第五部分：信息安全管理体系内部审核要点课件.ppt

1、ISMSISMS内审员培训教程内审员培训教程SGS-CSTCSGS-CSTC通标标准技术服务有限公司通标标准技术服务有限公司2u第一部分第一部分 信息安全基础知识及案例分析信息安全基础知识及案例分析u第二部分第二部分 ISO27001标准正文部分详解标准正文部分详解 ISO27001标准附录标准附录A详解详解u第三部分第三部分 信息安全风险评估与管理信息安全风险评估与管理u第四部分第四部分 体系文件编写体系文件编写u第五部分第五部分 信息安全管理体系内部审核信息安全管理体系内部审核课程内容课程内容3u 了解管理体系审核的基本概念了解管理体系审核的基本概念u 掌握掌握ISMS内部审核的流程内部审

2、核的流程u 掌握掌握ISMS内部审核的方法和技巧内部审核的方法和技巧教学目标教学目标4主要内容主要内容1 1、审核概论、审核概论2 2、审核策划和准备、审核策划和准备3 3、现场审核活动的实施、现场审核活动的实施4 4、纠正措施及其跟踪、纠正措施及其跟踪5 5、ISMSISMS评价评价51.1 1.1 定义定义 为获得为获得审核证据审核证据并对其进行客观的评价，并对其进行客观的评价，以确定满足以确定满足审核准则审核准则的程度所进行的系统的、的程度所进行的系统的、独立的并形成文件的过程独立的并形成文件的过程 （ISO 9000ISO 9000）1.2 1.2 审核审核“成败成败”的关键的关键 系

3、统的：正式、有序的审查活动系统的：正式、有序的审查活动 独立的：保持审核的独立性和公正性独立的：保持审核的独立性和公正性1 1 审核概论审核概论61.3 1.3 审核的内容审核的内容 1 1、获得审核证据、获得审核证据 2 2、客观评价、客观评价 3 3、确定满足审核准则的程度、确定满足审核准则的程度1.4 1.4 过程评价的四个基本问题过程评价的四个基本问题 1 1、过程是否已被识别并适当规定？、过程是否已被识别并适当规定？ 2 2、职责是否已被分配？、职责是否已被分配？ 3 3、程序是否得到实施和保持？、程序是否得到实施和保持？ 4 4、在实现所要求的结果方面，过程是否有效？、在实现所要求

4、的结果方面，过程是否有效？1 1 审核概论审核概论71.5 1.5 审核的类型审核的类型组组 织织顾顾 客客供供 方方认证认证/ /注册机构注册机构第三方审核第三方审核 ( (外部外部) )第二方审核第二方审核第二方审核第二方审核第一方审核第一方审核( (外部外部) )( (外部外部) )( (内部内部) )1 1 审核概论审核概论81.6 1.6 内部审核的目的内部审核的目的目目的的主要依据：信息安全管理体系文件主要依据：信息安全管理体系文件外部审核前的准备外部审核前的准备作为一种管理手段，是组织管理评审输入的重要内容作为一种管理手段，是组织管理评审输入的重要内容确保信息安全管理体系正常运行

5、和改进的需要确保信息安全管理体系正常运行和改进的需要1 1 审核概论审核概论91.7 ISMS1.7 ISMS内审的时机、范围和频度内审的时机、范围和频度u 按策划的时间间隔按策划的时间间隔u 一般至少每年应覆盖一般至少每年应覆盖ISMSISMS所涉及部门、过程一次所涉及部门、过程一次u 最初建立体系时频度可适当多一些最初建立体系时频度可适当多一些u 特殊情况特殊情况: : 发生严重信息安全问题或用户投诉发生严重信息安全问题或用户投诉 组织机构、生产场所、信息安全方针目标等发生重大变化组织机构、生产场所、信息安全方针目标等发生重大变化 接受第二、第三方审核前接受第二、第三方审核前1 1 审核概

6、论审核概论101.8 ISMS1.8 ISMS内部审核的依据内部审核的依据 1 1、ISO 27001:2005ISO 27001:2005版标准版标准 2 2、信息安全管理手册、信息安全管理手册 3 3、程序文件、程序文件 4 4、信息安全策略、信息安全策略 5 5、有关的法律、法规、有关的法律、法规 6 6、其他信息安全管理文件、其他信息安全管理文件1 1 审核概论审核概论111.9 ISMS1.9 ISMS内部审核的方式内部审核的方式 1 1、集中审核、集中审核 2 2、分散审核、分散审核1.10 ISMS1.10 ISMS审核的特点审核的特点 1 1、被审核的、被审核的ISMSISMS

