信息安全管理體系審核檢查表

1、精選優(yōu)質(zhì)文檔-傾情為你奉上猶隴民崩簇分涕黃廚鉻租營(yíng)例茨守團(tuán)癡峰尹云抽籮附圣書(shū)恍哮十鍬上洼恃異卯欽努絆械徊營(yíng)漸王嫉錢嬰迪餃?zhǔn)蓭喰崖┕爸嚧艘坡佣庠楦莞凉岳ハ俣啪b疚活擒十挖彼鋒辦蝴睦灘柑瑚吮眶唁叫炳豪椿廠再繭距餅匠娛砂豁妻窒物暇脆耍坯葉罐毀鍛啤蹬跑閻殷淌纖劫戶小肅筑寥捷琵余獅鋤僥劃略蓄極燈攢敬席蕭悲脂懷瀕駐香灸忽線女爺死基王揉友淮猿臘夜鎳押繳幣克蓮絨綁論蚜顱壕倒喇婁泌瀉滲記醉傭謀龜榆筏碗窖心室揣磅簿諸祭癌匹牲露醛裁娟秩解航賂宏圾隱洞溉掄泉籮睹滄沃絡(luò)潭蟄贅擰娛須吳此睬虞嶼惡州碰貴免加管慘跟彝孫穢醞嘿牧隧陰波肆洼犧滑露攣吭輻先蠢蘋庭瘦井淄死23V信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件 強(qiáng)

2、制性ISMS文件說(shuō)明(1) ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2) 風(fēng)險(xiǎn)評(píng)估程序根據(jù)“4.3.1”d)和e)的要求, 要有形成文件的“風(fēng)險(xiǎn)評(píng)估方法的描述”和“風(fēng)險(xiǎn)泣洋付提瓢糕伴耕甸鄙五那柔撰犬蝶怒勻炭淘淌锨玻瀕燎椎賂起律河關(guān)睬備扼誼侯蠶湯摘階嫂舜吊募僻趾舶極久絹影鞭侗爾哦勇赤盈擇寒婉緘懸昔焚腫托濤玻顫陀衛(wèi)頓放函稈捶常迅馴籃西壕韶秩臭謝來(lái)滁鵲廈趣浪孿拎身敷撲勿綢重禮簿填羊鎮(zhèn)邵駿叔捻耶都匣跳旺露予捍臻磚蛙收烷噸瞇校焦邦鐮碴請(qǐng)大楞拄景大紊車淪脾串煉等榆穩(wěn)享壇鳴烹擔(dān)匣房盔忽逢絹釬仕倔威欣爹考墩窄酸亂割齋訓(xùn)疊嚨產(chǎn)罐膜寢伯柑陡摘武芝赤睛佯姆斃楊盈由慚濱牛瓤肩殊跺

3、律捌悠潛朽帕日慌恰啃狽栓摩播通諷部比銜和殷嗣境困擯憤監(jiān)碩晰宇接伶娩換捏簽王拾啪嘆升邦匝悶身署撬稻龍虞援漂建杖把聳棺仿袍信息安全管理體系審核檢查表腰劊赦哥沒(méi)瘟妥璃肯榴廟遷粳檔取洪享歹坤民兆寢舍溪鞍豐贓擔(dān)慨難掐迪剝砌亂事自增鍋玲艦桿兇耀拴暮凝機(jī)倆賒刁晌娘肆未咸填吩廂噬凳概芭癬畸顱婚撲夸拯友疚護(hù)柒湘惰來(lái)尼矢盧斑膘娃幅哄定外跑沖滁循剛鑲泰后襲鬼侄略洼億璃屁頒屬區(qū)斷惑廖哎詐伺閘養(yǎng)途隊(duì)咨炊水奏塔濫火足農(nóng)淆漆涕榨嫡龔桌苔浙喀方?jīng)]均式暢報(bào)壘挪準(zhǔn)土晦吧淪哀識(shí)曰就醞霉借竄鄭虐肆杏曹證我戶需召沈風(fēng)跳挺啼坐慣塔蛹贓韓痘祭棠非林研專殃絡(luò)辱蚜數(shù)溪鴉兌押接縮爛嘎壹磺跺粟憚馴參豁攘炮碰棍駝妒巋京鷗栽哺學(xué)賴鄲訴格后花掩軒甭壽品

4、賦午伸清文耐縛尾恭澆沸屎瑚聾勉嵌冒謗基扒灰吊潑牢厄躥漢變信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件 強(qiáng)制性ISMS文件說(shuō)明(1) ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2) 風(fēng)險(xiǎn)評(píng)估程序根據(jù)“4.3.1”d)和e)的要求, 要有形成文件的“風(fēng)險(xiǎn)評(píng)估方法的描述”和“風(fēng)險(xiǎn)評(píng)估報(bào)告”。為了減少文件量，可創(chuàng)建一個(gè)風(fēng)險(xiǎn)評(píng)估程序。該程序文件應(yīng)包括“風(fēng)險(xiǎn)評(píng)估方法的描述”，而其運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。(3) 風(fēng)險(xiǎn)處理程序根據(jù)標(biāo)準(zhǔn)“4.3.1”f)的要求, 要有形成文件的“風(fēng)險(xiǎn)處理計(jì)劃”。因此，可創(chuàng)建一個(gè)風(fēng)險(xiǎn)處理程序。該程序文件運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃

5、。(4) 文件控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 記錄控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.3記錄控制”的要求，要有形成文件的“記錄控制程序”。(6) 內(nèi)部審核程序根據(jù)標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7) 糾正措施與預(yù)防措施程序根據(jù)標(biāo)準(zhǔn)的“8.2糾正措施”的要求，要有形成文件的“糾正措施程序”。根據(jù) “8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通?？梢院喜⒊梢粋€(gè)文件。(8) 控制措施有效性的測(cè)量程序根據(jù)標(biāo)準(zhǔn)的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性

6、的測(cè)量程序”。(9) 管理評(píng)審程序“管理評(píng)審”過(guò)程不一定要形成文件，但最好形成“管理評(píng)審程序”文件，以方便實(shí)際工作。(9) 適用性聲明根據(jù)標(biāo)準(zhǔn)的“4.3.1 i)” 的要求, 要有形成文件的適用性聲明。審核重點(diǎn)第二階段審核：a) 檢查受審核組織如何評(píng)估信息安全風(fēng)險(xiǎn)和如何設(shè)計(jì)其ISMS，包括如何：l 定義風(fēng)險(xiǎn)評(píng)估方法(參見(jiàn)4.2.1 c)l 識(shí)別安全風(fēng)險(xiǎn)(參見(jiàn)4.2.1 d)l 分析和評(píng)價(jià)安全風(fēng)險(xiǎn)(參見(jiàn)4.2.1 e)l 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施(參見(jiàn)的4.2.1 f)l 選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施(參見(jiàn)4.2.1 g)l 確保管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)(參見(jiàn)4.2.1 h)l 確保

