信息安全管理体系审核检查表.docx

《信息安全管理体系审核检查表.docx》由会员分享，可在线阅读，更多相关《信息安全管理体系审核检查表.docx（46页珍藏版）》请在三一办公上搜索。

1、信息安全管理体系审核指南标准要求的强制性ISMS文件 强制性ISMS文件说明(1) ISMS方针文件，包括ISMS的范围根据标准“4.3.1”a)和b)的要求。(2) 风险评估程序根据“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个风险评估程序。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生风险评估报告。(3) 风险处理程序根据标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此，可创建一个风险处理程序。该程序文件运行的结果应产生风险处理计划。(4) 文件控制程序根据标准的“4.3.2文件控制”的

2、要求，要有形成文件的“文件控制程序”。 (5) 记录控制程序根据标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6) 内部审核程序根据标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7) 纠正措施与预防措施程序根据标准的“8.2纠正措施”的要求，要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8) 控制措施有效性的测量程序根据标准的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9) 管理评审程序“管理评审”过程不一定

3、要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。(9) 适用性声明根据标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。审核重点第二阶段审核：a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：l 定义风险评估方法(参见4.2.1 c)l 识别安全风险(参见4.2.1 d)l 分析和评价安全风险(参见4.2.1 e)l 识别和评价风险处理选择措施(参见的4.2.1 f)l 选择风险处理所需的控制目标和控制措施(参见4.2.1 g)l 确保管理者正式批准所有残余风险(参见4.2.1 h)l 确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.

4、1 i)l 准备适用性声明(参见4.2.1 j)b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到 位)，至少包括：l ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) l 控制措施有效性的测量(依照 4.3.1 g)l 内部ISMS审核(依照第6章“内部ISMS审核”)l 管理评审(依照第7章“ISMS的管理评审”) l ISMS改进(依照第8章“ISMS改进”)。c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括：l 4.2.3监视与评审ISMSl 第7章“ISMS的管理评审”。d) 检查管理者如何履行信息安全

5、的职责(包括抽样检查关键的过程是否到位)，依照条款包括：l 4.2.3监视与评审ISMSl 5 管理职责l 7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。监督审核：a) 上次审核发现的纠正/预防措施分析与执行情况；b) 内审与管理评审的实施情况；c) 管理体系的变更情况；d) 信息资产的变更与相应的风险评估和处理情况；e) 信息安全事故的处理和记录等。再认证审核：a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。b) 评审在这个认证周期中I

6、SMS的实施与继续维护的情况，包括：l 检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进；l 评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；l 检查ISMS如何应对组织的业务与运行的变化；l 检验管理者对维护ISMS有效性的承诺情况。444 信息安全管理体系4.1总要求4.2 建立和管理ISMS4.2.1 建立ISMS标准的要求审核内容审核记录注释与指南a) 组织要定义ISMS的范围l 组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”要求的符合性审核，要确保ISMS的定义不仅要包括范围，也要包括边界。对任何范围的删减，必须有详细说明

7、和正当性理由。l 是否有对任何范围的删减？b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文件？要求明确规定ISMS方针的5个基本点，即ISMS方针要： 1) 包括信息安全的目标框架、信息安全工作的总方向和原则；2) 考虑业务要求、法律法规的要求和合同要求；3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致；4) 建立风险评价准则；5) 获得管理者批准。在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。l 组织的ISMS方针文件是否满足ISO/IEC 27001:2005规定的5个基本点(见注释与指南栏

8、)？c) 组织要定义风险评估方法l 组织是否有一个定义风险评估方法的文件？ 要求明确规定，“定义组织的风险评估方法”的工作(活动)要包括：1) 确定风险评估方法，而这个评估方法要适合组织的ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求； 2) 制定接受风险的准则，确定可接受的风险级别。在对要求的符合性审核时，要确保上述2个要求得到满足。l 组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求？l 接受风险的准则是否已经确定？并根据此准则，确定了可接受的风险级别？d) 组织要识别安全风险l 组织是否有一个识别安全风险的过程？“识别安全风险”

