信息安全管理体系内部审核ppt课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISMS内审员培训教程
1
课程内容
第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
教学目标
了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧
结论:符合标准及法规的要求; 部分不符合要求; 没有覆盖标准及法规的要求;
注意事项:不仅要审核过程文件,还要审核过程 之间的接口是否明确、协调
18
2.4 编制审核计划____要求考虑
组织的大小和性质 员工数量 体系复杂性 ISMS的范围 涉及的地点数目 信息类型-文件/电子等
3
主要内容
1、审核概论 2、审核策划和准备 3、现场审核活动的实施 4、纠正措施及其跟踪 5、ISMS评价
4
1 审核概论
1.1 定义 为获得审核证据并对其进行客观的评价,
以确定满足审核准则的程度所进行的系统的、 独立的并形成文件的过程
(ISO 9000) 1.2 审核“成败”的关键
系统的:正式、有序的审查活动 独立的:保持审核的独立性和公正性
12
2 ISMS内部审核的策划和准备
领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作
按策划的时间间隔 一般至少每年应覆盖ISMS所涉及部门、过程一次 最初建立体系时频度可适当多一些 特殊情况:
• 发生严重信息安全问题或用户投诉 • 组织机构、生产场所、信息安全方针目标等发生重大变化 • 接受第二、第三方审核前
9
1 审核概论
1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件
21
××公司ISMS内部审核计划
日期
时间安排
08:30~08:45
1月18日
08:45~12:00 13:30~15:00
A+C
B
首次会议
15:00~17:30
08:30~12:00 13:30~15:30
1月19日 15:30~16:00
审核组总结
16:00~16:30
与受审核方交换意见
16:30~17:00
5
1 审核概论
1.3 审核的内容 1、获得审核证据 2、客观评价 3、确定满足审核准则的程度
1.4 过程评价的四个基本问题 1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持? 4、在实现所要求的结果方面,过程是否有效?
6
1 审核概论
1.5 审核的类型
第一方审核 (内部)
10
1 审核概论
1.9 ISMS内部审核的方式 1、集中审核 2、分散审核
1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程
11
1 审核概论
1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析
供方
第二方审核 (外部)
组织
第二方审核 (外部)
顾客
第三方审核 (外部)
认证/注册机构
7
1 审核概论
1.6 内部审核的目的
确保信息安全管理体系正常运行和改进的需要
目
的
作为一种管理手段,是组织管理评审输入的重要内容
外部审核前的准备
主要依据:信息安全管理体系文件
8
1 审核概论
1.7 ISMS内审的时机、范围和频度
末次会议
说明:对条款×××的审核还将结合其它条款的审核同时进行 22
××公司ISMS内部审核计划
注:对以上人员和日程安排如有异议,请及时反馈。
拟制: ×××(组长)
日期:
批准:(信息安全经理)
日期:
23
2.5 编制检查表
一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
16
2.3 文件审核
目的: 体系中所有过程是否被识别并适当规定; 职责是否被分配; 过程文件满足审核准则的程度
对象: 信息安全管理手册、程序文件、作业指导书、 规范、风险处理计划等
审核准则: 标准、合同及有关的法律、法规
17
2.3 文件审核
时机:在现场审核前进行; 作业指导书、质量计划、规范等可以在现 场审核时进行;
19
2.4 编制审核计划____内容
审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时所用语言、保密承诺等)
审核计划示例:
20
××公司ISMS内部审核计划
NO. 20080118-01
审核时间:2008年1月18日~1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版 以及公司ISMS文件的要求,ISMS是否得到有效实施,是否 具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司《信息安全管理手册》 (LX-M-01)第1版、有关的信息管理文件 审核组成员:×××(组长)—A;×××— B;×××—C;
13
2 ISMS内部审核的策划和准备
1. 明确审核决定 2. 确定审核组 3. 文件审核 4. 编制审核计划 5. 编制检查表 6. 通知受审核部门并约定具体的审核时间
14
2.1 明确源自文库核决定
1、审核目的 2、审核范围 3、审核时间 4、审核方式
15
2.2 确定审核组
1、审核人员的资格 2、确保客观性和公正性 3、专业能力 4、审核组长:负责审核全过程及审核组管理工作 5、审核员:在审核组长指导下进行审核
