第五部分信息安全管理体系内部审核.ppt

ISMS内审员培训教程,SGS-CSTCStandardsTechnicalServicesCo.,Ltd.,第一部分信息安全基础知识及案例分析第二部分ISO27001标准正文部分详解ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分信息安全管理体系内部审核,课程内容,了解管理体系审核的基本概念掌握ISMS内部审核的流程掌握ISMS内部审核的方法和技巧,教学目标,主要内容,1、审核概论2、审核策划和准备3、现场审核活动的实施4、纠正措施及其跟踪5、ISMS评价,1.1定义为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程（ISO9000）1.2审核“成败”的关键系统的：正式、有序的审查活动独立的：保持审核的独立性和公正性,1审核概论,1.3审核的内容1、获得审核证据2、客观评价3、确定满足审核准则的程度1.4过程评价的四个基本问题1、过程是否已被识别并适当规定？2、职责是否已被分配？3、程序是否得到实施和保持？4、在实现所要求的结果方面，过程是否有效？,1审核概论,1.5审核的类型,组织,顾客,供方,认证/注册机构,第三方审核,(外部),第二方审核,第二方审核,第一方审核,(外部),(外部),(内部),1审核概论,1.6内部审核的目的,目的,主要依据：信息安全管理体系文件,外部审核前的准备,作为一种管理手段，是组织管理评审输入的重要内容,确保信息安全管理体系正常运行和改进的需要,1审核概论,1.7ISMS内审的时机、范围和频度按策划的时间间隔一般至少每年应覆盖ISMS所涉及部门、过程一次最初建立体系时频度可适当多一些特殊情况:发生严重信息安全问题或用户投诉组织机构、生产场所、信息安全方针目标等发生重大变化接受第二、第三方审核前,1审核概论,1.8ISMS内部审核的依据1、ISO27001:2005版标准2、信息安全管理手册3、程序文件4、信息安全策略5、有关的法律、法规6、其他信息安全管理文件,1审核概论,1.9ISMS内部审核的方式1、集中审核2、分散审核1.10ISMS审核的特点1、被审核的ISMS必须是正规的2、ISMS审核必须是一种正式的活动3、ISMS审核是一种抽样过程,1审核概论,1.11ISMS内部审核的一般顺序1、审核策划与审核准备2、现场审核实施与审核报告3、纠正措施的跟踪与汇总分析,1审核概论,领导重视是做好ISMS内部审核的关键信息安全经理要亲自抓ISMS内部审核工作ISMS内部审核工作需要一个职能部门来管理要组建一支合格的ISMS内部审核队伍ISMS内部审核需要一套正规的程序建立ISMS时应考虑ISMS内部审核工作,2ISMS内部审核的策划和准备,明确审核决定确定审核组文件审核编制审核计划编制检查表通知受审核部门并约定具体的审核时间,2ISMS内部审核的策划和准备,1、审核目的2、审核范围3、审核时间4、审核方式,2.1明确审核决定,1、审核人员的资格2、确保客观性和公正性3、专业能力4、审核组长：负责审核全过程及审核组管理工作5、审核员：在审核组长指导下进行审核,2.2确定审核组,目的：体系中所有过程是否被识别并适当规定；职责是否被分配；过程文件满足审核准则的程度对象：信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等审核准则：标准、合同及有关的法律、法规,2.3文件审核,时机：在现场审核前进行；作业指导书、质量计划、规范等可以在现场审核时进行；结论：符合标准及法规的要求；部分不符合要求；没有覆盖标准及法规的要求；注意事项：不仅要审核过程文件，还要审核过程之间的接口是否明确、协调,2.3文件审核,组织的大小和性质员工数量体系复杂性ISMS的范围涉及的地点数目信息类型-文件/电子等,2.4编制审核计划_要求考虑,审核目的审核范围审核准则审核组成员及其分工现场审核活动的日程安排必要的审核资源的配备其它(如审核时所用语言、保密承诺等)审核计划示例：,2.4编制审核计划_内容,NO.20080118-01审核时间:2008年1月18日1月19日审核目的:验证本公司的ISMS是否符合ISO27001:2005版以及公司ISMS文件的要求，ISMS是否得到有效实施，是否具备申请第三方ISO27001:2005认证注册的条件审核范围:ISMS所涉及的部门和过程审核依据:ISO27001:2005、公司信息安全管理手册（LXM01）第1版、有关的信息管理文件审核组成员:(组长)A；B；C；,公司ISMS内部审核计划,说明:对条款的审核还将结合其它条款的审核同时进行,公司ISMS内部审核计划,注：对以上人员和日程安排如有异议，请及时反馈。