ISMS审核策划和实施

ISMS审核员课程第二部分第二章：ISMS审核策划和实施中国信息安全认证中心2008-08-082主要内容一、ISMS审核策划二、ISMS审核的实施三、跟踪验证和证后监督中国信息安全认证中心2008-08-083一、ISMS审核策划1.确定审核范围2.组成审核组3.文件审查4.初访5.制订审核计划6.准备审核工作文件中国信息安全认证中心2008-08-0841确定审核范围1.1确定审核范围的实质及内容1.2确定审核范围的重要性1.3确定审核范围考虑的因素1.4审核范围的确定和确认1.5出现审核范围的书面文件中国信息安全认证中心2008-08-0851.1确定审核范围的实质及内容界定受审核方信息安全管理体系承诺和实施的责任范围确定所审核的信息安全管理体系所覆盖的产品、场所、部门和活动（过程），也就是进行审核的范围中国信息安全认证中心2008-08-0861.2确定审核范围的重要性进行审核的基础认证证书和宣传材料中重要内容评价和选择供方的证据中国信息安全认证中心2008-08-0871.3确定审核范围考虑的因素过程删减的合理性涉及的产品、过程及服务的类别法律法规受审核方的规模和机构设置的分布受审核方的特定要求风险评估中国信息安全认证中心2008-08-0881.4审核范围的确定和确认审核范围由委托方最终确定审核组通过现场审核加以确定中国信息安全认证中心2008-08-0891.5出现审核范围的书面文件认证合同审核计划审核报告认证证书注册名录中国信息安全认证中心2008-08-08102组成审核组2.1对审核组的要求2.2审核组成员的条件2.3审核组长2.4审核组长职责2.5审核员职责中国信息安全认证中心2008-08-08112.1对审核组的要求至少有一名高级审核员至少配备一名经认可的具有相关专业能力的成员必要时配备技术专家作审核顾问技术专家：提供关于被审核对象的特定知识或技术的人员审核组由审核组长和审核员组成，对人员有以下要求：中国信息安全认证中心2008-08-08122.2审核组成员的条件一般应为注册审核员，至少是注册实习审核员遵守纪律，互相协调得到受审核方的认可审核员：有能力实施审核的人员中国信息安全认证中心2008-08-08132.3审核组长国家注册高级审核员或注册审核员审核组长领导审核全过程，对审核工作信息安全管理负责，其条件是：中国信息安全认证中心2008-08-08142.4审核组长职责负责文件审查（必要时）协助选择审核员组织制订审核计划，分配审核任务指导审核员编制检查表进行审核过程控制沟通与协调提交审核报告组织跟踪审核（认证机构安排时）审核组长除了要履行审核员职责外，还应承担以下职责：中国信息安全认证中心2008-08-08152.5审核员职责•编制分工范围的检查表•独立完成审核任务•收集证据，开出不合格报告•内部交流，并报告审核结果有效履行职责：跟踪验证纠正措施配合、支持审核组长工作遵守审核员行为准则中国信息安全认证中心2008-08-08163文件审查文件审查：此阶段文件审查亦称为文件初审，通过对受审核方的信息安全管理手册，信息安全方针和信息安全目标等体系文件的审查，评价其过程是否被确定、展开，是否符合所约定的标准。文件审查是现场审核的基础和先行步骤。中国信息安全认证中心2008-08-08173.1文件审查的目的3.2文件审查的要求3.3文件审查的程序3.4文件审查的方式中国信息安全认证中心2008-08-08183.1文件审查的目的目的：了解受审核方的信息安全管理体系文件（主要是信息安全管理手册、信息安全方针和信息安全目标的文件）能否满足标准要求，从而确定能否进行现场审核；了解受审核方情况，为制订审核计划收集必要信息。