信息安全管理体系ISMS内审员培训教材
- 格式:ppt
- 大小:2.15 MB
- 文档页数:58
文档推荐
-
信息安全管理体系培训 PPT页数:32
-
信息安全管理体系页数:77
-
B-中国移动网络与信息安全体系培训教材页数:7
-
信息安全管理体系建设页数:10
-
信息安全管理规范培训资料页数:28
下载文档原格式
合集下载
信息安全管理体系(ISMS)培训PPT
5
第一部分 ISMS体系概念综述
• 1.1 ISMS概念
• 1.2 ISMS定位 • 1.3 ISMS方法 • 1.4 ISMS过程 • 1.5 ISMS内容 • 1.6 ISMS关键 • 1.7 ISMS全貌
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
6
1
信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
(ICT)。
2009年12月28日 信息安全国家标准宣贯培训之信息安全管理体系(ISMS)
11
1.1 ISMS概念
• 信息(续)
– 信息系统(续)
• 计算机信息系统定义:“由计算机及其相关的和配套 的设备、设施(含网络)构成的,按照一定的应用 目标和规则对信息进行采集、加工、存储、传输、 检索等处理的人机系统。” (引自《中华人民共和国 计算机信息系统安全保护条例》[国务院令第147号 1994年2月18日]第二条)
16
1.1 ISMS概念
• 管理(续)
– 管理定义:通过规划、组织、领导、沟通和控 制等环节来协调人力、物力、财力等资源,以 期有效达成组织目标的过程。
– 管理特征:在群体活动中,在特定环境下,针 对给定对象,遵循确定原则,运用恰当方法, 按照规定程序,利用可用资源,进行一组活动 (包括规划、组织、指导、沟通和控制等), 完成各项任务,评价执行成效,实现既定目标。
14
1.1 ISMS概念
• 安全(Security/Safety)
– 任何有价值的事物(即资产)都存在安全问题。 – 两个近似的安全概念:“Security”和“Safety”。 – Security:事物保持不受损害的一种能力属性。 – Safety:事物处于不受损害的一种状态属性。
ISO27001信息安全管理体系培训基础知识课件
研究并征求意见阶段; • ISO/IEC 27004 信息安全管理度量和改进,正在委员会草案阶段; • ISO/IEC 27005 信息安全风险管理指南,以2005年底刚刚推出的BS
7799-3为准。
ISO27001信息安全管理体系培训基础知识
ISMS介绍-- ISO/IEC27001信息
安全管理体系与其它体系兼容性
ISM并S定控期评制审;大项说明
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
什么是信息
什么是信息
信息通常指消息、情报、数据和知识等,在 ISO/IEC27001标准中信息是指对组织具有重要价值, 可以通过多媒体传递和存储的一种资产。
ISO27001信息安全管理体系培训基础知识
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
ISO/IEC27000族
27000 --信息安全管理体系 综述与术语 27001-信息安全管理体系 要求 27002--信息安全管理体系 实践规范 27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量 27005--信息安全管理体系信息安全风险管理 27006--信息安全管理体系认证机构要求 27007信息安全管理体系 审核指南
7799-3为准。
ISO27001信息安全管理体系培训基础知识
ISMS介绍-- ISO/IEC27001信息
安全管理体系与其它体系兼容性
ISM并S定控期评制审;大项说明
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
什么是信息
什么是信息
信息通常指消息、情报、数据和知识等,在 ISO/IEC27001标准中信息是指对组织具有重要价值, 可以通过多媒体传递和存储的一种资产。
ISO27001信息安全管理体系培训基础知识
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
ISO/IEC27000族
27000 --信息安全管理体系 综述与术语 27001-信息安全管理体系 要求 27002--信息安全管理体系 实践规范 27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量 27005--信息安全管理体系信息安全风险管理 27006--信息安全管理体系认证机构要求 27007信息安全管理体系 审核指南
