ISMS信息安全管理体系内部审核员培训(ISO27001)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
V2.0
19
审核方式 — 分散式滚动审核
分区域(部门)或体系要求在不同时间进行审核 需编制年度审核方案
➢ 审核区域 ➢ 审核频次(一年审核几次) ➢ 计划的时间(预计的审核月份)
对审核方案进行滚动修改 适用于体系范围广、规模大的组织
V2.0
20
年度ISMS审核方案
月份 部门
管理层
销售部
采购部
V2.0
3
审核总论
审核的基本定义 审核的基本程序
V2.0
4
什么是审核?
审核证据
审核结论
客观评价
满足程度
审核准则
系统的、独立的、并形成文件的过程
V2.0
5
信息安全管理体系审核定义
为获得与信息安全相关的审核证据并对其进行客观评价, 以确定满足是否符合信息安全审核准则的程度所进行的 系统的、独立的并形成文件的过程。
V2.0
7
审核证据
与审核准则有关的并且能够证实的: – 记录 – 事实陈述 – 或其他信息
审核准则可以是定性的或定量的
V2.0
8
审核类型
第一方审核/内审
组织
第二方审核
第三方审核
第三方机构/认证机构
顾客
V2.0
9
内部审核的作用
验证组织ISMS体系符合ISO27001标准的程度。 审查组织的ISMS体系符合安全方针和目标的有效性和适宜性 通过内部审核,达到持续改进ISMS的目的。 通过内部审核,发现信息安全漏洞和薄弱环节。 通过内部审核,调查重大安全事件发生原因。 提高员工信息安全意识,促进全员参与信息安全管理。 在第二、三方审核前纠正不足。
审核后跟踪
V2.0
15
培训内容
审核总论 审核策划与准备 审核实施 审核报告、纠正与跟踪
V2.0
16
审核策划与准备
年度审核策划
审核准备 编制ISMS审核实施计划 编制审核检查表 审核前沟通
V2.0
17
审核时机
例行审核
每年至少一次,覆盖ISO27001管理体系要求以及SOA中声明的 控制目标及控制措施要求
V2.0
13
第二阶段审核
第二阶段对ISMS执行情况进行验证,主要活动包括:
与ISMS相关人员面谈 审查高、中和/或低风险区域 审查信息安全管理目标 ISMS内审和管理评审 ISMS相关要求执行情况 报告审核发现并给出最终注册推荐意见
V2.0
14
审核基本程序
审核策划与准备
审核实施
审核报告
技术部
生产部
品质部
仓
库
计划
2004年度ISMS内部审核方案
1
2
3
4
5
6
7
8
9
10
11
12
审核已进行
纠正措施已计划
纠正措施已实施 纠正措施已验证
V2.0
21
审核策划与准备
年度审核策划 审核准备 编制ISMS审核实施计划 编制审核检查表 审核前沟通
V2.0
22
审核准备
每次审核前,需要进行全方位的审核准备,完成以下工作: 确定审核目的及审核范围 识别审核范围中特别要求 确定审核组长及审核小组成员 确定审核时间和资源要求 编制审核实施计划 制订检查表 审核前沟通
信息安全管理体系内部审核
信息安全管理体系内部审核培训课程
培训目的
了解信息安全管理体系审核基本程序 掌握信息安全管理体系审核计划及检查表编制方
法 掌握信息安全管理体系内部审核基本技巧 掌握信息安全管理体系审核报告及跟踪方法
V2.0
2
培训内容
审核总论 审核策划与准备 审核实施 审核报告、纠正与跟踪
– 评价的对象是与信息安全相关审核证据 – 评价的依据是信息安全审核准则 – 系统的、独立的、客观的评价过程 – 形成文件
V2.0
6
信息安全审核准则
用作依据的一组方针、程序或要求。 – 信息安全管理方针 – SOA(适用性声明书) – 风险评估报告及管理计划 – 信息安全相关法规要求 – ISO27001-2:2002标准要求 – 客户合同要求 – 相关方(合作伙伴、股东等)明确的信息安全要求 – 内部管理程序、工作程序、指南、安全规范要求
V2.0
24
审核组组成
审核组长及审核员由信息安全经理批准,审核组通常包括: 审核组组长 审核员 技术专家 审核观察员(未具体审核员资格)
V2.0
25
审核策划与准备
年度审核策划 审核准备
编制ISMS审核实施计划
编制审核检查表 审核前沟通
V2.0
26
ISMS审核实施计划编制
ISMS审核实施计划由审核组长编制,通常应考虑以下信息:
V2.0
10
审核总论
审核的基本定义 审核的基本程序
V2.0
11
第三方审核过程
第一阶段审核
– 文件审查
第二阶段审核
– ISMS实施结果审查
V2.0
12
第一阶段审核
在现场进行,主要活动包括:
审查ISMS管理框架 评估ISMS范围 风险评估和风险处置计划 适用性声明(SOA) 信息安全方针和主要支持性程序 正式报告审核发现 解释第二阶段审核要求
V2.0
23
审核准备注意事项
审核策略(如何审)
审核时间
➢ 年度审核方案要求 ➢ ISMS涉及的范围 ➢ SOA要求
➢ 应超过外部审核的时间 ➢ 考虑高风险区域 ➢ 考虑关键的ISMS管理要求
➢ 与审核范围相关的ISMS体系
文件要求
➢ 需要的其他支持(申请权限、 网络运行协调)
审核组分配
➢ 独立性
27
审核实施计划内容
审核的目的和范围
审核准则
审核组成员
审核详细的日程安排
– 首次会议/末次会议时间
– 审核组人员的分配
– 受审核部门及具体时间
– 主要的审核要点
特别事项说明
拟制/批准人的签字
往往开始于ISMS管理体系建立并试运行一段时间之后
临时审核(特殊情况下的追加审核)
发生了重大安全事件 组织机构与职责发生重大变化 信息系统及设施发生重大变化 第二、第三方审核之前
V2.0
18
审核方式 — 集中式审核
集中某一段时间完成对所有区域或所有体系要求的审核
在程序文件中明确大致时间 具体时间用通知或审核实施计划形式通知相关部门 可不必编制年度内部审核方案 适用与小企业、小范围的信息安全管理体系
输入信息 ➢ 年度审核方案要求 ➢ SOA ➢ 信息安全方针手册 ➢ 风险评估报告及管理计划 ➢ ISMS体系文件 ➢ 高风险区域 ➢ 重大及平凡出现的安全事件 ➢ 审核员经验
输出 ➢ 审核目的 ➢ 审核范围 ➢ 审核准则 ➢ 审核组成员 ➢ 审核时间 ➢ 审核日程安排 ➢ 特殊协调事项说明
V2.0