ISMS内审员培训教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。 审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
所获取的信息小。
3.4.4 审核证据—提问技巧
开放式:提问交流过程需要解释。主要用于获取全面信 息,例如: 贵公司(组织)有没有建立信息安全目标指标,如何管 理,实施结果,是否满足计划要求; 贵公司(组织)是否建立资产清单,如何评定重要资产, 如何管理维护等。 优点 可获取信息面较广。 缺点 被动,过程可能会出现等待证据提供时间。
1.2审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织(3.3.1)、过程 (3.4.1)、活动或领域的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核(3.9.1) 经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组 合 。 合格审核员--已成功通过了一个审核员鉴定过程(3.8.6)的人员。
1.8 审核概论—审核依据
ISMS审核依据
IS0/IEC27001:2005 标准 信息安全管理体系手册 信息安全管理体系程序文件 信息安全策略 与信息安全相关的法律法规 其它与信息安全相关的文件
1.9 审核概论—审核方式及特点
ISMS审核方式
集中审核:定期全面性一次的铺开成内部审核。
2.3 文件审核
时机 在现场审核前进行。注:信息安全管理体系管理制度、办法、 计划及指导书等可以在现场审核时进行。 结论
符合标准及法规要求;
部份不符合要求;
未覆盖标准及法规要求。
注意事项 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
3.3 审核方法
顺向追踪取证
逆向追踪取证
独立审核(部门审核) 过程审核(按条款审核) 注:审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束;
按照业务流程的自然顺序;
从文件要求跟踪到执行记录,确保要求的和实施的一致。 优点 系统连贯性强,可确认系统衔接整体情况。 缺点 费时(审核单项花费时间较长)。
2.5 编制审核检查表原则
对照标准和ISMS文件编制
部门与过程相对应
选择典型的信息安全问题,抽样应有代表性。 注意逻辑顺序,明确审核步骤。 按部门编写的检查表要考虑涉及条款,按条款编制要考虑所 涉及部门。
2.5 使用审核检查表原则
自己使用掌握,不须向受审方出示。
灵活使用,不需照本宣科。
审核--为获得审核证据(3.9.5)并对其进行客观的评价,以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过 程(3.4.1)。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核(3.9.1) 审核范围--审核(3.9.1)的广度和界限。
对审核知识要求较高。
3.4.1 审核证据—证据获取原则
可作为证据原则 不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证
陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件,擅自涂改的记录等。
Fra Baidu bibliotek
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
1.纠正措施计划是 否按规定限期完成 2.计划中各项措施 是否都已完成 3.完成后的效果如 何 4.实施情况是否可 查 5整体验证评价
2 审核策划与准备
明确审核决定
确定审核组 文件审核 编制审核计划 编制审核检查表 发布审核通知
2.1 明确审核决定
审核目的--确保信息安全管理体系建立、实施、运行、保持和 改进活动的有效性与符合性 审核范围--信息中心业务及物理边界本部8楼 审核时间--待定 审核方式--例如:建议采取集中式审核
3.4.3 审核证据—提问技巧
封闭式:主动简单的用“是与否”来询问。主要用于获 取专门信息,例如: 贵公司(组织)是否有信息安全管理手册; 贵公司(组织)是否有任命管理者代表; 贵公司(组织)是否有建立信息安全管理机构等。 优点 有主动权,省时,能把握重点,一针见血。
缺点
组织的大小和性质
员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
2.3 内部审核计划
2.3 内部审核计划
注:对以上审核日程及人员安排如有异议,请及时反馈。 拟制/日期:审核组长 批准/日期:信息安全领导小姐 组长
2.4 审核检查表的作用
明确与审核目标有关的样本
确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制;
按照业务流程的逆向顺序;
从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
3.3 审核方法--独立审核
分散审核:根据人员安排或现状,按阶段性按条款采取地毯式 的逐级审核报告。
2 审核策划与准备—审核流程图
审核策略与审核 准备 审核实施 不符合项纠正及 效果跟踪
1.明确审核决定 2.确定审核组 3.熟悉审核文件 4.编制审核计划 5.编制审核检查表 6.发出审核通知
1.审核过程控制 2.首次会议 3.审核方法 4.审核证据 5.不合格项报告 6.汇总分析 7.末次会议 8.审核报告
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
审核发现--审核(3.9.1)的结果。 审核结论--审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的 审核(3.9.1)结果。 审核委托方--要求或请求审核(3.9.1)的组织(3.3.1)或个人 。 受审核方--被审核的组织(3.3.1)。 审核组--实施审核(3.9.1)的一个人或一组人。
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做? 扩展性问题--为什么这样做,依据? 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样,有什么想法? 重复性问题--得到明确答案? 假设性问题--如果…则…? 验证性问题--麻烦您拿出相应证据?
