ISMS内审员培训教材
ISMS内审员培训教材ppt课件
事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
4
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项
19 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
独立审核(部门审核) ➢ 以单个部门为中心,审核所涉及的相关职能业务; ➢ 部门所涉及条款。 优点 ➢ 节约时间。 缺点 ➢ 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑
相关因素,过程审核思路要清晰,审核组内部沟通要求高。
35
3.3 审核方法—过程审核
过程审核(部门审核) ➢ 以过程为中心; ➢ 一个过程要涉及多个部门、多个标准条款。 优点 ➢ 系统性完整、全面,不易遗漏。 缺点 ➢ 部门之间重复返往较多,费时、费事; ➢ 对审核知识要求较高。
17
2.3 文件审核
目的
➢ 了解体系中的所有过程是否得到识别并适当管理;
➢ 了解过程文件满足审核准则程度;
对象
➢ 信息安全管理体系手册
➢ 信息安全管理体系程序文件
➢ 信息安全管理体系管理制度、办法、计划及指导书等;
准则
➢ 信息安全管理体系标准、合同、法律法规等。
质量管理体系内部审核员培训教材
§ 系統是:組織、職能、程序、流程與資源的整合 § 系統是附屬於更高級的“生命體”之中,為生命體
諸多“生命機能”之一。
v 對照ISO 9000:2000的觀念
§ 品質管理系統的流程導向模式示意圖
质量管理体系内部审核员培训教材
從“品質保證”到“顧客滿意”
•OHSAS 18002职业健康安全管理指 南
•欧共体标 准
质量管理体系内部审核员培训教材
•什么是ISO——
• ISO是一个组织的英语简称。其全称是International •Organization for Standardization , 翻译成中文就是“国际标 准 •化组织”。
ISO 宣称它的宗旨是“在世界上促进标准化及其相关活动的发 展,以便于商品和服务的国际交换,在智力、科学、技术和经济 领域开展合作。”
管 理 体 系
Hale Waihona Puke •环 境 管 理标
体
准
系
•
职 业 健 康 系安 全 管 理 体
•
•ISO/TS 16949 汽车行业质量管理体系标准 •ISO 9000族标准 •VDA 6.1 德国汽车行业质量管理体系标准
•QS 9000 美国汽车行业质量管理体系标准 •HACCP/ISO 15161 食品卫生安全质量管理体系标准 •CMM/ISO 15504 软体成熟度与能力评估质量管理体系标准 •ISO 17799 信息安全管理体系标准 • ISO 13485 医疗器械生产企业质量管理体系标准
v 基于事实的决策方法;
与供方互利的关系;质量管理体系内部审核员培训教材
五大工具书的最新版次
v 潜在失效模式及后果分析实施手册(FMEA), (2008年6月第四版)
内审员培训教材
1.0术语和定义
➢ 内部审核(又叫First Party Audit ): 是指由公司内部组织的审核,审核体系文件是否符合相关标准及
客户等相关方的要求及审核确认相关人员是否按文件标准作业。 审核亦可视为公司内的一个沟通管道。
闭
- 用以获取专门的信息;
式
- 掌握主动,但信息量小。
开放式
- 答案需要解释性阐述和表达; - 可获取较多信息; - 缺乏主动权,有时会浪费时间
澄
- 对此前获得的信息进一步确认;
清
- 带主观导向
式
4.0内部审核的实施
➢4.2收集审核证据—提问技巧(运用5W1H1S ):
➢ What:做什么事?(要求、目标) ➢ Why:为什么做?(理由、依据)
4.0内部审核的实施
➢4.4典型情况的应对技巧-4:
➢ 辩解型
➢ 对被查到的不合格项千方百计辩解,寻找开脱理由 ➢ 应对技巧:可以重新核查,坚持以事实为依据
➢ 主动暴露型
➢ 向审核员主动介绍存在的问题,并推卸责任 ➢ 应对技巧:先核对其所介绍的问题,但应谨慎,不可介入受审核方的人际矛盾
4.0内部审核的实施
3.0内部审核的策划与准备
➢3.2.成立审核组:
➢ 3.2.3审核员的职责:
➢ 服从审核组长的指导 ➢ 支持审核组长开展工作 ➢ 编制分工范围内的工作文件 ➢ 独立完成分工范围内的现场审核任务 ➢ 保管好与审核有关的文件 ➢ 验证受审核方所采取的纠正措施的有效性
3.0内部审核的策划与准备
➢3.2成立审核组:
➢ Who:谁来做?(职责) ➢ When:什么时间做?(起止时间、进度表)
ISMS【信息安全系列培训】【内部审核】
20
审核的原则
与审核员有关的原则 道德行为 公正表达 职业素养 与审核活动有关的原则 独立性 基于证据的方法
4
为什么审核
向管理层展示观点 向管理层强调风险 验证业务有效性 识别培训需求 发现不符合 进行检查 推动改进的工具 获得证书 使相关方满意
5
审核的定义
为获得审核证据,并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程。 ISO 19001
First party / internal audit 第一方/内部审核
7
什么是审核证据
通过观察、测量或实验获得的,并且能够被验证的关于管理体系要素的实施和运行 的定性或定量的信息、记录或陈述。 特点: 可陈述的事实; 可验证的事实; 不含有推测和猜想。
8
审核发现
将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价 结果,这种结果是依据审核准则,在审核证据的基础上做出的,审核发现是编制审 核报告的基础。
REFERENCES :
DATE:
Resp/Ref.