9、是一个过程(活动)。而这个过程要包括：1) 识别组织ISMS范围内的资产及其责任人；2) 识别资产所面临的威胁；3) 识别可能被威胁利用的脆弱点；4) 识别资产保密性、完整性和可用性的丧失造成的影响。在对要求的符合性审核时，要确保“识别安全风险”要包括上述工作(活动)。l 识别安全风险的过程是否符合规定(参见“注释与指南”栏)？ e) 组织要分析和评价安全风险l 组织是否有一个用于评估安全风险的过程？要求明确规定，“分析和评价安全风险”过程(活动)要包括：1) 评估安全破坏(包括资产的保密性、完整性，或可用性的丧失的后果)可能产生的对组织的业务影响；2) 评估由主要威胁和脆弱点导致的安全破坏的

10、现实可能性、对资产的影响和当前所实施的控制措施；3) 估算风险的级别；4) 确定风险是否可接受，或者是否需要使用本组织的接受风险的准则进行处理。 “分析和评价安全风险”的结果应产生一个“风险评估报告”。在对要求的符合性审核时，要确保满足上述要求。l 是否评估了安全破坏可能产生对组织的业务影响？l 这个安全风险评估过程是否符合规定(参见“注释与指南栏”)？f) 组织要识别和评价风险处理选择措施 l 组织是否有一个用于识别和评价风险处理选择措施的过程？ 要求明确规定，可选择的措施包括：1) 采用适当的控制措施；2) 接受风险；3) 避免风险；4) 转移风险。在对要求的审核时， 要确保组织有一个“识

11、别和评价风险处理选择措施”的过程，并考虑了上述4种可能的选择。 l 这个过程是否虑了4种可能的选择(参见“注释与指南栏”)？g) 组织要选择风险处理所需的控制目标和控制措施l 组织是否有一个用于选择ISO/IEC 27001:2005附录A的风险处理控制目标和控制措施的过程？ “选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求：1) 控制目标和控制措施要进行选择和实施，以满足风险评估和风险处理过程中所识别的安全要求；2) 控制目标和控制措施的选择要考虑接受风险的准则，以及法律法规要求和合同要求；3) 附录A中的控制目标和控制措施要加以选择，作为此“选择风险处理所需的控制目标和控制措

12、施”过程的一部分，以满足已识别的安全需求。在对要求的审核时，要与本书第9章“控制目标和控制措施的审核”结合一起进行。最重要的是要确保所选择的控制目标和控制措施：l 符合风险评估与处理过程中已经识别安全要求；l 符合接受风险准则的要求，以及法律法规的要求和合同的要求；如果附录A中的控制目标和控制措施适用于已识别的安全要求，要加以选择，不要错漏。可参见本书第9章“控制目标和控制措施的审核”。l 这个过程是否确保所选择的控制目标和控制措施满足相关要求(参见“注释与指南”栏)？ l 附录A的控制目标和控制措施是否都被选择？l 如果不选择，是否有正当性理由？ l 是否选择了附录A以外的控制措施？h) 组

13、织要确保管理者正式批准所有残余风险l 所有残余风险是否获得管理者正式批准？首先要理解“残余风险”的意义。i) 组织要确保在ISMS实施和运行之前，获得管理者授权l ISMS实施和运行是否获得管理者授权？要检查是否有领导的签字(可参见后面 “4.3.2文件控制”的审核)。j) 组织要准备适用性声明 l 组织是否有一个准备适用性声明的过程？要求明确规定,“适用性声明”必须至少包括以下3项内容：1) 所选择控制目标和控制措施，及其选择的理由；2) 当前实施的控制目标和控制措施；3) 附录A中任何控制目标和控制措施的删减，以及删减的正当性理由。在对要求审核时，最重要的是要确保： l “适用性声明”的内