ISMS内审员培训课件58页PPT
2007年05月18日 17:12:00 来源:新华网 新华网北京5月18日专电(记者顾洪洪)诺顿误杀导致操作系统 崩溃,数以百万计的电脑面临灭顶之灾。5月18日,瑞星发布红 色安全警报称:赛门铁克公司提供的诺顿杀毒软件在升级病毒库后, 会把Windows XP系统的关键系统文件当作病毒清除,重 启后系统将会瘫痪。瑞星公司表示,截至18日中午12点已有超 过7000名个人用户和近百家企业用户向瑞星客户服务中心求助, 更多用户由于系统繁忙无法打入电话。
16
COSO
各种概念
ISO13335
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
17 Slide 17, rev 0
Quality Systems & Mgmt. Frameworks
35
案例二
winny是在日本广受欢迎的一款网络文件交换软件, 用户可用它在网上检索感兴趣的电影、音乐和游戏等文件, 如果在其他winny用户电脑的共享文件夹中找到了需要的 文件,就可以随心所欲地下载。
该软件于2002年12月问世,可以从网上免费下载。使 用以往的软件交换文件需要通过服务器,而winny支持电脑 间不经由服务器直接交换数据。winny基于自由网模式,用 户的IP地址是保密的,同时它能有效突破防火墙。
被判处有期徒刑12年,剥夺政治权利2年,罚款5万元。
32
案例一剖析
原因
➢ 程有特权帐户和密码 ➢ 承包商未对系统特权帐户善后
➢ 客户系统管理员未审计日志 ➢ 加密方法简单
16
COSO
各种概念
ISO13335
ISO15408/CC
CMM/CMMI
SCAMPI (Standard CMMI Appraisal Method for Process Improvement)
BCM/BS25999
ITIL ISO9001
17 Slide 17, rev 0
Quality Systems & Mgmt. Frameworks
35
案例二
winny是在日本广受欢迎的一款网络文件交换软件, 用户可用它在网上检索感兴趣的电影、音乐和游戏等文件, 如果在其他winny用户电脑的共享文件夹中找到了需要的 文件,就可以随心所欲地下载。
该软件于2002年12月问世,可以从网上免费下载。使 用以往的软件交换文件需要通过服务器,而winny支持电脑 间不经由服务器直接交换数据。winny基于自由网模式,用 户的IP地址是保密的,同时它能有效突破防火墙。
被判处有期徒刑12年,剥夺政治权利2年,罚款5万元。
32
案例一剖析
原因
➢ 程有特权帐户和密码 ➢ 承包商未对系统特权帐户善后
➢ 客户系统管理员未审计日志 ➢ 加密方法简单
ISMS内审员培训教材
2.3 文件审核
时机 ➢ 在现场审核前进行。注:信息安全管理体系管理制度、办法、
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 内部审核计划
2.4 审核检查表的作用
如果你是内审员你会怎么做?
3.5.1 不符合项判定
观察项:不会对安全造成有意义的影响,可能有潜在影响的 一种发现。
例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用, 所以识别时未将其列入资产清单中。
一般不符合项 ➢ 信息安全管理体系的过程、程序或操作的轻微问题; ➢ 偶然发生的不符合事项。
明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
2.5 审核检查表举例
2.5 审核检查表举例
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。
3.5.4 不符合案例练习
2010年2月1日,审核员到某公司进行ISMS评审。公司的备份管理程序要 求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定 期审查表,发现日志备份在2010年1月25日时备份检查上描述“自动备份 失效”。
审核员在现场发现有密钥文件清单、账户申请记录等信息资产,但审核 员在公司的资产登记表没有找到这些信息资产。
ISMS内审员培训教程
ISMS内审员培训教程ISMS内审员培训教程引言:随着信息化的日益普及和信息安全问题的日益突出,越来越多的企业开始关注信息安全管理体系(Information Security Management System,简称ISMS)的建立和运行。
ISMS是一种管理企业信息安全的体系,并且可以帮助企业评估和监控信息安全相关的风险。