Findings
DATE:
✓/
31
审核检查表的目的
✓ Helps with preparation
✓
帮助准备
✓
Ensures issues are not
forgotten
✓
确问题不被忘记
Aids Consistency
内审员培训教材
质量体系内部审核员培训教材第一章内部审核一名词解释:质量体系审核:确定质量体系的活动和结果是否符合标准的安排以及质量体系的各项规定是否得到有效的贯彻并适合于达到质量目标的、系统的、独立的检查。
A 符合性:对质量体系文件(质量手册、程序文件)是否符合标准要求。
B 有效性:质量体系活动与文件要求是否一致,即文件要求是否有效实施。
C 适宜性:质量体系的实施结果是否适合达到质量目标的要求。
D 系统性:审核工作本身要求正规化,有程序可以遵循。
E 独立性:审核应由与被审对象无直接责任关系的人员进行。
二质量体系审核的分类:1 第一方审核:一个企业对其自身的质量体系所进行的审核。
2 第二方审核:需方派出审核员按合同规定的要求对它的供方的质量体系进行审核。
3 第三方审核:公正的第三方对申请的企业进行的独立的质量体系审核。
第二章内审员一内审员的评选:内审员由企业(组织)自己评选或任命,但需经培训合格对本企业(组织)较了解。
二内审员的作用:1 对质量体系的运行起监督作用。
2 对质量体系的保持和改进起参谋作用。
3 在质量管理方面联系领导和员工。
4 在质量体系的有效实施方面起带头作用。
5 在外部审核时,起内外接口作用。
三内审员必须具备的能力:工作能力和基本能力1 基本能力:A 交流B 合作C 分析判断D 应变E学习 F 独立2 工作能力:A 审核计划及准备B 现场审核C 编写审核报告D 跟踪与监督改善3 审核员道德、修养A 正直、诚实B 客观、公正C 尊重对方、尊重别人D 冷静的态度和坚毅的精神第三章审核的策划和准备1质量体系审核安排的注意事项:1-1领导重视是内部质量体系审核的关键1-2管理者代表要亲自抓内部质量体系审核的工作1-3内部质量体系审核的具体工作需要有一个职能部门来管理1-4要组建一支合格的质量体系内部审核队伍1-5内部质量体系审核需要有一套正规的程序1-6建立质量体系时应考虑内部质量体系审核工作2拟定年度审核计划一般一年编制一份年计划,一年内将所有部门、要素都至少覆盖一次,最好是覆盖两次或以上,对重要的和问题较多的部门可适当增加。
ISMS内审员培训教材
2.3 文件审核
时机 ➢ 在现场审核前进行。注:信息安全管理体系管理制度、办法、
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 内部审核计划
2.4 审核检查表的作用
如果你是内审员你会怎么做?
3.5.1 不符合项判定
观察项:不会对安全造成有意义的影响,可能有潜在影响的 一种发现。
例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用, 所以识别时未将其列入资产清单中。
一般不符合项 ➢ 信息安全管理体系的过程、程序或操作的轻微问题; ➢ 偶然发生的不符合事项。
明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
2.5 审核检查表举例
2.5 审核检查表举例
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。
3.5.4 不符合案例练习
2010年2月1日,审核员到某公司进行ISMS评审。公司的备份管理程序要 求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定 期审查表,发现日志备份在2010年1月25日时备份检查上描述“自动备份 失效”。
审核员在现场发现有密钥文件清单、账户申请记录等信息资产,但审核 员在公司的资产登记表没有找到这些信息资产。
ISMS内审员培训教程
ISMS内审员培训教程ISMS内审员培训教程引言:随着信息化的日益普及和信息安全问题的日益突出,越来越多的企业开始关注信息安全管理体系(Information Security Management System,简称ISMS)的建立和运行。
ISMS是一种管理企业信息安全的体系,并且可以帮助企业评估和监控信息安全相关的风险。
为了保证ISMS的有效运行,企业需要进行内部审核以发现和纠正潜在问题。
本文将介绍ISMS内审员培训的基本内容和步骤,以帮助人们了解如何有效地进行ISMS内审。
一、ISMS内审员的角色和职责ISMS内审员是负责对ISMS体系进行内部审核的人员。
他们需要具备相关的知识和技能,熟悉ISMS的要求和标准,能够独立进行内部审核并提出改进建议。
ISMS内审员的职责包括:1. 审核企业的ISMS文件和记录,确保他们符合ISMS标准的要求。
2. 检查企业的信息安全实践,发现和纠正潜在问题。
3. 提供关于信息安全的建议和培训,帮助企业提高信息安全管理水平。
4. 撰写内审报告,总结审核结果和提出改进建议。
二、ISMS内审员的培训内容ISMS内审员的培训内容应该包括以下几个方面:1. ISMS标准的理解:内审员需要深入了解ISMS标准,包括其背景、目的和要求。
他们应该熟悉ISO 27001标准,了解其适用范围、结构和关键要素,以及与其他管理系统标准(如ISO 9001和ISO 14001)的关系。
2. 内审技巧和方法:内审员需要掌握一些基本的内审技巧和方法,例如面试和观察等。
他们还需要了解如何规划和执行内部审核,并撰写相关的审核报告。
3. 信息安全风险评估:内审员应该了解信息安全风险评估的基本原理和方法。
他们需要学习如何识别和评估信息安全风险,并提出相应的控制措施。
4. 改进和持续改进:内审员应该了解改进和持续改进的重要性,并学习一些改进工具和方法,例如PDCA循环和5W1H分析法。
三、ISMS内审员的培训步骤ISMS内审员的培训应该按照以下步骤进行:1. 确定培训目标和需求:确定内审员的培训目标和需求,了解他们当前的知识水平和经验,并根据此设定培训计划。
内部审核培训教材珍藏版实战素材内审员必看
第一单元内部审核说明1定义:独立并系统化之查验,以决定其活动与相关结果是否符合规划之准则,以确保品质/环境管理系统执行之有效性,适切性,符合性。
2目的:2.1、评估品质/环境系统是否符合规定要求;2.2、评估品质/环境系统是否符合品质目标;2.3、提升受审核单位品质改善及矫正措施,确保品质/环境管理系统之有效性,适切性;2.4、以客观的方法,取得品质/环境管理绩效的事实信息,不在查受审者之绩效,查错误,责任归属,调查问题,内部审核重点在取得证据。
3范围对象:内部品质/环境管理系统或流程、产品或服务,但不含<供货商>:3.1、组织结构;3.2、行政及作业程序;3.3、人员、设备及物料资源;3.4、作业场所,作业步骤及制程工序;3.5、正在生产的项目(以了解相关要求被执行的程度);3.6、文书档案、报告、记录之保存。
4执行之频率:可自行决定,通常视如下情况考量:2.1、法律法规的要求;2.2、显著变化:组织、管理、政策、技朮、品质/环境系统(改变);2.3、近期审核的结果(情况不好时);2.4、计划性定期举行。
5相关文件:ISO19011:2002品质和环境体系审核指南。
第二单元内部审核组织要素1、审核小组之成员:审核召集人、主任审核员(审核组长)、审核员2、成员资格:2.1、已接受内部审核之教育训练;2.2、ISO9001/ISO14001之认知与能力;2.3、具专业知识。
3、内审员应具备的条件:3.1、胸襟开阔,慎思熟虑;3.2、具良好的判断力,分析技巧;3.3、具良好人际关系及沟通能力;3.4、能控制审核过程,遭遇问题时,运用适当的外交手段;3.5、具备良好的ISO9001/ISO14001条文理解力与公司程序文件之熟悉了解;3.6、保持独立,公平、公正、公开之原则。
4、审核人员之独立性:审核人员应由与受审单位无直接责任之人员担任,但以与该单位在工作上合作之相关人员从事1为佳。
5、 审核之形式:5.1、 内部审核(Internal Audit/First Party Assessment )<第一审核方>内部审核是由组织或部门内针对运行体系,规范,人员及设备的一种自我管理审核;5.2、 外部审核(Exterior Audit /Second Party Assessment )<第二审核方>外部审核是由组织针对其外包商或供货商的运行体系,规范、人员及设备的一种管理审核;5.3、 认正审核(Third Part Assessment )<第三审核方>认证审核是由某一组织以付费方式向发证机械申请之审核,其目的在于通过某一国家或国际的品质/环境系统要求。
ISMS内审员培训教程70页PPT
1 审核概论
1.3 审核的内容 1、获得审核证据 2、客观评价
3、确定满足审核准则的程度
1.4 过程评价的四个基本问题
1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持?
