《信息安全管理体系审核检查表(47页).doc》由会员分享,可在线阅读,更多相关《信息安全管理体系审核检查表(47页).doc(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-第 1 页-第 1 页信息安全管理体系审核指南信息安全管理体系审核指南标准要求的强制性标准要求的强制性 ISMSISMS 文件文件强制性 ISMS 文件说明(1)ISMS 方针文件,包括 ISMS 的范围 根据标准“4.3.1”a)和 b)的要求。(2)风险评估程序根据“4.3.1”d)和 e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个风险评估程序。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生风险评估报告。(3)风险处理程序根据标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。因此,可创建一个风险处理程序。该程序文件
2、运行的结果应产生风险处理计划。(4)文件控制程序根据标准的“4.3.2 文件控制”的要求,要有形成文件的“文件控制程序”。(5)记录控制程序根据标准的“4.3.3 记录控制”的要求,要有形成文件的“记录控制程序”。(6)内部审核程序根据标准的“6 内部 ISMS 审核”的要求,要有形成文件的“内部审核程序”。(7)纠正措施与预防措施程序根据标准的“8.2 纠正措施”的要求,要有形成文件的“纠正措施程序”。根据“8.3 预防措施”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8)控制措施有效性的测量程序根据标准的“4.3.1 g)”的要求,要
3、有形成文件的“控制措施有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。(9)适用性声明根据标准的“4.3.1 i)”的要求,要有形成文件的适用性声明。审核重点审核重点第二阶段审核:第二阶段审核:a)检查受审核组织如何评估信息安全风险和如何设计其 ISMS,包括如何:定义风险评估方法(参见 4.2.1 c)识别安全风险(参见 4.2.1 d)分析和评价安全风险(参见 4.2.1 e)识别和评价风险处理选择措施(参见的 4.2.1 f)选择风险处理所需的控制目标和控制措施(参见 4.2.1 g)确保管理者正式批准所有残余风险(
4、参见 4.2.1 h)确保在 ISMS 实施和运行之前,获得管理者授权(参见的 4.2.1 i)准备适用性声明(参见 4.2.1 j)b)检查受审核组织如何执行 ISMS 监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:ISMS 监视与评审(依照 4.2.3 监视与评审 ISMS”条款)控制措施有效性的测量(依照 4.3.1 g)内部 ISMS 审核(依照第 6 章“内部 ISMS 审核”)-第 2 页管理评审(依照第 7 章“ISMS 的管理评审”)ISMS 改进(依照第 8 章“ISMS 改进”)。c)检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条
5、款包括:4.2.3 监视与评审 ISMS第 7 章“ISMS 的管理评审”。d)检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:4.2.3 监视与评审 ISMS5 管理职责7 ISMS 的管理评审e)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系(也参见本文第 8 章“过程要求的符合性审核”)。监督审核监督审核:a)上次审核发现的纠正/预防措施分析与执行情况;b)内审与管理评审的实施情况;c)管理体系的变更情况;d)信息资产的变更与相应的风险评估和处理情况;e)信息安全事故的处理和记录等。再认证再认证审核审核:a)检验组
6、织的 ISMS 是否持续地全面地符合 ISO/IEC 27001:2005 的要求。b)评审在这个认证周期中 ISMS 的实施与继续维护的情况,包括:检查 ISMS 是否按照 ISO/IEC 27001:2005 的要求加以实施、维护和改进;评审 ISMS 文件和定期审核(包括内部审核和监督审核)的结果;检查 ISMS 如何应对组织的业务与运行的变化;检验管理者对维护 ISMS 有效性的承诺情况。-第 1 页4 4 信息安全管理体系信息安全管理体系4.14.1 总要求总要求4.24.2 建立和管理建立和管理 ISMSISMS4.2.14.2.1 建立建立 ISMSISMS标准的要求审核内容审核