14、容至少含有上述3项；l 不选择的理由必须是合理的，或证明其是正当性的。由于附录A推荐的控制目标和控制措施是最佳实践，所以如果没有正当性理由，都要加以选择，要防止漏选。对要求的审核，可与后面“4.3.1总则”i)的审核和第9章“控制目标和控制措施的审核”结合一起进行。l 适用性声明的内容是否有含有标准规定的“3项内容”(参见“注释与指南”栏)？l 适用性声明是否记载附录A中任何控制目标和控制措施的删减，以及删减的正当性理由？4.2.2 实施与运行ISMS标准要求审核内容审核记录注释与指南a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程？ 要求明确规定

15、，组织要有一个产生风险处理计划的过程或程序。而这个过程要确定信息安全风险的管理措施、资源、职责和优先级。由于标准的第4章只是“计划”阶段，在标准第5章中将提出更具体的“资源”要求。 对于“风险处理计划”，可与“4.3.1总则”条款的要求一起审核(见“4.3.1总则”f) 审核)。l 是否有一个“风险处理计划”文件？b) 组织要实施风险处理计划 l 组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程？ 要求明确规定，组织要有一个“实施风险处理计划”的过程，或程序。而这个过程的目的是要达到已确定的控制目标，包括资金安排、角色和职责的分配。c) 组织要实施所选择的控制措施l 组织是否有一个

16、符合标准此条款要求的“实施所选择的控制措施”的过程？要求明确规定，组织要有一个“实施所选择的控制措施”的过程，或程序，其目的是要满足控制目标。d) 组织要定义如何测量所选控制措施的有效性l 组织是否有一个“测量所选控制措施有效性”的过程？即组织要： 1) 定义如何测量所选控制措施的有效性，即要有一个“测量所选控制措施有效性”的过程；2) 规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)；据此，管理者和员工就可以确定所选控制措施是否实现原计划的控制目标，或实现的程度。在对这个要求的审核时，审核员必须检查受审核组织： 是否有一个测量所选择控制措施有效性的“测量措施”； 如何使用其测量

17、措施进行测量； 所选控制措施是否达到既定的控制目标。 可与4.2.3c)规定的要求 同时审核 (参见“4.2.3 监视与评审ISMS”)l 如何使用测量措施，去测量控制措施的有效性？e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程？对于实施ISMS的组织来说，很重要的事情是培训，使其员工了解标准的意图和信息安全的原理。因此在“实施与运行组织的ISMS”中，首先要有“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。f) 组织要管理ISMS的运行 l 组织是否有“管理ISMS的运行”的过程？要求明确规定, ISMS的运行需要管理

18、。g) 组织要管理ISMS的资源l 组织是否有对ISMS实施所需要的资源进行管理的过程？ 要求明确规定, ISMS实施所需要的资源要加以管理(参见“5.2 资源管理”)。h) 组织要实施组织的安全程序和其他控制措施l 组织的ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反应”的程序？ 要求规定， 在“迅速检测安全事件和对安全事故能做出迅速反应”方面，要有相关的程序和控制措施(参见“4.2.3 监视与评审ISMS”a)。4.2.3 监视与评审ISMS标准要求审核内容审核记录注释与指南a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”，以：1) 迅速检测处理产生的错误；2)

19、迅速识别试图的和得逞的安全违规事件和事故；3) 使管理者能确定指定人员的安全活动或通过信息技术实施的安全活动是否如期执行；4) 通过使用指示器，帮助检测安全事件并预防安全事故；5) 确定解决安全违规事件的措施是否有效？ 要求明确规定，求组织要有“监视与评审程序”，以达到以下5个目的：1) 迅速检测处理产生的错误；2) 迅速识别试图的和得逞的安全违规事件和事故；3) 使管理者能确定指定人员的安全活动(或通过信息技术实施的安全活动)是否如期执行；4) 通过使用指示器，帮助检测安全事件并预防安全事故；5) 确定解决安全违规事件的措施是否有效。在对要求的审核时，必须检查这些内容。 b) 组织要定期评审