4、在实现所要求的结果方面,过程是否有效?
5
1 审核概论
1.5 审核的类型
第一方审核 (内部)
1、明确与审核目标有关的样本 2、使审核程序规范化
3、按检查表的要求进行调查研究,
可使审核目标始终保持明确 4、保持审核进度
5、作为审核记录存档
6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
23
2.5 编制检查表
二、检查表的内容 1、列出审核项目的要点(确保完整) 2、明确审核步骤和方法,进行抽样量的设计 注:ISMS所涉及的过程和部门不能抽样,不同
与审核准则有关的并且能够证实的记录、
事实陈述或其他信息。 注:审核证据可以是定性或定量的。
2、在审核中应分清什么可以作为审核证据,什么不可以 作为审核证据。
39
3.4 审核证据
可作审核证据
存在的客观事实或情况
部门负责人或当事人谈话(并有 其他实物旁证)
现行有效文件(审核当前的信息安 全活动)和有效的信息安全记录
2
主要内容
1、审核概论
2、审核策划和准备 3、现场审核活动的实施
4、纠正措施及其跟踪
5、ISMS评价
3
1 审核概论
1.1 定义
为获得审核证据并对其进行客观的评价,以确 定满足审核准则的程度所进行的系统的、独立的 并形成文件的过程
(ISO 9000)
1.2 审核“成败”的关键
环境管理体系内审员培训教材
环境管理体系内审员培训教材环境管理体系内审员培训教材第一章:引言1.1 培训目的环境管理体系内审员培训旨在培养具备环境管理体系内审技能的人员,使他们能够有效评估和审查组织的环境管理体系的符合性和有效性。
1.2 培训内容本培训教材将涵盖以下主题:- 环境管理体系介绍- 内审员角色和职责- 内审程序和方法- 内审报告和跟踪第二章:环境管理体系介绍2.1 环境管理概念- 环境管理的定义和目标- 环境管理体系的基本原则和要求- 环境管理体系的重要性和意义2.2 环境管理体系标准- ISO 14001标准的介绍- 罗马框架和PDCA循环- 环境管理体系文件和记录第三章:内审员角色和职责3.1 内审员的定义和角色- 定义和描述内审员的角色和职责- 内审员的素质和技能要求3.2 内审员的职责- 内审员的主要职责和义务- 内审员的独立性和保密原则第四章:内审程序和方法4.1 内审计划- 内审计划的制定和审查程序- 内审计划的关键要素和详细步骤4.2 内审准备- 内审员的准备工作和必要技能- 内审计划的实施和执行4.3 内审执行- 内审员的沟通和访谈技巧- 内审检查和记录的方法第五章:内审报告和跟踪5.1 内审报告- 内审报告的格式和内容要求- 内审报告的评价和表达方法5.2 内审发现的跟踪和纠正措施- 内审发现的分类和重要性评估- 纠正措施的制定和跟踪方法第六章:培训总结6.1 培训回顾- 对培训内容的总结和回顾- 课程中的关键点和重要概念6.2 学习评估- 对培训效果的评估- 学员的反馈和建议6.3 培训证书- 培训证书的颁发和认可- 未来发展和进一步学习的建议结语:本培训教材旨在培养具备环境管理体系内审技能的人员,使他们能够有效评估和审查组织的环境管理体系的符合性和有效性。
希望通过此次培训,学员们能够掌握内审员的职责和技能,并能够通过内审发现问题,提出改进建议,推动组织的环境管理体系持续改进。
环境保护是我们每个人的责任和义务,希望大家能够在实际工作中充分发挥内审员的作用,为环境保护做出自己的贡献。
ISMS内审员培训课件
ISMS内审员培训课件1. 导言1.1 内审培训的目的•了解信息安全管理体系(ISMS)的基本概念和原则•掌握ISMS内审的基本知识和技能•培养内审员的判断力和决策能力1.2 培训大纲1.导言2.ISMS的基本概念3.ISMS的原则4.ISMS内审的概述5.ISMS内审员的要求6.内审的准备工作7.内审的执行8.内审的报告与跟进9.培训总结2. ISMS的基本概念2.1 信息安全管理系统的定义•信息安全管理系统(ISMS)是一个综合性的管理体系,用于保护组织的信息资产和信息系统免受未授权访问、使用和破坏的风险。
2.2 ISMS的目标•提供信息资产的机密性、完整性和可用性的保证•满足法律、法规和合同等相关要求•防止信息资产的丢失或泄露•提高信息系统的安全性和可靠性•增强组织的声誉和竞争力3. ISMS的原则ISMS是基于以下几个原则来构建和运作的:3.1 组织的承诺•高层管理必须对信息安全给予足够的重视并提供所需的资源和支持。
3.2 安全风险管理•组织应该对信息资产进行风险评估和处理,确保其安全性。
3.3 公司安全文化•全员参与信息安全工作,建立公司安全文化,提高员工的安全意识和行为。
3.4 组织的持续改进•组织应该不断改进ISMS的运作,修订和更新相关文件和程序。
4. ISMS内审的概述4.1 ISMS内审的定义•ISMS内审是指独立的、客观的评估组织的ISMS是否符合相关要求的过程。
4.2 内审的目的•评估ISMS的有效性和合规性•提供改进建议和意见•辅助组织达到信息安全目标4.3 内审的原则•审核人员必须客观、独立、公正、保密•内审必须基于证据和事实•内审必须按照ISMS内审程序进行5. ISMS内审员的要求5.1 知识和技能要求•熟悉ISO 27001等相关标准•具备一定的信息安全知识和经验•掌握内审的方法和技巧5.2 个人素质要求•具备较好的沟通和表达能力•具备批判性思维和分析能力•具备独立工作和抗压能力6. 内审的准备工作6.1 制定内审计划-明确内审的时间和地点 -确定内审的范围和目标 -明确内审的方法和程序6.2 内审员的选择•确定内审员的资格和经验•分配内审员的任务和职责6.3 收集必要的文件和记录•收集和审核ISMS文件和记录•准备内审所需的工具和模板7. 内审的执行7.1 进行初步会议•介绍内审目的和范围•预先通知相关人员参与内审7.2 进行实地检查•检查信息资产和信息系统的实际情况•对照ISMS要求进行验证和评估7.3 进行文件审核•检查ISMS文件和记录的合规性和有效性•提出改进建议和意见8. 内审的报告与跟进8.1 编写内审报告•汇总内审的发现和意见•分析和评估ISMS的有效性和合规性8.2 提出改进措施•根据内审的结果提出改进建议•确定改进措施的责任人和时限8.3 跟进改进措施的执行•监督和检查改进措施的实施情况•定期检查ISMS的有效性和合规性9. 培训总结9.1 培训回顾•回顾培训内容和目标•检查培训效果和满意度9.2 培训总结和展望•总结培训的收获和经验•展望未来的ISMS内审工作以上就是ISMS内审员培训课件的大纲和要点,希望能对大家的学习和工作有所帮助。
ISMS信息安全管理体系内部审核员培训(ISO27001)
V2.0
19
审核方式 — 分散式滚动审核
分区域(部门)或体系要求在不同时间进行审核 需编制年度审核方案
➢ 审核区域 ➢ 审核频次(一年审核几次) ➢ 计划的时间(预计的审核月份)
对审核方案进行滚动修改 适用于体系范围广、规模大的组织
V2.0
20
年度ISMS审核方案
月份 部门
管理层
销售部
采购部
V2.0
3
审核总论
审核的基本定义 审核的基本程序
V2.0
4
什么是审核?