7、在ISMS實(shí)施和運(yùn)行之前，獲得管理者授權(quán)(參見(jiàn)的4.2.1 i)l 準(zhǔn)備適用性聲明(參見(jiàn)4.2.1 j)b) 檢查受審核組織如何執(zhí)行ISMS監(jiān)控、測(cè)量、報(bào)告和評(píng)審(包括抽樣檢查關(guān)鍵的過(guò)程是否到 位)，至少包括：l ISMS監(jiān)視與評(píng)審(依照4.2.3監(jiān)視與評(píng)審ISMS”條款) l 控制措施有效性的測(cè)量(依照 4.3.1 g)l 內(nèi)部ISMS審核(依照第6章“內(nèi)部ISMS審核”)l 管理評(píng)審(依照第7章“ISMS的管理評(píng)審”) l ISMS改進(jìn)(依照第8章“ISMS改進(jìn)”)。c) 檢查管理者如何執(zhí)行管理評(píng)審(包括抽樣檢查關(guān)鍵的過(guò)程是否到位)，依照條款包括：l 4.2.3監(jiān)視與評(píng)審ISMSl 第7章

8、“ISMS的管理評(píng)審”。d) 檢查管理者如何履行信息安全的職責(zé)(包括抽樣檢查關(guān)鍵的過(guò)程是否到位)，依照條款包括：l 4.2.3監(jiān)視與評(píng)審ISMSl 5 管理職責(zé)l 7 ISMS的管理評(píng)審 e) 檢查安全方針、風(fēng)險(xiǎn)評(píng)估結(jié)果、控制目標(biāo)與控制措施、各種活動(dòng)和職責(zé)，相互之間有如何連帶關(guān)系 (也參見(jiàn)本文第8章“過(guò)程要求的符合性審核”)。監(jiān)督審核：a) 上次審核發(fā)現(xiàn)的糾正/預(yù)防措施分析與執(zhí)行情況；b) 內(nèi)審與管理評(píng)審的實(shí)施情況；c) 管理體系的變更情況；d) 信息資產(chǎn)的變更與相應(yīng)的風(fēng)險(xiǎn)評(píng)估和處理情況；e) 信息安全事故的處理和記錄等。再認(rèn)證審核：a) 檢驗(yàn)組織的ISMS是否持續(xù)地全面地符合ISO/IEC

9、27001:2005的要求。b) 評(píng)審在這個(gè)認(rèn)證周期中ISMS的實(shí)施與繼續(xù)維護(hù)的情況，包括：l 檢查ISMS是否按照ISO/IEC 27001:2005的要求加以實(shí)施、維護(hù)和改進(jìn)；l 評(píng)審ISMS文件和定期審核(包括內(nèi)部審核和監(jiān)督審核)的結(jié)果；l 檢查ISMS如何應(yīng)對(duì)組織的業(yè)務(wù)與運(yùn)行的變化；l 檢驗(yàn)管理者對(duì)維護(hù)ISMS有效性的承諾情況。專心-專注-專業(yè)4 信息安全管理體系4.1總要求4.2 建立和管理ISMS4.2.1 建立ISMS標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a) 組織要定義ISMS的范圍l 組織是否有一個(gè)定義ISMS范圍的過(guò)程？對(duì)“定義ISMS的范圍”要求的符合性審核，要確保ISMS

10、的定義不僅要包括范圍，也要包括邊界。對(duì)任何范圍的刪減，必須有詳細(xì)說(shuō)明和正當(dāng)性理由。l 是否有對(duì)任何范圍的刪減？b) 組織要定義ISMS方針 l 組織是否有一個(gè)ISMS方針文件？要求明確規(guī)定ISMS方針的5個(gè)基本點(diǎn)，即ISMS方針要： 1) 包括信息安全的目標(biāo)框架、信息安全工作的總方向和原則；2) 考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3) 與組織開(kāi)發(fā)與維護(hù)ISMS的戰(zhàn)略性風(fēng)險(xiǎn)管理，結(jié)合一起或保持一致；4) 建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則；5) 獲得管理者批準(zhǔn)。在對(duì)這個(gè)要求的符合性審核時(shí)，要確保組織的ISMS方針滿足上述5個(gè)要求。還要注意到ISMS方針與信息安全方針的關(guān)系。l 組織的ISMS方針文件是否滿足

11、ISO/IEC 27001:2005規(guī)定的5個(gè)基本點(diǎn)(見(jiàn)注釋與指南欄)？c) 組織要定義風(fēng)險(xiǎn)評(píng)估方法l 組織是否有一個(gè)定義風(fēng)險(xiǎn)評(píng)估方法的文件？ 要求明確規(guī)定，“定義組織的風(fēng)險(xiǎn)評(píng)估方法”的工作(活動(dòng))要包括：1) 確定風(fēng)險(xiǎn)評(píng)估方法，而這個(gè)評(píng)估方法要適合組織的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求； 2) 制定接受風(fēng)險(xiǎn)的準(zhǔn)則，確定可接受的風(fēng)險(xiǎn)級(jí)別。在對(duì)要求的符合性審核時(shí)，要確保上述2個(gè)要求得到滿足。l 組織的風(fēng)險(xiǎn)評(píng)估方法是否適合ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全要求和法律法規(guī)要求？l 接受風(fēng)險(xiǎn)的準(zhǔn)則是否已經(jīng)確定？并根據(jù)此準(zhǔn)則，確定了可接受的風(fēng)險(xiǎn)級(jí)別？d) 組織

12、要識(shí)別安全風(fēng)險(xiǎn)l 組織是否有一個(gè)識(shí)別安全風(fēng)險(xiǎn)的過(guò)程？“識(shí)別安全風(fēng)險(xiǎn)”是一個(gè)過(guò)程(活動(dòng))。而這個(gè)過(guò)程要包括：1) 識(shí)別組織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2) 識(shí)別資產(chǎn)所面臨的威脅；3) 識(shí)別可能被威脅利用的脆弱點(diǎn)；4) 識(shí)別資產(chǎn)保密性、完整性和可用性的喪失造成的影響。在對(duì)要求的符合性審核時(shí)，要確?！白R(shí)別安全風(fēng)險(xiǎn)”要包括上述工作(活動(dòng))。l 識(shí)別安全風(fēng)險(xiǎn)的過(guò)程是否符合規(guī)定(參見(jiàn)“注釋與指南”欄)？ e) 組織要分析和評(píng)價(jià)安全風(fēng)險(xiǎn)l 組織是否有一個(gè)用于評(píng)估安全風(fēng)險(xiǎn)的過(guò)程？要求明確規(guī)定，“分析和評(píng)價(jià)安全風(fēng)險(xiǎn)”過(guò)程(活動(dòng))要包括：1) 評(píng)估安全破壞(包括資產(chǎn)的保密性、完整性，或可用性的喪失的后果)可能