7、必须是正规的必须是正规的 2 2、ISMSISMS审核必须是一种正式的活动审核必须是一种正式的活动 3 3、ISMSISMS审核是一种抽样过程审核是一种抽样过程1 1 审核概论审核概论121.11 ISMS1.11 ISMS内部审核的一般顺序内部审核的一般顺序 1 1、审核策划与审核准备、审核策划与审核准备 2 2、现场审核实施与审核报告、现场审核实施与审核报告 3 3、纠正措施的跟踪与汇总分析、纠正措施的跟踪与汇总分析 1 1 审核概论审核概论13u 领导重视是做好领导重视是做好ISMSISMS内部审核的关键内部审核的关键u 信息安全经理要亲自抓信息安全经理要亲自抓ISMSISMS内部审核工

8、作内部审核工作u ISMSISMS内部审核工作需要一个职能部门来管理内部审核工作需要一个职能部门来管理u 要组建一支合格的要组建一支合格的ISMSISMS内部审核队伍内部审核队伍u ISMSISMS内部审核需要一套正规的程序内部审核需要一套正规的程序u 建立建立ISMSISMS时应考虑时应考虑ISMSISMS内部审核工作内部审核工作2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备141.1. 明确审核决定明确审核决定 2.2. 确定审核组确定审核组3.3. 文件审核文件审核4.4. 编制审核计划编制审核计划5.5. 编制检查表编制检查表6.6. 通知受审核部门并约定具体的审核时

9、间通知受审核部门并约定具体的审核时间2 ISMS2 ISMS内部审核的策划和准备内部审核的策划和准备15 1、审核目的、审核目的2、审核范围、审核范围3、审核时间、审核时间4、审核方式、审核方式2.1 2.1 明确审核决定明确审核决定161 1、审核人员的资格、审核人员的资格2 2、确保客观性和公正性、确保客观性和公正性3 3、专业能力、专业能力4 4、审核组长：负责审核全过程及审核组管理工作、审核组长：负责审核全过程及审核组管理工作5 5、审核员：在审核组长指导下进行审核、审核员：在审核组长指导下进行审核2.2 2.2 确定审核组确定审核组17u目的：目的： 体系中所有过程是否被识别并适当规

10、定；体系中所有过程是否被识别并适当规定； 职责是否被分配；职责是否被分配； 过程文件满足审核准则的程度过程文件满足审核准则的程度u对象：对象： 信息安全管理手册、程序文件、作业指导书、信息安全管理手册、程序文件、作业指导书、规范、风险处理计划等规范、风险处理计划等u审核准则：审核准则： 标准、合同及有关的法律、法规标准、合同及有关的法律、法规2.3 2.3 文件审核文件审核18u时机：在现场审核前进行；时机：在现场审核前进行； 作业指导书、质量计划、规范等可以在现作业指导书、质量计划、规范等可以在现 场审核时进行；场审核时进行；u结论：符合标准及法规的要求；结论：符合标准及法规的要求； 部分不

11、符合要求；部分不符合要求； 没有覆盖标准及法规的要求；没有覆盖标准及法规的要求；u注意事项：不仅要审核过程文件，还要审核过程注意事项：不仅要审核过程文件，还要审核过程 之间的接口是否明确、协调之间的接口是否明确、协调2.3 2.3 文件审核文件审核19u 组织的大小和性质组织的大小和性质u 员工数量员工数量u 体系复杂性体系复杂性u ISMSISMS的范围的范围u 涉及的地点数目涉及的地点数目u 信息类型信息类型- -文件文件/ /电子等电子等2.4 2.4 编制审核计划编制审核计划_要求考虑要求考虑20u 审核目的审核目的u 审核范围审核范围u 审核准则审核准则u 审核组成员及其分工审核组成

12、员及其分工u 现场审核活动的日程安排现场审核活动的日程安排u 必要的审核资源的配备必要的审核资源的配备u 其它其它( (如审核时所用语言、保密承诺等如审核时所用语言、保密承诺等) )审核计划示例：审核计划示例：2.4 2.4 编制审核计划编制审核计划_内容内容21NO. 20080118-01NO. 20080118-01审核时间审核时间: :20082008年年1 1月月1818日日1 1月月1919日日审核目的审核目的: : 验证本公司的验证本公司的ISMSISMS是否符合是否符合ISO 27001:2005ISO 27001:2005版版以及公司以及公司ISMSISMS文件的要求，文件的