20、ISMS有效性l 是否有符合此要求 “ISMS有效性的定期评审”的过程？要求明确规定，组织对ISMS的有效性，进行定期评审(包括ISMS方针和目标的符合性评审、安全控制措施的有效性评审)。而在对ISMS有效性的定期评审时，要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。在对要求的审核时，要检查是否有相关的过程或活动。c) 组织要测量控制措施的有效性l 是否有到位的“测量控制措施的有效性” 的过程或程序？要求明确规定，组织在“监视和评审ISMS”中，要测量控制措施的有效性以验证安全要求是否得到满足。 在对要求的审核时，要检查是否有“测量控制措施的有效性”的过程

21、或程序。d) 组织要评审风险评估l 是否有到位的“评审风险评估” 的过程或程序？要求明确规定，组织在“监视和评审ISMS”中，要按照既定的时间间隔，评审风险评估、残余风险和已确定的可接受的风险级别，要考虑以下方面的变化：1) 组织；2) 技术；3) 业务目标和过程；4) 已识别的威胁；5) 已实施的控制措施的有效性；6) 外部事件，如法律法规环境的变化、合同义务的变化和社会环境的变化。在对要求的审核时，要检查是否有相关的过程或活动。l “评审风险评估” 的过程是否考虑了“6方面的变化”(参见注释与指南)？e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程

22、序？要求明确规定，组织在“监视和评审ISMS”中，要按既定的时间间隔，执行ISMS内部审核。在对要求的审核时，要检查是否有“定期的ISMS内部审核”过程或程序。而对ISMS内部审核的符合性审核要按照标准第6章的要求执行。f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序？这个要求明确规定，组织在“监视和评审ISMS”中，要按既定的时间间隔，执行ISMS管理评审。在对这个要求的审核时，要检查是否有定期的“ISMS管理评审”过程或程序。而对ISMS管理评审的符合性审核要按照标准的第7章的要求执行。 g) 组织要更新信息安全计划 l 组织是否参考监视和评审活

23、动的发现，而“更新信息安全计划”？这个要求明确规定，组织要参考监视和评审活动的发现，更新安全计划。h) 组织要维护ISMS事件和行动措施的纪录l 是否有到位的“维护ISMS事件和行动措施的纪录”的过程？这个要求明确规定，组织要记录可能影响ISMS有效性的事件和所采取的措施。对这个要求的审核，可与标准的“4.3.3 记录控制”条款要求的审核一起进行。4.2.4 保持与改进ISMS标准要求审核内容审核记录注释与指南a) 组织要实施ISMS改进l 是否有到位的“实施ISMS改进”的过程？要求明确规定，组织对已识别的ISMS改进点，要加以实施。对要求的符合性审核时，要确保有到位的“实施ISMS改进”的

24、过程。b) 组织要采取适当的纠正措施和预防措施l 是否有到位的“纠正措施和预防措施”的过程？要求明确规定，组织有与标准的“8.2 纠正措施”条款和“8.3 预防措施”条款保持一致的“纠正措施和预防措施”的过程，并要求吸取其它组织和本组织的安全经验教训。对要求的审核，可与标准的“8.2 纠正措施”条款和“8.3 预防措施”条款的要求的审核一起进行。l 是否有到位的吸取其它组织和本组织的安全经验教训的过程？c) 组织要向所有相关方交流ISMS的措施和改进状况l 是否有向所有相关方交流ISMS改进的过程？要求明确规定，组织要向所有相关方交流ISMS的行动措施和改进情况，确保有适当的详情说明，并取得一

