信息安全管理体系审核检查表.docx

《信息安全管理体系审核检查表.docx》由会员分享，可在线阅读，更多相关《信息安全管理体系审核检查表.docx（100页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系审核指南标准要求强制性ISMS文件 强制性ISMS文件说明(1) ISMS方针文件，包括ISMS范围根据标准“4.3.1”a)和b)要求。(2) 风险评估程序根据“4.3.1”d)和e)要求, 要有形成文件“风险评估方法描述”和“风险评估报告”。为了减少文件量，可创建一个风险评估程序。该程序文件应包括“风险评估方法描述”，而其运行结果应产生风险评估报告。(3) 风险处理程序根据标准“4.3.1”f)要求, 要有形成文件“风险处理计划”。因此，可创建一个风险处理程序。该程序文件运行结果应产生风险处理计划。(4) 文件控制程序根据标准“4.3.2文件控制”要求，要有形成文件“文件控

2、制程序”。 (5) 记录控制程序根据标准“4.3.3记录控制”要求，要有形成文件“记录控制程序”。(6) 内部审核程序根据标准“6内部ISMS审核”要求，要有形成文件“内部审核程序”。(7) 纠正措施和预防措施程序根据标准“8.2纠正措施”要求，要有形成文件“纠正措施程序”。根据 “8.3预防措施”要求，要有形成文件“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8) 控制措施有效性测量程序根据标准“4.3.1 g)”要求，要有形成文件“控制措施有效性测量程序”。(9) 管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。

3、(9) 适用性声明根据标准“4.3.1 i)” 要求, 要有形成文件适用性声明。审核重点第二阶段审核：a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：l 定义风险评估方法(参见4.2.1 c)l 识别安全风险(参见4.2.1 d)l 分析和评价安全风险(参见4.2.1 e)l 识别和评价风险处理选择措施(参见4.2.1 f)l 选择风险处理所需控制目标和控制措施(参见4.2.1 g)l 确保管理者正式批准所有残余风险(参见4.2.1 h)l 确保在ISMS实施和运行之前，获得管理者授权(参见4.2.1 i)l 准备适用性声明(参见4.2.1 j)b) 检查受审核组织如何

4、执行ISMS监控、测量、报告和评审(包括抽样检查关键过程是否到 位)，至少包括：l ISMS监视和评审(依照4.2.3监视和评审ISMS”条款) l 控制措施有效性测量(依照 4.3.1 g)l 内部ISMS审核(依照第6章“内部ISMS审核”)l 管理评审(依照第7章“ISMS管理评审”) l ISMS改进(依照第8章“ISMS改进”)。c) 检查管理者如何执行管理评审(包括抽样检查关键过程是否到位)，依照条款包括：l 4.2.3监视和评审ISMSl 第7章“ISMS管理评审”。d) 检查管理者如何履行信息安全职责(包括抽样检查关键过程是否到位)，依照条款包括：l 4.2.3监视和评审ISM

5、Sl 5 管理职责l 7 ISMS管理评审 e) 检查安全方针、风险评估结果、控制目标和控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第8章“过程要求符合性审核”)。监督审核：a) 上次审核发现纠正/预防措施分析和执行情况；b) 内审和管理评审实施情况；c) 管理体系变更情况；d) 信息资产变更和相应风险评估和处理情况；e) 信息安全事故处理和记录等。再认证审核：a) 检验组织ISMS是否持续地全面地符合ISO/IEC 27001:2005要求。b) 评审在这个认证周期中ISMS实施和继续维护情况，包括：l 检查ISMS是否按照ISO/IEC 27001:2005要求加以实施、

6、维护和改进；l 评审ISMS文件和定期审核(包括内部审核和监督审核)结果；l 检查ISMS如何应对组织业务和运行变化；l 检验管理者对维护ISMS有效性承诺情况。4 信息安全管理体系4.1总要求4.2 建立和管理ISMS4.2.1 建立ISMS标准要求审核内容审核记录注释和指南a) 组织要定义ISMS范围l 组织是否有一个定义ISMS范围过程？对“定义ISMS范围”要求符合性审核，要确保ISMS定义不仅要包括范围，也要包括边界。对任何范围删减，必须有详细说明和正当性理由。l 是否有对任何范围删减？b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文件？要求明确规定ISMS方针5个基本