审核证据
审核结论
客观评价
满足程度
审核准则
系统的、独立的、并形成文件的过程
V2.0
5
信息安全管理体系审核定义
为获得与信息安全相关的审核证据并对其进行客观评价, 以确定满足是否符合信息安全审核准则的程度所进行的 系统的、独立的并形成文件的过程。
V2.0
7
审核证据
与审核准则有关的并且能够证实的: – 记录 – 事实陈述 – 或其他信息
审核准则可以是定性的或定量的
V2.0
8
审核类型
第一方审核/内审
组织
第二方审核
第三方审核
第三方机构/认证机构
顾客
V2.0
9
内部审核的作用
验证组织ISMS体系符合ISO27001标准的程度。 审查组织的ISMS体系符合安全方针和目标的有效性和适宜性 通过内部审核,达到持续改进ISMS的目的。 通过内部审核,发现信息安全漏洞和薄弱环节。 通过内部审核,调查重大安全事件发生原因。 提高员工信息安全意识,促进全员参与信息安全管理。 在第二、三方审核前纠正不足。
审核后跟踪
V2.0
信息安全管理体系ISMS内审员培训教材共60页
61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒 尔·乔治·S·巴顿
信息安全管理体系ISMS内审员培训教 材
1、纪律是管理关系的形式。——阿法 纳西耶 夫 2、改革如果不讲纪律,就难以成功。
3、道德行为训练,不是通过语言影响 ,而是 让儿童 练习良 好道德 行为, 克服懒 惰、轻 率、不 守纪律 、颓废 等不良 行为。 4、学校没有纪律便如磨房里没有水。 ——夸 美纽斯
谢谢!
பைடு நூலகம்
第三部分:风险评估
SGS-CSTC通标标准技术服务有限公司
SGS-CSTC Standards Technical Services Co., Ltd.
课程内容
第一部分 第二部分
信息安全基础知识及案例介绍
ISO27001标准正文部分详解 ISO27001标准附录A详解
29
主要内容
基本概念 识别风险评估要素 风险计算方法 风险处置方法
风险评估过程
30
接受,降低,转移,避免
High
Security
$ Costs of Security vs. Exposure
Costs in balance Exposure
Low
Security Level
High
31
风险处理
指导和控制一个组织的风险的协调的活动。 (ISO Guide 73:2002)
注:典型风险管理包括风险评估、风险处理、风险接受和风险转移。
11
风险评估与风险管理的区分
风险管理是把整个组织内的风险降低到可接受水
平的整个过程。
是一个持续的周期,通常以一定的间隔重新开始来更新流 程中各个地区阶段的数据 是一个持续循环、不断上升的过程。
系统地使用信息以识别来源和估计风险。
(ISO Guide 73:2002)
7
风险评价概念解析
风险评价是把估计风险与给出的风险标准相比
较,确定需风险处理区域的过程。其目的是判断特
定的风险是否可接受或是否需采取其它措施处置。
Risk Evaluation:The process of comparing
控制方法的选择要求
内审员培训教材培训(PPT 255页)
中科信咨询公司培训教案版权所有
8
第二节 环境:我国的环境问题
森林减少 草原退化 水土流失 土地沙漠化 耕地减少 生物多样性减少 水资源短缺
中科信咨询公司培训教案版权所有
9
主要环境污染
水环境污染 大气污染 固体废弃物污染 噪声污染
NOX (氮氧) 、HC(氢碳)、Pb(铅)等污染物质。
中科信咨询公司培训教案版权所有
47
主要大气污染物
烟、粉尘 二氧化硫 一氧化碳 氮氧化物 H2S(二氢化硫) 碳氢化合物 光化学氧化剂 臭氧 PNA和甲醛
中科信咨询公司培训教案版权所有
48
大气污染物的治理技术
28
排污收费制度
超标收费制度对象:排放污染物超过国 家或者地方规定排放标准的企业,、事 业单位
污水、废气、固体废物、噪声、放射性
中科信咨询公司培训教案版权所有
29
限期治理制度
决定权:有关的人民政府
中科信咨询公司培训教案版权所有
30
五、环境标准
法律是最高行为准则,各行业必须执行 标准是合法与违法的界限,超标就是违法 我国法律规定,环境质量标准和污染物排放
中科信咨询公司培训教案版权所有
39
污染源的类型
按污染物排放种类:分为有机污染源、无机 污染源、热污染源和同时排放多种污染物的 混合污染源
按受体:大气污染源、水体污染源、土壤污 染源
按从类社会活动功能:工业污染源、农业污 染源、交通运输污染源和生活污染源
中科信咨询公司培训教案版权所有
40
中科信咨询公司培训教案版权所有
内部审核员培训教材
第一节质量审核与质量体系审核(ISO9000:2000)审核定义:“为了获得审核证据并对其进行客观的评价,以确定满足经协商的准则的程度所进行的系统的、独立的并形成文件的过程。
”质量审核通常包括:质量体系审核、产品质量审核、过程质量审核、服务质量审核等.从上述质量审核的定义加以具体化可得出以下关于质量体系审核的概念:确定质量体系及其各要素的活动和其有关结果是否符合有关标准或文件,质量体系文件中的各项规定是否得到有效的贯彻并适合于达到质量目标的系统的、独立的审查.质量体系审核的类型:第一方审核,第二方审核及第三方审核第一方审核:第一方审核是由组织或部门运载其内部作业体系、规范、人员及设备而作的一种管理审核,以检查组织的质量体系及规范是否能继续与有效执行,通常称为内部审核.第二方审核:第二方审核是由组织针对其现有的(或可能的)供应商的作业体系、规范、人员及设备而作的一种管理审核,以作为评估与挑选合格供应商的依据.第二方审核属于外部审核.第三方审核:第三方审核是由某一组织以付费方式向验证机构申请审核,由验证机构评估被审核组织的质量体系,以决定是否同意认可登录,该审核结果较具公信力,可供采购者参考,并减少第二方审核的成本与时间.第三方审核属于外部审核.例如:第一次内部审核质量体系审核的时机往往选择在质量体系文件已全部编制完成、颁布实施,而且,已经运行一段时间,各项质量活动均已有记录可查之时.内部质量体系审核一般分为例行的常规审核和特殊情况下的追加审核两类常规审核是按预先编制的年计划进行,往往是每月对一个或几个部门(或要素)进行审核;每年应覆盖所有部门(或要素)至少一次.也有一些单位,实行每年1-2次集中审核,其方式与外审相似.例如:质量体系建立并运行一段时间之后,开始常规审核.开始时频次可以多一些,以便及时发现问题,使体系运行正常化.等体系运行基本正常以后,频次可减少到正常所需要的水平.追加审核一般在以下特殊情况下进行:1.发生了严重的质量问题或用户有严重的申诉;2.