25、致意见。 d) 组织要确保ISMS的改进达到预期目标l 是否有确保ISMS的改进达到了预期目标的过程？管理者要跟踪改进，直到达到了预期目标。4.3 文件要求4.3.1 总则标准要求审核内容审核记录注释与指南1) ISMS文件要包括管理决定的记录l 是否ISMS文件包括有管理决定的记录？在左栏所示的这3）个要求是在“4.3.1总则”条款开始的一个引言段中提出的。这里提出ISMS文件：1) 必须包括管理决定的记录；2) 必须确保所采取的行动措施可追踪到管理决定和方针；3) 必须确保已记录的结果是可再生的。这里明确了，展示三者(即所选择的控制措施、风险评估的结果、ISMS方针与目标)之间的关系的重要

26、性。即从所选择控制措施可追溯到风险评估的结果，而从风险评估的结果又可追溯到ISMS方针与目标。2) ISMS文件要确保所采取的措施可追踪到管理决定和方针l 是否ISMS文件确保所采取的措施可追踪到管理决定和方针？3) ISMS文件要确保记录的结果是可再生的l 是否ISMS文件确保记录的结果是可再生的？ a) ISMS文件要包括ISMS方针与目标文件l 是否有ISMS方针与目标文件？ 标准规定，ISMS文件要包括9方面的文件(见本表从a)- i)栏)。其中，ISMS方针是最高级(或顶级)的文件。b) ISMS文件要包括ISMS的范围l 是否有一个描述ISMS范围的文件？ ll 标准要求的ISMS

27、文件内容不一定都要形成单一文件；某些相关的内容可合并在一起，而形成一个文件，也不会认为违反标准的要求。l 在实际中，为了减少文件量，“ISMS的范围”常合并于ISMS方针文件。l 参见表1-1 a) 。c) ISMS文件要包括支持ISMS的程序和控制措施l 是否有支持ISMS的程序和控制措施？这里，只是泛泛地提出。“支持ISMS的程序和控制措施”包括的内容很广。除了标准强制要求的程序文件外，还可有许多组织自主决定的文件。文件的内容可随组织的不同而有所不同。主要取决于:1) 组织的业务活动及风险；2) 安全要求的严格程度；3) 管理体系的范围和复杂程度。组织需要哪些ISMS文件、控制措施及其复杂

28、程度如何，通常可根据风险评估的结果而决定(参见第6章“6.3.1.1获得ISMS文件”)。 d) ISMS文件要包括风险评估方法的描述l 是否有描述风险评估方法的文件？ll 与标准4.2.1c)条款的要求一致。 l 最佳的实践表明，“风险评估方法的描述”可合并于“风险评估程序”；而“风险评估程序”的运行结果又产生“风险评估报告”。l 参见的表1-1 c)；l 参见“标准要求的强制性ISMS文件”。 e) ISMS文件要包括风险评估报告l 是否有可用的风险评估报告？f) ISMS文件要包括风险处理计划l 是否有可用的风险处理计划？ll 与标准4.2.2b)的要求一致；l 参见“标准要求的强制性I

29、SMS文件”。 g) ISMS文件要包括控制措施有效性的测量程序l 是否有描述如何测量控制措施有效性的程序文件？ ll 与标准4.2.3 c的要求一致；l 参见“标准要求的强制性ISMS文件”。h) ISMS文件要包括本标准所要求的记录l 是否有提供符合要求证据的记录？ll “记录”的范围很广。实际上，每一个程序文件的运行结果都可以产生可作为证据的“记录”。l 参见“4.3.3记录控制”。i) ISMS文件要包括适用性声明l 是否有符合要求的适用性声明？参见 表1-1 j)。4.3.2文件控制标准要求审核内容审核记录注释与指南1) ISMS所要求的文件要加以保护和控制是否有一个用于保护和控制I

