信息安全管理体系内部审核ppt课件
合集下载
信息安全管理实践ppt课件
2021/6/2
什么是信息安全
信息本身的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)的保持,即防止防止未经授权使用信 息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性:确保信息没有非授权的泄漏,不 被非授权的个人、组织和计算机程序使用
• 当攻击成本小于攻击可能的获利时,运用保护措施,通过 提高攻击者成本来降低攻击者的攻击动机,如加强访问控 制,限制系统用户的访问对象和行为,降低攻击获利;
• 当风险预期损失较大时,优化系统设计、加强容错容灾以 及运用非技术类保护措施来限制攻击的范围,从而将风险 降低到可接受范围。
2021/6/2
具体的风险控制措施
• 风险转移是指通过使用其它措施来补偿损失 ,从而转移风险,如购买保险等。
2021/6/2
安全风险系统判断过程
2021/6/2
风险控制具体做法
• 当存在系统脆弱性时,减少或修补系统脆弱性,降低脆弱 性被攻击利用的可能性;
• 当系统脆弱性可利用时,运用层次化保护、结构化设计以 及管理控制等手段,防止脆弱性被利用或降低被利用后的 危害程度;
2021/6/2
风险评估
风险评估主要包括风险分析和风险评价
➢风险分析:全面地识别风险来源及类型;
➢风险评价:依据风险标准估算风险水平,确定风险的 严重性。
➢与信息安全风险有关的因素:
➢资产:是指对组织具有价值的信息资源,是安全策略保护 的对象。
➢威胁:主要指可能导致资产或组织受到损害的安全事件的 潜在因素。
关键活动
输入 资源
·信息输入
标准 ·立法
测量
记录 ·摘要
输出
什么是信息安全
信息本身的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)的保持,即防止防止未经授权使用信 息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性:确保信息没有非授权的泄漏,不 被非授权的个人、组织和计算机程序使用
• 当攻击成本小于攻击可能的获利时,运用保护措施,通过 提高攻击者成本来降低攻击者的攻击动机,如加强访问控 制,限制系统用户的访问对象和行为,降低攻击获利;
• 当风险预期损失较大时,优化系统设计、加强容错容灾以 及运用非技术类保护措施来限制攻击的范围,从而将风险 降低到可接受范围。
2021/6/2
具体的风险控制措施
• 风险转移是指通过使用其它措施来补偿损失 ,从而转移风险,如购买保险等。
2021/6/2
安全风险系统判断过程
2021/6/2
风险控制具体做法
• 当存在系统脆弱性时,减少或修补系统脆弱性,降低脆弱 性被攻击利用的可能性;
• 当系统脆弱性可利用时,运用层次化保护、结构化设计以 及管理控制等手段,防止脆弱性被利用或降低被利用后的 危害程度;
2021/6/2
风险评估
风险评估主要包括风险分析和风险评价
➢风险分析:全面地识别风险来源及类型;
➢风险评价:依据风险标准估算风险水平,确定风险的 严重性。
➢与信息安全风险有关的因素:
➢资产:是指对组织具有价值的信息资源,是安全策略保护 的对象。
➢威胁:主要指可能导致资产或组织受到损害的安全事件的 潜在因素。
关键活动
输入 资源
·信息输入
标准 ·立法
测量
记录 ·摘要
输出
ISO27001信息安全管理体系培训基础知识ppt课件
21
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
22
ISO/IEC27001控制大项
A.7
资产管理
A.16
教育培训
A.6
信息安全组织
A.8
人力资源安全
A.13
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
pdca方法可编辑课件ppt33策划为处理风险选择控制目标和控制措施考虑接受风险的准则选择控制目标和措施适用性声明声明应包括选择的控制目标和措施选择的原因删减的合理性实施和运行do实施和运行isms提供资源实施培训提高意识按策划的要求管理isms的运行检查check监视和评审isms执行监视和评审程序定期评审isms的有效性和测量控制措施的有效性按计划实施内审和管理评审识别改进的机会保持和改进act保持和改进isms实施改进措施不断总结经验教训确保改进活动达到预期目的pdca方法可编辑课件ppt34ismsisms信息安全管理体系与等级保护对比体系目的控制项控制点isoiec27001建立适合企业实际情况的信息安全管理体系11个39个控制项133个控制点国家等级保护2007版等级保护基本要求保障国家人民社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点isms信息安全管理体系与等级保护对比可编辑课件ppt35此课件下载可自行编辑修改此课件供参考