7、点，即ISMS方针要： 1) 包括信息安全目标框架、信息安全工作总方向和原则；2) 考虑业务要求、法律法规要求和合同要求；3) 和组织开发和维护ISMS战略性风险管理，结合一起或保持一致；4) 建立风险评价准则；5) 获得管理者批准。在对这个要求符合性审核时，要确保组织ISMS方针满足上述5个要求。还要注意到ISMS方针和信息安全方针关系。l 组织ISMS方针文件是否满足ISO/IEC 27001:2005规定5个基本点(见注释和指南栏)？c) 组织要定义风险评估方法l 组织是否有一个定义风险评估方法文件？ 要求明确规定，“定义组织风险评估方法”工作(活动)要包括：1) 确定风险评估方法，而这

8、个评估方法要适合组织ISMS要求、适合已确定组织业务信息安全要求和法律法规要求； 2) 制定接受风险准则，确定可接受风险级别。在对要求符合性审核时，要确保上述2个要求得到满足。l 组织风险评估方法是否适合ISMS要求、适合已确定组织业务信息安全要求和法律法规要求？l 接受风险准则是否已经确定？并根据此准则，确定了可接受风险级别？d) 组织要识别安全风险l 组织是否有一个识别安全风险过程？“识别安全风险”是一个过程(活动)。而这个过程要包括：1) 识别组织ISMS范围内资产及其责任人；2) 识别资产所面临威胁；3) 识别可能被威胁利用脆弱点；4) 识别资产保密性、完整性和可用性丧失造成影响。在对

9、要求符合性审核时，要确保“识别安全风险”要包括上述工作(活动)。l 识别安全风险过程是否符合规定(参见“注释和指南”栏)？ e) 组织要分析和评价安全风险l 组织是否有一个用于评估安全风险过程？要求明确规定，“分析和评价安全风险”过程(活动)要包括：1) 评估安全破坏(包括资产保密性、完整性，或可用性丧失后果)可能产生对组织业务影响；2) 评估由主要威胁和脆弱点导致安全破坏现实可能性、对资产影响和当前所实施控制措施；3) 估算风险级别；4) 确定风险是否可接受，或者是否需要使用本组织接受风险准则进行处理。 “分析和评价安全风险”结果应产生一个“风险评估报告”。在对要求符合性审核时，要确保满足上

10、述要求。l 是否评估了安全破坏可能产生对组织业务影响？l 这个安全风险评估过程是否符合规定(参见“注释和指南栏”)？f) 组织要识别和评价风险处理选择措施 l 组织是否有一个用于识别和评价风险处理选择措施过程？ 要求明确规定，可选择措施包括：1) 采用适当控制措施；2) 接受风险；3) 避免风险；4) 转移风险。在对要求审核时， 要确保组织有一个“识别和评价风险处理选择措施”过程，并考虑了上述4种可能选择。 l 这个过程是否虑了4种可能选择(参见“注释和指南栏”)？g) 组织要选择风险处理所需控制目标和控制措施l 组织是否有一个用于选择ISO/IEC 27001:2005附录A风险处理控制目标

11、和控制措施过程？ “选择风险处理所需控制目标和控制措施”过程又包含3个具体要求：1) 控制目标和控制措施要进行选择和实施，以满足风险评估和风险处理过程中所识别安全要求；2) 控制目标和控制措施选择要考虑接受风险准则，以及法律法规要求和合同要求；3) 附录A中控制目标和控制措施要加以选择，作为此“选择风险处理所需控制目标和控制措施”过程一部分，以满足已识别安全需求。在对要求审核时，要和本书第9章“控制目标和控制措施审核”结合一起进行。最重要是要确保所选择控制目标和控制措施：l 符合风险评估和处理过程中已经识别安全要求；l 符合接受风险准则要求，以及法律法规要求和合同要求；如果附录A中控制目标和控

12、制措施适用于已识别安全要求，要加以选择，不要错漏。可参见本书第9章“控制目标和控制措施审核”。l 这个过程是否确保所选择控制目标和控制措施满足相关要求(参见“注释和指南”栏)？ l 附录A控制目标和控制措施是否都被选择？l 如果不选择，是否有正当性理由？ l 是否选择了附录A以外控制措施？h) 组织要确保管理者正式批准所有残余风险l 所有残余风险是否获得管理者正式批准？首先要理解“残余风险”意义。i) 组织要确保在ISMS实施和运行之前，获得管理者授权l ISMS实施和运行是否获得管理者授权？要检查是否有领导签字(可参见后面 “4.3.2文件控制”审核)。j) 组织要准备适用性声明 l 组织是