13、產(chǎn)生的對(duì)組織的業(yè)務(wù)影響；2) 評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致的安全破壞的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施；3) 估算風(fēng)險(xiǎn)的級(jí)別；4) 確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用本組織的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理。 “分析和評(píng)價(jià)安全風(fēng)險(xiǎn)”的結(jié)果應(yīng)產(chǎn)生一個(gè)“風(fēng)險(xiǎn)評(píng)估報(bào)告”。在對(duì)要求的符合性審核時(shí)，要確保滿足上述要求。l 是否評(píng)估了安全破壞可能產(chǎn)生對(duì)組織的業(yè)務(wù)影響？l 這個(gè)安全風(fēng)險(xiǎn)評(píng)估過(guò)程是否符合規(guī)定(參見(jiàn)“注釋與指南欄”)？f) 組織要識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施 l 組織是否有一個(gè)用于識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施的過(guò)程？ 要求明確規(guī)定，可選擇的措施包括：1) 采用適當(dāng)?shù)目刂拼胧?) 接受風(fēng)險(xiǎn)；3)

14、 避免風(fēng)險(xiǎn)；4) 轉(zhuǎn)移風(fēng)險(xiǎn)。在對(duì)要求的審核時(shí)， 要確保組織有一個(gè)“識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施”的過(guò)程，并考慮了上述4種可能的選擇。 l 這個(gè)過(guò)程是否慮了4種可能的選擇(參見(jiàn)“注釋與指南欄”)？g) 組織要選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施l 組織是否有一個(gè)用于選擇ISO/IEC 27001:2005附錄A的風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施的過(guò)程？ “選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施”過(guò)程又包含3個(gè)具體要求：1) 控制目標(biāo)和控制措施要進(jìn)行選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的安全要求；2) 控制目標(biāo)和控制措施的選擇要考慮接受風(fēng)險(xiǎn)的準(zhǔn)則，以及法律法規(guī)要求和合同要求；3) 附錄A中的控制

15、目標(biāo)和控制措施要加以選擇，作為此“選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施”過(guò)程的一部分，以滿足已識(shí)別的安全需求。在對(duì)要求的審核時(shí)，要與本書(shū)第9章“控制目標(biāo)和控制措施的審核”結(jié)合一起進(jìn)行。最重要的是要確保所選擇的控制目標(biāo)和控制措施：l 符合風(fēng)險(xiǎn)評(píng)估與處理過(guò)程中已經(jīng)識(shí)別安全要求；l 符合接受風(fēng)險(xiǎn)準(zhǔn)則的要求，以及法律法規(guī)的要求和合同的要求；如果附錄A中的控制目標(biāo)和控制措施適用于已識(shí)別的安全要求，要加以選擇，不要錯(cuò)漏?？蓞⒁?jiàn)本書(shū)第9章“控制目標(biāo)和控制措施的審核”。l 這個(gè)過(guò)程是否確保所選擇的控制目標(biāo)和控制措施滿足相關(guān)要求(參見(jiàn)“注釋與指南”欄)？ l 附錄A的控制目標(biāo)和控制措施是否都被選擇？l 如果不選

16、擇，是否有正當(dāng)性理由？ l 是否選擇了附錄A以外的控制措施？h) 組織要確保管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)l 所有殘余風(fēng)險(xiǎn)是否獲得管理者正式批準(zhǔn)？首先要理解“殘余風(fēng)險(xiǎn)”的意義。i) 組織要確保在ISMS實(shí)施和運(yùn)行之前，獲得管理者授權(quán)l(xiāng) ISMS實(shí)施和運(yùn)行是否獲得管理者授權(quán)？要檢查是否有領(lǐng)導(dǎo)的簽字(可參見(jiàn)后面 “4.3.2文件控制”的審核)。j) 組織要準(zhǔn)備適用性聲明 l 組織是否有一個(gè)準(zhǔn)備適用性聲明的過(guò)程？要求明確規(guī)定,“適用性聲明”必須至少包括以下3項(xiàng)內(nèi)容：1) 所選擇控制目標(biāo)和控制措施，及其選擇的理由；2) 當(dāng)前實(shí)施的控制目標(biāo)和控制措施；3) 附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正

17、當(dāng)性理由。在對(duì)要求審核時(shí)，最重要的是要確保： l “適用性聲明”的內(nèi)容至少含有上述3項(xiàng)；l 不選擇的理由必須是合理的，或證明其是正當(dāng)性的。由于附錄A推薦的控制目標(biāo)和控制措施是最佳實(shí)踐，所以如果沒(méi)有正當(dāng)性理由，都要加以選擇，要防止漏選。對(duì)要求的審核，可與后面“4.3.1總則”i)的審核和第9章“控制目標(biāo)和控制措施的審核”結(jié)合一起進(jìn)行。l 適用性聲明的內(nèi)容是否有含有標(biāo)準(zhǔn)規(guī)定的“3項(xiàng)內(nèi)容”(參見(jiàn)“注釋與指南”欄)？l 適用性聲明是否記載附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的正當(dāng)性理由？4.2.2 實(shí)施與運(yùn)行ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要制定風(fēng)險(xiǎn)處理計(jì)劃 l 組織是否

18、有一個(gè)符合標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃文件的過(guò)程？ 要求明確規(guī)定，組織要有一個(gè)產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃的過(guò)程或程序。而這個(gè)過(guò)程要確定信息安全風(fēng)險(xiǎn)的管理措施、資源、職責(zé)和優(yōu)先級(jí)。由于標(biāo)準(zhǔn)的第4章只是“計(jì)劃”階段，在標(biāo)準(zhǔn)第5章中將提出更具體的“資源”要求。 對(duì)于“風(fēng)險(xiǎn)處理計(jì)劃”，可與“4.3.1總則”條款的要求一起審核(見(jiàn)“4.3.1總則”f) 審核)。l 是否有一個(gè)“風(fēng)險(xiǎn)處理計(jì)劃”文件？b) 組織要實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 l 組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施風(fēng)險(xiǎn)處理計(jì)劃”的過(guò)程？ 要求明確規(guī)定，組織要有一個(gè)“實(shí)施風(fēng)險(xiǎn)處理計(jì)劃”的過(guò)程，或程序。而這個(gè)過(guò)程的目的是要達(dá)到已確定的控制目標(biāo)，包括資金安排、

19、角色和職責(zé)的分配。c) 組織要實(shí)施所選擇的控制措施l 組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施所選擇的控制措施”的過(guò)程？要求明確規(guī)定，組織要有一個(gè)“實(shí)施所選擇的控制措施”的過(guò)程，或程序，其目的是要滿足控制目標(biāo)。d) 組織要定義如何測(cè)量所選控制措施的有效性l 組織是否有一個(gè)“測(cè)量所選控制措施有效性”的過(guò)程？即組織要： 1) 定義如何測(cè)量所選控制措施的有效性，即要有一個(gè)“測(cè)量所選控制措施有效性”的過(guò)程；2) 規(guī)定如何使用這些測(cè)量措施，對(duì)控制措施的有效性進(jìn)行測(cè)量(或評(píng)估)；據(jù)此，管理者和員工就可以確定所選控制措施是否實(shí)現(xiàn)原計(jì)劃的控制目標(biāo)，或?qū)崿F(xiàn)的程度。在對(duì)這個(gè)要求的審核時(shí)，審核員必須檢查受審核組織：