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
22
ISO/IEC27001控制大项
A.7
资产管理
A.16
教育培训
A.6
信息安全组织
A.8
人力资源安全
A.13
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
pdca方法可编辑课件ppt33策划为处理风险选择控制目标和控制措施考虑接受风险的准则选择控制目标和措施适用性声明声明应包括选择的控制目标和措施选择的原因删减的合理性实施和运行do实施和运行isms提供资源实施培训提高意识按策划的要求管理isms的运行检查check监视和评审isms执行监视和评审程序定期评审isms的有效性和测量控制措施的有效性按计划实施内审和管理评审识别改进的机会保持和改进act保持和改进isms实施改进措施不断总结经验教训确保改进活动达到预期目的pdca方法可编辑课件ppt34ismsisms信息安全管理体系与等级保护对比体系目的控制项控制点isoiec27001建立适合企业实际情况的信息安全管理体系11个39个控制项133个控制点国家等级保护2007版等级保护基本要求保障国家人民社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点isms信息安全管理体系与等级保护对比可编辑课件ppt35此课件下载可自行编辑修改此课件供参考
管理体系内审员培训教程ppt85页
第一小组
首次会议 与最高管理者及管理者代表座谈
化学品库、原料区、分装站 午餐
生产二区、污水处理站,分析室
供应部、财务部、市场部 午餐 质量部
审核小组内部会议 与管理者代表座谈
末次会议
第二小组
同左 同左 生产一区 午餐 生产三区、控制室
空压机房、技术部 午餐
生产部 同左 同左
末次会议
审核时间:1997年3月17日-18日
理者决定
不 符 合 问 题 按性质分类,目的在于抓住问题纠 按严重程度分类,目的在于决定是否
分类
正、评价体系改进
认证、认可
纠正措施 重视、可做具体咨询,纠正措施要跟 不能做咨询,对纠正措施计划的实施
踪、分析有效性
要跟踪验证
审核员注册 我国无内部审核员注册制度
取得国家注册审核员资格
OHSMS审核要求
否明确界定其范围,在其范围内是否描述充分并满足 标准要求; OHSMS文件之间是否层次清晰,逻辑关连;
文件审核-文件体系审核
OHSMS文件从整体上能否体现各要素间关系,每个文 件与其它文件的接口是否内容协调统一;
OHSMS文件在组织管理中是否具备权威性; OHSMS文件是否覆盖了全部不可接受危险的控制; 审查OHSMS运行的重要资料(OHS危害危险清单、不
具备了关于审核主题事项的充足适用的信息资料; 具备了开展审核活动所需的充足资源; 能取得受审核方的充分合作;
OHSMS内部审核程序-1
审核启动 审核准备
明确审核目的、范围 组成审核组 文件审核 制定审核计划 制定审核检查表 通知
现场审核
首次会议
OHSMS内部审核程序-2
-内审结果及不符合项的纠正情况 -管理评审报告等
信息安全管理体系内部审核ppt课件
供方
第二方审核 (外部)
组织
第二方审核 (外部)
顾客
第三方审核 (外部)
认证/注册机构
7
1 审核概论
1.6 内部审核的目的
确保信息安全管理体系正常运行和改进的需要
目
的
作为一种管理手段,是组织管理评审输入的重要内容
外部审核前的准备
主要依据:信息安全管理体系文件
8
1 审核概论
1.7 ISMS内审的时机、范围和频度
19
2.4 编制审核计划____内容
审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时所用语言、保密承诺等)
审核计划示例:
20
××公司ISMS内部审核计划
NO. 20080118-01
