第五部分：信息安全管理体系内部审核！.ppt

ISMS内审员培训教程 课程内容 第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核 教学目标 了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧 1.6 内部审核的目的 1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件 1.9 ISMS内部审核的方式 1、集中审核 2、分散审核 1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程 1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析 1、审核目的2、审核范围3、审核时间4、审核方式 二、检查表的内容 1、列出审核项目的要点（确保完整） 2、明确审核步骤和方法，进行抽样量的设计 注：ISMS所涉及的过程和部门不能抽样，不同 的类型不能抽样 1、审核证据的定义(ISO 9000 3.9.4): 与审核准则有关的并且能够证实的记录、 事实陈述或其他信息。 注:审核证据可以是定性或定量的。 2、在审核中应分清什么可以作为审核证据,什么不可以作为审核证据。 可作审核证据 存在的客观事实或情况 部门负责人或当事人谈话（并有其他实物旁证） 现行有效文件（审核当前的信息安全活动）和有效的信息安全记录 不可作审核证据 估计、猜想、分析、推断 陪同人员或其他无关人员谈话、传闻 过期的或作废的文件，擅自涂改的信息安全记录，未经证实的新闻报道 案例： 星际公司的一位设计工程师张三被通知上午10点钟到李飞的办公室开会，主要讨论一宗大订单的详细规范。在他去李飞办公室的路上，遇到了事故，受了重伤。李飞接到张三出事的消息时，张三已被送往医院做X光透视。李飞给医院打电话想问一下情况，但好象没有人知道张三的任何情况，很可能李飞打错了医院的电话。 请问以下陈述是否正确： 张三是一位工程师。 张三要去见李飞。 张三要去参加的会定在上午10点钟开。 该事故发生在星际公司。 张三被送到了医院做X光透视。 李飞打电话询问的医院里没有人知道张三的任何事。 李飞打错了医院的电话。 审核证据的获得方法 查阅文件和记录 现场观察 提问与交流 实际测定 提问的技巧 封闭式：可用简单的“是”或“否”回答 用以获取专门的信息 有主动权，但信息量小 开放式：答案需要解释或表达 可获得较大的信息量 被动，有时会浪费时间 澄清式：用以获得更多的专门信息或确认已获得 的信息，带有主观导向，不能经常用 开放式提问的技巧： 带主题的问题－－什么是如何做？ 扩展性的问题－－为什么、如何、怎样？ 讨论性的问题－－说出个人见解 调查性的问题－－觉得怎样、有什么想法 重复性的问题－－得到明确的答案 假设性的问题－－如果…则… 验证性的问题－－请拿出证据、在哪儿 观察的技巧： 是否符合正常作业所需的环境条件 审核现场人员的工作状态 是否符合信息安全规定要求 资产、设备的状态 过程的记录 面谈人员的神态 随时记录审核过程情况 时间、地点 访问、调查的对象 见证人 观察（表格、文件、记录、编写等）到的实施 ３、不符合性分类及判定 审核案例1 必须的文件 ISMS方针文件，包括ISMS的范围 风险评估程序 风险处理程序 文件控制程序 记录控制程序 内部审核程序 纠正措施与预防措施程序 控制措施有效性的测量程序（4.3.1 i）） 适用性声明 管理评审程序 其它的文件 审核案例2 总 结 一、纠正措施的定义 二、纠正措施的几个方面 1、补救方面的——针对问题 2、原因分析 3、永久性的——防止再次发生 4、确定纠正措施的期限 4 纠正措施及其跟踪 纠正措施的跟踪和验证 时机：按纠正措施确定的时间 实施者：内审员/审核组长/管理者代表 验证的内容： 计划是否按规定日期完成 计划中的各项措施是否都已完成 完成后的效果如何 实施情况是否可查 如引起文件的修改，是否按文件控制要求 进行文件更改控制，现行文件是否实施 4 纠正措施及