13、否有一个准备适用性声明过程？要求明确规定,“适用性声明”必须至少包括以下3项内容：1) 所选择控制目标和控制措施，及其选择理由；2) 当前实施控制目标和控制措施；3) 附录A中任何控制目标和控制措施删减，以及删减正当性理由。在对要求审核时，最重要是要确保： l “适用性声明”内容至少含有上述3项；l 不选择理由必须是合理，或证明其是正当性。由于附录A推荐控制目标和控制措施是最佳实践，所以如果没有正当性理由，都要加以选择，要防止漏选。对要求审核，可和后面“4.3.1总则”i)审核和第9章“控制目标和控制措施审核”结合一起进行。l 适用性声明内容是否有含有标准规定“3项内容”(参见“注释和指南”栏

14、)？l 适用性声明是否记载附录A中任何控制目标和控制措施删减，以及删减正当性理由？4.2.2 实施和运行ISMS标准要求审核内容审核记录注释和指南a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求产生风险处理计划文件过程？ 要求明确规定，组织要有一个产生风险处理计划过程或程序。而这个过程要确定信息安全风险管理措施、资源、职责和优先级。由于标准第4章只是“计划”阶段，在标准第5章中将提出更具体“资源”要求。 对于“风险处理计划”，可和“4.3.1总则”条款要求一起审核(见“4.3.1总则”f) 审核)。l 是否有一个“风险处理计划”文件？b) 组织要实施风险处理计划 l 组织是否

15、有一个符合标准此条款要求“实施风险处理计划”过程？ 要求明确规定，组织要有一个“实施风险处理计划”过程，或程序。而这个过程目是要达到已确定控制目标，包括资金安排、角色和职责分配。c) 组织要实施所选择控制措施l 组织是否有一个符合标准此条款要求“实施所选择控制措施”过程？要求明确规定，组织要有一个“实施所选择控制措施”过程，或程序，其目是要满足控制目标。d) 组织要定义如何测量所选控制措施有效性l 组织是否有一个“测量所选控制措施有效性”过程？即组织要： 1) 定义如何测量所选控制措施有效性，即要有一个“测量所选控制措施有效性”过程；2) 规定如何使用这些测量措施，对控制措施有效性进行测量(或

16、评估)；据此，管理者和员工就可以确定所选控制措施是否实现原计划控制目标，或实现程度。在对这个要求审核时，审核员必须检查受审核组织： 是否有一个测量所选择控制措施有效性“测量措施”； 如何使用其测量措施进行测量； 所选控制措施是否达到既定控制目标。 可和4.2.3c)规定要求 同时审核 (参见“4.2.3 监视和评审ISMS”)l 如何使用测量措施，去测量控制措施有效性？e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求“实施培训和意识教育计划”过程？对于实施ISMS组织来说，很重要事情是培训，使其员工了解标准意图和信息安全原理。因此在“实施和运行组织ISMS”中，首先要有

17、“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。f) 组织要管理ISMS运行 l 组织是否有“管理ISMS运行”过程？要求明确规定, ISMS运行需要管理。g) 组织要管理ISMS资源l 组织是否有对ISMS实施所需要资源进行管理过程？ 要求明确规定, ISMS实施所需要资源要加以管理(参见“5.2 资源管理”)。h) 组织要实施组织安全程序和其他控制措施l 组织ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反应”程序？ 要求规定， 在“迅速检测安全事件和对安全事故能做出迅速反应”方面，要有相关程序和控制措施(参见“4.2.3 监视和评审ISMS”a)。4.2.3 监视和