中国信息安全认证中心2008-08-08193.2文件审查的要求要求：文件的内容要完全覆盖标准要求，删减要符合规定；文件提供的信息应能证实满足ISMS标准的要求；是否有现行有效文件名词术语的规范性中国信息安全认证中心2008-08-08203.3文件审查的程序程序：确定审核人员（通常由审核组长进行）文件审查内容：·信息安全方针和目标·信息安全管理体系的范围，包括删除的细节和合理性·进行信息安全管理体系各过程所采用的方法·信息安全管理体系过程的相互作用·受审核方的基本信息中国信息安全认证中心2008-08-08213.3文件审查的程序程序：文件审查的结论：·文件合格·文件局部不合格·文件不合格处置：·结论为文件合格，可进行现场审核·文件局部不合格，则待问题得到解决后方可进行现场审核·文件不合格，需要较长时间才能解决，则停止审核准备中国信息安全认证中心2008-08-08223.4文件审查的方式方式：办公室审核（现场审核前进行）现场审核手册在办公室审核，程序文件与现场审核核一起进行中国信息安全认证中心2008-08-08234初访4.1初访4.2预审4.3初审与预审中国信息安全认证中心2008-08-08244.1初访初访是审核组与受审核方第一次正式接触。目的：为审核的可行性收集必要的信息，为制订审核计划收集资料提出:是否要初访，由认证机构提出，并非申请方（受请方）共同商定时间：初访要为审核作好准备，一般需1—2个人日执行人：由审核组长进行中国信息安全认证中心2008-08-08254.2预审目的：·确定受审核方是否做好正式审核的准备提出：·受审核方认为需要时向认证机构提出，并共同商定时间：·一次预审，时间不超过初次审核时间的1/2执行人：·预审组长原则上不担任正式初审的审核组组长中国信息安全认证中心2008-08-08264.3初审与预审•不是必备的审核程序•不带有咨询性质•不对信息安全管理体系的有效性进行评价二者均：中国信息安全认证中心2008-08-08275制订审核计划5.1审核计划的内容5.2审核人日的计算5.3编制审核计划应注意的问题中国信息安全认证中心2008-08-08285.1审核计划的内容•审核目的•审核•范围•审核准则•审核组成员及其分工•审核日期•审核日程•保密的承诺•其它(如审核时所用语种)中国信息安全认证中心2008-08-08295.2审核人日的计算审核人日计算应考虑的因素：•企业规模•范围的删减情况•信息流的复杂程度•组织的机构设置以及部门集中程度•信息传输方式等中国信息安全认证中心2008-08-08305.3编制审核计划应注意的问题•安排好四个会议的时间•审核计划由审核组长组织编制,认证机构专业管理人员批准、受审核方确认•制定审核计划时应考核审核策略，即审核方式（顺向、逆向）•要覆盖审核范围中的所有部门、过程（初审时）•审核人日数的确定要合理•部门、过程审核时间的分配要合理中国信息安全认证中心2008-08-08316准备审核工作文件6.1准备工作文件6.2检查表的含义6.3检查表的作用6.4检查表的内容6.5抽样6.6设计检查表的注意事项6.7运用检查表中国信息安全认证中心2008-08-08326.1准备工作文件•检查表•审核记录表•审核事实凭证表中国信息安全认证中心2008-08-08336.2检查表的含义•审核员的工作文件,提纲或工具•是审核策划的结果中国信息安全认证中心2008-08-08346.3检查表的作用•保持审核目标的清晰和明确•保持审核内容的周密和完整•保持审核节奏和连续性•减少审核员的偏见和随意性•减轻审核员的负担中国信息安全认证中心2008-08-08356.4检查表的内容•查什么?•怎么查?