ISMS内审员培训教程usu.pptx
《ISMS内审员培训教程usu.pptx》由会员分享,可在线阅读,更多相关《ISMS内审员培训教程usu.pptx(69页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ISMSISMS内审员培训教程内审员培训教程2u第一部分第一部分 信息安全基础知识及案例分析信息安全基础知识及案例分析u第二部分第二部分 ISO27001标准正文部分详解标准正文部分详解 ISO27001标准附录标准附录A详解详解u第三部分第三部分 信息安全风险评估与管理信息安全风险评估与管理u第四部分第四部分 体系文件编写体系文件编写u第五部分第五部分 信息安全管理体系内部审核信息安全管理体系内部审核课程内容课程内容3u 了解管理体系审核的基本概念了解管理体系审核的基本概念u 掌握掌握ISMS内部审核的流程内部审核的流程u 掌握掌握ISMS内部审核的方法和技巧内部审核的方法和技巧教学目标教学
2、目标4主要内容主要内容1 1、审核概论、审核概论2 2、审核策划和准备、审核策划和准备3 3、现场审核活动的实施、现场审核活动的实施4 4、纠正措施及其跟踪、纠正措施及其跟踪5 5、ISMSISMS评价评价51.1 1.1 定义定义 为获得为获得审核证据审核证据并对其进行客观的评价,并对其进行客观的评价,以确定满足以确定满足审核准则审核准则的程度所进行的系统的、的程度所进行的系统的、独立的并形成文件的过程独立的并形成文件的过程 (ISO 9000ISO 9000)1.2 1.2 审核审核“成败成败”的关键的关键 系统的:正式、有序的审查活动系统的:正式、有序的审查活动 独立的:保持审核的独立性
3、和公正性独立的:保持审核的独立性和公正性1 1 审核概论审核概论61.3 1.3 审核的内容审核的内容 1 1、获得审核证据、获得审核证据 2 2、客观评价、客观评价 3 3、确定满足审核准则的程度、确定满足审核准则的程度1.4 1.4 过程评价的四个基本问题过程评价的四个基本问题 1 1、过程是否已被识别并适当规定?、过程是否已被识别并适当规定?2 2、职责是否已被分配?、职责是否已被分配?3 3、程序是否得到实施和保持?、程序是否得到实施和保持?4 4、在实现所要求的结果方面,过程是否有效?、在实现所要求的结果方面,过程是否有效?1 1 审核概论审核概论71.5 1.5 审核的类型审核的类
4、型组组 织织顾顾 客客供供 方方认证认证/注册机构注册机构第三方审核第三方审核(外部外部)第二方审核第二方审核第二方审核第二方审核第一方审核第一方审核(外部外部)(外部外部)(内部内部)1 1 审核概论审核概论81.6 1.6 内部审核的目的内部审核的目的目目的的主要依据:信息安全管理体系文件主要依据:信息安全管理体系文件外部审核前的准备外部审核前的准备作为一种管理手段,是组织管理评审输入的重要内容作为一种管理手段,是组织管理评审输入的重要内容确保信息安全管理体系正常运行和改进的需要确保信息安全管理体系正常运行和改进的需要1 1 审核概论审核概论91.7 ISMS1.7 ISMS内审的时机、范
5、围和频度内审的时机、范围和频度u 按策划的时间间隔按策划的时间间隔u 一般至少每年应覆盖一般至少每年应覆盖ISMSISMS所涉及部门、过程一次所涉及部门、过程一次u 最初建立体系时频度可适当多一些最初建立体系时频度可适当多一些u 特殊情况特殊情况:发生严重信息安全问题或用户投诉发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前接受第二、第三方审核前1 1 审核概论审核概论101.8 ISMS1.8 ISMS内部审核的依据内部审核的依据 1 1、ISO 27001:2005ISO 27001
6、:2005版标准版标准 2 2、信息安全管理手册、信息安全管理手册 3 3、程序文件、程序文件 4 4、信息安全策略、信息安全策略 5 5、有关的法律、法规、有关的法律、法规 6 6、其他信息安全管理文件、其他信息安全管理文件1 1 审核概论审核概论111.9 ISMS1.9 ISMS内部审核的方式内部审核的方式 1 1、集中审核、集中审核 2 2、分散审核、分散审核1.10 ISMS1.10 ISMS审核的特点审核的特点 1 1、被审核的、被审核的ISMSISMS必须是正规的必须是正规的 2 2、ISMSISMS审核必须是一种正式的活动审核必须是一种正式的活动 3 3、ISMSISMS审核是