13、要求，ISMSISMS是否得到有效实施，是否是否得到有效实施，是否具备申请第三方具备申请第三方ISO 27001:2005ISO 27001:2005认证注册的条件认证注册的条件审核范围审核范围: : ISMS ISMS所涉及的部门和过程所涉及的部门和过程审核依据审核依据: : ISO 27001:2005 ISO 27001:2005 、公司、公司信息安全管理手册信息安全管理手册（LXLXM M0101）第）第1 1版、有关的信息管理文件版、有关的信息管理文件审核组成员审核组成员: :( (组长组长) )A A； B B；C C；公司公司ISMSISMS内部审核计划内部审核计划22日日 期期

14、时间安排时间安排A AC CB B1 1月月1818日日08:3008:3008:4508:45首次会议首次会议08:4508:4512:0012:0013:3013:3015:0015:00 15:0015:0017:3017:301 1月月1919日日08:3008:3012:0012:0013:3013:3015:3015:3015:3015:3016:0016:00审核组总结审核组总结16:0016:0016:3016:30与受审核方交换意见与受审核方交换意见16:3016:3017:0017:00末次会议末次会议说明说明: :对条款对条款的审核还将结合其它条款的审核同时进行的审核还将

15、结合其它条款的审核同时进行公司公司ISMSISMS内部审核计划内部审核计划23注：对以上人员和日程安排如有异议，请及时反馈。注：对以上人员和日程安排如有异议，请及时反馈。 拟制：拟制： （组长）（组长） 日期：日期： 批准：（信息安全经理）批准：（信息安全经理） 日期：日期： 公司公司ISMSISMS内部审核计划内部审核计划24一、检查表的作用一、检查表的作用 1 1、明确与审核目标有关的样本、明确与审核目标有关的样本 2 2、使审核程序规范化、使审核程序规范化 3 3、按检查表的要求进行调查研究，、按检查表的要求进行调查研究， 可使审核目标始终保持明确可使审核目标始终保持明确 4 4、保持审

16、核进度、保持审核进度 5 5、作为审核记录存档、作为审核记录存档 6 6、减少重复的或不必要的工作量、减少重复的或不必要的工作量 7 7、减少内审员的偏见和随意性、减少内审员的偏见和随意性2.5 编制检查表编制检查表25二、检查表的内容二、检查表的内容 1 1、列出审核项目的要点（确保完整）、列出审核项目的要点（确保完整） 2 2、明确审核步骤和方法，进行抽样量的设计、明确审核步骤和方法，进行抽样量的设计 注：注：ISMSISMS所涉及的过程和部门不能抽样，不同所涉及的过程和部门不能抽样，不同 的类型不能抽样的类型不能抽样2.5 编制检查表编制检查表26三、设计检查表的注意事项三、设计检查表的

17、注意事项 1 1、对照标准和、对照标准和ISMSISMS文件文件 2 2、部门与过程相对应、部门与过程相对应 3 3、选择典型的信息安全问题，抽样应有代表性、选择典型的信息安全问题，抽样应有代表性 4 4、注意逻辑顺序，明确审核步骤、注意逻辑顺序，明确审核步骤 5 5、按部门编制的检查表要考虑涉及的条款，按条款、按部门编制的检查表要考虑涉及的条款，按条款 编制的检查表要考虑涉及的部门编制的检查表要考虑涉及的部门 6 6、常见问题：、常见问题：陈述句变疑问句；只列出审核项目，忽略陈述句变疑问句；只列出审核项目，忽略 审核方法和抽样量的设计；仅依据标准，不符合实际审核方法和抽样量的设计；仅依据标准

18、，不符合实际2.5 编制检查表编制检查表27四、运用检查表的注意事项四、运用检查表的注意事项 1 1、自己掌握，没必要披露、自己掌握，没必要披露 2 2、不要照本宣科、不要照本宣科 3 3、不要拘泥于检查表、不要拘泥于检查表五、检查表举例五、检查表举例2.5 编制检查表编制检查表282.5 编制检查表编制检查表五、检查表举例五、检查表举例标准要求标准要求审核检查题审核检查题答案记录答案记录注释与指南注释与指南是是Y否否N理由理由4.2.1a) 组织要定义ISMS范围组织是否有一个定义ISMS范围的文件?对这个“定义ISMS范围”要求的符合性审核，要确保ISMS定义不仅要包括范围，也要包括边界。