组织的领导层、隶属关系、内部机构、产品、质量方针和目标、生产技术及装备以及生产场所等有较大改变;3.即将进行第二、第三审核或法律、法规规定的审核前;4.第三方审核后获得认证注册资格的证书,而证书即将到期又希望继续保证认证资格.一、内部质量体系审核的一般顺序1.确定任务:制定计划,明确目的、受审部门或要素以及采用的依据.2.审核准备:管理者代表指定审核组长和审核组成员组成审核组,审核组长应领导全组编制好具体的审核计划日程表,把审核任务分配每个审核组员;审核员应编制检查表,经组长审批后实施.同时全组应集中有关文件(如标准、质量手册、有关程序文件、作业指导书等)加以审阅.3.现场审核:以事实为根据,以标准或其他文件的规定为准绳,收集客观证据作出公正的判断.对发现的问题填写不合格报告,请受审部门领导对事实表示认可.4.纠正措施的的跟踪:质量管理部门会同审核组跟踪并验证纠正措施计划实施情况.5.全面审核报告的编写和纠正措施计划完成情况的分析:编写出一份全面的审核报告,并分析评价整个体系的有效性;与上次内审结果相比较,评价其进步情况;对全年各部门实施纠正措施计划的情况加以汇总分析.这种结果均应上报最高领导作为管理评审的输入之一.以上各个步骤一般应在内审程序中明确规定.内审程序应根据每个组织的实际情况编制,但这些主要步骤的内容都是不可以缺少的.第二节内部质量体系审核概论一、内部质量体系审核的目的1.依据某一质量体系标准组织自身的质量体系;2.验证组织自身的质量体系是否持续满足规定的要求并且正在运行;3.作为一种重要的管理手段和自我改进的机制,及时发现问题,采取纠正措施或预防措施,使体系不断完美、不断改进;4.在外部审核前作好准备.二、内部质量体系审核的范围审核的范围是指“在规定的时间内,对哪些质量体系要素、场所和活动进行审核”这里要素、场所和活动是范围的三大主要内容.内部审核体系审核的范围:(1)要素:以质量手册中所列的范围为准(2)场所:质量体系所覆盖的产品和质量活动有关的部门和地区(3)活动:与产品质量有关的活动,它主要包括所涉及的产品范围三、内部质量体系审核的依据1.ISO9001:2000质量保证标准2.质量手册3.程序文件4.质量计划5.合同6.国家有关法律、法规7.相关方要求四、内部质量体系审核的时机和频度审核的时机:确定是否需要审核,即何时进行审核为宜;审核的频度:一旦确定需要审核,则此种审核每年应进行多少次为宜.第三节内部质量体系审核的准备内部质量体系审核的准备工作大致有下列内容:1.制定计划2.组成审核组3.收集并审阅有关文件4.编制检查表5.通知受审部门并约定具体的审核时间具体如下:一、内部质量体系审核计划的编制内部质量体系审核一般应编制年计划,确保一年内覆盖所有部门、所有要素至少一次.其中对较重要或问题较多的部门审核频次可适当增加.这年份计划又是流动的、即跨年度连续进行的,这样可以体现审核的连续性.如果组织采取与外审相似的集中式审核,则组织应制定具体的审核计划,其内容可包括:1.审核目的2.审核依据3.审核范围4.审核组成员5.审核日程安排二、组成审核组在进行内部质量体系审核前,管理者代表应任命审核组长及审核员组成审核组. 在选择审组长时,主要考虑因素是:1.资格即必须是组织领导任命,经过培训的内部质量体系审核员.2.业务范围审核组长不能审核与自身有关的工作内容,且应了解被审核部门的业务.3.工作经验审核组长比起审核组员来要有较多的审核经验.4.组织能力审核组长应有组织管理整个审核工作的能力.在选择审核组员时,主要考虑下列因素:1.资格必须是组织任命的内审员.2.业务范围审核员不能审核与自身有关的工作内容,且应了解被审部门的业务.3.专业知识内审员对审核方面的专业知识应有一定了解.4.工作中的协调审核组内审核员应在工作中协调配合,团结合作.5.为受部门所接受在决定审核组成员以前应征得受审部门的同意,当受审部门不肯接受拟委派的内审时,可考虑另选审核组员.三、收集并审阅有关文件内部质量体系审核时的文件工作,重点是收集与受审部门的质量活动有关的程序文件作业指导书等文件.并以有关质量保证标准、质量手册、质量计划、合同和有关的法律、法规为依据对程序文件等进行检查,检查其是否符合这些依据.四、编写检查表检查表是内审员进行审核时的一种自用工具,主要起备忘录的作用.它不必要向受审方展示,但审核员编完检查表后就请审核组长审阅以便检查有无遗漏或重复,由审核组长进行总的协调.(一)检查表的作用1.明确与审核目标有关的样本确定抽什么样本、每种样本应抽多少数量、如何抽样等问题都要通过编写检查表解决、明确与审核目标有关的样本是检查表的首要作用.2.使审核程序规范化使审核程序进一步正规化和格式化,减少审核工作的随意性和盲目性.3.按检查表的要求进行调查研究可使审核目标始终保持明确在现场审核中种种现实情况和问题很容易转移审核员注意力.检查表可以提醒审核员始终坚持主要审核目标.4.保持审核进度按检查表要调查的问题及样本的数量分配时间,使审核按计划进度进行.5.作为审核记录存档检查表与审核计划一样也应与审核报告等一起存入该审核项目的档案中备查,留出栏目记载调查情况,兼起记录的作用.6.减少重复的或不必要的工作量检查表应经审核组长审查协调,防止遗漏或重复.7.树立审核在受审方眼中的职业形象.(二)检查表的设计设计检查表时应注意以下几个要点:1.对照标准和手册的要求检查表应按质量保证标准和质量手册的要求来编写,这样才能全面检查质量体系及其要素的活动结果是否符合质量保证标准和质量手册的要求.2.选择典型的质量问题每个部门、每个要素的质量活动常有一些典型的质量问题,所以在检查表中可重点注意这些问题.3.结合受审部门的特点检查站表的精华就在于突出受审对象的特点.有特点才有必要为每一个对象编制一份有特色的检查表.4.抽样应有代表性在审核时不能光按标准提问题,还要查看文件、记录和现实情况,所以必须抽样.但样本的种类应有代表性,才能体现出检查的客观性和公正性.5.时间要留有余地在编制检查表时,应估计所需的审核时间,并且还应留有一定的富裕时间以便临时发生某些情况而需要增加审核内容或增加审核深度时可以利用这些时间.6.检查表应有可操作性检查表不仅有要调查的问题,而且还应有具体的检查方法.7.按部门编制的检查表要考虑涉及的要素,按要素编制的检查表要考虑涉及的部门.检查表有按部门和按要素两种部门审核时,检查表中应考虑涉及的要素,不仅应包括本部门中心职责的那些要素,还要包括整个组织都应遵循的综合性要素和以其他部门为主,本部门应配合实施的那些要素.按要素进行审核时,检查表中应考虑涉及的部门.不仅应包括主要负责实施此要素的部门,还应包括配合实施此要素的其它部门.