7、记录注释与指南a)组织要定义 ISMS的范围组织是否有一个定义ISMS 范围的过程?对“定义 ISMS 的范围”要求的符合性审核,要确保 ISMS 的定义不仅要包括范围,也要包括边界。对任何范围的删减,必须有详细说明和正当性理由。是否有对任何范围的删减?b)组织要定义 ISMS方针组织是否有一个 ISMS方针文件?要求明确规定 ISMS 方针的 5 个基本点,即 ISMS方针要:1)包括信息安全的目标框架、信息安全工作的总方向和原则;2)考虑业务要求、法律法规的要求和合同要求;3)与组织开发与维护 ISMS 的战略性风险管理,结合一起或保持一致;4)建立风险评价准则;5)获得管理者批准。在对这
8、个要求的符合性审核时,要确保组织的ISMS 方针满足上述 5 个要求。还要注意到 ISMS 方针与信息安全方针的关系。组织的 ISMS 方针文件是否满足 ISO/IEC27001:2005 规定的 5 个基本点(见注释与指南栏)?c)组织要定义风险评估方法组织是否有一个定义风险评估方法的文件?要求明确规定,“定义组织的风险评估方法”的工作(活动)要包括:1)确定风险评估方法,而这个评估方法要适合组织的 ISMS 的要求、适合已确定的组织的业务信息安全要求和法律法规要求;2)制定接受风险的准则,确定可接受的风险级别。组织的风险评估方法是否适合 ISMS 的要求、适合已确定的组织的业务信息安全要求
9、和法律法规要求?-第 2 页在对要求的符合性审核时,要确保上述 2 个要求得到满足。接受风险的准则是否已经确定?并根据此准则,确定了可接受的风险级别?d)组织要识别安全风险组织是否有一个识别安全风险的过程?“识别安全风险”是一个过程(活动)。而这个过程要包括:1)识别组织 ISMS 范围内的资产及其责任人;2)识别资产所面临的威胁;3)识别可能被威胁利用的脆弱点;4)识别资产保密性、完整性和可用性的丧失造成的影响。在对要求的符合性审核时,要确保“识别安全风险”要包括上述工作(活动)。识别安全风险的过程是否符合规定(参见“注释与指南”栏)?e)组织要分析和评价安全风险组织是否有一个用于评估安全风
10、险的过程?要求明确规定,“分析和评价安全风险”过程(活动)要包括:1)评估安全破坏(包括资产的保密性、完整性,或可用性的丧失的后果)可能产生的对组织的业务影响;2)评估由主要威胁和脆弱点导致的安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;3)估算风险的级别;4)确定风险是否可接受,或者是否需要使用本组织的接受风险的准则进行处理。“分析和评价安全风险”的结果应产生一个“风险评估报告”。在对要求的符合性审核时,要确保满足上述要求。是否评估了安全破坏可能产生对组织的业务影响?这个安全风险评估过程是否符合规定(参见“注释与指南栏”)?f)组织要识别和评价风险处理选择措施组织是否有一个用于识
11、别和评价风险处理选择措施的过程?要求明确规定,可选择的措施包括:1)采用适当的控制措施;2)接受风险;-第 3 页3)避免风险;4)转移风险。在对要求的审核时,要确保组织有一个“识别和评价风险处理选择措施”的过程,并考虑了上述 4种可能的选择。这个过程是否虑了4种可能的选择(参见“注释与指南栏”)?g)组织要选择风险处理所需的控制目标和控制措施组织是否有一个用于选择 ISO/IEC 27001:2005附录A的风险处理控制目标和控制措施的过程?“选择风险处理所需的控制目标和控制措施”过程又包含 3 个具体要求:1)控制目标和控制措施要进行选择和实施,以满足风险评估和风险处理过程中所识别的安全要
12、求;2)控制目标和控制措施的选择要考虑接受风险的准则,以及法律法规要求和合同要求;3)附录 A 中的控制目标和控制措施要加以选择,作为此“选择风险处理所需的控制目标和控制措施”过程的一部分,以满足已识别的安全需求。在对要求的审核时,要与本书第 9 章“控制目标和控制措施的审核”结合一起进行。最重要的是要确保所选择的控制目标和控制措施:符合风险评估与处理过程中已经识别安全要求;符合接受风险准则的要求,以及法律法规的要求和合同的要求;如果附录 A 中的控制目标和控制措施适用于已识别的安全要求,要加以选择,不要错漏。可参见本书第 9 章“控制目标和控制措施的审核”。这个过程是否确保所选择的控制目标和
