ISMS内审员培训教材课件.ppt

ISMS内部审核培训 一培训目的 了解体系审核的基本概念掌握ISMS内部审核流程掌握ISMS内部审核方法与技巧 审核概论审核策划与准备审核实施纠正及其跟踪ISMS评价 二培训内容 审核 为获得审核证据 3 9 5 并对其进行客观的评价 以确定满足经协商的准则 3 9 4 的程度所进行的系统的 独立的并形成文件的过程 3 4 1 审核方案 针对特定的时间框架和特定的目的所策划的一组 一个或多个 审核 3 9 1 审核范围 审核 3 9 1 的广度和界限 注 范围通常包括对地理位置 组织单元 活动和过程 3 4 1 以及被覆盖的时间段的表述 准则 确定为依据的一组方针 程序 3 4 5 或要求 3 1 2 审核证据 可多方查证的与经协商的准则 3 9 4 有关的记录 3 7 6 事实陈述或其他信息 3 7 1 注 审核证据可以是定性的或定量的 1 1审核概论 有关审核术语与定义注 以下术语与定义参考GB T19000 2000idtISO9000 2000质量管理体系 基础和术语 1 2审核概论 有关审核术语与定义注 以下术语与定义参考GB T19000 2000idtISO9000 2000质量管理体系 基础和术语 审核发现 审核 3 9 1 的结果 审核结论 审核组 3 9 10 在考虑了所有审核发现 3 9 6 以后得出的审核 3 9 1 结果 审核委托方 要求或请求审核 3 9 1 的组织 3 3 1 或个人 受审核方 被审核的组织 3 3 1 审核组 实施审核 3 9 1 的一个人或一组人 注1 审核组的一个或多个人通常是合格审核员 3 9 14 并且其中之一通常被任命为审核组长 审核组可包括接受培训的审核员 在需要时可包括技术专家 3 9 12 注2 观察员可以陪同审核组 但不作为成员 审核员 被委派实施审核 3 9 1 的人员 注 对所考虑的特定审核 审核员通常要具有必要的资格 1 2审核概论 有关审核术语与定义注 以下术语与定义参考GB T19000 2000idtISO9000 2000质量管理体系 基础和术语 技术专家 审核 提供关于被审核的某个组织 3 3 1 过程 3 4 1 活动或领域的专业支持的人员 审核员资格 个人的综合素质 教育 培训 工作经历 审核 3 9 1 经历及能够一个人作为审核员 3 9 11 被委派所需要证实的能力的组合 合格审核员 已成功通过了一个审核员鉴定过程 3 8 6 的人员 1 3审核概论 审核的内容 获得审核的证据客观 公正的评价确定满足审核准则的程度 1 4审核概论 过程评价的基本问题 过程是否被识别并适当的规定 职责是否分配 程序是否得实施和保持 在实施所要求的结果方面 过程是否有效 1 5审核概论 审核分类 第一方审核 通常 指的是组织内部的自我审查改进 第二方审核 通常 指的是供方 提供商 或客户对组织的审核 第三方审核 通常 指的是认证机构对组织的审核 1 6审核概论 内审目的 1 7审核概论 审核时机 范围及频度 ISMS内审的时机 范围和频度按计划时间间隔 一般至少每年应覆盖ISMS所涉及的部门 过程一次 最初建立体系时频度可适当多一些 特殊情况 发生重大信息安全事件或用户重大投诉组织机构 场地 信息方针 目标等发生了变化 接受第二 三方审核前 1 8审核概论 审核依据 ISMS审核依据IS0 IEC27001 2005标准信息安全管理体系手册信息安全管理体系程序文件信息安全策略与信息安全相关的法律法规其它与信息安全相关的文件 1 9审核概论 审核方式及特点 ISMS审核方式集中审核 定期全面性一次的铺开成内部审核 分散审核 根据人员安排或现状 按阶段性按条款采取地毯式的逐级审核报告 2审核策划与准备 审核流程图 2审核策划与准备 明确审核决定确定审核组文件审核编制审核计划编制审核检查表发布审核通知 2 1明确审核决定 审核目的 确保信息安全管理体系建立 实施 运行 保持和改进活动的有效性与符合性审核范围 信息中心业务及物理边界本部8楼审核时间 待定审核方式 例如 建议采取集中式审核 2 2确认审核组 审核员的资格 须参加信息管理体系内审员培训并获得 内审员培训合格证书 审核的态度 确保审核的客观性与公正性 