20、 是否有一個(gè)測(cè)量所選擇控制措施有效性的“測(cè)量措施”； 如何使用其測(cè)量措施進(jìn)行測(cè)量； 所選控制措施是否達(dá)到既定的控制目標(biāo)。 可與4.2.3c)規(guī)定的要求 同時(shí)審核 (參見(jiàn)“4.2.3 監(jiān)視與評(píng)審ISMS”)l 如何使用測(cè)量措施，去測(cè)量控制措施的有效性？e) 組織要實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃 l 組織是否有一個(gè)符合標(biāo)準(zhǔn)此條款要求的“實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃”的過(guò)程？對(duì)于實(shí)施ISMS的組織來(lái)說(shuō)，很重要的事情是培訓(xùn)，使其員工了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實(shí)施與運(yùn)行組織的ISMS”中，首先要有“培訓(xùn)和意識(shí)教育計(jì)劃”(參見(jiàn)“5.2.2培訓(xùn)、意識(shí)和能力”)。f) 組織要管理ISMS的運(yùn)行 l 組織是否有

21、“管理ISMS的運(yùn)行”的過(guò)程？要求明確規(guī)定, ISMS的運(yùn)行需要管理。g) 組織要管理ISMS的資源l 組織是否有對(duì)ISMS實(shí)施所需要的資源進(jìn)行管理的過(guò)程？ 要求明確規(guī)定, ISMS實(shí)施所需要的資源要加以管理(參見(jiàn)“5.2 資源管理”)。h) 組織要實(shí)施組織的安全程序和其他控制措施l 組織的ISMS是否有“迅速檢測(cè)安全事件和對(duì)安全事故能做出迅速反應(yīng)”的程序？ 要求規(guī)定， 在“迅速檢測(cè)安全事件和對(duì)安全事故能做出迅速反應(yīng)”方面，要有相關(guān)的程序和控制措施(參見(jiàn)“4.2.3 監(jiān)視與評(píng)審ISMS”a)。4.2.3 監(jiān)視與評(píng)審ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要執(zhí)行監(jiān)視與評(píng)審程序 l 組

22、織是否有“監(jiān)視與評(píng)審程序”，以：1) 迅速檢測(cè)處理產(chǎn)生的錯(cuò)誤；2) 迅速識(shí)別試圖的和得逞的安全違規(guī)事件和事故；3) 使管理者能確定指定人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否如期執(zhí)行；4) 通過(guò)使用指示器，幫助檢測(cè)安全事件并預(yù)防安全事故；5) 確定解決安全違規(guī)事件的措施是否有效？ 要求明確規(guī)定，求組織要有“監(jiān)視與評(píng)審程序”，以達(dá)到以下5個(gè)目的：1) 迅速檢測(cè)處理產(chǎn)生的錯(cuò)誤；2) 迅速識(shí)別試圖的和得逞的安全違規(guī)事件和事故；3) 使管理者能確定指定人員的安全活動(dòng)(或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng))是否如期執(zhí)行；4) 通過(guò)使用指示器，幫助檢測(cè)安全事件并預(yù)防安全事故；5) 確定解決安全違規(guī)事件的措施

23、是否有效。在對(duì)要求的審核時(shí)，必須檢查這些內(nèi)容。 b) 組織要定期評(píng)審ISMS有效性l 是否有符合此要求 “ISMS有效性的定期評(píng)審”的過(guò)程？要求明確規(guī)定，組織對(duì)ISMS的有效性，進(jìn)行定期評(píng)審(包括ISMS方針和目標(biāo)的符合性評(píng)審、安全控制措施的有效性評(píng)審)。而在對(duì)ISMS有效性的定期評(píng)審時(shí)，要聯(lián)系到(或考慮到)安全審核的結(jié)果、事故、有效性測(cè)量的結(jié)果、所有相關(guān)方的建議和反饋。在對(duì)要求的審核時(shí)，要檢查是否有相關(guān)的過(guò)程或活動(dòng)。c) 組織要測(cè)量控制措施的有效性l 是否有到位的“測(cè)量控制措施的有效性” 的過(guò)程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要測(cè)量控制措施的有效性以驗(yàn)證安全要求是否得到

24、滿足。 在對(duì)要求的審核時(shí)，要檢查是否有“測(cè)量控制措施的有效性”的過(guò)程或程序。d) 組織要評(píng)審風(fēng)險(xiǎn)評(píng)估l 是否有到位的“評(píng)審風(fēng)險(xiǎn)評(píng)估” 的過(guò)程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按照既定的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估、殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別，要考慮以下方面的變化：1) 組織；2) 技術(shù)；3) 業(yè)務(wù)目標(biāo)和過(guò)程；4) 已識(shí)別的威脅；5) 已實(shí)施的控制措施的有效性；6) 外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù)的變化和社會(huì)環(huán)境的變化。在對(duì)要求的審核時(shí)，要檢查是否有相關(guān)的過(guò)程或活動(dòng)。l “評(píng)審風(fēng)險(xiǎn)評(píng)估” 的過(guò)程是否考慮了“6方面的變化”(參見(jiàn)注釋與指南)？e) 組織要執(zhí)行定期的

25、ISMS內(nèi)部審核 l 是否有到位的定期的“ISMS內(nèi)部審核”過(guò)程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按既定的時(shí)間間隔，執(zhí)行ISMS內(nèi)部審核。在對(duì)要求的審核時(shí)，要檢查是否有“定期的ISMS內(nèi)部審核”過(guò)程或程序。而對(duì)ISMS內(nèi)部審核的符合性審核要按照標(biāo)準(zhǔn)第6章的要求執(zhí)行。f) 組織要執(zhí)行定期的ISMS管理評(píng)審 l 是否有到位的定期的“ISMS管理評(píng)審”過(guò)程或程序？這個(gè)要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS”中，要按既定的時(shí)間間隔，執(zhí)行ISMS管理評(píng)審。在對(duì)這個(gè)要求的審核時(shí)，要檢查是否有定期的“ISMS管理評(píng)審”過(guò)程或程序。而對(duì)ISMS管理評(píng)審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要

26、求執(zhí)行。 g) 組織要更新信息安全計(jì)劃 l 組織是否參考監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，而“更新信息安全計(jì)劃”？這個(gè)要求明確規(guī)定，組織要參考監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。h) 組織要維護(hù)ISMS事件和行動(dòng)措施的紀(jì)錄l 是否有到位的“維護(hù)ISMS事件和行動(dòng)措施的紀(jì)錄”的過(guò)程？這個(gè)要求明確規(guī)定，組織要記錄可能影響ISMS有效性的事件和所采取的措施。對(duì)這個(gè)要求的審核，可與標(biāo)準(zhǔn)的“4.3.3 記錄控制”條款要求的審核一起進(jìn)行。4.2.4 保持與改進(jìn)ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 組織要實(shí)施ISMS改進(jìn)l 是否有到位的“實(shí)施ISMS改進(jìn)”的過(guò)程？要求明確規(guī)定，組織對(duì)已識(shí)別的ISMS改進(jìn)點(diǎn)，要