30、SMS文件的过程？ 要求是标准的“4.3.2文件控制”条款开始的一个引言段中提出的。这里只是泛泛地提出。实际上，“保护和控制ISMS文件的过程”可用“文件控制程序文件”进行控制。2) ISMS文件控制程序要形成文件是否有一个形成文件的文件控制程序？“形成文件的文件控制程序”一般称为“文件控制程序文件”。这个程序文件是标准要求的必须的ISMS文件之一。“4.3.2文件控制”条款主要的要求是：建立一个“文件控制程序文件”，并对文件进行以下10方面控制(见下面a-j)。a)“文件控制程序文件”要定义“文件发布前要得到批准”l 是否文件发布前要得到批准？在对这个“4.3.2文件控制”条款要求的审核时，

31、主要检查:1) 组织是否有一个用于控制ISMS文件的“文件控制程序文件”；2) 组织的ISMS文件实际上是否受控；3) 是否从“10方面”(a-j)控制ISMS文件。b)“文件控制程序文件”要定义“必要时评审与更新文件，并再次获得批准”l 是否必要时评审与更新文件，并再次批准文件？c)“文件控制程序文件”要定义“文件的更改和现行修订状态得到标识”l 是否文件的更改和现行修订状态得到标识？d)“文件控制程序文件”要定义“在使用处可获得有关版本的适用文件”l 是否在使用处可获得有关版本的适用文件？e) “文件控制程序文件”要定义“文件保持清晰、易于识别”l 是否文件保持清晰、易于识别？f) “文件

32、控制程序文件”要定义“文件可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁”l 是否文件可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁？g) “文件控制程序文件”要定义“外来文件得到标识”l 是否外来文件得到标识？h) “文件控制程序文件”要定义“文件的分发受控制”l 是否文件的分发受控制？i) “文件控制程序文件”要定义“防止作废文件非预期使用”l 是否“防止作废文件非预期使用”？j) “文件控制程序文件”要定义“对需要保留的作废文件做出适当的标识”l 是否“对需要保留的作废文件做出适当的标识”？4.3.3 记录控制标准要求审核内容审核记录注释与指南a. 记录要加以建立

33、与保持l 是否有一个建立与保持记录的过程？记录是提供符合ISMS要求和有效运行客观证据的一种特殊类型的文件。记录需要建立与保持、保护与控制。b. 记录要加以保护与控制l 是否有一个保护与控制记录的过程？c. ISMS要考虑相关法律法规要求和合同义务l ISMS是否考虑了相关法律法规要求和合同义务？组织要提供证据(记录)，证明其ISMS考虑了相关法律法规要求和合同义务。d. 记录要保持清晰、易于识别和检索l 记录是否保持清晰、易于识别和检索？作为客观证据的记录，必须易于理解，不能含糊不清。e. 记录的控制要形成文件, 并加以实施l 记录的控制是否形成了文件？记录的控制包括：记录的标识、贮存、保护

34、、检索、保存期限和处置等。这些控制要形成文件，通常称为“记录控制程序文件”。 “记录控制程序文件”是必须要有的ISMS文件之一。f. 记录要保留ISMS过程的执行情况，和所有重大安全事故的执行情况l 记录是否保留了ISMS过程的执行情况？这里，ISMS过程是指ISO/IEC 27001:2005的 4.2条款所列出的过程，包括ISMS的建立、实施与运行、监视与评审、保持和改进。所有这些过程的记录要加以保留，所有重大安全事故的纪录也要保留。l 记录是否保留了所有重大安全事故的执行情况？5 管理职责 5.1 管理承诺 标准要求审核内容审核记录注释与指南管理者要对ISMS的建立、实施与运行、监视与评

35、审、保持和改进，做出承诺, 提供证据。l 是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺的过程？这里，“管理承诺”应理解为“最高管理者(层)的承诺”。ISO/IEC 27001:2005标准认为，ISMS的成功运行需要管理者参与并做出承诺。因此标准要求最高管理层(包括总经理和管理者代表等)展示出其如何支持(或承诺)ISMS建立、实施与运行、监视与评审、保持与改进，并提供8方面内容的证据，包括：a) 制定ISMS方针；b) 确保建立ISMS目标和计划；c) 建立信息安全的角色和职责；d) 向该组织传达满足信息安全目标与符合信息安全方针的重要性、法律责任和持续改