13、控制措施满足相关要求(参见“注释与指南”栏)?附录A的控制目标和控制措施是否都被选择?如果不选择,是否有正当性理由?是否选择了附录A以外的控制措施?h)组织要确保管理者正式批准所有残余风险所有残余风险是否获得管理者正式批准?首先要理解“残余风险”的意义。-第 4 页i)组织要确保在ISMS实施和运行之前,获得管理者授权ISMS 实施和运行是否获得管理者授权?要检查是否有领导的签字(可参见后面“4.3.2 文件控制”的审核)。j)组织要准备适用性声明组织是否有一个准备适用性声明的过程?要求明确规定,“适用性声明”必须至少包括以下 3 项内容:1)所选择控制目标和控制措施,及其选择的理由;2)当前
14、实施的控制目标和控制措施;3)附录 A 中任何控制目标和控制措施的删减,以及删减的正当性理由。在对要求审核时,最重要的是要确保:“适用性声明”的内容至少含有上述 3 项;不选择的理由必须是合理的,或证明其是正当性的。由于附录 A 推荐的控制目标和控制措施是最佳实践,所以如果没有正当性理由,都要加以选择,要防止漏选。对要求的审核,可与后面“4.3.1 总则”i)的审核和第 9 章“控制目标和控制措施的审核”结合一起进行。适用性声明的内容是否有含有标准规定的“3 项内容”(参见“注释与指南”栏)?适用性声明是否记载附录A中任何控制目标和控制措施的删减,以及删减的正当性理由?4.2.4.2.2 2
15、实施实施与与运行运行 ISMSISMS标准要求审核内容审核记录注释与指南a)组织要制定风险处理计划组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程?要求明确规定,组织要有一个产生风险处理计划的过程或程序。而这个过程要确定信息安全风险的管理措施、资源、职责和优先级。由于标准的第 4 章只是“计划”阶段,在标准第5 章中将提出更具体的“资源”要求。对于“风险处理计划”,可与“4.3.1 总则”条款的要求一起审核(见“4.3.1 总则”f)审核)。是否有一个“风险处理计划”文件?-第 5 页b)组织要实施风险处理计划组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程?要求明确规
16、定,组织要有一个“实施风险处理计划”的过程,或程序。而这个过程的目的是要达到已确定的控制目标,包括资金安排、角色和职责的分配。c)组织要实施所选择的控制措施组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程?要求明确规定,组织要有一个“实施所选择的控制措施”的过程,或程序,其目的是要满足控制目标。d)组织要定义如何测量所选控制措施的有效性组织是否有一个“测量所选控制措施有效性”的过程?即组织要:1)定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;2)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);据此,管理者和员工就可以确定所选控制措
17、施是否实现原计划的控制目标,或实现的程度。在对这个要求的审核时,审核员必须检查受审核组织:是否有一个测量所选择控制措施有效性的“测量措施”;如何使用其测量措施进行测量;所选控制措施是否达到既定的控制目标。可与 4.2.3c)规定的要求 同时审核(参见“4.2.3 监视与评审 ISMS”)如何使用测量措施,去测量控制措施的有效性?e)组织要实施培训和意识教育计划组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?对于实施 ISMS 的组织来说,很重要的事情是培训,使其员工了解标准的意图和信息安全的原理。因此在“实施与运行组织的 ISMS”中,首先要有“培训和意识教育计划”(参见“
18、5.2.2 培训、意识和能力”)。f)组织要管理 ISMS 组织是否有“管理 ISMS要求明确规定,ISMS 的运行需要管理。-第 6 页的运行的运行”的过程?g)组织要管理 ISMS的资源组织是否有对 ISMS 实施所需要的资源进行管理的过程?要求明确规定,ISMS 实施所需要的资源要加以管理(参见“5.2 资源管理”)。h)组织要实施组织的安全程序和其他控制措施组织的 ISMS 是否有“迅速检测安全事件和对安全事故能做出迅速反应”的程序?要求规定,在“迅速检测安全事件和对安全事故能做出迅速反应”方面,要有相关的程序和控制措施(参见“4.2.3 监视与评审 ISMS”a)。4.2.4.2.3