18、评审ISMS标准要求审核内容审核记录注释和指南a) 组织要执行监视和评审程序 l 组织是否有“监视和评审程序”，以：1) 迅速检测处理产生错误；2) 迅速识别试图和得逞安全违规事件和事故；3) 使管理者能确定指定人员安全活动或通过信息技术实施安全活动是否如期执行；4) 通过使用指示器，帮助检测安全事件并预防安全事故；5) 确定解决安全违规事件措施是否有效？ 要求明确规定，求组织要有“监视和评审程序”，以达到以下5个目：1) 迅速检测处理产生错误；2) 迅速识别试图和得逞安全违规事件和事故；3) 使管理者能确定指定人员安全活动(或通过信息技术实施安全活动)是否如期执行；4) 通过使用指示器，帮助

19、检测安全事件并预防安全事故；5) 确定解决安全违规事件措施是否有效。在对要求审核时，必须检查这些内容。 b) 组织要定期评审ISMS有效性l 是否有符合此要求 “ISMS有效性定期评审”过程？要求明确规定，组织对ISMS有效性，进行定期评审(包括ISMS方针和目标符合性评审、安全控制措施有效性评审)。而在对ISMS有效性定期评审时，要联系到(或考虑到)安全审核结果、事故、有效性测量结果、所有相关方建议和反馈。在对要求审核时，要检查是否有相关过程或活动。c) 组织要测量控制措施有效性l 是否有到位“测量控制措施有效性” 过程或程序？要求明确规定，组织在“监视和评审ISMS”中，要测量控制措施有效

20、性以验证安全要求是否得到满足。 在对要求审核时，要检查是否有“测量控制措施有效性”过程或程序。d) 组织要评审风险评估l 是否有到位“评审风险评估” 过程或程序？要求明确规定，组织在“监视和评审ISMS”中，要按照既定时间间隔，评审风险评估、残余风险和已确定可接受风险级别，要考虑以下方面变化：1) 组织；2) 技术；3) 业务目标和过程；4) 已识别威胁；5) 已实施控制措施有效性；6) 外部事件，如法律法规环境变化、合同义务变化和社会环境变化。在对要求审核时，要检查是否有相关过程或活动。l “评审风险评估” 过程是否考虑了“6方面变化”(参见注释和指南)？e) 组织要执行定期ISMS内部审核

21、 l 是否有到位定期“ISMS内部审核”过程或程序？要求明确规定，组织在“监视和评审ISMS”中，要按既定时间间隔，执行ISMS内部审核。在对要求审核时，要检查是否有“定期ISMS内部审核”过程或程序。而对ISMS内部审核符合性审核要按照标准第6章要求执行。f) 组织要执行定期ISMS管理评审 l 是否有到位定期“ISMS管理评审”过程或程序？这个要求明确规定，组织在“监视和评审ISMS”中，要按既定时间间隔，执行ISMS管理评审。在对这个要求审核时，要检查是否有定期“ISMS管理评审”过程或程序。而对ISMS管理评审符合性审核要按照标准第7章要求执行。 g) 组织要更新信息安全计划 l 组织

22、是否参考监视和评审活动发现，而“更新信息安全计划”？这个要求明确规定，组织要参考监视和评审活动发现，更新安全计划。h) 组织要维护ISMS事件和行动措施纪录l 是否有到位“维护ISMS事件和行动措施纪录”过程？这个要求明确规定，组织要记录可能影响ISMS有效性事件和所采取措施。对这个要求审核，可和标准“4.3.3 记录控制”条款要求审核一起进行。4.2.4 保持和改进ISMS标准要求审核内容审核记录注释和指南a) 组织要实施ISMS改进l 是否有到位“实施ISMS改进”过程？要求明确规定，组织对已识别ISMS改进点，要加以实施。对要求符合性审核时，要确保有到位“实施ISMS改进”过程。b) 组

23、织要采取适当纠正措施和预防措施l 是否有到位“纠正措施和预防措施”过程？要求明确规定，组织有和标准“8.2 纠正措施”条款和“8.3 预防措施”条款保持一致“纠正措施和预防措施”过程，并要求吸取其它组织和本组织安全经验教训。对要求审核，可和标准“8.2 纠正措施”条款和“8.3 预防措施”条款要求审核一起进行。l 是否有到位吸取其它组织和本组织安全经验教训过程？c) 组织要向所有相关方交流ISMS措施和改进状况l 是否有向所有相关方交流ISMS改进过程？要求明确规定，组织要向所有相关方交流ISMS行动措施和改进情况，确保有适当详情说明，并取得一致意见。 d) 组织要确保ISMS改进达到预期目标