19、对任何范围的删减，必须有详细说明和正当性理由。是否有对范围的删减？4.2.1b)组织要定义ISMS方针组织是否有一个ISMS方针文件？这个要求明确规定ISMS方针的5个基本点，即ISMS方针要1.包括信息安全的目标框架、信息安全工作的总方向和原则；2.考虑业务要求、法律法规的要求和合同要求；3.与组织开发与维护ISMS的战略性风险管理结合一起或保持一致；4.建立风险评价准则5.获得管理者批准。组织的ISMS方针文件是否满足ISO27001规定的5个基本点？29相关条款相关条款控制措施要求与检查题控制措施要求与检查题回答（是、回答（是、部分、不是）部分、不是）实施的方法实施的方法或删减的正当性或

20、删减的正当性A7.1.1资产清单是否所有资产都进行了识别？是否所有重要资产都进行了登记，建立了清单文件并加以维护？A7.1.2资产责任人所有信息和信息处理设施相关资产，是否都有责任人？A7.1.3资产的可接受使用信息和信息处理设施相关资产的可接受规则，是否确定、形成文件并加以实施？2.5 编制检查表编制检查表五、检查表举例五、检查表举例303.1 3.1 审核过程的控制审核过程的控制3.2 3.2 首次会议首次会议3.3 3.3 审核方法审核方法3.4 3.4 审核证据审核证据3.5 3.5 不合格项报告不合格项报告3.6 3.6 汇总分析汇总分析3.7 3.7 末次会议末次会议3.8 3.8

21、 审核报告审核报告3 现场审核活动的实施现场审核活动的实施31一、审核计划的控制一、审核计划的控制二、审核活动的控制二、审核活动的控制 1 1、样本策划合理、样本策划合理 2 2、辩识关键过程、辩识关键过程 3 3、评定主要因素、评定主要因素 4 4、重视控制结果、重视控制结果 5 5、注意相关影响、注意相关影响 6 6、营造良好的审核气氛、营造良好的审核气氛3.1 3.1 审核过程的控制审核过程的控制32三、审核结果的控制三、审核结果的控制 1 1、合格或不合格要以事实为基础、合格或不合格要以事实为基础 2 2、不合格事实要得到受审核方确认、不合格事实要得到受审核方确认 3 3、道听途说不能

22、作为证据、道听途说不能作为证据 4 4、组内要相互沟通，统一意见、组内要相互沟通，统一意见3.1 3.1 审核过程的控制审核过程的控制33一、首次会议的内容和程序一、首次会议的内容和程序 1 1、人员介绍、人员介绍 2 2、说明审核目的和范围、说明审核目的和范围 3 3、审核计划的确认、审核计划的确认 4 4、落实后勤安排、落实后勤安排 5 5、阐明一些重要的问题、阐明一些重要的问题 6 6、有关审核原则的强调、有关审核原则的强调 7 7、澄清一些问题、澄清一些问题二、首次会议的时间、地点及参加人员二、首次会议的时间、地点及参加人员3.2 3.2 首次会议首次会议34审核方式方法：如何抽样查证

23、审核方式方法：如何抽样查证 1 1、顺向追踪、顺向追踪 2 2、逆向追踪、逆向追踪 3 3、部门审核、部门审核 4 4、过程审核、过程审核 3.3 3.3 审核方法审核方法审核的基本方法审核的基本方法: :抽样抽样35顺向追踪：顺向追踪：u 从影响信息安全的因素跟踪到结束从影响信息安全的因素跟踪到结束u 按照业务流程的自然顺序按照业务流程的自然顺序u 从文件跟踪至实施记录从文件跟踪至实施记录优点：系统性强，可观察接口优点：系统性强，可观察接口缺点：较费时缺点：较费时3.3 3.3 审核方法审核方法36逆向追踪：逆向追踪：u 从已形成的结果追溯到影响因素的控制从已形成的结果追溯到影响因素的控制u

24、 按照业务流程的逆向顺序按照业务流程的逆向顺序u 从现场记录追溯到体系文件的规定从现场记录追溯到体系文件的规定优点：从结果找原因，针对性强；有利于发现问题优点：从结果找原因，针对性强；有利于发现问题缺点：问题复杂时不易理清（对审核员技术要求高）缺点：问题复杂时不易理清（对审核员技术要求高）3.3 3.3 审核方法审核方法37部门审核：部门审核：u 以部门为中心进行以部门为中心进行u 一个部门要涉及多个标准条款一个部门要涉及多个标准条款u 以部门的主要职能为主线，涉及相关的职能以部门的主要职能为主线，涉及相关的职能优点：节约审核时间优点：节约审核时间缺点：可能有疏漏，审核准备时要充分考虑相关因素