19、 3 监视监视与与评审评审ISMSISMS标准要求审核内容审核记录注释与指南a)组织要执行监视与评审程序组织是否有“监视与评审程序”,以:1)迅速检测处理产生的错误;2)迅速识别试图的和得逞的安全违规事件和事故;3)使管理者能确定指定人员的安全活动或通过信息技术实施的安全活动是否如期执行;4)通过使用指示器,帮助检测安全事件并预防安全事故;5)确定解决安全违规事件的措施是否有效?要求明确规定,求组织要有“监视与评审程序”,以达到以下 5 个目的:1)迅速检测处理产生的错误;2)迅速识别试图的和得逞的安全违规事件和事故;3)使管理者能确定指定人员的安全活动(或通过信息技术实施的安全活动)是否如期
20、执行;4)通过使用指示器,帮助检测安全事件并预防安全事故;5)确定解决安全违规事件的措施是否有效。在对要求的审核时,必须检查这些内容。b)组织要定期评审ISMS 有效性是否有符合此要求“ISMS 有效性的定期评审”要求明确规定,组织对 ISMS 的有效性,进行定期评审(包括 ISMS 方针和目标的符合性评审、安全控-第 7 页的过程?制措施的有效性评审)。而在对 ISMS 有效性的定期评审时,要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。在对要求的审核时,要检查是否有相关的过程或活动。c)组织要测量控制措施的有效性是否有到位的“测量控制措施的有效性”的过程
21、或程序?要求明确规定,组织在“监视和评审 ISMS”中,要测量控制措施的有效性以验证安全要求是否得到满足。在对要求的审核时,要检查是否有“测量控制措施的有效性”的过程或程序。d)组织要评审风险评估是否有到位的“评审风险评估”的过程或程序?要求明确规定,组织在“监视和评审 ISMS”中,要按照既定的时间间隔,评审风险评估、残余风险和已确定的可接受的风险级别,要考虑以下方面的变化:1)组织;2)技术;3)业务目标和过程;4)已识别的威胁;5)已实施的控制措施的有效性;6)外部事件,如法律法规环境的变化、合同义务的变化和社会环境的变化。在对要求的审核时,要检查是否有相关的过程或活动。“评审风险评估”
22、的过程是否考虑了“6 方面的变化”(参见注释与指南)?e)组织要执行定期的ISMS 内部审核是否有到位的定期的“ISMS 内部审核”过程或程序?要求明确规定,组织在“监视和评审 ISMS”中,要按既定的时间间隔,执行 ISMS 内部审核。在对要求的审核时,要检查是否有“定期的 ISMS-第 8 页内部审核”过程或程序。而对 ISMS 内部审核的符合性审核要按照标准第 6 章的要求执行。f)组织要执行定期的ISMS 管理评审是否有到位的定期的“ISMS 管理评审”过程或程序?这个要求明确规定,组织在“监视和评审 ISMS”中,要按既定的时间间隔,执行 ISMS 管理评审。在对这个要求的审核时,要
23、检查是否有定期的“ISMS 管理评审”过程或程序。而对 ISMS 管理评审的符合性审核要按照标准的第 7 章的要求执行。g)组织要更新信息安全计划组织是否参考监视和评审活动的发现,而“更新信息安全计划”?这个要求明确规定,组织要参考监视和评审活动的发现,更新安全计划。h)组织要维护 ISMS事件和行动措施的纪录是否有到位的“维护ISMS 事件和行动措施的纪录”的过程?这个要求明确规定,组织要记录可能影响 ISMS有效性的事件和所采取的措施。对这个要求的审核,可与标准的“4.3.3 记录控制”条款要求的审核一起进行。4.2.4.2.4 4 保持保持与与改进改进 ISMSISMS标准要求审核内容审
24、核记录注释与指南a)组织要实施 ISMS改进是否有到位的“实施ISMS 改进”的过程?要求明确规定,组织对已识别的 ISMS 改进点,要加以实施。对要求的符合性审核时,要确保有到位的“实施ISMS 改进”的过程。b)组织要采取适当的纠正措施和预防措施是否有到位的“纠正措施和预防措施”的过程?要求明确规定,组织有与标准的“8.2 纠正措施”条款和“8.3 预防措施”条款保持一致的“纠正措施和预防措施”的过程,并要求吸取其它组织和本组织的安全经验教训。对要求的审核,可与标准的“8.2 纠正措施”条款和“8.3 预防措施”条款的要求的审核一起进行。是否有到位的吸取其它组织和本组织的安全经验教训的过程
