④此信息安全管理相关的运行控制程序是否文件化，并培训相关人员，运行记录情况？⑤是否信息安全管理实施了监测，监测结果如何？⑥内审对此信息安全管理的审核结果如何，有无相关不符合项，如何纠正，纠正的结果？⑦管理评审对相关问题的评论和结论？逆向审核正好和正向思路相反。三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告不合格的定义和类型1定义：未满足要求—法律、法规及相关方要求—信息安全管理标准—手册、程序文件、信息安全管理计划、合同等2类型：体系性不合格、实施性不合格、效果性不合格3程度：严重、一般、观察项三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告不合格报告的内容1受审核部门及负责人姓名2审核员姓名3审核依据4不合格事实描述5不合格类型和程度6纠正措施计划及完成日期7纠正措施完成情况及验证三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告写好不合格报告是关键1不合格事实的描述应力求具体：时间、地点、发现的现象及关键细节，如文件记录编号、数量、设备名称等，要注意精简扼要；2违反标准或手册、程序的哪个具体条款应力求判断确切；3末次会议之前，请受审部门负责人确认不合格事实（签字确认）。三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告1按审核中列出的不合格项列出矩阵表—分析条文要求、法律法规在组织内运行的情况—分析某个部门在信息安全管理体系运行中的情况2综合评价信息—法律、法规和其他要求的遵守情况—信息安全管理的控制；方针、目标指标和管理方案的实施情况；运行控制文件、作业指导书的执行情况—自我完善机制及持续改善情况—信息安全管理投诉处理情况—领导、员工的信息安全管理意识三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告3通常管理者代表参与汇总分析4审核结论—信息安全管理体系是符合标准要求的—信息安全管理体系已得到有效地实施和保持—信息安全管理体系运行中还存在一些问题，仍需要进一步改进—强调审核是抽样进行的三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告1由内审组长主持2参加者应签到，会议应有记录并保存3主要议程—报告审核结果—向最高管理者、管理层和有关部门宣读不合格报告及审核中的所有发现—要求各责任部门按期实施纠正措施—请最高管理者或管理者代表提出要求三、实施审核的步骤1召开首次会议2进行现场审核3不合格报告4审核结果5末次会议6审核报告1审核报告应包括下列内容—审核目的和范围—审核组成员和受审部门名称及其负责人—审核日期—审核依据—不合格项的观察结果（全部不合格报告附后）—信息安全管理体系运行有效性的结论性意见—审核报告的分发清单2审核报告应由审核组长编写，管理者代表审批后分发至各有关领导和部门四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证—内审的目的在于发现信息安全管理体系的问题，查出原因，采取措施加以消除，以免再次发生类似的不合格从而达到持续改进的目的—最高管理者、管理者代表和审核组要狠抓纠正措施的有效实施四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证—受审核部门负责人应调查造成不合格的原因—应规定所采取纠正措施的完成期限—审核员可参与认可纠正措施四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证—一般规定纠正措施的实施期限为7天、15天—不能如期完成的，应向最高管理者或管理者代表报告，经批准后通知负责部门修改纠正措施计划—最高管理者、管理者代表负责协调纠正措施实施中的重大问题四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证—审核组要经常过问纠正措施的完成情况—纠正措施完成后，审核员或被指定人应进行验证：

⑴计划是否按时完成

⑵计划中的各项措施是否均完成

⑶完成后的效果如何

⑷如引起相关文件更改，是否按要求对相关文件进行了更改

⑸经验证确已完成后，由验证人签字（本项不符合宣布关闭）四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证对观察项的跟踪—观察项同样应使受审核部门引起重视，调查潜在不合格原因，采取预防措施—观察项同样需要跟踪验证—如为明显的潜在不合格，而验证结果发现受审核方又不采取任何措施，可根据情况开出不合格报告四、纠正措施1重要性2纠正措施要求3.施计划的实施4.跟踪验证所有的纠正措施完成情况，都应向最高管理者和管理层汇报第三章内审员职责和素养一.内审员的职责二.内审员的素养一、内审员的职责1.审核组长职责2.内审员的职责全权负责审核所有阶段的工作对审核工作的开展和审核结果作最后决定协助选择审核组的其他成员制订审核计划代表审核组同受审核方的管理者接触提交审核报告一、内审员的职责1.审核组长职责2.内审员的职责遵守相应的审核要求有效地策划和履行被赋予的职责将观察结果形成文件报告审核结果验证纠正措施的有效性配合并支持审核组长的工作二、内审员的素养1.应具备的能力2.应具备的知识3.道德和素养1.合格审核员应具备的能力⑴具体工作能力—从事审核准备工作的能力—从事现场审核的能力—从事跟踪和监督的能力⑵基本能力—交流的能力—合作的能力—分析判断的能力—独立工作的能力—应变的能力—善于学习的能力二、内审员的素养1.应具备的能力2.应具备的知识3.道德和素养2.合格审核员应具备的知识⑴法律、法规、规章等方面的知识⑵标准和指南⑶审核工作的一些国际惯例和习惯做法⑷专业知识二、内审员的素养1.应具备的能力2.应具备的知识3.道德和素养