拟制：（组长）日期：批准：（信息安全经理）日期：,公司ISMS内部审核计划,一、检查表的作用1、明确与审核目标有关的样本2、使审核程序规范化3、按检查表的要求进行调查研究，可使审核目标始终保持明确4、保持审核进度5、作为审核记录存档6、减少重复的或不必要的工作量7、减少内审员的偏见和随意性,2.5编制检查表,二、检查表的内容1、列出审核项目的要点（确保完整）2、明确审核步骤和方法，进行抽样量的设计注：ISMS所涉及的过程和部门不能抽样，不同的类型不能抽样,2.5编制检查表,三、设计检查表的注意事项1、对照标准和ISMS文件2、部门与过程相对应3、选择典型的信息安全问题，抽样应有代表性4、注意逻辑顺序，明确审核步骤5、按部门编制的检查表要考虑涉及的条款，按条款编制的检查表要考虑涉及的部门6、常见问题：陈述句变疑问句；只列出审核项目，忽略审核方法和抽样量的设计；仅依据标准，不符合实际,2.5编制检查表,四、运用检查表的注意事项1、自己掌握，没必要披露2、不要照本宣科3、不要拘泥于检查表五、检查表举例,2.5编制检查表,2.5编制检查表,五、检查表举例,2.5编制检查表,五、检查表举例,3.1审核过程的控制3.2首次会议3.3审核方法3.4审核证据3.5不合格项报告3.6汇总分析3.7末次会议3.8审核报告,3现场审核活动的实施,一、审核计划的控制二、审核活动的控制1、样本策划合理2、辩识关键过程3、评定主要因素4、重视控制结果5、注意相关影响6、营造良好的审核气氛,3.1审核过程的控制,三、审核结果的控制1、合格或不合格要以事实为基础2、不合格事实要得到受审核方确认3、道听途说不能作为证据4、组内要相互沟通，统一意见,3.1审核过程的控制,一、首次会议的内容和程序1、人员介绍2、说明审核目的和范围3、审核计划的确认4、落实后勤安排5、阐明一些重要的问题6、有关审核原则的强调7、澄清一些问题二、首次会议的时间、地点及参加人员,3.2首次会议,审核方式方法：如何抽样查证1、顺向追踪2、逆向追踪3、部门审核4、过程审核,3.3审核方法,审核的基本方法:抽样,顺向追踪：从影响信息安全的因素跟踪到结束按照业务流程的自然顺序从文件跟踪至实施记录优点：系统性强，可观察接口缺点：较费时,3.3审核方法,逆向追踪：从已形成的结果追溯到影响因素的控制按照业务流程的逆向顺序从现场记录追溯到体系文件的规定优点：从结果找原因，针对性强；有利于发现问题缺点：问题复杂时不易理清（对审核员技术要求高）,3.3审核方法,部门审核：以部门为中心进行一个部门要涉及多个标准条款以部门的主要职能为主线，涉及相关的职能优点：节约审核时间缺点：可能有疏漏，审核准备时要充分考虑相关因素，审核过程中思路要清晰，审核组内部沟通要求高,3.3审核方法,过程审核：以过程为中心进行一个过程要涉及多个部门、多个标准条款要求优点：完整、不易遗漏缺点：部门地点重复往返多，费事；对审核员要求高,3.3审核方法,过程方法的审核思路：建立过程审核的观念，从过程的策划查到过程的实施及效果（PDCA逻辑结构）：过程的目标过程的策划过程的实施测量监控持续改进,3.3审核方法,1、审核证据的定义(ISO90003.9.4):与审核准则有关的并且能够证实的记录、事实陈述或其他信息。注:审核证据可以是定性或定量的。2、在审核中应分清什么可以作为审核证据,什么不可以作为审核证据。,3.4审核证据,可作审核证据存在的客观事实或情况部门负责人或当事人谈话（并有其他实物旁证）现行有效文件（审核当前的信息安全活动）和有效的信息安全记录,不可作审核证据估计、猜想、分析、推断陪同人员或其他无关人员谈话、传闻过期的或作废的文件，擅自涂改的信息安全记录，未经证实的新闻报道,3.4审核证据,案例：星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会，主要讨论一宗大订单的详细规范。在他去李飞办公室的路上，遇到了事故，受了重伤。李飞接到张三出事的消息时，张三已被送往医院做X光透视。李飞给医院打电话想问一下情况，但好象没有人知道张三的任何情况，很可能李飞打错了医院的电话。