注内审员不得审查自身或本部门工作 审核组长 负责审核全过程及审核组管理工作 审核员 在组长的审核安排下实施审核 2 3文件审核 目的了解体系中的所有过程是否得到识别并适当管理 了解过程文件满足审核准则程度 对象信息安全管理体系手册信息安全管理体系程序文件信息安全管理体系管理制度 办法 计划及指导书等 准则信息安全管理体系标准 合同 法律法规等 2 3文件审核 时机在现场审核前进行 注 信息安全管理体系管理制度 办法 计划及指导书等可以在现场审核时进行 结论符合标准及法规要求 部份不符合要求 未覆盖标准及法规要求 注意事项过程中除审核文件外 还须对其过程之间的接口是否明确 2 3编制审核计划要求需考虑 组织的大小和性质员体系覆盖员工数量体系所涉及的范围体系所涉及地点等 2 3内部审核计划 2 3内部审核计划 注 对以上审核日程及人员安排如有异议 请及时反馈 拟制 日期 审核组长批准 日期 信息安全领导小姐组长 2 4审核检查表的作用 明确与审核目标有关的样本确保审核程序规范化按检查的要求进行调研 可使用审核目标始终保持明确 保持审核进度作为审核记录存挡减少重复或不必要的工作量减少内审员的偏见或随意性 2 5编制审核检查表原则 对照标准和ISMS文件编制部门与过程相对应选择典型的信息安全问题 抽样应有代表性 注意逻辑顺序 明确审核步骤 按部门编写的检查表要考虑涉及条款 按条款编制要考虑所涉及部门 2 5使用审核检查表原则 自己使用掌握 不须向受审方出示 灵活使用 不需照本宣科 不要属限于检查表项目 按实际现场审核时灵活查阅 2 5审核检查表举例 2 5审核检查表举例 3现场审核活动的实施 审核过程的控制首次会议审核方法审核证据不合格项报告汇总分析末次会议审核报告 3 1审核过程的控制 审核计划的控制审核活动的控制抽样合理 一到三个 辨别关键过程评定主要因素重视控制结果注意相关影响营造良好的气氛 2020 1 28 30 可编辑 3 1审核过程的控制 审核结果的控制 合格与不合格要以事实为基础 不合格事实要得到受审核方确认 组内须相互沟通 保持统一意见 3 2首次会议 首次会议时间 地址及参加人员首次会议内容和程序人员介绍简明审核目的与范围重新陈述审核计划及人员安排落实后勤安排表明审核态度及原则保密性承诺 3 3审核方法 顺向追踪取证逆向追踪取证独立审核 部门审核 过程审核 按条款审核 注 审核的基本方法均采取抽样方式执行 3 3审核方法 顺向追踪取证 顺向追踪取证从影响信息安全的因素跟踪到结束 按照业务流程的自然顺序 从文件要求跟踪到执行记录 确保要求的和实施的一致 优点系统连贯性强 可确认系统衔接整体情况 缺点费时 审核单项花费时间较长 3 3审核方法 逆向追踪取证 逆向追踪取证从已形成的结果追溯到影响因素的控制 按照业务流程的逆向顺序 从现场记录查询到到文件要求 确保实施的和要求的一致 优点从结果找问题 针对性强 有利于发现问题 缺点问题复杂时不易理清 对审核的知识面要求较高 3 3审核方法 独立审核 独立审核 部门审核 以单个部门为中心 审核所涉及的相关职能业务 部门所涉及条款 优点节约时间 缺点缺乏系统性的衔接 可能存在疏漏 审核准备时需充分考虑相关因素 过程审核思路要清晰 审核组内部沟通要求高 3 3审核方法 过程审核 过程审核 部门审核 以过程为中心 一个过程要涉及多个部门 多个标准条款 优点系统性完整 全面 不易遗漏 缺点部门之间重复返往较多 费时 费事 对审核知识要求较高 3 4 1审核证据 证据获取原则 3 4 2审核证据 提问技巧 查阅过程文件记录观察现场情况现场或查阅过程提问交流现场测量验证 3 4 3审核证据 提问技巧 封闭式 主动简单的用 是与否 来询问 主要用于获取专门信息 例如 贵公司 组织 是否有信息安全管理手册 贵公司 组织 是否有任命管理者代表 贵公司 组织 是否有建立信息安全管理机构等 优点有主动权 省时 能把握重点 一针见血 缺点所获取的信息小 3 4 4审核证据 提问技巧 开放式 提问交流过程需要解释 主要用于获取全面信息 例如 贵公司 组织 有没有建立信息安全目标指标 如何管理 实施结果 是否满足计划要求 贵公司 组织 是否建立资产清单 如何评定重要资产 