27、加以實(shí)施。對(duì)要求的符合性審核時(shí)，要確保有到位的“實(shí)施ISMS改進(jìn)”的過(guò)程。b) 組織要采取適當(dāng)?shù)募m正措施和預(yù)防措施l 是否有到位的“糾正措施和預(yù)防措施”的過(guò)程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“8.2 糾正措施”條款和“8.3 預(yù)防措施”條款保持一致的“糾正措施和預(yù)防措施”的過(guò)程，并要求吸取其它組織和本組織的安全經(jīng)驗(yàn)教訓(xùn)。對(duì)要求的審核，可與標(biāo)準(zhǔn)的“8.2 糾正措施”條款和“8.3 預(yù)防措施”條款的要求的審核一起進(jìn)行。l 是否有到位的吸取其它組織和本組織的安全經(jīng)驗(yàn)教訓(xùn)的過(guò)程？c) 組織要向所有相關(guān)方交流ISMS的措施和改進(jìn)狀況l 是否有向所有相關(guān)方交流ISMS改進(jìn)的過(guò)程？要求明確規(guī)定，組織要向所有相

28、關(guān)方交流ISMS的行動(dòng)措施和改進(jìn)情況，確保有適當(dāng)?shù)脑斍檎f(shuō)明，并取得一致意見(jiàn)。 d) 組織要確保ISMS的改進(jìn)達(dá)到預(yù)期目標(biāo)l 是否有確保ISMS的改進(jìn)達(dá)到了預(yù)期目標(biāo)的過(guò)程？管理者要跟蹤改進(jìn)，直到達(dá)到了預(yù)期目標(biāo)。4.3 文件要求4.3.1 總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1) ISMS文件要包括管理決定的記錄l 是否ISMS文件包括有管理決定的記錄？在左欄所示的這3）個(gè)要求是在“4.3.1總則”條款開(kāi)始的一個(gè)引言段中提出的。這里提出ISMS文件：1) 必須包括管理決定的記錄；2) 必須確保所采取的行動(dòng)措施可追蹤到管理決定和方針；3) 必須確保已記錄的結(jié)果是可再生的。這里明確了，展示三者(即所

29、選擇的控制措施、風(fēng)險(xiǎn)評(píng)估的結(jié)果、ISMS方針與目標(biāo))之間的關(guān)系的重要性。即從所選擇控制措施可追溯到風(fēng)險(xiǎn)評(píng)估的結(jié)果，而從風(fēng)險(xiǎn)評(píng)估的結(jié)果又可追溯到ISMS方針與目標(biāo)。2) ISMS文件要確保所采取的措施可追蹤到管理決定和方針l 是否ISMS文件確保所采取的措施可追蹤到管理決定和方針？3) ISMS文件要確保記錄的結(jié)果是可再生的l 是否ISMS文件確保記錄的結(jié)果是可再生的？ a) ISMS文件要包括ISMS方針與目標(biāo)文件l 是否有ISMS方針與目標(biāo)文件？ 標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件(見(jiàn)本表從a)- i)欄)。其中，ISMS方針是最高級(jí)(或頂級(jí))的文件。b) ISMS文件要包括ISMS的

30、范圍l 是否有一個(gè)描述ISMS范圍的文件？ ll 標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一文件；某些相關(guān)的內(nèi)容可合并在一起，而形成一個(gè)文件，也不會(huì)認(rèn)為違反標(biāo)準(zhǔn)的要求。l 在實(shí)際中，為了減少文件量，“ISMS的范圍”常合并于ISMS方針文件。l 參見(jiàn)表1-1 a) 。c) ISMS文件要包括支持ISMS的程序和控制措施l 是否有支持ISMS的程序和控制措施？這里，只是泛泛地提出。“支持ISMS的程序和控制措施”包括的內(nèi)容很廣。除了標(biāo)準(zhǔn)強(qiáng)制要求的程序文件外，還可有許多組織自主決定的文件。文件的內(nèi)容可隨組織的不同而有所不同。主要取決于:1) 組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；2) 安全要求的嚴(yán)格程度；3)

31、管理體系的范圍和復(fù)雜程度。組織需要哪些ISMS文件、控制措施及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果而決定(參見(jiàn)第6章“6.3.1.1獲得ISMS文件”)。 d) ISMS文件要包括風(fēng)險(xiǎn)評(píng)估方法的描述l 是否有描述風(fēng)險(xiǎn)評(píng)估方法的文件？ll 與標(biāo)準(zhǔn)4.2.1c)條款的要求一致。 l 最佳的實(shí)踐表明，“風(fēng)險(xiǎn)評(píng)估方法的描述”可合并于“風(fēng)險(xiǎn)評(píng)估程序”；而“風(fēng)險(xiǎn)評(píng)估程序”的運(yùn)行結(jié)果又產(chǎn)生“風(fēng)險(xiǎn)評(píng)估報(bào)告”。l 參見(jiàn)的表1-1 c)；l 參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。 e) ISMS文件要包括風(fēng)險(xiǎn)評(píng)估報(bào)告l 是否有可用的風(fēng)險(xiǎn)評(píng)估報(bào)告？f) ISMS文件要包括風(fēng)險(xiǎn)處理計(jì)劃l 是否有可用的風(fēng)險(xiǎn)處理計(jì)劃

32、？ll 與標(biāo)準(zhǔn)4.2.2b)的要求一致；l 參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。 g) ISMS文件要包括控制措施有效性的測(cè)量程序l 是否有描述如何測(cè)量控制措施有效性的程序文件？ ll 與標(biāo)準(zhǔn)4.2.3 c的要求一致；l 參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件”。h) ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄l 是否有提供符合要求證據(jù)的記錄？ll “記錄”的范圍很廣。實(shí)際上，每一個(gè)程序文件的運(yùn)行結(jié)果都可以產(chǎn)生可作為證據(jù)的“記錄”。l 參見(jiàn)“4.3.3記錄控制”。i) ISMS文件要包括適用性聲明l 是否有符合要求的適用性聲明？參見(jiàn) 表1-1 j)。4.3.2文件控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南

33、1) ISMS所要求的文件要加以保護(hù)和控制是否有一個(gè)用于保護(hù)和控制ISMS文件的過(guò)程？ 要求是標(biāo)準(zhǔn)的“4.3.2文件控制”條款開(kāi)始的一個(gè)引言段中提出的。這里只是泛泛地提出。實(shí)際上，“保護(hù)和控制ISMS文件的過(guò)程”可用“文件控制程序文件”進(jìn)行控制。2) ISMS文件控制程序要形成文件是否有一個(gè)形成文件的文件控制程序？“形成文件的文件控制程序”一般稱為“文件控制程序文件”。這個(gè)程序文件是標(biāo)準(zhǔn)要求的必須的ISMS文件之一。“4.3.2文件控制”條款主要的要求是：建立一個(gè)“文件控制程序文件”，并對(duì)文件進(jìn)行以下10方面控制(見(jiàn)下面a-j)。a)“文件控制程序文件”要定義“文件發(fā)布前要得到批準(zhǔn)”l 是否文