24、l 是否有确保ISMS改进达到了预期目标过程？管理者要跟踪改进，直到达到了预期目标。4.3 文件要求4.3.1 总则标准要求审核内容审核记录注释和指南1) ISMS文件要包括管理决定记录l 是否ISMS文件包括有管理决定记录？在左栏所示这3）个要求是在“4.3.1总则”条款开始一个引言段中提出。这里提出ISMS文件：1) 必须包括管理决定记录；2) 必须确保所采取行动措施可追踪到管理决定和方针；3) 必须确保已记录结果是可再生。这里明确了，展示三者(即所选择控制措施、风险评估结果、ISMS方针和目标)之间关系重要性。即从所选择控制措施可追溯到风险评估结果，而从风险评估结果又可追溯到ISMS方针

25、和目标。2) ISMS文件要确保所采取措施可追踪到管理决定和方针l 是否ISMS文件确保所采取措施可追踪到管理决定和方针？3) ISMS文件要确保记录结果是可再生l 是否ISMS文件确保记录结果是可再生？ a) ISMS文件要包括ISMS方针和目标文件l 是否有ISMS方针和目标文件？ 标准规定，ISMS文件要包括9方面文件(见本表从a)- i)栏)。其中，ISMS方针是最高级(或顶级)文件。b) ISMS文件要包括ISMS范围l 是否有一个描述ISMS范围文件？ ll 标准要求ISMS文件内容不一定都要形成单一文件；某些相关内容可合并在一起，而形成一个文件，也不会认为违反标准要求。l 在实际

26、中，为了减少文件量，“ISMS范围”常合并于ISMS方针文件。l 参见表1-1 a) 。c) ISMS文件要包括支持ISMS程序和控制措施l 是否有支持ISMS程序和控制措施？这里，只是泛泛地提出。“支持ISMS程序和控制措施”包括内容很广。除了标准强制要求程序文件外，还可有许多组织自主决定文件。文件内容可随组织不同而有所不同。主要取决于:1) 组织业务活动及风险；2) 安全要求严格程度；3) 管理体系范围和复杂程度。组织需要哪些ISMS文件、控制措施及其复杂程度如何，通常可根据风险评估结果而决定(参见第6章“6.3.1.1获得ISMS文件”)。 d) ISMS文件要包括风险评估方法描述l 是

27、否有描述风险评估方法文件？ll 和标准4.2.1c)条款要求一致。 l 最佳实践表明，“风险评估方法描述”可合并于“风险评估程序”；而“风险评估程序”运行结果又产生“风险评估报告”。l 参见表1-1 c)；l 参见“标准要求强制性ISMS文件”。 e) ISMS文件要包括风险评估报告l 是否有可用风险评估报告？f) ISMS文件要包括风险处理计划l 是否有可用风险处理计划？ll 和标准4.2.2b)要求一致；l 参见“标准要求强制性ISMS文件”。 g) ISMS文件要包括控制措施有效性测量程序l 是否有描述如何测量控制措施有效性程序文件？ ll 和标准4.2.3 c要求一致；l 参见“标准要

28、求强制性ISMS文件”。h) ISMS文件要包括本标准所要求记录l 是否有提供符合要求证据记录？ll “记录”范围很广。实际上，每一个程序文件运行结果都可以产生可作为证据“记录”。l 参见“4.3.3记录控制”。i) ISMS文件要包括适用性声明l 是否有符合要求适用性声明？参见 表1-1 j)。4.3.2文件控制标准要求审核内容审核记录注释和指南1) ISMS所要求文件要加以保护和控制是否有一个用于保护和控制ISMS文件过程？ 要求是标准“4.3.2文件控制”条款开始一个引言段中提出。这里只是泛泛地提出。实际上，“保护和控制ISMS文件过程”可用“文件控制程序文件”进行控制。2) ISMS文

29、件控制程序要形成文件是否有一个形成文件文件控制程序？“形成文件文件控制程序”一般称为“文件控制程序文件”。这个程序文件是标准要求必须ISMS文件之一。“4.3.2文件控制”条款主要要求是：建立一个“文件控制程序文件”，并对文件进行以下10方面控制(见下面a-j)。a)“文件控制程序文件”要定义“文件发布前要得到批准”l 是否文件发布前要得到批准？在对这个“4.3.2文件控制”条款要求审核时，主要检查:1) 组织是否有一个用于控制ISMS文件“文件控制程序文件”；2) 组织ISMS文件实际上是否受控；3) 是否从“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定义“必要时评审和