审核时间:2008年1月18日~1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版 以及公司ISMS文件的要求,ISMS是否得到有效实施,是否 具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司《信息安全管理手册》 (LX-M-01)第1版、有关的信息管理文件 审核组成员:×××(组长)—A;×××— B;×××—C;
末次会议
说明:对条款×××的审核还将结合其它条款的审核同时进行 22
××公司ISMS内部审核计划
注:对以上人员和日程安排如有异议,请及时反馈。
拟制: ×××(组长)
日期:
批准:(信息安全经理)
日期:
23
2.5 编制检查表
一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
《体系审核要求》课件
,以提高体系运 作的效率和效果。
审核果的改进
根据审核结果和建议,不 断改进和完善组织的体系 和运作。
总结
体系审核对于组织的发展和持续改进至关重要,需要遵循相关要求,保证审核的有效性和准确性。
体系审核的关键要点
1 审核人员的素质
审前培训,具备专业知识,具备一定的社交能力。
2 审核程序的规范
明确的审核程序和流程,确保审核的公正和准确性。
3 审核过程中的沟通和协商
与被审核方建立良好的沟通和合作关系,解决问题和达成共识。
体系审核中常见问题
审核过程中的压力
审核人员需要适应和应对 来自不同方面的压力,确 保审核的客观性。
3 外审员的要求
内审员应具备相关知 识和技能,能够客观、 公正地进行审核工作。
外审员应具备专业背 景和丰富经验,能够 对组织的体系进行全 面评估。
审核过程
1
准备工作
收集相关文件和信息,明确审核目标和计划。
2
实地审核
到现场进行实地观察和检查,与相关人员进行访谈。
3
审核报告
编写审核报告,总结审核结果和建议改进措施。
体系审核的种类
内审
由内部人员对组织体系进 行审核,确保符合内部要 求。
外审
由外部专业机构或认证机 构对组织体系进行审核, 确保符合外部要求。
认证
通过认证机构对组织体系 进行审核,以获得认证证 书。
体系审核的流程
体系审核包括审核准备、审核实施和审核报告三个阶段。
审核报告的内容
报告格式 报告内容
审核报告应具备清晰的结构和格式,包括 摘要、介绍、审核结果、问题和建议等部 分。 审核报告应包括对组织体系的评估结果、 问题和风险的分析、改进建议等内容。
审核果的改进
根据审核结果和建议,不 断改进和完善组织的体系 和运作。
总结
体系审核对于组织的发展和持续改进至关重要,需要遵循相关要求,保证审核的有效性和准确性。
体系审核的关键要点
1 审核人员的素质
审前培训,具备专业知识,具备一定的社交能力。
2 审核程序的规范
明确的审核程序和流程,确保审核的公正和准确性。
3 审核过程中的沟通和协商
与被审核方建立良好的沟通和合作关系,解决问题和达成共识。
体系审核中常见问题
审核过程中的压力
审核人员需要适应和应对 来自不同方面的压力,确 保审核的客观性。
3 外审员的要求
内审员应具备相关知 识和技能,能够客观、 公正地进行审核工作。
外审员应具备专业背 景和丰富经验,能够 对组织的体系进行全 面评估。
审核过程
1
准备工作
收集相关文件和信息,明确审核目标和计划。
2
实地审核
到现场进行实地观察和检查,与相关人员进行访谈。
3
审核报告
编写审核报告,总结审核结果和建议改进措施。
体系审核的种类
内审
由内部人员对组织体系进 行审核,确保符合内部要 求。
外审
由外部专业机构或认证机 构对组织体系进行审核, 确保符合外部要求。
认证
通过认证机构对组织体系 进行审核,以获得认证证 书。
体系审核的流程
体系审核包括审核准备、审核实施和审核报告三个阶段。
审核报告的内容
报告格式 报告内容
审核报告应具备清晰的结构和格式,包括 摘要、介绍、审核结果、问题和建议等部 分。 审核报告应包括对组织体系的评估结果、 问题和风险的分析、改进建议等内容。
信息安全管理体系培训课件ppt全文精品模板分享(带动画)
金融机构信息安全管理体系建设案例分享
案例名称:某大型银行 背景介绍:该银行在信息安全管理体系建设方面面临的问题和挑战 解决方案:采用哪些技术和方法来解决这些问题 实践效果:通过实施这些解决方案,该银行取得了哪些成果和效益
其他行业信息安全管理体系建设案例分享
金融行业:信息安全管理体系建设是金融行业的重中之重,银行、证券、保险等机构需要严格遵守相关法规和标 准,确保客户信息和交易数据的安全。