25、，缺点：可能有疏漏，审核准备时要充分考虑相关因素，审核过程中思路要清晰，审核组内部沟通要求高审核过程中思路要清晰，审核组内部沟通要求高3.3 3.3 审核方法审核方法38过程审核：过程审核：u 以过程为中心进行以过程为中心进行u 一个过程要涉及多个部门、多个标准条款要求一个过程要涉及多个部门、多个标准条款要求优点：完整、不易遗漏优点：完整、不易遗漏缺点：部门地点重复往返多，费事；缺点：部门地点重复往返多，费事； 对审核员要求高对审核员要求高3.3 3.3 审核方法审核方法39过程方法的审核思路：过程方法的审核思路： 建立过程审核的观念，从过程的策划查到过建立过程审核的观念，从过程的策划查到过程

26、的实施及效果（程的实施及效果（PDCAPDCA逻辑结构）：逻辑结构）： 过程的目标过程的目标 过程的策划过程的策划 过程的实施过程的实施 测量监控测量监控 持续改进持续改进3.3 3.3 审核方法审核方法401 1、审核证据的定义、审核证据的定义(ISO 9000 (ISO 9000 3.9.4):3.9.4): 与审核准则有关的并且能够证实的记录、与审核准则有关的并且能够证实的记录、事实陈述或其他信息。事实陈述或其他信息。 注注: :审核证据可以是定性或定量的。审核证据可以是定性或定量的。2 2、在审核中应分清什么可以作为审核证据、在审核中应分清什么可以作为审核证据, ,什么不什么不可以作为

27、审核证据。可以作为审核证据。3.4 3.4 审核证据审核证据41可作审核证据可作审核证据u 存在的客观事实或情况存在的客观事实或情况u 部门负责人或当事人谈话（并部门负责人或当事人谈话（并有其他实物旁证）有其他实物旁证）u 现行有效文件（审核当前的信现行有效文件（审核当前的信息安全活动）和有效的信息安息安全活动）和有效的信息安全记录全记录不可作审核证据不可作审核证据u 估计、猜想、分析、推断估计、猜想、分析、推断u 陪同人员或其他无关人员谈话、陪同人员或其他无关人员谈话、传闻传闻u 过期的或作废的文件，擅自涂改过期的或作废的文件，擅自涂改的信息安全记录，未经证实的新的信息安全记录，未经证实的新

28、闻报道闻报道3.4 3.4 审核证据审核证据42案例：案例： 星际公司的一位设计工程师张三被通知上午星际公司的一位设计工程师张三被通知上午1010点钟到李点钟到李飞的办公室开会，主要讨论一宗大订单的详细规范。在飞的办公室开会，主要讨论一宗大订单的详细规范。在他去李飞办公室的路上，遇到了事故，受了重伤。李飞他去李飞办公室的路上，遇到了事故，受了重伤。李飞接到张三出事的消息时，张三已被送往医院做接到张三出事的消息时，张三已被送往医院做X X光透视。光透视。李飞给医院打电话想问一下情况，但好象没有人知道张李飞给医院打电话想问一下情况，但好象没有人知道张三的任何情况，很可能李飞打错了医院的电话。三的任

29、何情况，很可能李飞打错了医院的电话。3.4 3.4 审核证据审核证据43请问以下陈述是否正确：请问以下陈述是否正确：u张三是一位工程师。张三是一位工程师。u张三要去见李飞。张三要去见李飞。u张三要去参加的会定在上午张三要去参加的会定在上午1010点钟开。点钟开。u该事故发生在星际公司。该事故发生在星际公司。u张三被送到了医院做张三被送到了医院做X X光透视。光透视。u李飞打电话询问的医院里没有人知道张三的任何事。李飞打电话询问的医院里没有人知道张三的任何事。u李飞打错了医院的电话。李飞打错了医院的电话。3.4 3.4 审核证据审核证据44审核证据的获得方法审核证据的获得方法u查阅文件和记录查阅

30、文件和记录u现场观察现场观察u提问与交流提问与交流u实际测定实际测定3.4 3.4 审核证据审核证据45提问的技巧提问的技巧u封闭式：可用简单的封闭式：可用简单的“是是”或或“否否”回答回答 用以获取专门的信息用以获取专门的信息 有主动权，但信息量小有主动权，但信息量小u开放式：答案需要解释或表达开放式：答案需要解释或表达 可获得较大的信息量可获得较大的信息量 被动，有时会浪费时间被动，有时会浪费时间u澄清式：用以获得更多的专门信息或确认已获得澄清式：用以获得更多的专门信息或确认已获得 的信息，带有主观导向，不能经常用的信息，带有主观导向，不能经常用3.4 3.4 审核证据审核证据46开放式提