7、一种抽样过程审核是一种抽样过程1 1 审核概论审核概论121.11 ISMS1.11 ISMS内部审核的一般顺序内部审核的一般顺序 1 1、审核策划与审核准备、审核策划与审核准备 2 2、现场审核实施与审核报告、现场审核实施与审核报告 3 3、纠正措施的跟踪与汇总分析、纠正措施的跟踪与汇总分析 1 1 审核概论审核概论13u 领导重视是做好领导重视是做好ISMSISMS内部审核的关键内部审核的关键u 信息安全经理要亲自抓信息安全经理要亲自抓ISMSISMS内部审核工作内部审核工作u ISMS ISMS内部审核工作需要一个职能部门来管理内部审核工作需要一个职能部门来管理u 要组建一支合格的要组建
8、一支合格的ISMSISMS内部审核队伍内部审核队伍u ISMS ISMS内部审核需要一套正规的程序内部审核需要一套正规的程序u 建立建立ISMSISMS时应考虑时应考虑ISMSISMS内部审核工作内部审核工作2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备141.1.明确审核决定明确审核决定 2.2.确定审核组确定审核组3.3.文件审核文件审核4.4.编制审核计划编制审核计划5.5.编制检查表编制检查表6.6.通知受审核部门并约定具体的审核时间通知受审核部门并约定具体的审核时间2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备15 1、审核目的、审核目的2、审核范
9、围、审核范围3、审核时间、审核时间4、审核方式、审核方式2.1 2.1 明确审核决定明确审核决定161 1、审核人员的资格、审核人员的资格2 2、确保客观性和公正性、确保客观性和公正性3 3、专业能力、专业能力4 4、审核组长:负责审核全过程及审核组管理工作、审核组长:负责审核全过程及审核组管理工作5 5、审核员:在审核组长指导下进行审核、审核员:在审核组长指导下进行审核2.2 2.2 确定审核组确定审核组17u目的:目的:体系中所有过程是否被识别并适当规定;体系中所有过程是否被识别并适当规定;职责是否被分配;职责是否被分配;过程文件满足审核准则的程度过程文件满足审核准则的程度u对象:对象:信
10、息安全管理手册、程序文件、作业指导书、信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等规范、风险处理计划等u审核准则:审核准则:标准、合同及有关的法律、法规标准、合同及有关的法律、法规2.3 2.3 文件审核文件审核18u时机:在现场审核前进行;时机:在现场审核前进行;作业指导书、质量计划、规范等可以在现作业指导书、质量计划、规范等可以在现 场审核时进行;场审核时进行;u结论:符合标准及法规的要求;结论:符合标准及法规的要求;部分不符合要求;部分不符合要求;没有覆盖标准及法规的要求;没有覆盖标准及法规的要求;u注意事项:不仅要审核过程文件,还要审核过程注意事项:不仅要审核过程文件,
11、还要审核过程 之间的接口是否明确、协调之间的接口是否明确、协调2.3 2.3 文件审核文件审核19u 组织的大小和性质组织的大小和性质u 员工数量员工数量u 体系复杂性体系复杂性u ISMS ISMS的范围的范围u 涉及的地点数目涉及的地点数目u 信息类型信息类型-文件文件/电子等电子等2.4 2.4 编制审核计划编制审核计划_要求考虑要求考虑20u 审核目的审核目的u 审核范围审核范围u 审核准则审核准则u 审核组成员及其分工审核组成员及其分工u 现场审核活动的日程安排现场审核活动的日程安排u 必要的审核资源的配备必要的审核资源的配备u 其它其它(如审核时所用语言、保密承诺等如审核时所用语言