培训内容:信息安全知识、 意识、技能
培训周期:每年至少一次
培训对象:全体员工
宣传推广方式:海报、宣传 册、内部网站等
信息安全管理体系与其他管理体系的融合与协同
信息安全管理体系与ISO27001的关系 信息安全管理体系与ISO9001的关系 信息安全管理体系与ISO14001的关系 信息安全管理体系与业务连续性管理的融合与协同
信息安全培训:提高员工的信息 安全意识和技能,防止信息泄露 和攻击。
添加标题
添加标题
添加标题
添加标题
信息安全组织:负责协调、管理、 监督信息安全工作的人员或部门, 确保信息安全的顺利实施。
物理安全:保护信息系统硬件和 设施,防止未经授权的访问和破 坏。
信息安全运行管理体系
定义:确保信息安全的全面、协 调、可持续的过程
制造业:制造业是国民经济的重要支柱产业,其信息安全管理体系建设对于保障企业核心技术和生产数 据的安全至关重要。制造业需要加强生产过程的信息安全管理,防范工业控制系统的攻击和破坏。
总结与展望
07
信息安全管理体系的发展趋势与展望
信息安全管理体系的未来发展趋势 信息安全管理体系的未来技术发展 信息安全管理体系的未来应用场景 信息安全管理体系的未来挑战与机遇
信息安全管理体系内部审核流程
信息安全管理体系内部审核流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!信息安全管理体系(ISMS)内部审核是组织确保其ISMS持续满足规定要求和有效运行的重要活动。
(精)信息系统安全管理与审核培训课件
收集和分析外部威胁情报,及时了解最新的 攻击手段和工具。
恶意代码防范
采取多种手段防范恶意代码,如定期更新病 毒库、限制软件安装权限等。
攻击事件监测与处置
利用安全设备和日志分析工具,实时监测攻 击事件,及时处置并恢复系统。
安全漏洞披露与应急响应
建立安全漏洞披露机制,及时响应和处理安 全漏洞,降低安全风险。
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改或 者销毁,确保信息的机密性、完整性和可用性。
信息安全重要性
信息安全对于保障个人隐私、企业机密、国家安全等方面具有重要意义。随着 信息化程度的不断提高,信息安全问题也日益突出,因此加强信息安全管理至 关重要。
信息安全威胁与风险
信息安全威胁
据加密、防病毒等措施。
网络安全设备配置
合理配置防火墙、入侵检测系 统、安全网关等网络安全设备
,确保网络安全。
系统漏洞修补
定期对企业内部系统进行漏洞 扫描和修补,防止黑客利用漏
洞进行攻击。
员工安全意识培训
定期开展网络安全意识培训, 提高员工对网络安全的认识和
防范能力。
外部攻击防范与应对实践
威胁情报收集与分析
持续改进与跟踪
建立持续改进机制,对发现的问题进 行跟踪和改进,确保企业信息系统的 持续合规。
THANKS.
讯联络、现场处置等方面措施。
应急演练实施
02
定期组织应急演练,提高人员应急处置能力,检验应急预案的
有效性。
演练效果评估
03
对演练效果进行评估,针对存在问题提出改进措施,不断完善
应急预案。
信息系统安全管理
06
与审核实践
企业内部网络安全管理实践
恶意代码防范
采取多种手段防范恶意代码,如定期更新病 毒库、限制软件安装权限等。
攻击事件监测与处置
利用安全设备和日志分析工具,实时监测攻 击事件,及时处置并恢复系统。
安全漏洞披露与应急响应
建立安全漏洞披露机制,及时响应和处理安 全漏洞,降低安全风险。
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改或 者销毁,确保信息的机密性、完整性和可用性。
信息安全重要性
信息安全对于保障个人隐私、企业机密、国家安全等方面具有重要意义。随着 信息化程度的不断提高,信息安全问题也日益突出,因此加强信息安全管理至 关重要。
信息安全威胁与风险
信息安全威胁
据加密、防病毒等措施。
网络安全设备配置
合理配置防火墙、入侵检测系 统、安全网关等网络安全设备
,确保网络安全。
系统漏洞修补
定期对企业内部系统进行漏洞 扫描和修补,防止黑客利用漏
洞进行攻击。
员工安全意识培训
定期开展网络安全意识培训, 提高员工对网络安全的认识和
防范能力。
外部攻击防范与应对实践
威胁情报收集与分析
持续改进与跟踪
建立持续改进机制,对发现的问题进 行跟踪和改进,确保企业信息系统的 持续合规。
THANKS.