31、问的技巧：开放式提问的技巧：u 带主题的问题什么是如何做？带主题的问题什么是如何做？u 扩展性的问题为什么、如何、怎样？扩展性的问题为什么、如何、怎样？u 讨论性的问题说出个人见解讨论性的问题说出个人见解u 调查性的问题觉得怎样、有什么想法调查性的问题觉得怎样、有什么想法u 重复性的问题得到明确的答案重复性的问题得到明确的答案u 假设性的问题如果假设性的问题如果则则u 验证性的问题请拿出证据、在哪儿验证性的问题请拿出证据、在哪儿3.4 3.4 审核证据审核证据47观察的技巧：观察的技巧：u是否符合正常作业所需的环境条件是否符合正常作业所需的环境条件u审核现场人员的工作状态审核现场人员的工作状态

32、u是否符合信息安全规定要求是否符合信息安全规定要求u资产、设备的状态资产、设备的状态u过程的记录过程的记录u面谈人员的神态面谈人员的神态3.4 3.4 审核证据审核证据48随时记录审核过程情况随时记录审核过程情况u时间、地点时间、地点u访问、调查的对象访问、调查的对象u见证人见证人u观察（表格、文件、记录、编写等）到的实施观察（表格、文件、记录、编写等）到的实施3.4 3.4 审核证据审核证据49一、不合格项：一、不合格项：未满足审核准则要求未满足审核准则要求二、不合格项分类二、不合格项分类 1 1、按性质分类、按性质分类 a. a. 体系性不合格体系性不合格 b. b. 实施性不合格实施性不

33、合格 c. c. 效果性不合格效果性不合格 2 2、按严重程度分类、按严重程度分类 a. a. 严重不合格严重不合格 b. b. 一般不合格一般不合格3.5 3.5 不合格项报告不合格项报告50n严重 某个部门内，与之相关条款要求执行的普遍失效 某个条款要求在体系内部完全缺失 违反相关法律法规要求 可导致重大信息安全即时事故或顾客投诉的事项 不执行一个以上所需要的体系要素（CH4-8任一条要求或ISMS方针和程序） 一般不符合项若持久稳固的存在，则可作为重大不符合项n轻微 信息安全管理体系的过程、程序或操作的轻微的问題 偶然发生的不符合事项 如出现的记录不完整，或容易改正的个别缺陷n观察项：不

34、会对信息安全造成有意义的影响，可能有潜在影响的一种发现、不符合性分类及判定、不符合性分类及判定3.5 3.5 不合格项报告不合格项报告51不符合事实描述的要求：不符合事实描述的要求：1.1.准确地描述观察到的事实，包括时间地点准确地描述观察到的事实，包括时间地点 人物（用职务职称而不用人名）何种情况等。人物（用职务职称而不用人名）何种情况等。2.2.使其有重查性和可追溯性。使其有重查性和可追溯性。3.3.简明精炼，抓住核心的不符合加以提炼。简明精炼，抓住核心的不符合加以提炼。4.4.对统计数据要有分析和归纳，不要遗漏任何有益信息。对统计数据要有分析和归纳，不要遗漏任何有益信息。5.5.观点结论

35、要从描述中自然流露，不要光写结论，不写事实。观点结论要从描述中自然流露，不要光写结论，不写事实。 3.5 3.5 不合格项报告不合格项报告52不符合事实例举：不符合事实例举： 不好的描述：不好的描述：xxxx部门少数借阅记录有乱写乱画现象。部门少数借阅记录有乱写乱画现象。 好的描述：好的描述： xx部门部门xx信息借阅登记薄在信息借阅登记薄在2007年年9月月18日日 的借阅记录上不能辨识借阅人和批准人。的借阅记录上不能辨识借阅人和批准人。3.5 3.5 不合格项报告不合格项报告53三、不合格报告三、不合格报告 1 1、核心内容、核心内容 a. a. 不符合事实描述不符合事实描述 时间、地点、