为了保证ISMS的有效运行,企业需要进行内部审核以发现和纠正潜在问题。
本文将介绍ISMS内审员培训的基本内容和步骤,以帮助人们了解如何有效地进行ISMS内审。
一、ISMS内审员的角色和职责ISMS内审员是负责对ISMS体系进行内部审核的人员。
他们需要具备相关的知识和技能,熟悉ISMS的要求和标准,能够独立进行内部审核并提出改进建议。
ISMS内审员的职责包括:1. 审核企业的ISMS文件和记录,确保他们符合ISMS标准的要求。
2. 检查企业的信息安全实践,发现和纠正潜在问题。
3. 提供关于信息安全的建议和培训,帮助企业提高信息安全管理水平。
4. 撰写内审报告,总结审核结果和提出改进建议。
二、ISMS内审员的培训内容ISMS内审员的培训内容应该包括以下几个方面:1. ISMS标准的理解:内审员需要深入了解ISMS标准,包括其背景、目的和要求。
他们应该熟悉ISO 27001标准,了解其适用范围、结构和关键要素,以及与其他管理系统标准(如ISO 9001和ISO 14001)的关系。
2. 内审技巧和方法:内审员需要掌握一些基本的内审技巧和方法,例如面试和观察等。
他们还需要了解如何规划和执行内部审核,并撰写相关的审核报告。
3. 信息安全风险评估:内审员应该了解信息安全风险评估的基本原理和方法。
他们需要学习如何识别和评估信息安全风险,并提出相应的控制措施。
4. 改进和持续改进:内审员应该了解改进和持续改进的重要性,并学习一些改进工具和方法,例如PDCA循环和5W1H分析法。
三、ISMS内审员的培训步骤ISMS内审员的培训应该按照以下步骤进行:1. 确定培训目标和需求:确定内审员的培训目标和需求,了解他们当前的知识水平和经验,并根据此设定培训计划。
iso27001文件-ISMS内审员培训之信息安全 (恢复)
������注意倾听适当引导;仔细观察(标识、记录、文件、 设备和环境);作好记录(时间、地点、人物、事实、 凭证材料)善于全面比较获取客观证据。
2020/1/10
6
3. 审核内容
3.1 信息安全管理体系标准(ISO27001:2005) 3.2 信息安全管理体系(ISMS)与审核内容
2020/1/10
7
3.1 信息安全管理体系标准
管理体系标准 :
国际化标准组织(ISO)参考西方各国管理标准特别是国际知名 公司管理流程制定管理规范
目前流行的管理体系标准
• 质量管理体系 QMS
• 环境管理体系 EMS • 职业安全卫生管理体系
ISO/IEC 9001:2000等 ISO/IEC14000
OHSAS18000
2020/1/10
3.2 信息安全管理体系与审核内容
审核内容
3.资产管理:识别公司所有需要保护的信息资产(信息以及信息的 承载体硬件资产)并对其进行价值和风险评估,为制定安全措施提 供依据。
我们主要从部门对设备的管理和对资产的风险评估审查,是否有清晰的资 产列表(台帐),对资产是不是做过相应风险评估, 4.人员安全管理:从人员招聘、在职、离职三方面审核人员的安全管理,审 查部门重要岗位的人员在招聘的时候是否有背景调查、在职的培训情况、 离职后安全管控。
2020/1/10
14
谢谢!
2020/1/10
人力行政部、质量运营管理部、客户服务部、研发 中心(一、二、三、技术管理部) ➢ 不符合报告 ➢ 末次会议(2008年11月13日下午17:00-17:30) ➢ 审核报告
2020/1/10
5
2.审核流程、方法
审核方法 ➢ 询问、交谈、查文件或记录; ➢ 观察现场或活动; ➢ 实际测定和效果验证。
2020/1/10
6
3. 审核内容
3.1 信息安全管理体系标准(ISO27001:2005) 3.2 信息安全管理体系(ISMS)与审核内容
2020/1/10
7
3.1 信息安全管理体系标准
管理体系标准 :
国际化标准组织(ISO)参考西方各国管理标准特别是国际知名 公司管理流程制定管理规范
目前流行的管理体系标准
• 质量管理体系 QMS
• 环境管理体系 EMS • 职业安全卫生管理体系
ISO/IEC 9001:2000等 ISO/IEC14000
OHSAS18000
2020/1/10
3.2 信息安全管理体系与审核内容
审核内容
3.资产管理:识别公司所有需要保护的信息资产(信息以及信息的 承载体硬件资产)并对其进行价值和风险评估,为制定安全措施提 供依据。
我们主要从部门对设备的管理和对资产的风险评估审查,是否有清晰的资 产列表(台帐),对资产是不是做过相应风险评估, 4.人员安全管理:从人员招聘、在职、离职三方面审核人员的安全管理,审 查部门重要岗位的人员在招聘的时候是否有背景调查、在职的培训情况、 离职后安全管控。
2020/1/10
14
谢谢!