30、更新文件，并再次获得批准”l 是否必要时评审和更新文件，并再次批准文件？c)“文件控制程序文件”要定义“文件更改和现行修订状态得到标识”l 是否文件更改和现行修订状态得到标识？d)“文件控制程序文件”要定义“在使用处可获得有关版本适用文件”l 是否在使用处可获得有关版本适用文件？e) “文件控制程序文件”要定义“文件保持清晰、易于识别”l 是否文件保持清晰、易于识别？f) “文件控制程序文件”要定义“文件可为需要人员使用，并依照相关程序进行传输、贮存和最终销毁”l 是否文件可为需要人员使用，并依照相关程序进行传输、贮存和最终销毁？g) “文件控制程序文件”要定义“外来文件得到标识”l 是否外来

31、文件得到标识？h) “文件控制程序文件”要定义“文件分发受控制”l 是否文件分发受控制？i) “文件控制程序文件”要定义“防止作废文件非预期使用”l 是否“防止作废文件非预期使用”？j) “文件控制程序文件”要定义“对需要保留作废文件做出适当标识”l 是否“对需要保留作废文件做出适当标识”？4.3.3 记录控制标准要求审核内容审核记录注释和指南a. 记录要加以建立和保持l 是否有一个建立和保持记录过程？记录是提供符合ISMS要求和有效运行客观证据一种特殊类型文件。记录需要建立和保持、保护和控制。b. 记录要加以保护和控制l 是否有一个保护和控制记录过程？c. ISMS要考虑相关法律法规要求和合

32、同义务l ISMS是否考虑了相关法律法规要求和合同义务？组织要提供证据(记录)，证明其ISMS考虑了相关法律法规要求和合同义务。d. 记录要保持清晰、易于识别和检索l 记录是否保持清晰、易于识别和检索？作为客观证据记录，必须易于理解，不能含糊不清。e. 记录控制要形成文件, 并加以实施l 记录控制是否形成了文件？记录控制包括：记录标识、贮存、保护、检索、保存期限和处置等。这些控制要形成文件，通常称为“记录控制程序文件”。 “记录控制程序文件”是必须要有ISMS文件之一。f. 记录要保留ISMS过程执行情况，和所有重大安全事故执行情况l 记录是否保留了ISMS过程执行情况？这里，ISMS过程是指

33、ISO/IEC 27001:2005 4.2条款所列出过程，包括ISMS建立、实施和运行、监视和评审、保持和改进。所有这些过程记录要加以保留，所有重大安全事故纪录也要保留。l 记录是否保留了所有重大安全事故执行情况？5 管理职责 5.1 管理承诺 标准要求审核内容审核记录注释和指南管理者要对ISMS建立、实施和运行、监视和评审、保持和改进，做出承诺, 提供证据。l 是否有一个确保管理者对ISMS建立、实施和运行、监视和评审、保持和改进，做出承诺过程？这里，“管理承诺”应理解为“最高管理者(层)承诺”。ISO/IEC 27001:2005标准认为，ISMS成功运行需要管理者参和并做出承诺。因此标

34、准要求最高管理层(包括总经理和管理者代表等)展示出其如何支持(或承诺)ISMS建立、实施和运行、监视和评审、保持和改进，并提供8方面内容证据，包括：a) 制定ISMS方针；b) 确保建立ISMS目标和计划；c) 建立信息安全角色和职责；d) 向该组织传达满足信息安全目标和符合信息安全方针重要性、法律责任和持续改进需要；e) 提供足够资源；f) 决定接受风险准则和风险可接受级别准则；g) 确保ISMS内审执行；h) 进行ISMS管理评审。l 管理者提供承诺证据是否包括8方面内容(见“注释和指南”栏)？5.2 资源管理5.2.1 资源提供标准要求审核内容审核记录注释和指南组织要确定和提供所需要资源