1
课程内容
第一部分 信息安全基础知识及案例分析 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核
2
教学目标
了解管理体系审核的基本概念 掌握ISMS内部审核的流程 掌握ISMS内部审核的方法和技巧
结论:符合标准及法规的要求; 部分不符合要求; 没有覆盖标准及法规的要求;
注意事项:不仅要审核过程文件,还要审核过程 之间的接口是否明确、协调
18
2.4 编制审核计划____要求考虑
组织的大小和性质 员工数量 体系复杂性 ISMS的范围 涉及的地点数目 信息类型-文件/电子等
3
主要内容
1、审核概论 2、审核策划和准备 3、现场审核活动的实施 4、纠正措施及其跟踪 5、ISMS评价
4
1 审核概论
1.1 定义 为获得审核证据并对其进行客观的评价,
以确定满足审核准则的程度所进行的系统的、 独立的并形成文件的过程
(ISO 9000) 1.2 审核“成败”的关键
系统的:正式、有序的审查活动 独立的:保持审核的独立性和公正性
12
2 ISMS内部审核的策划和准备
领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作
按策划的时间间隔 一般至少每年应覆盖ISMS所涉及部门、过程一次 最初建立体系时频度可适当多一些 特殊情况:
• 发生严重信息安全问题或用户投诉 • 组织机构、生产场所、信息安全方针目标等发生重大变化 • 接受第二、第三方审核前
9
1 审核概论
1.8 ISMS内部审核的依据 1、ISO 27001:2005版标准 2、信息安全管理手册 3、程序文件 4、信息安全策略 5、有关的法律、法规 6、其他信息安全管理文件
21
××公司ISMS内部审核计划
日期
时间安排
08:30~08:45
1月18日
08:45~12:00 13:30~15:00
A+C
B
首次会议
15:00~17:30
08:30~12:00 13:30~15:30
1月19日 15:30~16:00
审核组总结
16:00~16:30
与受审核方交换意见
16:30~17:00
5
1 审核概论
1.3 审核的内容 1、获得审核证据 2、客观评价 3、确定满足审核准则的程度
1.4 过程评价的四个基本问题 1、过程是否已被识别并适当规定? 2、职责是否已被分配? 3、程序是否得到实施和保持? 4、在实现所要求的结果方面,过程是否有效?
6
1 审核概论
1.5 审核的类型
第一方审核 (内部)
10
1 审核概论
1.9 ISMS内部审核的方式 1、集中审核 2、分散审核
1.10 ISMS审核的特点 1、被审核的ISMS必须是正规的 2、ISMS审核必须是一种正式的活动 3、ISMS审核是一种抽样过程
11
1 审核概论
1.11 ISMS内部审核的一般顺序 1、审核策划与审核准备 2、现场审核实施与审核报告 3、纠正措施的跟踪与汇总分析
供方
第二方审核 (外部)
组织
第二方审核 (外部)
顾客
第三方审核 (外部)
认证/注册机构
7
1 审核概论
1.6 内部审核的目的
确保信息安全管理体系正常运行和改进的需要
目
的
作为一种管理手段,是组织管理评审输入的重要内容
外部审核前的准备
主要依据:信息安全管理体系文件
8
1 审核概论
1.7 ISMS内审的时机、范围和频度
末次会议
说明:对条款×××的审核还将结合其它条款的审核同时进行 22
××公司ISMS内部审核计划
注:对以上人员和日程安排如有异议,请及时反馈。
拟制: ×××(组长)
日期:
批准:(信息安全经理)
日期:
23
2.5 编制检查表
一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
16
2.3 文件审核
目的: 体系中所有过程是否被识别并适当规定; 职责是否被分配; 过程文件满足审核准则的程度
对象: 信息安全管理手册、程序文件、作业指导书、 规范、风险处理计划等
审核准则: 标准、合同及有关的法律、法规
17
2.3 文件审核
时机:在现场审核前进行; 作业指导书、质量计划、规范等可以在现 场审核时进行;
19
2.4 编制审核计划____内容
审核目的 审核范围 审核准则 审核组成员及其分工 现场审核活动的日程安排 必要的审核资源的配备 其它(如审核时所用语言、保密承诺等)
审核计划示例:
20
××公司ISMS内部审核计划
NO. 20080118-01
审核时间:2008年1月18日~1月19日 审核目的: 验证本公司的ISMS是否符合ISO 27001:2005版 以及公司ISMS文件的要求,ISMS是否得到有效实施,是否 具备申请第三方ISO 27001:2005认证注册的条件 审核范围: ISMS所涉及的部门和过程 审核依据: ISO 27001:2005 、公司《信息安全管理手册》 (LX-M-01)第1版、有关的信息管理文件 审核组成员:×××(组长)—A;×××— B;×××—C;
13
2 ISMS内部审核的策划和准备
1. 明确审核决定 2. 确定审核组 3. 文件审核 4. 编制审核计划 5. 编制检查表 6. 通知受审核部门并约定具体的审核时间
14
2.1 明确源自文库核决定
1、审核目的 2、审核范围 3、审核时间 4、审核方式
15
2.2 确定审核组
1、审核人员的资格 2、确保客观性和公正性 3、专业能力 4、审核组长:负责审核全过程及审核组管理工作 5、审核员:在审核组长指导下进行审核