2020/1/10
人力行政部、质量运营管理部、客户服务部、研发 中心(一、二、三、技术管理部) ➢ 不符合报告 ➢ 末次会议(2008年11月13日下午17:00-17:30) ➢ 审核报告
2020/1/10
5
2.审核流程、方法
审核方法 ➢ 询问、交谈、查文件或记录; ➢ 观察现场或活动; ➢ 实际测定和效果验证。
ISMS内审员培训教程70页PPT
1 审核概论
1.3 审核的内容 1、获得审核证据 2、客观评价
3、确定满足审核准则的程度
1.4 过程评价的四个基本问题
1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持?
4、在实现所要求的结果方面,过程是否有效?
5
1 审核概论
1.5 审核的类型
第一方审核 (内部)
1、明确与审核目标有关的样本 2、使审核程序规范化
3、按检查表的要求进行调查研究,
可使审核目标始终保持明确 4、保持审核进度
5、作为审核记录存档
6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
23
2.5 编制检查表
二、检查表的内容 1、列出审核项目的要点(确保完整) 2、明确审核步骤和方法,进行抽样量的设计 注:ISMS所涉及的过程和部门不能抽样,不同
与审核准则有关的并且能够证实的记录、
事实陈述或其他信息。 注:审核证据可以是定性或定量的。
2、在审核中应分清什么可以作为审核证据,什么不可以 作为审核证据。
39
3.4 审核证据
可作审核证据
存在的客观事实或情况
部门负责人或当事人谈话(并有 其他实物旁证)
现行有效文件(审核当前的信息安 全活动)和有效的信息安全记录
2
主要内容
1、审核概论
2、审核策划和准备 3、现场审核活动的实施
4、纠正措施及其跟踪
5、ISMS评价
3
1 审核概论
1.1 定义
为获得审核证据并对其进行客观的评价,以确 定满足审核准则的程度所进行的系统的、独立的 并形成文件的过程
(ISO 9000)
1.2 审核“成败”的关键
ISMS审核员培训教程
ISMS审核员培训教程ISMS(信息安全管理体系)是指一个组织针对信息资产的保护,建立起来的一套管理体系。
ISMS审核员扮演着重要的角色,他们负责对组织的信息安全管理体系进行审查和评估,以验证其有效性和合规性。
因此,对ISMS审核员进行培训是非常必要和重要的。
1.信息安全概述:培训教程的第一部分应该是关于信息安全的概述。
这部分应该涵盖信息安全的基本概念、定义和目标。
同时,也需要介绍信息安全管理体系和其在组织中的重要性。
3.ISMS审核原理及流程:ISMS审核员应了解审核的原理和流程。
培训教程应该介绍审核的目的、类型和方法。
此外,还应详细说明审核的准备工作、审核的执行和审核报告的编写。
4.审核技巧和工具:ISMS审核员培训教程还应涵盖审核技巧和工具。
这包括面试技巧、文件审查技巧、观察技巧等。
此外,还应介绍一些常用的审核工具,如审核计划、检查清单和评估报告模板。
5.风险评估和改进:培训教程的最后一部分应专注于风险评估和改进措施。
ISMS审核员应了解如何进行风险评估,包括风险识别、风险评估和风险处理。
此外,还应学习如何分析审核结果,并提出改进措施以加强ISMS的有效性。
除了以上关键部分,ISMS审核员培训教程还应包括案例分析和实践操作。
案例分析可以帮助审核员理解实际应用ISMS的场景和挑战。
实践操作可以通过模拟审核场景和模拟报告编写来提高审核员的实际操作能力。
一个完整的ISMS审核员培训教程应该是全面的、系统的,旨在帮助审核员掌握信息安全管理体系的知识和技能。
通过培训,审核员将能够更好地理解ISMS标准和审核原则,并能够有效地执行ISMS审核工作,从而为组织的信息安全提供有力的支持。
ISMS内审员培训课件