35、l 管理者是否提供ISMS活动所需要资源？这里ISMS活动包括ISMS建立、实施和运行、监视和评审、保持和改进。l 管理者是否提供确保信息安全程序支持业务要求所需要资源？资源包括人、财、物(如设备、工具和资料等)。l 管理者是否提供满足法律法规要求、合同安全要求所需要资源？ l 是否提供通过正确实施控制措施维护安全所需要资源？ l 管理者是否提供必要评审和对评审结果做出适当反应所需要资源？ l 管理者是否提供改进ISMS有效性所需要资源？ 5.2.2 培训、意识和能力标准要求审核内容审核记录注释和指南a. 组织要确保分配有ISMS职责所有人员都具有执行所要求任务能力l 是否有一个确保分配有IS

36、MS职责所有人员都具有完成所要求任务能力过程？要求明确规定，确保分配有ISMS职责所有人员都具有完成其所要求任务能力。这个过程包括4个活动： a) 确定所有ISMS人员所必要能力；b) 提供培训，或采取其它措施(例如聘用有能力人员)，以满足这些需要；c) 评价培训等措施有效性；d) 保持教育、培训、技能、经历和资格记录。在对要求符合性审核时，要检查培训记录和相关证据。b. 组织要确保所有相关人员意识到其信息安全活动重要性 l 是否有一个确保所有相关人员都识到其信息安全活动重要性过程？要求明确规定，组织要确保所有相关人员意识到其信息安全活动利害关系和重要性，并为达到ISMS目标做出贡献。在对要求

37、符合性审核时，可以抽查相关人员安全意识。6 内部ISMS审核 标准要求审核内容审核记录注释和指南(1) 定期进行内部ISMS审核l 是否有一个定期进行内部ISMS审核过程？ 要求明确规定，“组织要按照既定时间间隔进行内部ISMS审核”。而内部审核目是确定其ISMS控制目标、控制措施、过程和程序是否： a) 符合本标准和相关法律法规要求； b) 符合已确定信息安全要求；c) 得到有效地实施和保持；d) 按预期执行。在对要求符合性审核时，要确保上述要求得到满足。(2) 制定审核方案l 是否有一个审核方案？l 该审核方案是否考虑了受审核过程和受审核部门状况和重要性，以及以往审核结果？要求明确规定，在

38、进行内部审核之前，要制定“审核方案”。而这个审核方案要考虑受审核过程和受审核部门状况和重要性，以及以往审核结果。(3) 定义审核准则、范围、频次和方法l 审核准则、范围、频次和方法是否定义?在实际中，审核准则、范围、频次和方法可以包含于审核方案或审核计划中。(4) 审核员选择，审核实施要确保审核过程客观公正l 审核员选择，审核实施是否确保审核过程客观公正？ 在这方面，应遵照本书第4章规定执行。其中包括“审核发现、审核结论和审核报告要真实和准确地反映审核活动”。 (5) 审核员不准审核自己工作l 是否审核员审核了自己工作？要识别内部审核员除了内审以外其它工作。(6) 形成内审程序文件l 是否有定

39、义内审职责和要求方面内审程序文件？要求明确规定，内审职责和要求(包括审核计划和实施、审核结果报告、记录保持等)必须以形成文件程序加以定义。在对要求符合性审核时，要确保上述要求得到满足。(7) 采取纠正措施l 是否有一个确保受审部门责任管理者及时采取措施，消除“已发现不符合事项及其产生原因”过程？要求意义包括：1) 受审部门责任管理者要采取纠正措施； 2) 纠正措施要包含原因分析；3) 纠正措施不能有不适当延迟。在对要求符合性审核时，要确保上述要求得到满足。(8) 跟踪纠正措施l 是否有一个对纠正措施跟踪活动？“跟踪纠正措施”是受审部门责任管理者职责，包括：1) 要跟踪和验证纠正措施，直到真正获

40、得落实；2) 要报告跟踪和验证结果。 l 跟踪活动是否包括验证和验证结果报告？7 ISMS管理评审7.1 总则标准要求审核内容审核记录注释和指南(1) 管理者要每年至少评审1次ISMS l 是否有一个确保最高管理者每年至少评审1次ISMS过程？ 管理评审目是确保ISMS持续适宜性、充分性和有效性。为了确保最高管理者每年至少评审1次ISMS，最好实践是通过使用一个“管理评审程序文件”进行控制。“管理评审程序文件”也控制相关管理评审过程，以满足标准要求。 但是，标准没有明确规定一定要有一个形成文件“管理评审程序”。因此，在审核时，主要是要确保有符合要求评审过程。l 是否检查了ISMS实施情况，以确