36、人物、细节时间、地点、人物、细节 尽量具体；无关的内容不填写尽量具体；无关的内容不填写 b. b. 理由理由: :哪一点做错了哪一点做错了? ? c. c. 不符合标准哪一条款不符合标准哪一条款? ? d. d. 严重程度严重程度 2 2、总要求、总要求 清楚、正确、全面、简练清楚、正确、全面、简练3.5 3.5 不合格项报告不合格项报告543 3、应避免的词语、应避免的词语 似乎好象似乎好象 总的说来总的说来 曾经有人说过曾经有人说过4、用下一页的表格学员进行、用下一页的表格学员进行“不符合项书写不符合项书写”5、分组进行、分组进行“不符合项案例不符合项案例”分析分析3.5 3.5 不合格项

37、报告不合格项报告55受审核部门受审核部门陪陪 同同 人人 员员内内 审审 员员审审 核核 日日 期期不合格事实的描述：不合格事实的描述：不合格的理由：不合格的理由： 不符合不符合 程序的规定或程序的规定或 ISO 27001:2005ISO 27001:2005标准的规定标准的规定 不合格性质不合格性质 严重不合格项严重不合格项 一般不合格项一般不合格项内审员签名内审员签名 受审核部门负责人确认受审核部门负责人确认 不合格原因及纠正措施不合格原因及纠正措施制定者制定者 实施者实施者 纠正措施实施期限：纠正措施实施期限： 月月 日日跟踪验证情况跟踪验证情况内审员内审员 日期日期 管理者代表批准管

38、理者代表批准 日期日期公司内部公司内部ISMS审核不合格报告审核不合格报告报告编号：报告编号：2000011801013.5 3.5 不合格项报告不合格项报告565 5、判定原则、判定原则u 就近不就远（从直接原因上找）就近不就远（从直接原因上找）u 就小不就大（慎判严重不合格）就小不就大（慎判严重不合格）u 应对被审核部门有帮助（仅是从文件到文件，对应对被审核部门有帮助（仅是从文件到文件，对 部门提高信息安全管理水平帮助不大，可以不提）部门提高信息安全管理水平帮助不大，可以不提）u 有利于被审核部门采取纠正措施（应考虑条款的有利于被审核部门采取纠正措施（应考虑条款的 正确性）正确性）u 按不

39、合格的结果或事实找对应条款（不应按不合按不合格的结果或事实找对应条款（不应按不合 格事实去推测其可能的原因）格事实去推测其可能的原因）3.5 3.5 不合格项报告不合格项报告57一、末次会议的目的一、末次会议的目的 1 1、向受审核方领导介绍审核观察结果、向受审核方领导介绍审核观察结果 2 2、宣布审核结论、宣布审核结论 3 3、提出下面的要求（跟踪、监督）、提出下面的要求（跟踪、监督） 4 4、结束现场审核、结束现场审核二、末次会议的内容二、末次会议的内容 1 1、感谢、感谢 2 2、重申审核的目的和范围、重申审核的目的和范围 3 3、讲清审核的局限方面、讲清审核的局限方面 4 4、提交不合

40、格报告、提交不合格报告3.6 3.6 末次会议末次会议58 5 5、澄清疑问、澄清疑问 6 6、提出采取纠正措施要求、提出采取纠正措施要求 7 7、对本次审核作出总结、对本次审核作出总结 8 8、宣读审核结论、宣读审核结论 9 9、受审核方领导讲话、受审核方领导讲话三、末次会议的时间、地点及参加人员三、末次会议的时间、地点及参加人员3.6 3.6 末次会议末次会议59一、对不符合项从体系性、实施性和效果性一、对不符合项从体系性、实施性和效果性 来进行分析来进行分析二、从不符合项发展的历史和趋势进行分析二、从不符合项发展的历史和趋势进行分析三、总结受审核部门信息安全管理工作的优点三、总结受审核部

41、门信息安全管理工作的优点四、从部门的角度进行分析四、从部门的角度进行分析五、从过程或条款的角度进行分析五、从过程或条款的角度进行分析3.7 3.7 汇总分析汇总分析60一、审核目的和范围一、审核目的和范围二、审核组成员和受审核部门二、审核组成员和受审核部门三、审核日期三、审核日期四、审核依据四、审核依据五、审核情况的概述五、审核情况的概述六、不合格项分布表（不合格项报告作为附件）六、不合格项分布表（不合格项报告作为附件）七、七、ISMSISMS有效运行的结论性意见有效运行的结论性意见八、审核报告的分发清单八、审核报告的分发清单3.8 3.8 审核报告审核报告61内审总结报告内审总结报告审核组长