ISMS内审员培训课件1. 导言1.1 内审培训的目的•了解信息安全管理体系(ISMS)的基本概念和原则•掌握ISMS内审的基本知识和技能•培养内审员的判断力和决策能力1.2 培训大纲1.导言2.ISMS的基本概念3.ISMS的原则4.ISMS内审的概述5.ISMS内审员的要求6.内审的准备工作7.内审的执行8.内审的报告与跟进9.培训总结2. ISMS的基本概念2.1 信息安全管理系统的定义•信息安全管理系统(ISMS)是一个综合性的管理体系,用于保护组织的信息资产和信息系统免受未授权访问、使用和破坏的风险。
2.2 ISMS的目标•提供信息资产的机密性、完整性和可用性的保证•满足法律、法规和合同等相关要求•防止信息资产的丢失或泄露•提高信息系统的安全性和可靠性•增强组织的声誉和竞争力3. ISMS的原则ISMS是基于以下几个原则来构建和运作的:3.1 组织的承诺•高层管理必须对信息安全给予足够的重视并提供所需的资源和支持。
3.2 安全风险管理•组织应该对信息资产进行风险评估和处理,确保其安全性。
3.3 公司安全文化•全员参与信息安全工作,建立公司安全文化,提高员工的安全意识和行为。
3.4 组织的持续改进•组织应该不断改进ISMS的运作,修订和更新相关文件和程序。
4. ISMS内审的概述4.1 ISMS内审的定义•ISMS内审是指独立的、客观的评估组织的ISMS是否符合相关要求的过程。
4.2 内审的目的•评估ISMS的有效性和合规性•提供改进建议和意见•辅助组织达到信息安全目标4.3 内审的原则•审核人员必须客观、独立、公正、保密•内审必须基于证据和事实•内审必须按照ISMS内审程序进行5. ISMS内审员的要求5.1 知识和技能要求•熟悉ISO 27001等相关标准•具备一定的信息安全知识和经验•掌握内审的方法和技巧5.2 个人素质要求•具备较好的沟通和表达能力•具备批判性思维和分析能力•具备独立工作和抗压能力6. 内审的准备工作6.1 制定内审计划-明确内审的时间和地点 -确定内审的范围和目标 -明确内审的方法和程序6.2 内审员的选择•确定内审员的资格和经验•分配内审员的任务和职责6.3 收集必要的文件和记录•收集和审核ISMS文件和记录•准备内审所需的工具和模板7. 内审的执行7.1 进行初步会议•介绍内审目的和范围•预先通知相关人员参与内审7.2 进行实地检查•检查信息资产和信息系统的实际情况•对照ISMS要求进行验证和评估7.3 进行文件审核•检查ISMS文件和记录的合规性和有效性•提出改进建议和意见8. 内审的报告与跟进8.1 编写内审报告•汇总内审的发现和意见•分析和评估ISMS的有效性和合规性8.2 提出改进措施•根据内审的结果提出改进建议•确定改进措施的责任人和时限8.3 跟进改进措施的执行•监督和检查改进措施的实施情况•定期检查ISMS的有效性和合规性9. 培训总结9.1 培训回顾•回顾培训内容和目标•检查培训效果和满意度9.2 培训总结和展望•总结培训的收获和经验•展望未来的ISMS内审工作以上就是ISMS内审员培训课件的大纲和要点,希望能对大家的学习和工作有所帮助。
ISMS内审员培训课程第二部分:ISO 27001标准附录A详解
4
A.5 安全方针
目标:依据业务要求和相关法律法规提供管理指导并支
持信息安全。
信息安全方针文件 信息安全方针的评审
方
针 (例)
信息安全,人人有责 信息安全是赢得客户 的基础,无破坏零损 失是我们的终极目标
为保护本公司的相关信息资 产,包括软硬件设施、数据 、信息的安全,免于因外在 的威胁或内部人员不当的管 理遭受泄密、破坏或遗失等 风险,特制订本政策,以供 全体员工共同遵循。
34
A.10.3 系统规划和验收
目标:将系统失效的风险降至最小。
容量管理 系统验收
35
A.10.3.1 容量管理
控制措施:
资源的使用应加以监视、调整,并作出对于 未来容量要求的预测,以确保拥有所需的系 统性能。
A.10.3.2 系统验收
控制措施:
应建立对新信息系统、升级及新版本的验收 准则,并且在开发中和验收前对系统进行适 当的测试。
25