五、通知受审核部门并约定审核时间虽然在年度内部质量体系审核计划中已规定了对某部门或其要素的审核时间,但审核组长仍在审核前3-5日与受审核部门的领导接触,约定具体的审核时间,确定受审部门的发言人和陪同人员.如果是集中式内审,更应在审核前向各部门发出通知,使他们能早日安排好工作,迎接审核.第四节内部质量体系审核的实施审核组在完成了全部准备工作以后,就可按预先约定的日期和时间到受审部门实施审核.实施审核的步骤及其工作内容主要有以下几项:1.召开一次简短的首次会议;2.进行现场审核;3.确定不合格项并编写不合格报告;4.汇总分析审核结果;5.召开末次会议,宣布审核结果;6.编写审核报告.以下对这些工作内容逐项加以说明.一、召开首次会议首次会议是由审核组长组织召开的一次会议,主要目的是向受审核方介绍此次审核的目的和做法,这些也是审核组长应在首次会议发言的主要内容.具体为:1.向受审核方的高层管理者介绍审核组成员;2.重申审核的范围和目的;3.简要介绍实施审核所采用的方法和程序;4.在审核组和受审方之间建立正式联系;5.确认审核组所需要的资源和设施已齐备;6.确认审核组和受审方管理者之间末次会议和中间数次会议的日期和时间;7.澄清审核计划中不明确的内容.在内部质量体系审核时,对上述内容可作适当简化,但简化不等于取消,为了保持内审的正规化,首次会议的形式是必须的.受审部门领导应参加首次会议.如不能亲自参加,必须指定代表参加.如部门领导指定发言人介绍情况、回答问题,则发言人的谈话和领导者的讲话一样,可当做客观证据之一来对待.二、现场审核首次会议后立即转入现场审核.现场审核是审核员寻找客观证据的过程,是整个审核工作中最主要的环节.(一)现场审核需注意之处1.审核组长要控制审核的全过程所谓控制,主要指控制下列环节:(1)控制审核计划;计划时经审核组和受审方双方同意的,一般不宜更改.内部审核以年计划为根据,如需要修改年计划要由管理者代表批准.(2)控制审核进度;计划不变的情况下,进度也应尽量加以控制,应将审核任务在规定时间内完成.(3)控制气氛;善于缓和和控制气氛,使审核始终在一个比较平和宽松的环境下进行.(4)控制客观性;在判断不合格项时,对调查研究所获得证据的客观性反复研究,为求结论的客观和公正,不要以主观估计、猜测和推理来代替客观证据.(5)控制纪律;对于审核组员的任何违反纪律的行为或倾向,必须严加管束.(6)控制审核结果;在对审核结论以前,审核组长应组织全组对准备作出的结论的客观性、公正性和适应性反复讨论,避免作出错误的或不恰当的结论.2.选择样本要有代表性,应由审核员随机抽样选择样本要有代表性,抽样时应选择对产品质量影响大的样本;具体所抽样本最好在现场由审核员随机抽取,而不是事先规定得十分具体,这样抽样更有代表性.3.要依靠检查表,若要偏离检查表,必须小心谨慎.审核时不要轻意偏离检查表而另提问题或另选样本.必要时检查表也可以调整,但要十分谨慎,以免规定的审核目标不能完全达到或花费太多的时间.4.要从问题的各种表现形式去寻找客观证据审核中有的不合格项,问题比较单纯;有的不合格项问题比较复杂,要从多方面去取证.5.当发现不合格时,要调查研究到必要的深度审核中如发现该问题导致不合格项时,应增加调查研究的深度,其主要是为了获取更全面、更确凿的客观证据.6.与被审方的负责人共同确认事实当发现不合格时,审核员应尽可能取得部门负责人对事实的确认,并同意采取纠正措施.7.始终保持客观、公证和有礼貌在审核过程中,审核员应切忌先入为主,未到现场就已有结论;或以主观臆断代替客观证据等情况.在审核中还保持公正性,均以事实为依据、标准或规定为准绳;不论对方有任何对抗情绪,均应保持有礼貌和尊重对方的风度.(二)关于客观证据客观证据的定义:“支持事物存在或其真实性的资料”(ISO9000:2000)“通过观察、测量或试验获得的并且能被验证的,与产品和服务质量有关的或某一质量体系要素的存在和实施有关的定性或宣传的信息、记录或实施陈述.”(ISO 19011) 在实际审核中,我们还可以这样来判别什么是客观证据,什么是主观证据.1.存在的客观事实可以成为客观证据,而主观分析、推断、臆测要发生的事不能成为客观证据;2.被访问的、对审核的质量活动负有直接责任的人的谈话可以成为客观证据,而传闻、陪同人员或其他与被审核的质量活动无关人员的谈话不能成为客观证据;但还应该注意:“对于面谈获得的信息应通过实际观察、测量和记录等其他渠道予以验证”.(ISO19011-1)3.现行有效的质量文件中的规定和质量记录可以成为证明当前发生的质量活动的客观证据,而且作废的质量文件中的规定和经擅自修改的记录不能成为证明当前发生的质量活动的客观证据.(三)审核的路线在现场审核中还要注意选择合适的审核路线,这一点其实在编制检查表时就应考虑到了.在实际审核中经常要用的路线可以有下列三种方法:1.自上而下和自下而上的路线:所谓自上而下的方法是指先到信息比较集中的部门了解总的情况,然后在此部门选择一批样本到使用这些样本的各部门去调查.所谓自下而上的方法是指先在许多部门调查研究,选择一批样本到某一集中管理的部门去审核.2.正向和逆向的审核路线所谓正向的审核方法是指按照产品质量形成的过程从开始的合同签订到最后的售后服务的顺序去审核;所谓逆向的审核方法其路线正好相反,即从今后服务向前步步追溯直到合同签订为止.3.按要素审核和按部门审核的路线按要素审核,一个要素涉及许多部门,审核组要访问许多部门才能完成一个要素审核.按部门审核,审核组对该部门涉及的各个要素一次审核清楚.(四)审核的方法质量管理体系审核的方法有三种:1.提问与交谈提问与交谈时现场审核用的最普遍的方法,通过提问与交谈可以了解组织员工对各自职责的了解程度,对体系实施情况的掌握程度.2.查阅文件与记录查阅文件与记录时现场审核中必须采用的方法.现场查阅的文件与记录可作为客观依据.3.现场观察现场观察的方法可用于判断组织、在实际工作中是否遵守了程序文件及作业指导书的要求.三、不合格的确定和不合格报告的编写现场审核中编写“不合格报告”是一件非常重要的工作.即审核中如发现不合格项,就应编写不合格报告.“不合格报告”也可改称为“纠正措施要求表”以别于第三方审核中的不合格报告.(一)不合格的定义和类型不合格的定义:“未满足要求”(ISO 9000:2000)其中“要求”是指:有关的法律、法规、ISO9001:2000质量管理标准、质量手册、质量计划、合同、各种书面程序和作业指导书等必须遵循的文件.没有满足某个要求即构成不合格.内部质量体系审核时通常按性质将不合格分为三类:1.体系性不合格质量体系文件与有关的法律、法规、质量保证标准、合同等的要求不符.2.实施性不合格未按体系文件实施.3.效果性不合格因实施不够认真或对不合格的真正原因没有找到,纠正措施实施后未能达到规定要求.