25、?-第 9 页c)组织要向所有相关方交流ISMS的措施和改进状况是否有向所有相关方交流 ISMS 改进的过程?要求明确规定,组织要向所有相关方交流 ISMS的行动措施和改进情况,确保有适当的详情说明,并取得一致意见。d)组织要确保ISMS的改进达到预期目标是否有确保ISMS的改进达到了预期目标的过程?管理者要跟踪改进,直到达到了预期目标。4.34.3 文件要求文件要求4.4.3.13.1 总则总则标准要求审核内容审核记录注释与指南1)ISMS 文件要包括管理决定的记录是否 ISMS 文件包括有管理决定的记录?在左栏所示的这 3)个要求是在“4.3.1 总则”条款开始的一个引言段中提出的。这里提
26、出 ISMS 文件:1)必须包括管理决定的记录;2)必须确保所采取的行动措施可追踪到管理决定和方针;3)必须确保已记录的结果是可再生的。这里明确了,展示三者(即所选择的控制措施、风险评估的结果、ISMS 方针与目标)之间的关系的重要性。即从所选择控制措施可追溯到风险评估的结果,而从风险评估的结果又可追溯到 ISMS 方针与目标。2)ISMS 文件要确保所采取的措施可追踪到管理决定和方针是否 ISMS 文件确保所采取的措施可追踪到管理决定和方针?3)ISMS 文件要确保记录的结果是可再生的是否 ISMS 文件确保记录的结果是可再生的?a)ISMS 文件要包括ISMS 方针与目标文件是否有 ISM
27、S 方针与目标文件?标准规定,ISMS 文件要包括 9 方面的文件(见本表从 a)-i)栏)。其中,ISMS 方针是最高级(或顶级)的文件。b)ISMS 文件要包括ISMS 的范围是否有一个描述 ISMS范围的文件?标准要求的 ISMS 文件内容不一定都要形成单一文件;某些相关的内容可合并在一起,而形成一个文件,也不会认为违反标准的要求。在实际中,为了减少文件量,“ISMS 的范围”常合并于 ISMS 方针文件。参见表 1-1 a)。-第 10 页c)ISMS 文件要包括支持 ISMS 的程序和控制措施是否有支持 ISMS 的程序和控制措施?这里,只是泛泛地提出。“支持 ISMS 的程序和控制
28、措施”包括的内容很广。除了标准强制要求的程序文件外,还可有许多组织自主决定的文件。文件的内容可随组织的不同而有所不同。主要取决于:1)组织的业务活动及风险;2)安全要求的严格程度;3)管理体系的范围和复杂程度。组织需要哪些 ISMS 文件、控制措施及其复杂程度如何,通常可根据风险评估的结果而决定(参见第 6章“6.3.1.1 获得 ISMS 文件”)。d)ISMS 文件要包括风险评估方法的描述是否有描述风险评估方法的文件?与标准 4.2.1c)条款的要求一致。最佳的实践表明,“风险评估方法的描述”可合并于“风险评估程序”;而“风险评估程序”的运行结果又产生“风险评估报告”。参见的表 1-1 c
29、);参见“标准要求的强制性 ISMS 文件”。e)ISMS 文件要包括风险评估报告是否有可用的风险评估报告?f)ISMS 文件要包括风险处理计划是否有可用的风险处理计划?与标准 4.2.2b)的要求一致;参见“标准要求的强制性 ISMS 文件”。g)ISMS 文件要包括控制措施有效性的测量程序是否有描述如何测量控制措施有效性的程序文件?与标准 4.2.3 c 的要求一致;参见“标准要求的强制性 ISMS 文件”。h)ISMS 文件要包括本标准所要求的记录是否有提供符合要求证据的记录?“记录”的范围很广。实际上,每一个程序文件的运行结果都可以产生可作为证据的“记录”。参见“4.3.3 记录控制”
30、。i)ISMS 文件要包括适用性声明是否有符合要求的适用性声明?参见 表 1-1 j)。4.4.3 3.2 2 文件控制文件控制-第 11 页标准要求审核内容审核记录注释与指南1)ISMS 所要求的文件要加以保护和控制是否有一个用于保护和控制 ISMS 文件的过程?要求是标准的“4.3.2 文件控制”条款开始的一个引言段中提出的。这里只是泛泛地提出。实际上,“保护和控制 ISMS 文件的过程”可用“文件控制程序文件”进行控制。2)ISMS 文件控制程序要形成文件是否有一个形成文件的文件控制程序?“形成文件的文件控制程序”一般称为“文件控制程序文件”。这个程序文件是标准要求的必须的ISMS 文件
31、之一。“4.3.2 文件控制”条款主要的要求是:建立一个“文件控制程序文件”,并对文件进行以下 10方面控制(见下面 a-j)。a)“文件控制程序文件”要定义“文件发布前要得到批准”是否文件发布前要得到批准?在对这个“4.3.2 文件控制”条款要求的审核时,主要检查:1)组织是否有一个用于控制 ISMS 文件的“文件控制程序文件”;2)组织的 ISMS 文件实际上是否受控;3)是否从“10 方面”(a-j)控制 ISMS 文件。b)“文件控制程序文件”要定义“必要时评审与更新文件,并再次获得批准”是否必要时评审与更新文件,并再次批准文件?c)“文件控制程序文件”要定义“文件的更改和现行修订状态