A.9.1安全区域
目标:防止对组织场所和信息的未授权物理访问、
损坏和干扰。
物理安全周边
物理入口控制
办公室、房间和设施的安全保护 外部和环境威胁的安全防护 在安全区域工作 公共访问、交接区安全
26
A.9.1.1
物理安全周边
控制措施:
应使用安全周边(诸如墙、卡控制的入口或有人管理的接待台等屏障 )来保护包含信息和信息处理设施的区域。
控制措施:
应确保第三方实施、运行和保持在第三方服 务交付协议中的安全控制措施、服务定义和 交付水准。
A.10.2.2 第三方服务 监控和评审
控制措施:
应定期监视和评审由第三方提供的服务、报 告和记录,审核也应定期执行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度 按计划时间间隔; 一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
1.纠正措施计划是 否按规定限期完成 2.计划中各项措施 是否都已完成 3.完成后的效果如 何 4.实施情况是否可 查 5整体验证评价
2 审核策划与准备
明确审核决定 确定审核组 文件审核 编制审核计划 编制审核检查表 发布审核通知
2.1 明确审核决定
审核目的--确保信息安全管理体系建立、实施、运行、保持和 改进活动的有效性与符合性
不符合项:未满足审核准则要求发现项。 不符合项分类:
按性质上分: • 体系性不符合 • 实施性不符合 • 效果性不符合 按不符合程度分: • 观察项 • 一般不符合 • 严重不符合
3.5.1 不符合项判定
观察项:不会对安全造成有意义的影响,可能有潜在影响的 一种发现。
例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用, 所以识别时未将其列入资产清单中。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制; 按照业务流程的逆向顺序; 从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
3.3 审核方法--独立审核
3.4.4 审核证据—提问技巧
开放式:提问交流过程需要解释。主要用于获取全面信 息,例如:
贵公司(组织)有没有建立信息安全目标指标,如何管 理,实施结果,是否满足计划要求;
贵公司(组织)是否建立资产清单,如何评定重要资产, 如何管理维护等。
优点 可获取信息面较广。 缺点 被动,过程可能会出现等待证据提供时间。
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织、过程、活动或领域 的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核经历及 能够一个人作为审核员被委派所需要证实的能力的组合 。
注1:审核组的一个或多个人通常是合格审核员,并且其中之一通常被任命为审核组长。审核 组可包括接受培训的审核员。在需要时可包括技术专家。
注2:观察员可以陪同审核组,但不作为成员。
审核员--被委派实施审核的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
1.2审核概论--有关审核术语与定义
时机 在现场审核前进行。注:信息安全管理体系管理制度、办法、
计划及指导书等可以在现场审核时进行。 结论 符合标准及法规要求; 部份不符合要求; 未覆盖标准及法规要求。 注意事项 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做? 扩展性问题--为什么这样做,依据? 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样,有什么想法? 重复性问题--得到明确答案? 假设性问题--如果…则…? 验证性问题--麻烦您拿出相应证据?