在第二方、第三方审核时为了对受审质量体系作出评定,以便决定通过注册或认可与否,常按不合格的严重程序分为两类:1、严重;2、轻微.在内审中存在通过与否的问题,所以一般只按性质分为上述三类.但为引起领导及有关人员注意那些较重要的不合格项,也按严重程度分为严重和轻微两类.对于一些微小,偶发且能够当场进行纠正的不合格,可作为“观察项”口头向受审方提出,引起注意.对观察项不编写任何书面报告发给受审方,但审核组应保留一份口头提出的观察的记录.(二)不合格报告的内容1.受审核部门及负责人姓名;2.审核员姓名;3.审核姓名;4.不合格事实的描述;5.不合格项类型;6.建议采取的纠正措施计划及完成日期;7.纠正措施完成情况及验证.对于内审员来说,写好不合格报告中的不合格事实的描述、不合格问题的性质、违反的条款和不合格的类型是最为关键的事:A.不合格事实的描述应力求具体.应包括地方、时间、何人、现象、关键的细节,同时文字描述应精简扼要.B.不合格问题的性质是要用一两句话点明具体是哪一点(或哪几点)做得不对.C.违反标准或质量手册、程序的具体条款应力求判断得比较确切.四、审核结果的汇总分析有了若干份不合格报告,还不能在末次会议上对审核发表结论意见,还要对审核的观察结果作一次汇总分析.汇总分析可以从下列几个方面入手:1.发现的不合格项来汇总分析;如不合格项的总数,其中体系性不合格、实施性不合格、效果性不合格各有多少项.列出不合格项涉及哪些要素和部门,其中哪个要素和部门最多或最严重,有了这些数据,大致可以说明这个部门或这个要素的薄弱环节是什么了.2.从发展的历史和趋势分析;如将上次内审时发现的不合格总数及其构成与这次的相比较,来看出质量管理是进步了还是退步了.3.从对最终产品质量的影响来分析;如本单位发生的内外质量事故中,由于部门工作不当而造成的影响有多大.4.总结部门质量工作上的优点;如确有优点应具体化指出,予以肯定,有的优点还可推广到其他部门.在这些汇总分析的基础上,可作出某部门或某要素在整个质量体系的质量活动中是好的,基本上是好的或问题较多、有待切实改进等到结论性意见.如果审核是按集中式计划进行的,那么这种汇总分析应是针对整个体系的因而是一次全面的汇总分析. 五、召开末次会议现场审核的上述工作完成后可以召开末次会议以便结束现场审核.末次会议的主要目的:向组织的高层管理者说明审核观察结果,以使其清楚地了解审核的结果.末次会议应由审核组长主持,参加者应签到.末次会议应有记录并保存归档. 会议内容:1.审核组长应说明不合格报告的数量和分类,宣读不合格报告.2.要求部门负责人认可事实(在不合格报告上签名),并要求各责任部门按期提出纠正措施计划的建议及整改期限.3.澄清或回答受审部门提出的问题.4.全面总结受审部门质量工作的优缺点,在确保整个组织的质量体系的有效运行及实现质量目标的有效性方面提出审核组的结论.六、编写审核报告审核报告是说明审核结果的正式文件,应由审核组长亲自编写或在审核组长指导下编写.报告应包括下列内容:1.审核的目的和范围;2.审核组成员和受审部门名称及其负责人;3.审核的日期;4.审核所依据的文件;5.不合格项目观察结果(全部不合格报告作为附件于审核报告之后);6.质量体系运行有效性的结论性意见;7.审核报告的分发清单.审核报告经管理者代表或其指定的负责人(如质管办主任)批准后分发至有关的领导和部门.以上是内部质量体系审核的实施阶段的全部内容.第五节纠正措施一、纠正措施在内部质量体系审核中的重要性内部质量体系审核的目的决定了实施纠正措施的重要性.内审目的重点在于发现质量体系的问题,查出原因,采取纠正措施加以消除,以免重犯类似不合格,使质量体系得到不断改进.二、纠正措施要求的提出审核组在现场审核发现不合格项时,除要求受审部门负责人确认不合格事实外,还要求调查分析造成不合格的原因,提出纠正措施的建议包括完成纠正措施的期限.审核组提出不合格报告时,受审部门的负责人首先要对事实加以确认,内审员应积极参加纠正措施建议的讨论但不能代表受审部门制订纠正措施,更不能承担纠正措施后果不良的责任.三、纠正措施建议的认可与批准纠正措施建议首先要经审核组认可,认可的目的主要在于审查该建议地否针对不合格的原因采取了措施以及纠正措施的可行性及有效性.认可的纠正措施还要经管理者代表批准.批准后方成为正式纠正措施计划.四、纠正措施计划的实施1.实施期限一般规定为15天,或30天,视各单位情况而定.2.纠正措施分短期和长期.短期往往针对直接原因,立即采取措施;长期纠正措施可能为针对潜在原因所采取预防措施,防止发生可能出现的不合格,这往往需要更多的时间.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.2审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织(3.3.1)、过程 (3.4.1)、活动或领域的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核(3.9.1) 经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组 合 。 合格审核员--已成功通过了一个审核员鉴定过程(3.8.6)的人员。
3.3 审核方法
顺向追踪取证
逆向追踪取证
独立审核(部门审核) 过程审核(按条款审核) 注:审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束;
按照业务流程的自然顺序;
从文件要求跟踪到执行记录,确保要求的和实施的一致。 优点 系统连贯性强,可确认系统衔接整体情况。 缺点 费时(审核单项花费时间较长)。
3.4.3 审核证据—提问技巧
封闭式:主动简单的用“是与否”来询问。主要用于获 取专门信息,例如: 贵公司(组织)是否有信息安全管理手册; 贵公司(组织)是否有任命管理者代表; 贵公司(组织)是否有建立信息安全管理机构等。 优点 有主动权,省时,能把握重点,一针见血。
缺点
注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。 审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
审核--为获得审核证据(3.9.5)并对其进行客观的评价,以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过 程(3.4.1)。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核(3.9.1) 审核范围--审核(3.9.1)的广度和界限。