36、进的需要；e) 提供足够的资源；f) 决定接受风险的准则和风险的可接受级别准则；g) 确保ISMS内审的执行；h) 进行ISMS管理评审。l 管理者提供承诺的证据是否包括8方面的内容(见“注释与指南”栏)？5.2 资源管理5.2.1 资源提供标准要求审核内容审核记录注释与指南组织要确定和提供所需要的资源l 管理者是否提供ISMS活动所需要的资源？这里ISMS活动包括ISMS建立、实施与运行、监视与评审、保持和改进。l 管理者是否提供确保信息安全程序支持业务要求所需要的资源？资源包括人、财、物(如设备、工具和资料等)。l 管理者是否提供满足法律法规要求、合同安全要求所需要的资源？ l 是否提供通

37、过正确实施控制措施维护安全所需要的资源？ l 管理者是否提供必要的评审与对评审结果做出适当反应所需要的资源？ l 管理者是否提供改进ISMS有效性所需要的资源？ 5.2.2 培训、意识和能力标准要求审核内容审核记录注释与指南a. 组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力l 是否有一个确保分配有ISMS职责的所有人员都具有完成所要求任务的能力的过程？要求明确规定，确保分配有ISMS职责的所有人员都具有完成其所要求任务的能力。这个过程包括4个活动： a) 确定所有ISMS人员所必要的能力；b) 提供培训，或采取其它措施(例如聘用有能力的人员)，以满足这些需要；c) 评价培训

38、等措施的有效性；d) 保持教育、培训、技能、经历和资格的记录。在对要求的符合性审核时，要检查培训记录和相关证据。b. 组织要确保所有相关人员意识到其信息安全活动的重要性 l 是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程？要求明确规定，组织要确保所有相关人员意识到其信息安全活动的利害关系与重要性，并为达到ISMS目标做出贡献。在对要求的符合性审核时，可以抽查相关人员的安全意识。6 内部ISMS审核 标准要求审核内容审核记录注释与指南(1) 定期进行内部ISMS审核l 是否有一个定期进行内部ISMS审核的过程？ 要求明确规定，“组织要按照既定的时间间隔进行内部ISMS审核”。而内部

39、审核的目的是确定其ISMS的控制目标、控制措施、过程和程序是否： a) 符合本标准和相关法律法规的要求； b) 符合已确定的信息安全要求；c) 得到有效地实施和保持；d) 按预期执行。在对要求符合性审核时，要确保上述要求得到满足。(2) 制定审核方案l 是否有一个审核方案？l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果？要求明确规定，在进行内部审核之前，要制定“审核方案”。而这个审核方案要考虑受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果。(3) 定义审核的准则、范围、频次和方法l 审核的准则、范围、频次和方法是否定义?在实际中，审核的准则、

40、范围、频次和方法可以包含于审核方案或审核计划中。(4) 审核员的选择，审核的实施要确保审核过程的客观公正l 审核员的选择，审核的实施是否确保审核过程的客观公正？ 在这方面，应遵照本书第4章的规定执行。其中包括“审核发现、审核结论和审核报告要真实和准确地反映审核活动”。 (5) 审核员不准审核自己的工作l 是否审核员审核了自己的工作？要识别内部审核员除了内审以外的其它工作。(6) 形成内审程序文件l 是否有定义内审职责和要求方面的内审程序文件？要求明确规定，内审的职责和要求(包括审核的计划与实施、审核结果的报告、记录的保持等)必须以形成文件的程序加以定义。在对要求的符合性审核时，要确保上述要求得