42、审核日期审核组员：审核目的：审核范围：审核依据：审核中发现的问题摘要： 2006年8月16日至17日，我公司在会议室于上午9：00分召开首次会议后开始进行第一次内部信息安全体系审核。由公司内部质量审核员组成的审核组分别对xxxx部、xxxx部、等进行了验证信息安全体系运行的有效性、适宜性、符合性为目的的内部审核。经过二天时间寻找出存在的一些问题，总计不合格项7项，xxxx部 项，xxxx部 项，。下面对各个部门和岗位在审核中发现的问题进行汇总分析：1.xxxx部 1.xxxx部 编号：3.8 3.8 审核报告审核报告62内审结论： 通过这次内审情况来看，我公司整个体系已经初步建立并运行，但整个

43、体系尚须不断的完善和改进。主要体现在如下方面： 1、人员意识有待加强； 2、实施贯彻的力度有待加强； 3、对部分部门的资产识别还须细化； 4、不断改进并细化管理流程； 针对以上的问题，我们将从加大宣贯力度着手，不断提高员工信息安全意识；加强检查、监督的力度，从而保障公司的规定得到执行；继续更新资产调查清单，切实可行的将信息资产管理到位；通过内审、收集改进建议、结合公司的总体目标不断改进整个体系。审核组长： 日期： 管理者代表： 日期：3.8 3.8 审核报告审核报告63一、纠正措施的定义一、纠正措施的定义二、纠正措施的几个方面二、纠正措施的几个方面 1 1、补救方面的、补救方面的针对问题针对问

44、题 2 2、原因分析、原因分析 3 3、永久性的、永久性的防止再次发生防止再次发生 4 4、确定纠正措施的期限、确定纠正措施的期限4 4 纠正措施及其跟踪纠正措施及其跟踪64纠正措施的跟踪和验证纠正措施的跟踪和验证时机：按纠正措施确定的时间时机：按纠正措施确定的时间实施者：内审员实施者：内审员/ /审核组长审核组长/ /管理者代表管理者代表验证的内容：验证的内容：u 计划是否按规定日期完成计划是否按规定日期完成u 计划中的各项措施是否都已完成计划中的各项措施是否都已完成u 完成后的效果如何完成后的效果如何u 实施情况是否可查实施情况是否可查u 如引起文件的修改，是否按文件控制要求如引起文件的修

45、改，是否按文件控制要求 进行文件更改控制，现行文件是否实施进行文件更改控制，现行文件是否实施4 4 纠正措施及其跟踪纠正措施及其跟踪65 u 符合性和有效性评价符合性和有效性评价 文件化体系对标准的符合程度文件化体系对标准的符合程度 文件化体系的实施程度及持续改进的机制文件化体系的实施程度及持续改进的机制 ISMSISMS实施的有效程度实施的有效程度5 ISMS5 ISMS评价评价u 持续改进持续改进每年最少一次审核每年最少一次审核关闭不一致的区域关闭不一致的区域评价风险评估的有效性评价风险评估的有效性评价适用性声明的有效性评价适用性声明的有效性安全方针安全方针管理委员会会议管理委员会会议安全

46、事件安全事件方针和程序执行的效果方针和程序执行的效果66审核案例审核案例1n 必须的文件 ISMS方针文件，包括ISMS的范围 风险评估程序 风险处理程序 文件控制程序 记录控制程序 内部审核程序 纠正措施与预防措施程序 控制措施有效性的测量程序（4.3.1 i） 适用性声明 管理评审程序n 其它的文件67n 容量管理、系统验收容量管理、系统验收A10.3.1 A10.3.2A10.3.1 A10.3.2n 信息备份信息备份A10.5.1A10.5.1n 业务信息系统业务信息系统A10.8.5A10.8.5n 用户访问管理用户访问管理A11.2.1-4A11.2.1-4n 应用系统和信息访问控

47、制应用系统和信息访问控制A11.6.1-2A11.6.1-2n 技术脆弱性管理技术脆弱性管理A12.6.1A12.6.1n 信息系统审核考虑信息系统审核考虑A15.3.1-2A15.3.1-2n 监视监视A10.10.1-6A10.10.1-6审核案例审核案例2如何对组织内部的如何对组织内部的0A系统进行审核？系统进行审核？68总总 结结u 审核的基本概念审核的基本概念u ISMSISMS内部审核的基础知识内部审核的基础知识u ISMSISMS内部审核的流程内部审核的流程u ISMSISMS内部审核的活动内部审核的活动u ISMSISMS内部审核的方法和技巧内部审核的方法和技巧69谢谢 谢谢 ! !