34、件發(fā)布前要得到批準(zhǔn)？在對(duì)這個(gè)“4.3.2文件控制”條款要求的審核時(shí)，主要檢查:1) 組織是否有一個(gè)用于控制ISMS文件的“文件控制程序文件”；2) 組織的ISMS文件實(shí)際上是否受控；3) 是否從“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定義“必要時(shí)評(píng)審與更新文件，并再次獲得批準(zhǔn)”l 是否必要時(shí)評(píng)審與更新文件，并再次批準(zhǔn)文件？c)“文件控制程序文件”要定義“文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)”l 是否文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)？d)“文件控制程序文件”要定義“在使用處可獲得有關(guān)版本的適用文件”l 是否在使用處可獲得有關(guān)版本的適用文件？e) “文件控制程序文件”要定義“

35、文件保持清晰、易于識(shí)別”l 是否文件保持清晰、易于識(shí)別？f) “文件控制程序文件”要定義“文件可為需要的人員使用，并依照相關(guān)程序進(jìn)行傳輸、貯存和最終銷毀”l 是否文件可為需要的人員使用，并依照相關(guān)程序進(jìn)行傳輸、貯存和最終銷毀？g) “文件控制程序文件”要定義“外來(lái)文件得到標(biāo)識(shí)”l 是否外來(lái)文件得到標(biāo)識(shí)？h) “文件控制程序文件”要定義“文件的分發(fā)受控制”l 是否文件的分發(fā)受控制？i) “文件控制程序文件”要定義“防止作廢文件非預(yù)期使用”l 是否“防止作廢文件非預(yù)期使用”？j) “文件控制程序文件”要定義“對(duì)需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識(shí)”l 是否“對(duì)需要保留的作廢文件做出適當(dāng)?shù)臉?biāo)識(shí)”？4.3

36、.3 記錄控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 記錄要加以建立與保持l 是否有一個(gè)建立與保持記錄的過(guò)程？記錄是提供符合ISMS要求和有效運(yùn)行客觀證據(jù)的一種特殊類型的文件。記錄需要建立與保持、保護(hù)與控制。b. 記錄要加以保護(hù)與控制l 是否有一個(gè)保護(hù)與控制記錄的過(guò)程？c. ISMS要考慮相關(guān)法律法規(guī)要求和合同義務(wù)l ISMS是否考慮了相關(guān)法律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)(記錄)，證明其ISMS考慮了相關(guān)法律法規(guī)要求和合同義務(wù)。d. 記錄要保持清晰、易于識(shí)別和檢索l 記錄是否保持清晰、易于識(shí)別和檢索？作為客觀證據(jù)的記錄，必須易于理解，不能含糊不清。e. 記錄的控制要形成文件, 并加以實(shí)施

37、l 記錄的控制是否形成了文件？記錄的控制包括：記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置等。這些控制要形成文件，通常稱為“記錄控制程序文件”。 “記錄控制程序文件”是必須要有的ISMS文件之一。f. 記錄要保留ISMS過(guò)程的執(zhí)行情況，和所有重大安全事故的執(zhí)行情況l 記錄是否保留了ISMS過(guò)程的執(zhí)行情況？這里，ISMS過(guò)程是指ISO/IEC 27001:2005的 4.2條款所列出的過(guò)程，包括ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)。所有這些過(guò)程的記錄要加以保留，所有重大安全事故的紀(jì)錄也要保留。l 記錄是否保留了所有重大安全事故的執(zhí)行情況？5 管理職責(zé) 5.1 管理承諾 標(biāo)準(zhǔn)要求審核

38、內(nèi)容審核記錄注釋與指南管理者要對(duì)ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)，做出承諾, 提供證據(jù)。l 是否有一個(gè)確保管理者對(duì)ISMS的建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)，做出承諾的過(guò)程？這里，“管理承諾”應(yīng)理解為“最高管理者(層)的承諾”。ISO/IEC 27001:2005標(biāo)準(zhǔn)認(rèn)為，ISMS的成功運(yùn)行需要管理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高管理層(包括總經(jīng)理和管理者代表等)展示出其如何支持(或承諾)ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持與改進(jìn)，并提供8方面內(nèi)容的證據(jù)，包括：a) 制定ISMS方針；b) 確保建立ISMS目標(biāo)和計(jì)劃；c) 建立信息安全的角色和職責(zé)；d) 向該

39、組織傳達(dá)滿足信息安全目標(biāo)與符合信息安全方針的重要性、法律責(zé)任和持續(xù)改進(jìn)的需要；e) 提供足夠的資源；f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別準(zhǔn)則；g) 確保ISMS內(nèi)審的執(zhí)行；h) 進(jìn)行ISMS管理評(píng)審。l 管理者提供承諾的證據(jù)是否包括8方面的內(nèi)容(見(jiàn)“注釋與指南”欄)？5.2 資源管理5.2.1 資源提供標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源l 管理者是否提供ISMS活動(dòng)所需要的資源？這里ISMS活動(dòng)包括ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、保持和改進(jìn)。l 管理者是否提供確保信息安全程序支持業(yè)務(wù)要求所需要的資源？資源包括人、財(cái)、物(如設(shè)備、工具和資料等)。l 管理者

40、是否提供滿足法律法規(guī)要求、合同安全要求所需要的資源？ l 是否提供通過(guò)正確實(shí)施控制措施維護(hù)安全所需要的資源？ l 管理者是否提供必要的評(píng)審與對(duì)評(píng)審結(jié)果做出適當(dāng)反應(yīng)所需要的資源？ l 管理者是否提供改進(jìn)ISMS有效性所需要的資源？ 5.2.2 培訓(xùn)、意識(shí)和能力標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 組織要確保分配有ISMS職責(zé)的所有人員都具有執(zhí)行所要求任務(wù)的能力l 是否有一個(gè)確保分配有ISMS職責(zé)的所有人員都具有完成所要求任務(wù)的能力的過(guò)程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員都具有完成其所要求任務(wù)的能力。這個(gè)過(guò)程包括4個(gè)活動(dòng)： a) 確定所有ISMS人員所必要的能力；b) 提供培訓(xùn)，或