41、到满足。(7) 采取纠正措施l 是否有一个确保受审部门的责任管理者及时采取措施，消除“已发现的不符合事项及其产生的原因”的过程？要求的意义包括：1) 受审部门的责任管理者要采取纠正措施； 2) 纠正措施要包含原因分析；3) 纠正措施不能有不适当的延迟。在对要求的符合性审核时，要确保上述要求得到满足。(8) 跟踪纠正措施l 是否有一个对纠正措施的跟踪活动？“跟踪纠正措施”是受审部门责任管理者的职责，包括：1) 要跟踪和验证纠正措施，直到真正获得落实；2) 要报告跟踪和验证的结果。 l 跟踪活动是否包括验证和验证结果的报告？7 ISMS的管理评审7.1 总则标准要求审核内容审核记录注释与指南(1)

42、 管理者要每年至少评审1次ISMS l 是否有一个确保最高管理者每年至少评审1次ISMS的过程？ 管理评审的目的是确保ISMS持续的适宜性、充分性和有效性。为了确保最高管理者每年至少评审1次ISMS，最好的实践是通过使用一个“管理评审程序文件”进行控制。“管理评审程序文件”也控制相关的管理评审过程，以满足标准的要求。 但是，标准没有明确规定一定要有一个形成文件的“管理评审程序”。因此，在审核时，主要是要确保有符合要求的评审过程。l 是否检查了ISMS的实施情况，以确保ISMS持续的适宜性、充分性和有效性？(2) 评审要包括评估改进的机会和变更ISMS的需要 l 在管理评审时，是否评估了ISMS

43、（包括信息安全方针和信息安全目标）改进的机会和变更的需要？在运行期间，操作者是不能任意变更ISMS的。ISMS的改进和变更，只能经过最高管理者对ISNS的评审，做出评审决定后，才能执行。因此管理评审时，要有这方面的评估。(3)评审的结果要形成文件l 评审结果是否形成了文件？审核员在进行“ISMS的管理评审”的审核时，必须按标准“4.3.3 记录控制”条款的要求，检查评审结果和相关的评审的记录。(4)评审的记录要加以保持l 记录是否按照“记录控制”的要求加以保持？7.2 评审输入标准要求审核内容审核记录注释与指南a) 管理评审的输入要包括审核和评审结果l 是否有一个确保管理评审的输入包括标准要求

44、的9方面信息的过程？ 在审核时，审核员应首先检查组织如何确保满足标准规定的9方面管理评审的输入信息(见本表的a-i)。l 是否管理评审的输入包括先前的审核和评审结果？审核员应检查管理评审的输入是否包括先前的审核(包括内审和外审)和管理评审的结果。 b)管理评审的输入要包括相关方的反馈l 是否管理评审的输入包括相关方的反馈？审核员应检查管理评审的输入是否包括相关方(如顾客和相关人员)的反馈，包括意见、抱怨和评论等。 c)管理评审的输入要包括可用于改进ISMS的技术、产品或程序l 是否管理评审的输入包括可用于改进ISMS的技术、产品或程序？审核员应检查管理评审的输入是否包括可用于改进ISMS有效性

45、的技术、产品或程序。d)管理评审的输入要包括预防和纠正措施的状况l 是否管理评审的输入包括预防和纠正措施的状况？审核员应检查管理评审的输入是否包括先前的预防措施和纠正措施的情况，包括查相关记录。e)管理评审的输入要包括以往风险评估没有充分解决的脆弱点或威胁l 是否管理评审的输入包括预防和纠正措施的状况？审核员应检查管理评审的输入是否包括在先前的风险评估期间，没有充分解决的安全问题。f)管理评审的输入要包括有效性测量的结果l 是否管理评审的输入包括ISMS有效性的测量结果？审核员应检查管理评审的输入是否包括在先前对ISMS的有效性的测量结果。 g)管理评审的输入要包括以往管理评审的跟踪措施l 是否管理评审的输入包括以往管理评审的跟踪措施？审核员应检查管理评审的输入是否包括以往管理评审的跟踪措施，包括对以往管理评审结果的