32、得到标识”是否文件的更改和现行修订状态得到标识?d)“文件控制程序文件”要定义“在使用处可获得有关版本的适用文件”是否在使用处可获得有关版本的适用文件?-第 12 页e)“文件控制程序文件”要定义“文件保持清晰、易于识别”是否文件保持清晰、易于识别?f)“文件控制程序文件”要定义“文件可为需要的人员使用,并依照相关程序进行传输、贮存和最终销毁”是否文件可为需要的人员使用,并依照相关程序进行传输、贮存和最终销毁?g)“文件控制程序文件”要定义“外来文件得到标识”是否外来文件得到标识?h)“文件控制程序文件”要定义“文件的分发受控制”是否文件的分发受控制?i)“文件控制程序文件”要定义“防止作废文
33、件非预期使用”是否“防止作废文件非预期使用”?j)“文件控制程序文件”要定义“对需要保留的作废文件做出适当的标识”是否“对需要保留的作废文件做出适当的标识”?4.4.3 3.3 3 记录记录控制控制标准要求审核内容审核记录注释与指南a.记录要加以建立与保持是否有一个建立与保持记录的过程?记录是提供符合 ISMS 要求和有效运行客观证据的一种特殊类型的文件。记录需要建立与保持、保护与控制。b.记录要加以保护与 是否有一个保护与控-第 13 页控制制记录的过程?c.ISMS 要考虑相关法律法规要求和合同义务ISMS 是否考虑了相关法律法规要求和合同义务?组织要提供证据(记录),证明其 ISMS 考
34、虑了相关法律法规要求和合同义务。d.记录要保持清晰、易于识别和检索记录是否保持清晰、易于识别和检索?作为客观证据的记录,必须易于理解,不能含糊不清。e.记录的控制要形成文件,并加以实施记录的控制是否形成了文件?记录的控制包括:记录的标识、贮存、保护、检索、保存期限和处置等。这些控制要形成文件,通常称为“记录控制程序文件”。“记录控制程序文件”是必须要有的 ISMS 文件之一。f.记录要保留ISMS过程的执行情况,和所有重大安全事故的执行情况记录是否保留了 ISMS过程的执行情况?这里,ISMS 过程是指 ISO/IEC 27001:2005 的 4.2条款所列出的过程,包括 ISMS 的建立、
35、实施与运行、监视与评审、保持和改进。所有这些过程的记录要加以保留,所有重大安全事故的纪录也要保留。记录是否保留了所有重大安全事故的执行情况?5 5 管理职责管理职责5.15.1 管理承诺管理承诺标准要求审核内容审核记录注释与指南管理者要对 ISMS 的建立、实施与运行、监视与评审、保持和改进,做出承诺,提供证据。是否有一个确保管理者对 ISMS 的建立、实施与运行、监视与评审、保持和改进,做出承诺的过程?这里,“管理承诺”应理解为“最高管理者(层)的承诺”。ISO/IEC 27001:2005 标准认为,ISMS 的成功运行需要管理者参与并做出承诺。因此标准要求最高管理层(包括总经理和管理者代
36、表等)展示出其如何支持(或承诺)ISMS 建立、实施与运行、监视与评审、管理者提供承诺的证据是否包括 8 方面的内容-第 14 页保持与改进,并提供 8 方面内容的证据,包括:a)制定 ISMS 方针;b)确保建立 ISMS 目标和计划;c)建立信息安全的角色和职责;d)向该组织传达满足信息安全目标与符合信息安全方针的重要性、法律责任和持续改进的需要;e)提供足够的资源;f)决定接受风险的准则和风险的可接受级别准则;g)确保 ISMS 内审的执行;h)进行 ISMS 管理评审。(见“注释与指南”栏)?5.25.2 资源管理资源管理5.2.15.2.1 资源提供资源提供标准要求审核内容审核记录注
37、释与指南组织要确定和提供所需要的资源管理者是否提供ISMS活动所需要的资源?这里 ISMS 活动包括 ISMS 建立、实施与运行、监视与评审、保持和改进。管理者是否提供确保信息安全程序支持业务要求所需要的资源?资源包括人、财、物(如设备、工具和资料等)。管理者是否提供满足法律法规要求、合同安全要求所需要的资源?是否提供通过正确实施控制措施维护安全所需要的资源?-第 15 页管理者是否提供必要的评审与对评审结果做出适当反应所需要的资源?管理者是否提供改进ISMS 有效性所需要的资源?5.2.5.2.2 2 培训、意识和能力培训、意识和能力标准要求审核内容审核记录注释与指南a.组织要确保分配有IS