独立审核(部门审核)
以单个部门为中心,审核所涉及的相关职能业务; 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑 相关因素,过程审核思路要清晰,审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核(部门审核)
以过程为中心; 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面,不易遗漏。 缺点 部门之间重复返往较多,费时、费事;
3.4.6 审核证据—提问技巧
澄清式:结合以上两项方法,用以获得更多专门的信息, 例如: 贵公司(组织)是否建立资产清单,想看看资产清单识 别要求与文件要求是不是一致,识别范围怎么超出文件 要求或识别范围不全面等。 优点 可获取更多专门信息。 缺点 带有个人主观导向,不能常用。
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做? 扩展性问题--为什么这样做,依据? 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样,有什么想法? 重复性问题--得到明确答案? 假设性问题--如果…则…? 验证性问题--麻烦您拿出相应证据?
3.1审核过程的控制
审核结果的控制;
合格与不合格要以事实为基础; 不合格事实要得到受审核方确认; 组内须相互沟通,保持统一意见。
3.2 首次会议
首次会议时间、地址及参加人员
首次会议内容和程序
人员介绍 简明审核目的与范围 重新陈述审核计划及人员安排 落实后勤安排 表明审核态度及原则 保密性承诺
组织的大小和性质
员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
2.3 内部审核计划
2.3 内部审核计划
注:对以上审核日程及人员安排如有异议,请及时反馈。 拟制/日期:审核组长 批准/日期:信息安全领导小姐 组长
2.4 审核检查表的作用
明确与审核目标有关的样本
确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制;
按照业务流程的逆向顺序;
从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
3.3 审核方法--独立审核
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定? 职责是否分配? 程序是否得实施和保持? 在实施所要求的结果方面,过程是否有效。
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。 审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
Байду номын сангаас
审核组长—负责审核全过程及审核组管理工作。
审核员—在组长的审核安排下实施审核。
2.3 文件审核
目的 了解体系中的所有过程是否得到识别并适当管理; 了解过程文件满足审核准则程度; 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等; 准则 信息安全管理体系标准、合同、法律法规等。
不要属限于检查表项目,按实际现场审核时灵活查阅。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制
首次会议
审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制
审核活动的控制
抽样合理(一到三个) 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛
对审核知识要求较高。
3.4.1 审核证据—证据获取原则
可作为证据原则 不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证
陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件,擅自涂改的记录等。
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到,防火墙在每个星期五 早上都会定期失效,但查阅安全事件记录中却没有发现 这些事件的记录,网络管理员解释说他早就知道这个问 题了,所以没有必要再记录了。 请问以上回答能否作为审核证据?理由? 如果你是内审员你会怎么做?
注1:审核组的一个或多个人通常是合格审核员(3.9.14),并且其中之一通常被任命为审核组 长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。 注2:观察员可以陪同审核组,但不作为成员。
审核员--被委派实施审核(3.9.1)的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度
按计划时间间隔;
一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
所获取的信息小。
3.4.4 审核证据—提问技巧
开放式:提问交流过程需要解释。主要用于获取全面信 息,例如: 贵公司(组织)有没有建立信息安全目标指标,如何管 理,实施结果,是否满足计划要求; 贵公司(组织)是否建立资产清单,如何评定重要资产, 如何管理维护等。 优点 可获取信息面较广。 缺点 被动,过程可能会出现等待证据提供时间。
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。 请问以上回答能否作为审核证据?理由?
如果你是内审员你会怎么做?
一 培训目的
了解体系审核的基本概念
掌握ISMS内部审核流程
掌握ISMS内部审核方法与技巧
二 培训内容
审核概论
审核策划与准备
审核实施
纠正及其跟踪
ISMS评价
1.1 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
审核发现--审核(3.9.1)的结果。 审核结论--审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的 审核(3.9.1)结果。 审核委托方--要求或请求审核(3.9.1)的组织(3.3.1)或个人 。 受审核方--被审核的组织(3.3.1)。 审核组--实施审核(3.9.1)的一个人或一组人。