中国信息安全认证中心2008-08-08366.5抽样•一定的数量•分层(典型性)•均衡(代表性)—审核员亲自选样—初审时对信息流、体系过程、部门场所不能抽样—随机抽样中国信息安全认证中心2008-08-08376.6设计检查表的注意事项•以审核准则确定审核项目（标准和体系文件）•按部门审核要列出主要过程，按过程审核要列出主要部门•注意逻辑顺序，明确审核步骤•抓准重点，抽样有代表性、典型性•不要忽视审核方法和样本量的合理性•内容的繁简应根据审核员的经验决定中国信息安全认证中心2008-08-08386.7运用检查表•不要把检查表内容透露给受审核方，但也不要搞的过于神秘•灵活应用，不要机械•遇到重大问题的线索，可修改和调整检查表，但不能随意修改中国信息安全认证中心2008-08-0839二、ISMS审核的实施1首次会议2审核方式和调查方法3审核过程的控制4不合格项和不合格报告5审核组总结会议6与受审核方领导沟通7审核报告8末次会议中国信息安全认证中心2008-08-08400.1现场审核目的•查证信息安全管理体系标准和体系文件的实施情况•对信息安全管理体系运行状况、符合约定标准的文件要求的判断•对信息安全管理体系进行评价，并以此作出审核结论中国信息安全认证中心2008-08-08410.2整个审核过程需要召开的会议•审核准备会•首次会议•组内交流会(通报审核情况、审核合格事实，组内接口协调、确定不合格项、体系评价等）•与受审核方领导沟通会(通报审核情况、确认不合格事实，沟通协调所遇到的问题、征求受审核方意见等）•末次会议中国信息安全认证中心2008-08-08421首次会议1.1首次会议的目的1.2首次会议的基本步骤1.3首次会议要求中国信息安全认证中心2008-08-08431.1首次会议的目的•介绍审核组成员•确认审核目的、范围•确认审核计划、审核依据•确认与受审核方领导沟通和末次会议的时间、地点•介绍审核方法和报告的方式•落实陪同人员和审核资源•与受审核方建立正式联系中国信息安全认证中心2008-08-08441.2首次会议的基本步骤a)与会者签到b)人员介绍c)确认审核目地、范围d)确认审核依据、审核计划和末次会议的时间、地点e)介绍审核方法及程序f)介绍审核结论及报告的方式中国信息安全认证中心2008-08-08451.2首次会议的基本步骤（续）g)落实陪同人员h)落实审核资源（办公、食宿、交通、通讯等）i)强调公正性、客观性j)强调保密性等工作纪律k)明确限制的条件l)澄清疑问，最后组长表示谢意，结束会议中国信息安全认证中心2008-08-08461.3首次会议要求•由组长主持•准时开会，准时报到，一般不超过30分钟•双方签到•首次会议要记录•会议要融洽、坦诚、务实中国信息安全认证中心2008-08-08472审核方式和调查方式2.1审核方式有四种2.2调查方法2.3提问技巧中国信息安全认证中心2008-08-08482.1审核方式有四种•顺向追踪•逆向追溯•按部门审查•按过程审查中国信息安全认证中心2008-08-08492.2调查方法•提问•倾听•观察•记录•验证中国信息安全认证中心2008-08-08502.3提问技巧•开放式提问，如：什么？如何？•封闭式提问，如：有没有？是不是？•澄清式提问，如：“你是这样做的吗？”提问的方式有：中国信息安全认证中心2008-08-08513审核过程的控制•样本策划•关键过程•主要因素•客观性控制•相关影响•气氛控制—审核计划的控制—审核活动的控制中国信息安全认证中心2008-08-08523审核过程的控制（续）•合格或不合格要以事实为基础•不合格事实要得到受审核方确认•道听途说不能作为证据•审核组内要相互沟通、统一意见—审核结果的控制中国信息安全认证中心2008-08-08534不合格项和不合格报告4.1不合格项界定4.2不合格的形成4.3不合格项性质判定原则4.4判断不合格项对应条款准则4.5不合格报告的主要内容4.6不合格事实描述4.7不合格事实举例中国信息安全认证中心2008-08-08544.1不合格项界定•没有满足某个规定要求•对体系不合格系指信息安全管理体系过程偏离要求或缺少中国信息安全认证中心2008-08-08554.2不合格的形成•标准所要求的未写到，即文件不符合标准•写到的未做到，即现状不符合文件•做到的没有达到目标，即结果不符合目标中国信息安全认证中