38、MS 职责的所有人员都具有执行所要求任务的能力是否有一个确保分配有 ISMS 职责的所有人员都具有完成所要求任务的能力的过程?要求明确规定,确保分配有 ISMS 职责的所有人员都具有完成其所要求任务的能力。这个过程包括 4个活动:a)确定所有 ISMS 人员所必要的能力;b)提供培训,或采取其它措施(例如聘用有能力的人员),以满足这些需要;c)评价培训等措施的有效性;d)保持教育、培训、技能、经历和资格的记录。在对要求的符合性审核时,要检查培训记录和相关证据。b.组织要确保所有相关人员意识到其信息安全活动的重要性是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程?要求明确规定,组织要
39、确保所有相关人员意识到其信息安全活动的利害关系与重要性,并为达到ISMS 目标做出贡献。在对要求的符合性审核时,可以抽查相关人员的安全意识。6 6 内部内部 ISMSISMS 审核审核标准要求审核内容审核记录注释与指南(1)定期进行内部ISMS 审核是否有一个定期进行内部 ISMS 审核的过程?要求明确规定,“组织要按照既定的时间间隔进行内部 ISMS 审核”。而内部审核的目的是确定其 ISMS-第 16 页的控制目标、控制措施、过程和程序是否:a)符合本标准和相关法律法规的要求;b)符合已确定的信息安全要求;c)得到有效地实施和保持;d)按预期执行。在对要求符合性审核时,要确保上述要求得到满
40、足。(2)制定审核方案是否有一个审核方案?该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?要求明确规定,在进行内部审核之前,要制定“审核方案”。而这个审核方案要考虑受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果。(3)定义审核的准则、范围、频次和方法审核的准则、范围、频次和方法是否定义?在实际中,审核的准则、范围、频次和方法可以包含于审核方案或审核计划中。(4)审核员的选择,审核的实施要确保审核过程的客观公正审核员的选择,审核的实施是否确保审核过程的客观公正?在这方面,应遵照本书第 4 章的规定执行。其中包括“审核发现、审核结论和审核报告要真实和
41、准确地反映审核活动”。(5)审核员不准审核自己的工作是否审核员审核了自己的工作?要识别内部审核员除了内审以外的其它工作。(6)形成内审程序文件是否有定义内审职责和要求方面的内审程序文件?要求明确规定,内审的职责和要求(包括审核的计划与实施、审核结果的报告、记录的保持等)必须以形成文件的程序加以定义。在对要求的符合性审核时,要确保上述要求得到满足。(7)采取纠正措施是否有一个确保受审部门的责任管理者及时采取措施,消除“已发现的不符合事项及其产生的原因”的过要求的意义包括:1)受审部门的责任管理者要采取纠正措施;2)纠正措施要包含原因分析;3)纠正措施不能有不适当的延迟。-第 17 页程?在对要求
42、的符合性审核时,要确保上述要求得到满足。(8)跟踪纠正措施是否有一个对纠正措施的跟踪活动?“跟踪纠正措施”是受审部门责任管理者的职责,包括:1)要跟踪和验证纠正措施,直到真正获得落实;2)要报告跟踪和验证的结果。跟踪活动是否包括验证和验证结果的报告?7 7 ISMSISMS 的管理评审的管理评审7.17.1 总则总则标准要求审核内容审核记录注释与指南(1)管理者要每年至少评审 1 次 ISMS是否有一个确保最高管理者每年至少评审 1 次 ISMS的过程?管理评审的目的是确保 ISMS 持续的适宜性、充分性和有效性。为了确保最高管理者每年至少评审 1 次 ISMS,最好的实践是通过使用一个“管理
43、评审程序文件”进行控制。“管理评审程序文件”也控制相关的管理评审过程,以满足标准的要求。但是,标准没有明确规定一定要有一个形成文件的“管理评审程序”。因此,在审核时,主要是要确保有符合要求的评审过程。是否检查了ISMS的实施情况,以确保 ISMS 持续的适宜性、充分性和有效性?(2)评审要包括评估改进的机会和变更ISMS 的需要在管理评审时,是否评估了 ISMS(包括信息安全方针和信息安全目标)改进的机会和变更的需要?在运行期间,操作者是不能任意变更 ISMS 的。ISMS 的改进和变更,只能经过最高管理者对 ISNS的评审,做出评审决定后,才能执行。因此管理评审时,要有这方面的评估。(3)评
44、审的结果要形成文件评审结果是否形成了文件?审核员在进行“ISMS 的管理评审”的审核时,必须按标准“4.3.3 记录控制”条款的要求,检查评审结果和相关的评审的记录。(4)评审的记录要加以保持记录是否按照“记录控制”的要求加以保持?7.27.2评审输入评审输入-第 18 页标准要求审核内容审核记录注释与指南a)管理评审的输入要包括审核和评审结果是否有一个确保管理评审的输入包括标准要求的 9 方面信息的过程?在审核时,审核员应首先检查组织如何确保满足标准规定的 9 方面管理评审的输入信息(见本表的a-i)。是否管理评审的输入包括先前的审核和评审结果?审核员应检查管理评审的输入是否包括先前的审核(