的逐级审核报告。
2 审核策划与准备—审核流程图
审核策略与审核 准备
审核实施
不符合项纠正及 效果跟踪
1.明确审核决定 2.确定审核组 3.熟悉审核文件 4.编制审核计划 5.编制审核检查表 6.发出审核通知
1.审核过程控制 2.首次会议 3.审核方法 4.审核证据 5.不合格项报告 6.汇总分析 7.末次会议 8.审核报告
审核范围--信息中心业务及物理边界本部8楼 审核时间--待定 审核方式--例如:建议采取集中式审核
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。
审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
审核组长—负责审核全过程及审核组管理工作。 审核员—在组长的审核安排下实施审核。
3.3 审核方法
顺向追踪取证 逆向追踪取证 独立审核(部门审核) 过程审核(按条款审核) 注:审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束; 按照业务流程的自然顺序; 从文件要求跟踪到执行记录,确保要求的和实施的一致。 优点 系统连贯性强,可确认系统衔接整体情况。 缺点 费时(审核单项花费时间较长)。
2.3 内部审核计划
2.3 内部审核计划
注:对以上审核日程及人员安排如有异议,请及时反馈。
拟制/日期:审核组长
批准/日期:信息安全领导小姐
组长
2.4 审核检查表的作用
明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制 首次会议 审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制 审核活动的控制 抽样合理(一到三个) 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛
2.5 编制审核检查表原则
对照标准和ISMS文件编制 部门与过程相对应 选择典型的信息安全问题,抽样应有代表性。 注意逻辑顺序,明确审核步骤。 按部门编写的检查表要考虑涉及条款,按条款编制要考虑所
涉及部门。
2.5 使用审核检查表原则
自己使用掌握,不须向受审方出示。 灵活使用,不需照本宣科。 不要属限于检查表项目,按实际现场审核时灵活查阅。
1.8 审核概论—审核依据
ISMS审核依据 IS0/IEC27001:2013 标准 信息安全管理体系手册 信息安全管理体系程序文件 信息安全策略和客户的信息安全管理体系要求 与信息安全相关的法律法规 其它与信息安全相关的文件
1.9 审核概论—审核方式及特点
ISMS审核方式 集中审核:定期全面性一次的铺开成内部审核。 分散审核:根据人员安排或现状,按阶段性按条款采取地毯式
3.4.3 审核证据—提问技巧
封闭式:主动简单的用“是与否”来询问。主要用于获 取专门信息,例如:
贵公司(组织)是否有信息安全管理手册; 贵公司(组织)是否有任命管理者代表; 贵公司(组织)是否有建立信息安全管理机构等。 优点 有主动权,省时,能把握重点,一针见血。 缺点 所获取的信息小。
合格审核员--已成功通过了一个审核ቤተ መጻሕፍቲ ባይዱ鉴定过程的人员。
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定? 职责是否分配? 程序是否得实施和保持? 在实施所要求的结果方面,过程是否有效。
独立审核(部门审核) 以单个部门为中心,审核所涉及的相关职能业务; 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑
相关因素,过程审核思路要清晰,审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核(部门审核) 以过程为中心; 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面,不易遗漏。 缺点 部门之间重复返往较多,费时、费事; 对审核知识要求较高。
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到,防火墙在每个星期五 早上都会定期失效,但查阅安全事件记录中却没有发现 这些事件的记录,网络管理员解释说他早就知道这个问 题了,所以没有必要再记录了。
请问以上回答能否作为审核证据?理由?
如果你是内审员你会怎么做?
3.5 不符合项报告
3.4.1 审核证据—证据获取原则
可作为证据原则
不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证 陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件,擅自涂改的记录等。
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
审核--为获得审核证据并对其进行客观的评价,以确定满足 经协商 的准则的程度所进行的系统的、独立的并形成文件的过程。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核
审核范围--审核的广度和界限。
注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
一 培训目的
了解体系审核的基本概念 掌握ISMS内部审核流程 掌握ISMS内部审核方法与技巧
二 培训内容
审核概论 审核策划与准备 审核实施 纠正及其跟踪 ISMS评价
1.1 审核概论--有关审核术语与定义