,3.4审核证据,请问以下陈述是否正确：张三是一位工程师。张三要去见李飞。张三要去参加的会定在上午10点钟开。该事故发生在星际公司。张三被送到了医院做X光透视。李飞打电话询问的医院里没有人知道张三的任何事。李飞打错了医院的电话。,3.4审核证据,审核证据的获得方法查阅文件和记录现场观察提问与交流实际测定,3.4审核证据,提问的技巧封闭式：可用简单的“是”或“否”回答用以获取专门的信息有主动权，但信息量小开放式：答案需要解释或表达可获得较大的信息量被动，有时会浪费时间澄清式：用以获得更多的专门信息或确认已获得的信息，带有主观导向，不能经常用,3.4审核证据,开放式提问的技巧：带主题的问题什么是如何做？扩展性的问题为什么、如何、怎样？讨论性的问题说出个人见解调查性的问题觉得怎样、有什么想法重复性的问题得到明确的答案假设性的问题如果则验证性的问题请拿出证据、在哪儿,3.4审核证据,观察的技巧：是否符合正常作业所需的环境条件审核现场人员的工作状态是否符合信息安全规定要求资产、设备的状态过程的记录面谈人员的神态,3.4审核证据,随时记录审核过程情况时间、地点访问、调查的对象见证人观察（表格、文件、记录、编写等）到的实施,3.4审核证据,一、不合格项：未满足审核准则要求二、不合格项分类1、按性质分类a.体系性不合格b.实施性不合格c.效果性不合格2、按严重程度分类a.严重不合格b.一般不合格,3.5不合格项报告,严重某个部门内，与之相关条款要求执行的普遍失效某个条款要求在体系内部完全缺失违反相关法律法规要求可导致重大信息安全即时事故或顾客投诉的事项不执行一个以上所需要的体系要素（CH4-8任一条要求或ISMS方针和程序）一般不符合项若持久稳固的存在，则可作为重大不符合项轻微信息安全管理体系的过程、程序或操作的轻微的问題偶然发生的不符合事项如出现的记录不完整，或容易改正的个别缺陷观察项：不会对信息安全造成有意义的影响，可能有潜在影响的一种发现,、不符合性分类及判定,3.5不合格项报告,不符合事实描述的要求：1.准确地描述观察到的事实，包括时间地点人物（用职务职称而不用人名）何种情况等。2.使其有重查性和可追溯性。3.简明精炼，抓住核心的不符合加以提炼。4.对统计数据要有分析和归纳，不要遗漏任何有益信息。5.观点结论要从描述中自然流露，不要光写结论，不写事实。,3.5不合格项报告,不符合事实例举：不好的描述：xx部门少数借阅记录有乱写乱画现象。好的描述：xx部门xx信息借阅登记薄在2007年9月18日的借阅记录上不能辨识借阅人和批准人。,3.5不合格项报告,三、不合格报告1、核心内容a.不符合事实描述时间、地点、人物、细节尽量具体；无关的内容不填写b.理由:哪一点做错了?c.不符合标准哪一条款?d.严重程度2、总要求清楚、正确、全面、简练,3.5不合格项报告,3、应避免的词语似乎好象总的说来曾经有人说过4、用下一页的表格学员进行“不符合项书写”5、分组进行“不符合项案例”分析,3.5不合格项报告,公司内部ISMS审核不合格报告,报告编号：200001180101,3.5不合格项报告,5、判定原则就近不就远（从直接原因上找）就小不就大（慎判严重不合格）应对被审核部门有帮助（仅是从文件到文件，对部门提高信息安全管理水平帮助不大，可以不提）有利于被审核部门采取纠正措施（应考虑条款的正确性）按不合格的结果或事实找对应条款（不应按不合格事实去推测其可能的原因）,3.5不合格项报告,一、末次会议的目的1、向受审核方领导介绍审核观察结果2、宣布审核结论3、提出下面的要求（跟踪、监督）4、结束现场审核二、末次会议的内容1、感谢2、重申审核的目的和范围3、讲清审核的局限方面4、提交不合格报告,3.6末次会议,5、澄清疑问6、提出采取纠正措施要求7、对本次审核作出总结8、宣读审核结论9、受审核方领导讲话三、末次会议的时间、地点及参加人员,3.6末次会议,一、对不符合项从体系性、实施性和效果性来进行分析二、从不符合项发展的历史和趋势进行分析三、总结受审核部门信息安全管理工作的优点四、从部门的角度进行分析五、从过程或条款的角度进行分析,3.7汇总分析,一、审核目的和范围二、审核组成员和受审核部门三、审核日期四、审核依据五、审核情况的概述六、不合格项分布表（不合格项报告作为附件）七、ISMS有效运行的结论性意见八、审核报告的分发清单,3.8审核报告,内审总结报告,编号：,3.8审核报告,3.8审核报告,一、纠正措施的定义二、纠正措施的几个方面1、补救方面的针对问题2、原因