如何管理维护等 优点可获取信息面较广 缺点被动 过程可能会出现等待证据提供时间 3 4 5审核证据 开放式提问技巧 带主题问题 XX如何做 扩展性问题 为什么这样做 依据 讨论性问题 对询问问题过程表达个人观点 调查性问题 觉得怎么样 有什么想法 重复性问题 得到明确答案 假设性问题 如果 则 验证性问题 麻烦您拿出相应证据 3 4 6审核证据 提问技巧 澄清式 结合以上两项方法 用以获得更多专门的信息 例如 贵公司 组织 是否建立资产清单 想看看资产清单识别要求与文件要求是不是一致 识别范围怎么超出文件要求或识别范围不全面等 优点可获取更多专门信息 缺点带有个人主观导向 不能常用 3 4 7审核证据 案例1 审核员在现场发现 全公司都使用同一个口令来登录内部MIS系统 网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间 并且到目前为止也好像没发现有什么问题 大家也觉得挺方便 请问以上回答能否作为审核证据 理由 如果你是内审员你会怎么做 3 4 8审核证据 案例2 审核员从网络管理员那里了解到 防火墙在每个星期五早上都会定期失效 但查阅安全事件记录中却没有发现这些事件的记录 网络管理员解释说他早就知道这个问题了 所以没有必要再记录了 请问以上回答能否作为审核证据 理由 如果你是内审员你会怎么做 3 5不符合项报告 不符合项 未满足审核准则要求发现项 不符合项分类 按性质上分 体系性不符合实施性不符合效果性不符合按不符合程度分 观察项一般不符合严重不符合 3 5 1不符合项判定 观察项 不会对安全造成有意义的影响 可能有潜在影响的一种发现 例如 某部门在资产识别过程中 发现刚购置一台新设备 但未验收使用 所以识别时未将其列入资产清单中 一般不符合项信息安全管理体系的过程 程序或操作的轻微问题 偶然发生的不符合事项 例如 某工作人员因工作紧急 带入外部人员进入机房内处理异常事项 等各项工作完成后直接离去 但 机房管理办法 要求所有出入机房工作者必须进行登记 并注意进入工作内容 出入时间等 严重不符合项某个部门内与条款要求执行普遍失效某个条款在体系内审完全缺失 违反法律法规要求可导致重大信息安全即时发生或投诉不符合项长期得不到改进 三次验证后仍未改进 即可列为严重不符合 例如 某部门将其重要信息与普通信息存放一起 并未将重要信息执行备份 其工作人员说没时间 也很少用 为方便就混放到一起 但该部门文件明文件规定是分类存放并定期备份 3 5 2不符合项判定 3 5 3不符合项报告填写要求 核心内容准确描述观察事实 包括时间 地点 人物 不得用人名 用职务表述 何种情况等 不符合标准中哪个条款 不符合程度注意事项 语言表达必须简练 正确 完整 避免用 似乎 总的来说等 词语 3 5 4不符合案例练习 2010年2月1日 审核员到某公司进行ISMS评审 公司的备份管理程序要求每一个月对备份有效性进行全部评审 审核员抽查了公司备份计划定期审查表 发现日志备份在2010年1月25日时备份检查上描述 自动备份失效 审核员在现场发现有密钥文件清单 账户申请记录等信息资产 但审核员在公司的资产登记表没有找到这些信息资产 审核员从网络管理员那里了解到 防火墙在每个星期五早上都会定期失效 但查阅安全事件记录中却没有发现这些事件的记录 网络管理员解释说他早就知道这个问题了 所以没有必要再记录了 审核员在现场发现 全公司都使用同一个口令来登录内部MIS系统 网络管理员解释说主要是为了节省向公司50个用户分发和再次分发口令的时间 并且到目前为止也好像没发现有什么问题 大家也觉得挺方便 3 5 5不符合判定原则 从直接原因上找 就近不就远 慎判严重不符合 就小不就大 按事实不符合情况找对应条款 仅是文件过程文件要求 对部门没多大帮助的可以不提 应考虑不符合条款正确性 有利于改进部门采取纠正措施 3 5 6不符合模版 3 6末次会议目的 末次会议目的公布内部审核结果 宣布审核结论 提出改进要求 结束现场审核 感谢大家配合与支持 重申审核目的与范围 陈述审核的局限性 提交不符合报告 澄清审核过程不确认问题 提出采取纠正措施 对本次审核作出总结 宣读审核结论 注以上内容圴由审核组长主持 领导讲话