12、、保密承诺等)审核计划示例:审核计划示例:2.4 2.4 编制审核计划编制审核计划_内容内容21NO.20080118-01NO.20080118-01审核时间审核时间:20082008年年1 1月月1818日日1 1月月1919日日审核目的审核目的:验证本公司的验证本公司的ISMSISMS是否符合是否符合ISO 27001:2005ISO 27001:2005版版以及公司以及公司ISMSISMS文件的要求,文件的要求,ISMSISMS是否得到有效实施,是否是否得到有效实施,是否具备申请第三方具备申请第三方ISO 27001:2005ISO 27001:2005认证注册的条件认证注册的条件审核
13、范围审核范围:ISMS ISMS所涉及的部门和过程所涉及的部门和过程审核依据审核依据:ISO 27001:2005 ISO 27001:2005、公司信息安全管理手册、公司信息安全管理手册(LXLXM M0101)第)第1 1版、有关的信息管理文件版、有关的信息管理文件审核组成员审核组成员:(组长组长)A)A;B B;CC;公司公司ISMSISMS内部审核计划内部审核计划22日日 期期时间安排时间安排A AC CB B1 1月月1818日日08:3008:3008:4508:45首次会议首次会议08:4508:4512:0012:0013:3013:3015:0015:00 15:0015:0
14、017:3017:301 1月月1919日日08:3008:3012:0012:0013:3013:3015:3015:3015:3015:3016:0016:00审核组总结审核组总结16:0016:0016:3016:30与受审核方交换意见与受审核方交换意见16:3016:3017:0017:00末次会议末次会议说明说明:对条款对条款的审核还将结合其它条款的审核同时进行的审核还将结合其它条款的审核同时进行公司公司ISMSISMS内部审核计划内部审核计划23注:对以上人员和日程安排如有异议,请及时反馈。注:对以上人员和日程安排如有异议,请及时反馈。拟制:拟制:(组长)(组长)日期:日期:批准:
15、(信息安全经理)批准:(信息安全经理)日期:日期:公司公司ISMSISMS内部审核计划内部审核计划24一、检查表的作用一、检查表的作用 1 1、明确与审核目标有关的样本、明确与审核目标有关的样本 2 2、使审核程序规范化、使审核程序规范化 3 3、按检查表的要求进行调查研究,、按检查表的要求进行调查研究,可使审核目标始终保持明确可使审核目标始终保持明确 4 4、保持审核进度、保持审核进度 5 5、作为审核记录存档、作为审核记录存档 6 6、减少重复的或不必要的工作量、减少重复的或不必要的工作量 7 7、减少内审员的偏见和随意性、减少内审员的偏见和随意性2.5 编制检查表编制检查表25二、检查表
16、的内容二、检查表的内容 1 1、列出审核项目的要点(确保完整)、列出审核项目的要点(确保完整)2 2、明确审核步骤和方法,进行抽样量的设计、明确审核步骤和方法,进行抽样量的设计 注:注:ISMSISMS所涉及的过程和部门不能抽样,不同所涉及的过程和部门不能抽样,不同 的类型不能抽样的类型不能抽样2.5 编制检查表编制检查表26三、设计检查表的注意事项三、设计检查表的注意事项 1 1、对照标准和、对照标准和ISMSISMS文件文件 2 2、部门与过程相对应、部门与过程相对应 3 3、选择典型的信息安全问题,抽样应有代表性、选择典型的信息安全问题,抽样应有代表性 4 4、注意逻辑顺序,明确审核步骤
17、、注意逻辑顺序,明确审核步骤 5 5、按部门编制的检查表要考虑涉及的条款,按条款、按部门编制的检查表要考虑涉及的条款,按条款 编制的检查表要考虑涉及的部门编制的检查表要考虑涉及的部门 6 6、常见问题:、常见问题:陈述句变疑问句;只列出审核项目,忽略陈述句变疑问句;只列出审核项目,忽略 审核方法和抽样量的设计;仅依据标准,不符合实际审核方法和抽样量的设计;仅依据标准,不符合实际2.5 编制检查表编制检查表27四、运用检查表的注意事项四、运用检查表的注意事项 1 1、自己掌握,没必要披露、自己掌握,没必要披露 2 2、不要照本宣科、不要照本宣科 3 3、不要拘泥于检查表、不要拘泥于检查表五、检查