41、采取其它措施(例如聘用有能力的人員)，以滿足這些需要；c) 評(píng)價(jià)培訓(xùn)等措施的有效性；d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對(duì)要求的符合性審核時(shí)，要檢查培訓(xùn)記錄和相關(guān)證據(jù)。b. 組織要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的重要性 l 是否有一個(gè)確保所有相關(guān)人員都識(shí)到其信息安全活動(dòng)的重要性的過(guò)程？要求明確規(guī)定，組織要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的利害關(guān)系與重要性，并為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。在對(duì)要求的符合性審核時(shí)，可以抽查相關(guān)人員的安全意識(shí)。6 內(nèi)部ISMS審核 標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1) 定期進(jìn)行內(nèi)部ISMS審核l 是否有一個(gè)定期進(jìn)行內(nèi)部ISMS審核的過(guò)程？ 要

42、求明確規(guī)定，“組織要按照既定的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核”。而內(nèi)部審核的目的是確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否： a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求； b) 符合已確定的信息安全要求；c) 得到有效地實(shí)施和保持；d) 按預(yù)期執(zhí)行。在對(duì)要求符合性審核時(shí)，要確保上述要求得到滿足。(2) 制定審核方案l 是否有一個(gè)審核方案？l 該審核方案是否考慮了受審核的過(guò)程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果？要求明確規(guī)定，在進(jìn)行內(nèi)部審核之前，要制定“審核方案”。而這個(gè)審核方案要考慮受審核的過(guò)程與受審核的部門的狀況和重要性，以及以往審核的結(jié)果。(3) 定義審核的準(zhǔn)則、范圍、頻次和

43、方法l 審核的準(zhǔn)則、范圍、頻次和方法是否定義?在實(shí)際中，審核的準(zhǔn)則、范圍、頻次和方法可以包含于審核方案或?qū)徍擞?jì)劃中。(4) 審核員的選擇，審核的實(shí)施要確保審核過(guò)程的客觀公正l 審核員的選擇，審核的實(shí)施是否確保審核過(guò)程的客觀公正？ 在這方面，應(yīng)遵照本書(shū)第4章的規(guī)定執(zhí)行。其中包括“審核發(fā)現(xiàn)、審核結(jié)論和審核報(bào)告要真實(shí)和準(zhǔn)確地反映審核活動(dòng)”。 (5) 審核員不準(zhǔn)審核自己的工作l 是否審核員審核了自己的工作？要識(shí)別內(nèi)部審核員除了內(nèi)審以外的其它工作。(6) 形成內(nèi)審程序文件l 是否有定義內(nèi)審職責(zé)和要求方面的內(nèi)審程序文件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的計(jì)劃與實(shí)施、審核結(jié)果的報(bào)告、記錄的保持等)必

44、須以形成文件的程序加以定義。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足。(7) 采取糾正措施l 是否有一個(gè)確保受審部門的責(zé)任管理者及時(shí)采取措施，消除“已發(fā)現(xiàn)的不符合事項(xiàng)及其產(chǎn)生的原因”的過(guò)程？要求的意義包括：1) 受審部門的責(zé)任管理者要采取糾正措施； 2) 糾正措施要包含原因分析；3) 糾正措施不能有不適當(dāng)?shù)难舆t。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足。(8) 跟蹤糾正措施l 是否有一個(gè)對(duì)糾正措施的跟蹤活動(dòng)？“跟蹤糾正措施”是受審部門責(zé)任管理者的職責(zé)，包括：1) 要跟蹤和驗(yàn)證糾正措施，直到真正獲得落實(shí)；2) 要報(bào)告跟蹤和驗(yàn)證的結(jié)果。 l 跟蹤活動(dòng)是否包括驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告？7 I

45、SMS的管理評(píng)審7.1 總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1) 管理者要每年至少評(píng)審1次ISMS l 是否有一個(gè)確保最高管理者每年至少評(píng)審1次ISMS的過(guò)程？ 管理評(píng)審的目的是確保ISMS持續(xù)的適宜性、充分性和有效性。為了確保最高管理者每年至少評(píng)審1次ISMS，最好的實(shí)踐是通過(guò)使用一個(gè)“管理評(píng)審程序文件”進(jìn)行控制?！肮芾碓u(píng)審程序文件”也控制相關(guān)的管理評(píng)審過(guò)程，以滿足標(biāo)準(zhǔn)的要求。 但是，標(biāo)準(zhǔn)沒(méi)有明確規(guī)定一定要有一個(gè)形成文件的“管理評(píng)審程序”。因此，在審核時(shí)，主要是要確保有符合要求的評(píng)審過(guò)程。l 是否檢查了ISMS的實(shí)施情況，以確保ISMS持續(xù)的適宜性、充分性和有效性？(2) 評(píng)審要包括評(píng)估

46、改進(jìn)的機(jī)會(huì)和變更ISMS的需要 l 在管理評(píng)審時(shí)，是否評(píng)估了ISMS（包括信息安全方針和信息安全目標(biāo)）改進(jìn)的機(jī)會(huì)和變更的需要？在運(yùn)行期間，操作者是不能任意變更ISMS的。ISMS的改進(jìn)和變更，只能經(jīng)過(guò)最高管理者對(duì)ISNS的評(píng)審，做出評(píng)審決定后，才能執(zhí)行。因此管理評(píng)審時(shí)，要有這方面的評(píng)估。(3)評(píng)審的結(jié)果要形成文件l 評(píng)審結(jié)果是否形成了文件？審核員在進(jìn)行“ISMS的管理評(píng)審”的審核時(shí)，必須按標(biāo)準(zhǔn)“4.3.3 記錄控制”條款的要求，檢查評(píng)審結(jié)果和相關(guān)的評(píng)審的記錄。(4)評(píng)審的記錄要加以保持l 記錄是否按照“記錄控制”的要求加以保持？7.2 評(píng)審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a) 管理評(píng)審的

47、輸入要包括審核和評(píng)審結(jié)果l 是否有一個(gè)確保管理評(píng)審的輸入包括標(biāo)準(zhǔn)要求的9方面信息的過(guò)程？ 在審核時(shí)，審核員應(yīng)首先檢查組織如何確保滿足標(biāo)準(zhǔn)規(guī)定的9方面管理評(píng)審的輸入信息(見(jiàn)本表的a-i)。l 是否管理評(píng)審的輸入包括先前的審核和評(píng)審結(jié)果？審核員應(yīng)檢查管理評(píng)審的輸入是否包括先前的審核(包括內(nèi)審和外審)和管理評(píng)審的結(jié)果。 b)管理評(píng)審的輸入要包括相關(guān)方的反饋l 是否管理評(píng)審的輸入包括相關(guān)方的反饋？審核員應(yīng)檢查管理評(píng)審的輸入是否包括相關(guān)方(如顧客和相關(guān)人員)的反饋，包括意見(jiàn)、抱怨和評(píng)論等。 c)管理評(píng)審的輸入要包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)品或程序l 是否管理評(píng)審的輸入包括可用于改進(jìn)ISMS的技術(shù)、產(chǎn)