讯联络、现场处置等方面措施。
应急演练实施
02
定期组织应急演练,提高人员应急处置能力,检验应急预案的
有效性。
演练效果评估
03
对演练效果进行评估,针对存在问题提出改进措施,不断完善
应急预案。
信息系统安全管理
06
与审核实践
企业内部网络安全管理实践
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
供方
第二方审核 (外部)
组织
第二方审核 (外部)
顾客
第三方审核 (外部)
认证/注册机构
7
1 审核概论
1.6 内部审核的目的
确保信息安全管理体系正常运行和改进的需要
目
的
作为一种管理手段,是组织管理评审输入的重要内容
外部审核前的准备
主要依据:信息安全管理体系文件
8
1 审核概论
1.7 ISMS内审的时机、范围和频度
16
2.3 文件审核
目的: 体系中所有过程是否被识别并适当规定; 职责是否被分配; 过程文件满足审核准则的程度
对象: 信息安全管理手册、程序文件、作业指导书、 规范、风险处理计划等
审核准则: 标准、合同及有关的法律、法规
17
2.3 文件审核
时机:在现场审核前进行; 作业指导书、质量计划、规范等可以在现 场审核时进行;
结论:符合标准及法规的要求; 部分不符合要求; 没有覆盖标准及法规的要求;
注意事项:不仅要审核过程文件,还要审核过程 之间的接口是否明确、协调
18
2.4 编制审核计划____要求考虑
组织的大小和性质 员工数量 体系复杂性 ISMS的范围 涉及的地点数目 信息类型-文件/电子等
10
1 审核概论
1.9 ISMS内部审核的方式 1、集中审核 2、分散审核
1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程
11
1 审核概论
1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析
3
主要内容
1、审核概论 2、审核策划和准备 3、现场审核活动的实施 4、纠正措施及其跟踪 5、ISMS评价
4Leabharlann 1 审核概论1.1 定义 为获得审核证据并对其进行客观的评价,
以确定满足审核准则的程度所进行的系统的、 独立的并形成文件的过程
(ISO 9000) 1.2 审核“成败”的关键
系统的:正式、有序的审查活动 独立的:保持审核的独立性和公正性
末次会议
说明:对条款×××的审核还将结合其它条款的审核同时进行 22
××公司ISMS内部审核计划
注:对以上人员和日程安排如有异议,请及时反馈。
拟制: ×××(组长)
日期:
批准:(信息安全经理)
日期:
23
2.5 编制检查表
一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
ISMS内审员培训教程
1
课程内容
第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
教学目标
了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧
按策划的时间间隔 一般至少每年应覆盖ISMS所涉及部门、过程一次 最初建立体系时频度可适当多一些 特殊情况:
• 发生严重信息安全问题或用户投诉 • 组织机构、生产场所、信息安全方针目标等发生重大变化 • 接受第二、第三方审核前
9
1 审核概论
1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件
5
1 审核概论
1.3 审核的内容 1、获得审核证据 2、客观评价 3、确定满足审核准则的程度
1.4 过程评价的四个基本问题 1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持? 4、在实现所要求的结果方面,过程是否有效?
6
1 审核概论
1.5 审核的类型
第一方审核 (内部)
19
2.4 编制审核计划____内容
审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时所用语言、保密承诺等)
审核计划示例:
20
××公司ISMS内部审核计划
NO. 20080118-01
审核时间:2008年1月18日~1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版 以及公司ISMS文件的要求,ISMS是否得到有效实施,是否 具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司《信息安全管理手册》 (LX-M-01)第1版、有关的信息管理文件 审核组成员:×××(组长)—A;×××— B;×××—C;
12
2 ISMS内部审核的策划和准备
领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作
21
××公司ISMS内部审核计划
日期
时间安排
08:30~08:45
1月18日
08:45~12:00 13:30~15:00
A+C
B
首次会议
15:00~17:30
08:30~12:00 13:30~15:30
1月19日 15:30~16:00
审核组总结
16:00~16:30
与受审核方交换意见
16:30~17:00
13
2 ISMS内部审核的策划和准备
1. 明确审核决定 2. 确定审核组 3. 文件审核 4. 编制审核计划 5. 编制检查表 6. 通知受审核部门并约定具体的审核时间
14
2.1 明确审核决定
1、审核目的 2、审核范围 3、审核时间 4、审核方式
15
2.2 确定审核组
1、审核人员的资格 2、确保客观性和公正性 3、专业能力 4、审核组长:负责审核全过程及审核组管理工作 5、审核员:在审核组长指导下进行审核