45、包括内审和外审)和管理评审的结果。b)管理评审的输入要包括相关方的反馈是否管理评审的输入包括相关方的反馈?审核员应检查管理评审的输入是否包括相关方(如顾客和相关人员)的反馈,包括意见、抱怨和评论等。c)管理评审的输入要包括可用于改进 ISMS的技术、产品或程序是否管理评审的输入包括可用于改进 ISMS 的技术、产品或程序?审核员应检查管理评审的输入是否包括可用于改进 ISMS 有效性的技术、产品或程序。d)管理评审的输入要包括预防和纠正措施的状况是否管理评审的输入包括预防和纠正措施的状况?审核员应检查管理评审的输入是否包括先前的预防措施和纠正措施的情况,包括查相关记录。e)管理评审的输入要包括
46、以往风险评估没有充分解决的脆弱点或威胁是否管理评审的输入包括预防和纠正措施的状况?审核员应检查管理评审的输入是否包括在先前的风险评估期间,没有充分解决的安全问题。f)管理评审的输入要包括有效性测量的结果是否管理评审的输入包括ISMS有效性的测量结果?审核员应检查管理评审的输入是否包括在先前对ISMS 的有效性的测量结果。g)管理评审的输入要包括以往管理评审的跟踪措施是否管理评审的输入包括以往管理评审的跟踪措施?审核员应检查管理评审的输入是否包括以往管理评审的跟踪措施,包括对以往管理评审结果的贯彻、跟踪和验证的结果。-第 19 页h)管理评审的输入要包括可能影响 ISMS 的任何变更是否管理评审
47、的输入包括可能影响 ISMS 的任何变更?审核员应检查管理评审的输入是否包括可能影响ISMS 的任何变更,包括出现新的信息资产、技术的变更、内外环境的变更和组织结构的变更等。i)管理评审的输入要包括改进的建议是否管理评审的输入包括任改进的建议?审核员应检查管理评审的输入是否包括改进ISMS 的任何建议。7.37.3 评审输评审输出出标准要求审核内容审核记录注释与指南a)管理评审的输出要包括 ISMS 有效性的改进是否有一个确保管理评审的输出包括5方面要求的过程?在审核时,审核员应首先检查组织如何确保管理评审满足标准规定的 5 方面的输出(见本表 a)-e)。是否管理评审做出了改进 ISMS 有
48、效性的决定?审核员应检查管理评审的输出是否有改进 ISMS有效性的决定。b)管理评审的输出要包括风险评估和风险处理计划的更新是否管理评审做出了更新风险评估和风险处理计划的决定?风险是动态的。风险评估活动要定期执行,风险处理计划要及时更新。管理评审要做出这方面的决定。审核员应检查管理评审的输出是否有这方面的决定。c)管理评审的输出要包括必要时对影响信息安全的程序和控制措施的修改,以应对可能冲击 ISMS 的内外事件是否管理评审做出了在必要时对影响信息安全的程序和控制措施的修改决定,以应对可能冲击ISMS的内外事件?要求的含义是,为了应对可能冲击 ISMS 的内外事件,包括:1)业务要求发生变化;
49、2)安全要求发生变化;3)影响现有业务要求的业务过程发生变化;4)法律法规要求发生变化;5)合同义务发生变化;6)接受风险的风险级别和/或准则发生变化。要对影响信息安全的程序和控制措施进行修改。管理评审要做出这方面的决定。-第 20 页在审核时,要检查这方面的决定。d)管理评审的输出要包括对资源需求的决定是否管理评审做出了对资源需求的决定?要求是解决资源需求。管理评审要做出解决 ISMS资源需求的决定。在审核时,要检查这方面的决定。e)管理评审的输出要包括改进测量控制措施有效性的方法要求是改进如何测量控制措施的有效性。管理评审要做出这方面的决定。在审核时,要检查这方面的决定。8 8 ISMSI
50、SMS 改进改进8 8.1.1 持续改进持续改进标准要求审核内容审核记录注释与指南组织要持续改进ISMS 的有效性是否有一个确保组织持续改进ISMS有效性的过程?要求规定,组织要通过多种途径,持续改进 ISMS的有效性持,包括:1)使用信息安全方针;2)使用安全目标;3)使用审核结果;4)使用监视事件的分析;5)使用纠正措施与预防措施;6)使用管理评审。因此,审核员在进行审核时,应考虑以上方面,并结合一起进行。8 8.2.2 纠正纠正措施措施标准要求审核内容审核记录注释与指南-第 21 页a.组织要采取措施,消除不符合ISMS要求的原因是否有一个确保采取措施,消除不符合 ISMS 要求的原因的