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。 审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
审核组长—负责审核全过程及审核组管理工作。
审核员—在组长的审核安排下实施审核。
2.3 文件审核
目的 了解体系中的所有过程是否得到识别并适当管理; 了解过程文件满足审核准则程度; 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等; 准则 信息安全管理体系标准、合同、法律法规等。
独立审核(部门审核)
以单个部门为中心,审核所涉及的相关职能业务; 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑 相关因素,过程审核思路要清晰,审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核(部门审核)
以过程为中心; 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面,不易遗漏。 缺点 部门之间重复返往较多,费时、费事;
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度
按计划时间间隔;
一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
一 培训目的
了解体系审核的基本概念
掌握ISMS内部审核流程
掌握ISMS内部审核方法与技巧
二 培训内容
审核概论
审核策划与准备
审核实施
纠正及其跟踪
ISMS评价
1.1 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
3.1审核过程的控制
审核结果的控制;
合格与不合格要以事实为基础; 不合格事实要得到受审核方确认; 组内须相互沟通,保持统一意见。
3.2 首次会议
首次会议时间、地址及参加人员
首次会议内容和程序
人员介绍 简明审核目的与范围 重新陈述审核计划及人员安排 落实后勤安排 表明审核态度及原则 保密性承诺
注1:审核组的一个或多个人通常是合格审核员(3.9.14),并且其中之一通常被任命为审核组 长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。 注2:观察员可以陪同审核组,但不作为成员。
审核员--被委派实施审核(3.9.1)的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
3.4.6 审核证据—提问技巧
澄清式:结合以上两项方法,用以获得更多专门的信息, 例如: 贵公司(组织)是否建立资产清单,想看看资产清单识 别要求与文件要求是不是一致,识别范围怎么超出文件 要求或识别范围不全面等。 优点 可获取更多专门信息。 缺点 带有个人主观导向,不能常用。
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定? 职责是否分配? 程序是否得实施和保持? 在实施所要求的结果方面,过程是否有效。
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。 请问以上回答能否作为审核证据?理由?
如果你是内审员你会怎么做?
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到,防火墙在每个星期五 早上都会定期失效,但查阅安全事件记录中却没有发现 这些事件的记录,网络管理员解释说他早就知道这个问 题了,所以没有必要再记录了。 请问以上回答能否作为审核证据?理由? 如果你是内审员你会怎么做?
不要属限于检查表项目,按实际现场审核时灵活查阅。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制
首次会议
审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制
审核活动的控制
抽样合理(一到三个) 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛
准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。 审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
所获取的信息小。
3.4.4 审核证据—提问技巧
开放式:提问交流过程需要解释。主要用于获取全面信 息,例如: 贵公司(组织)有没有建立信息安全目标指标,如何管 理,实施结果,是否满足计划要求; 贵公司(组织)是否建立资产清单,如何评定重要资产, 如何管理维护等。 优点 可获取信息面较广。 缺点 被动,过程可能会出现等待证据提供时间。
1.2审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织(3.3.1)、过程 (3.4.1)、活动或领域的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核(3.9.1) 经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组 合 。 合格审核员--已成功通过了一个审核员鉴定过程(3.8.6)的人员。
1.8 审核概论—审核依据
ISMS审核依据
IS0/IEC27001:2005 标准 信息安全管理体系手册 信息安全管理体系程序文件 信息安全策略 与信息安全相关的法律法规 其它与信息安全相关的文件
1.9 审核概论—审核方式及特点
ISMS审核方式
集中审核:定期全面性一次的铺开成内部审核。
2.3 文件审核
时机 在现场审核前进行。注:信息安全管理体系管理制度、办法、 计划及指导书等可以在现场审核时进行。 结论
符合标准及法规要求;
部份不符合要求;
未覆盖标准及法规要求。
注意事项 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
3.3 审核方法
顺向追踪取证
逆向追踪取证
独立审核(部门审核) 过程审核(按条款审核) 注:审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束;
按照业务流程的自然顺序;
从文件要求跟踪到执行记录,确保要求的和实施的一致。 优点 系统连贯性强,可确认系统衔接整体情况。 缺点 费时(审核单项花费时间较长)。
2.5 编制审核检查表原则
对照标准和ISMS文件编制
部门与过程相对应
选择典型的信息安全问题,抽样应有代表性。 注意逻辑顺序,明确审核步骤。 按部门编写的检查表要考虑涉及条款,按条款编制要考虑所 涉及部门。
2.5 使用审核检查表原则
自己使用掌握,不须向受审方出示。
灵活使用,不需照本宣科。
审核--为获得审核证据(3.9.5)并对其进行客观的评价,以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过 程(3.4.1)。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核(3.9.1) 审核范围--审核(3.9.1)的广度和界限。
对审核知识要求较高。
3.4.1 审核证据—证据获取原则
可作为证据原则 不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证
陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件,擅自涂改的记录等。
Fra Baidu bibliotek
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
1.纠正措施计划是 否按规定限期完成 2.计划中各项措施 是否都已完成 3.完成后的效果如 何 4.实施情况是否可 查 5整体验证评价
2 审核策划与准备
明确审核决定
确定审核组 文件审核 编制审核计划 编制审核检查表 发布审核通知
2.1 明确审核决定
审核目的--确保信息安全管理体系建立、实施、运行、保持和 改进活动的有效性与符合性 审核范围--信息中心业务及物理边界本部8楼 审核时间--待定 审核方式--例如:建议采取集中式审核
3.4.3 审核证据—提问技巧
封闭式:主动简单的用“是与否”来询问。主要用于获 取专门信息,例如: 贵公司(组织)是否有信息安全管理手册; 贵公司(组织)是否有任命管理者代表; 贵公司(组织)是否有建立信息安全管理机构等。 优点 有主动权,省时,能把握重点,一针见血。
缺点
组织的大小和性质
员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
2.3 内部审核计划
2.3 内部审核计划
注:对以上审核日程及人员安排如有异议,请及时反馈。 拟制/日期:审核组长 批准/日期:信息安全领导小姐 组长
2.4 审核检查表的作用
明确与审核目标有关的样本
确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制;
按照业务流程的逆向顺序;
从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
3.3 审核方法--独立审核
分散审核:根据人员安排或现状,按阶段性按条款采取地毯式 的逐级审核报告。
2 审核策划与准备—审核流程图
审核策略与审核 准备 审核实施 不符合项纠正及 效果跟踪
1.明确审核决定 2.确定审核组 3.熟悉审核文件 4.编制审核计划 5.编制审核检查表 6.发出审核通知
1.审核过程控制 2.首次会议 3.审核方法 4.审核证据 5.不合格项报告 6.汇总分析 7.末次会议 8.审核报告
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
审核发现--审核(3.9.1)的结果。 审核结论--审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的 审核(3.9.1)结果。 审核委托方--要求或请求审核(3.9.1)的组织(3.3.1)或个人 。 受审核方--被审核的组织(3.3.1)。 审核组--实施审核(3.9.1)的一个人或一组人。
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做? 扩展性问题--为什么这样做,依据? 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样,有什么想法? 重复性问题--得到明确答案? 假设性问题--如果…则…? 验证性问题--麻烦您拿出相应证据?
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。 审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
审核组长—负责审核全过程及审核组管理工作。
审核员—在组长的审核安排下实施审核。
2.3 文件审核
目的 了解体系中的所有过程是否得到识别并适当管理; 了解过程文件满足审核准则程度; 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等; 准则 信息安全管理体系标准、合同、法律法规等。
独立审核(部门审核)
以单个部门为中心,审核所涉及的相关职能业务; 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑 相关因素,过程审核思路要清晰,审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核(部门审核)
以过程为中心; 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面,不易遗漏。 缺点 部门之间重复返往较多,费时、费事;
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度
按计划时间间隔;
一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
一 培训目的
了解体系审核的基本概念
掌握ISMS内部审核流程
掌握ISMS内部审核方法与技巧
二 培训内容
审核概论
审核策划与准备
审核实施
纠正及其跟踪
ISMS评价
1.1 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
3.1审核过程的控制
审核结果的控制;
合格与不合格要以事实为基础; 不合格事实要得到受审核方确认; 组内须相互沟通,保持统一意见。
3.2 首次会议
首次会议时间、地址及参加人员
首次会议内容和程序
人员介绍 简明审核目的与范围 重新陈述审核计划及人员安排 落实后勤安排 表明审核态度及原则 保密性承诺
注1:审核组的一个或多个人通常是合格审核员(3.9.14),并且其中之一通常被任命为审核组 长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。 注2:观察员可以陪同审核组,但不作为成员。
审核员--被委派实施审核(3.9.1)的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
3.4.6 审核证据—提问技巧
澄清式:结合以上两项方法,用以获得更多专门的信息, 例如: 贵公司(组织)是否建立资产清单,想看看资产清单识 别要求与文件要求是不是一致,识别范围怎么超出文件 要求或识别范围不全面等。 优点 可获取更多专门信息。 缺点 带有个人主观导向,不能常用。
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定? 职责是否分配? 程序是否得实施和保持? 在实施所要求的结果方面,过程是否有效。
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。 请问以上回答能否作为审核证据?理由?
如果你是内审员你会怎么做?
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到,防火墙在每个星期五 早上都会定期失效,但查阅安全事件记录中却没有发现 这些事件的记录,网络管理员解释说他早就知道这个问 题了,所以没有必要再记录了。 请问以上回答能否作为审核证据?理由? 如果你是内审员你会怎么做?
不要属限于检查表项目,按实际现场审核时灵活查阅。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制
首次会议
审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制
审核活动的控制
抽样合理(一到三个) 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