41、保ISMS持续适宜性、充分性和有效性？(2) 评审要包括评估改进机会和变更ISMS需要 l 在管理评审时，是否评估了ISMS（包括信息安全方针和信息安全目标）改进机会和变更需要？在运行期间，操作者是不能任意变更ISMS。ISMS改进和变更，只能经过最高管理者对ISNS评审，做出评审决定后，才能执行。因此管理评审时，要有这方面评估。(3)评审结果要形成文件l 评审结果是否形成了文件？审核员在进行“ISMS管理评审”审核时，必须按标准“4.3.3 记录控制”条款要求，检查评审结果和相关评审记录。(4)评审记录要加以保持l 记录是否按照“记录控制”要求加以保持？7.2 评审输入标准要求审核内容审核记

42、录注释和指南a) 管理评审输入要包括审核和评审结果l 是否有一个确保管理评审输入包括标准要求9方面信息过程？ 在审核时，审核员应首先检查组织如何确保满足标准规定9方面管理评审输入信息(见本表a-i)。l 是否管理评审输入包括先前审核和评审结果？审核员应检查管理评审输入是否包括先前审核(包括内审和外审)和管理评审结果。 b)管理评审输入要包括相关方反馈l 是否管理评审输入包括相关方反馈？审核员应检查管理评审输入是否包括相关方(如顾客和相关人员)反馈，包括意见、抱怨和评论等。 c)管理评审输入要包括可用于改进ISMS技术、产品或程序l 是否管理评审输入包括可用于改进ISMS技术、产品或程序？审核员

43、应检查管理评审输入是否包括可用于改进ISMS有效性技术、产品或程序。d)管理评审输入要包括预防和纠正措施状况l 是否管理评审输入包括预防和纠正措施状况？审核员应检查管理评审输入是否包括先前预防措施和纠正措施情况，包括查相关记录。e)管理评审输入要包括以往风险评估没有充分解决脆弱点或威胁l 是否管理评审输入包括预防和纠正措施状况？审核员应检查管理评审输入是否包括在先前风险评估期间，没有充分解决安全问题。f)管理评审输入要包括有效性测量结果l 是否管理评审输入包括ISMS有效性测量结果？审核员应检查管理评审输入是否包括在先前对ISMS有效性测量结果。 g)管理评审输入要包括以往管理评审跟踪措施l

44、是否管理评审输入包括以往管理评审跟踪措施？审核员应检查管理评审输入是否包括以往管理评审跟踪措施，包括对以往管理评审结果贯彻、跟踪和验证结果。h)管理评审输入要包括可能影响ISMS任何变更l 是否管理评审输入包括可能影响ISMS任何变更？审核员应检查管理评审输入是否包括可能影响ISMS任何变更，包括出现新信息资产、技术变更、内外环境变更和组织结构变更等。i) 管理评审输入要包括改进建议l 是否管理评审输入包括任改进建议？审核员应检查管理评审输入是否包括改进ISMS任何建议。7.3 评审输出标准要求审核内容审核记录注释和指南a)管理评审输出要包括ISMS有效性改进l 是否有一个确保管理评审输出包括

45、5方面要求过程？ 在审核时，审核员应首先检查组织如何确保管理评审满足标准规定5方面输出(见本表a)-e)。 l 是否管理评审做出了改进ISMS有效性决定？审核员应检查管理评审输出是否有改进ISMS有效性决定。b)管理评审输出要包括风险评估和风险处理计划更新l 是否管理评审做出了更新风险评估和风险处理计划决定？ 风险是动态。风险评估活动要定期执行，风险处理计划要及时更新。管理评审要做出这方面决定。审核员应检查管理评审输出是否有这方面决定。c) 管理评审输出要包括必要时对影响信息安全程序和控制措施修改，以应对可能冲击ISMS内外事件l 是否管理评审做出了在必要时对影响信息安全程序和控制措施修改决定，以应对可能冲击ISMS内外事件？要求含义是，为了应对可能冲击ISMS内外事件，包括：1) 业务要求发生变化；2) 安全要求发生变化；3) 影响现有业务要求