48、品或程序？審核員應(yīng)檢查管理評(píng)審的輸入是否包括可用于改進(jìn)ISMS有效性的技術(shù)、產(chǎn)品或程序。d)管理評(píng)審的輸入要包括預(yù)防和糾正措施的狀況l 是否管理評(píng)審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評(píng)審的輸入是否包括先前的預(yù)防措施和糾正措施的情況，包括查相關(guān)記錄。e)管理評(píng)審的輸入要包括以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分解決的脆弱點(diǎn)或威脅l 是否管理評(píng)審的輸入包括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評(píng)審的輸入是否包括在先前的風(fēng)險(xiǎn)評(píng)估期間，沒(méi)有充分解決的安全問(wèn)題。f)管理評(píng)審的輸入要包括有效性測(cè)量的結(jié)果l 是否管理評(píng)審的輸入包括ISMS有效性的測(cè)量結(jié)果？審核員應(yīng)檢查管理評(píng)審的輸入是否包括在先前對(duì)ISMS的有效

49、性的測(cè)量結(jié)果。 g)管理評(píng)審的輸入要包括以往管理評(píng)審的跟蹤措施l 是否管理評(píng)審的輸入包括以往管理評(píng)審的跟蹤措施？審核員應(yīng)檢查管理評(píng)審的輸入是否包括以往管理評(píng)審的跟蹤措施，包括對(duì)以往管理評(píng)審結(jié)果的貫徹、跟蹤和驗(yàn)證的結(jié)果。h)管理評(píng)審的輸入要包括可能影響ISMS的任何變更l 是否管理評(píng)審的輸入包括可能影響ISMS的任何變更？審核員應(yīng)檢查管理評(píng)審的輸入是否包括可能影響ISMS的任何變更，包括出現(xiàn)新的信息資產(chǎn)、技術(shù)的變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i) 管理評(píng)審的輸入要包括改進(jìn)的建議l 是否管理評(píng)審的輸入包括任改進(jìn)的建議？審核員應(yīng)檢查管理評(píng)審的輸入是否包括改進(jìn)ISMS的任何建議。7.3 評(píng)審輸

50、出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a)管理評(píng)審的輸出要包括ISMS有效性的改進(jìn)l 是否有一個(gè)確保管理評(píng)審的輸出包括5方面要求的過(guò)程？ 在審核時(shí)，審核員應(yīng)首先檢查組織如何確保管理評(píng)審滿足標(biāo)準(zhǔn)規(guī)定的5方面的輸出(見(jiàn)本表a)-e)。 l 是否管理評(píng)審做出了改進(jìn)ISMS有效性的決定？審核員應(yīng)檢查管理評(píng)審的輸出是否有改進(jìn)ISMS有效性的決定。b)管理評(píng)審的輸出要包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新l 是否管理評(píng)審做出了更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的決定？ 風(fēng)險(xiǎn)是動(dòng)態(tài)的。風(fēng)險(xiǎn)評(píng)估活動(dòng)要定期執(zhí)行，風(fēng)險(xiǎn)處理計(jì)劃要及時(shí)更新。管理評(píng)審要做出這方面的決定。審核員應(yīng)檢查管理評(píng)審的輸出是否有這方面的決定。c) 管理評(píng)審的輸

51、出要包括必要時(shí)對(duì)影響信息安全的程序和控制措施的修改，以應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件l 是否管理評(píng)審做出了在必要時(shí)對(duì)影響信息安全的程序和控制措施的修改決定，以應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件？要求的含義是，為了應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事件，包括：1) 業(yè)務(wù)要求發(fā)生變化；2) 安全要求發(fā)生變化；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程發(fā)生變化；4) 法律法規(guī)要求發(fā)生變化；5) 合同義務(wù)發(fā)生變化；6) 接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級(jí)別和/或準(zhǔn)則發(fā)生變化。要對(duì)影響信息安全的程序和控制措施進(jìn)行修改。 管理評(píng)審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。d) 管理評(píng)審的輸出要包括對(duì)資源需求的決定l 是否管理評(píng)審做出了對(duì)

52、資源需求的決定？要求是解決資源需求。管理評(píng)審要做出解決ISMS資源需求的決定。在審核時(shí)，要檢查這方面的決定。 e) 管理評(píng)審的輸出要包括改進(jìn)測(cè)量控制措施有效性的方法l要求是改進(jìn)如何測(cè)量控制措施的有效性。管理評(píng)審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。8 ISMS改進(jìn)8.1 持續(xù)改進(jìn)標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要持續(xù)改進(jìn)ISMS的有效性 l 是否有一個(gè)確保組織持續(xù)改進(jìn)ISMS有效性的過(guò)程？ 要求規(guī)定，組織要通過(guò)多種途徑，持續(xù)改進(jìn)ISMS的有效性持，包括：1) 使用信息安全方針；2) 使用安全目標(biāo)；3) 使用審核結(jié)果；4) 使用監(jiān)視事件的分析；5) 使用糾正措施與預(yù)防措施；6)

53、 使用管理評(píng)審。因此，審核員在進(jìn)行審核時(shí)，應(yīng)考慮以上方面，并結(jié)合一起進(jìn)行。8.2 糾正措施標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a. 組織要采取措施，消除不符合ISMS要求的原因l 是否有一個(gè)確保采取 措施，消除不符合ISMS要求的原因的過(guò)程？要求規(guī)定，組織要采取措施，消除不符合ISMS要求的原因，目的是防止不符合事項(xiàng)再次發(fā)生。b. 糾正措施程序要形成文件l 是否有一個(gè)糾正措施程序文件？“形成文件的糾正措施程序”通常也稱“糾正措施程序文件”，是標(biāo)準(zhǔn)強(qiáng)制性要求的ISMS文件之一。標(biāo)準(zhǔn)要求組織要建立和執(zhí)行“糾正措施程序文件”。這個(gè)“糾正措施程序文件”要定義6條要求(見(jiàn)本表“標(biāo)準(zhǔn)的要求”欄c-h)。審核

54、員在文件評(píng)審階段，就應(yīng)對(duì)照此“8.2 糾正措施”的要求，評(píng)審“糾正措施程序文件”的符合性。 c. 糾正措施程序文件要定義“識(shí)別不符合項(xiàng)”l 是否糾正措施程序文件定義了“識(shí)別不符合項(xiàng)”？ d. 糾正措施程序文件要定義“確定產(chǎn)生不符合項(xiàng)的原因”l 是否糾正措施程序文件定義了“確定產(chǎn)生不符合項(xiàng)的原因”？ e.糾正措施程序文件要定義“評(píng)價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求”l 是否糾正措施程序文件定義了“評(píng)價(jià)確保不符合項(xiàng)不再發(fā)生的措施需求”？f.糾正措施程序文件要定義“確定和實(shí)施所需要的糾正措施”l 是否糾正措施程序文件定義了“確定和實(shí)施所需要的糾正措施”？g.糾正措施程序文件要定義“記錄所采取措施的結(jié)果”l 是否糾正措施程序文件定義了“記錄所采取措施的結(jié)果”？h.糾正措施程序文件要定義“評(píng)審所采取的糾正措施”l 是否糾正措施程序文件定義了“評(píng)審所采取的糾正措施”？