18、表举例五、检查表举例2.5 编制检查表编制检查表282.5 编制检查表编制检查表五、检查表举例五、检查表举例标准要求标准要求审核检查题审核检查题答案记录答案记录注释与指南注释与指南是是Y否否N理由理由4.2.1a)组织要定义ISMS范围组织是否有一个定义ISMS范围的文件?对这个“定义ISMS范围”要求的符合性审核,要确保ISMS定义不仅要包括范围,也要包括边界。对任何范围的删减,必须有详细说明和正当性理由。是否有对范围的删减?4.2.1b)组织要定义ISMS方针组织是否有一个ISMS方针文件?这个要求明确规定ISMS方针的5个基本点,即ISMS方针要1.包括信息安全的目标框架、信息安全工作的
19、总方向和原则;2.考虑业务要求、法律法规的要求和合同要求;3.与组织开发与维护ISMS的战略性风险管理结合一起或保持一致;4.建立风险评价准则5.获得管理者批准。组织的ISMS方针文件是否满足ISO27001规定的5个基本点?29相关条款相关条款控制措施要求与检查题控制措施要求与检查题回答(是、回答(是、部分、不是)部分、不是)实施的方法实施的方法或删减的正当性或删减的正当性A7.1.1资产清单是否所有资产都进行了识别?是否所有重要资产都进行了登记,建立了清单文件并加以维护?A7.1.2资产责任人所有信息和信息处理设施相关资产,是否都有责任人?A7.1.3资产的可接受使用信息和信息处理设施相关
20、资产的可接受规则,是否确定、形成文件并加以实施?2.5 编制检查表编制检查表五、检查表举例五、检查表举例303.1 3.1 审核过程的控制审核过程的控制3.2 3.2 首次会议首次会议3.3 3.3 审核方法审核方法3.4 3.4 审核证据审核证据3.5 3.5 不合格项报告不合格项报告3.6 3.6 汇总分析汇总分析3.7 3.7 末次会议末次会议3.8 3.8 审核报告审核报告3 现场审核活动的实施现场审核活动的实施31一、审核计划的控制一、审核计划的控制二、审核活动的控制二、审核活动的控制 1 1、样本策划合理、样本策划合理 2 2、辩识关键过程、辩识关键过程 3 3、评定主要因素、评定
21、主要因素 4 4、重视控制结果、重视控制结果 5 5、注意相关影响、注意相关影响 6 6、营造良好的审核气氛、营造良好的审核气氛3.1 3.1 审核过程的控制审核过程的控制32三、审核结果的控制三、审核结果的控制 1 1、合格或不合格要以事实为基础、合格或不合格要以事实为基础 2 2、不合格事实要得到受审核方确认、不合格事实要得到受审核方确认 3 3、道听途说不能作为证据、道听途说不能作为证据 4 4、组内要相互沟通,统一意见、组内要相互沟通,统一意见3.1 3.1 审核过程的控制审核过程的控制33一、首次会议的内容和程序一、首次会议的内容和程序 1 1、人员介绍、人员介绍 2 2、说明审核目
22、的和范围、说明审核目的和范围 3 3、审核计划的确认、审核计划的确认 4 4、落实后勤安排、落实后勤安排 5 5、阐明一些重要的问题、阐明一些重要的问题 6 6、有关审核原则的强调、有关审核原则的强调 7 7、澄清一些问题、澄清一些问题二、首次会议的时间、地点及参加人员二、首次会议的时间、地点及参加人员3.2 3.2 首次会议首次会议34审核方式方法:如何抽样查证审核方式方法:如何抽样查证 1 1、顺向追踪、顺向追踪 2 2、逆向追踪、逆向追踪 3 3、部门审核、部门审核 4 4、过程审核、过程审核 3.3 3.3 审核方法审核方法审核的基本方法审核的基本方法:抽样抽样35顺向追踪:顺向追踪:
23、u 从影响信息安全的因素跟踪到结束从影响信息安全的因素跟踪到结束u 按照业务流程的自然顺序按照业务流程的自然顺序u 从文件跟踪至实施记录从文件跟踪至实施记录优点:系统性强,可观察接口优点:系统性强,可观察接口缺点:较费时缺点:较费时3.3 3.3 审核方法审核方法36逆向追踪:逆向追踪:u 从已形成的结果追溯到影响因素的控制从已形成的结果追溯到影响因素的控制u 按照业务流程的逆向顺序按照业务流程的逆向顺序u 从现场记录追溯到体系文件的规定从现场记录追溯到体系文件的规定优点:从结果找原因,针对性强;有利于发现问题优点:从结果找原因,针对性强;有利于发现问题缺点:问题复杂时不易理清(对审核员技术要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 内审员 培训 教程 usu
限制150内