ISMS内审员培训教材参考资料.docx

ISMS内审员培训教材参考资料.docx

《ISMS内审员培训教材参考资料.docx》由会员分享，可在线阅读，更多相关《ISMS内审员培训教材参考资料.docx（6页珍藏版）》请在冰豆网上搜索。

ISMS内审员培训教材参考资料

一培训目的

♦了解体系审核的基本概念

♦掌握ISMS内部审核流程

♦掌握ISMS内部审核方法与技巧

二培训内容

♦审核概论

♦审核策划与准备

♦审核实施

♦纠正及其跟踪

♦ISMS评价

3

1.1审核概论--有关审核术语与定义

注：

以下术语与定义参考GB/T19000-2000idt1509000:

2000质量管理体糸•基础和术语

♦审核一为获得审核证据（3.9.5）并对其进行客观的评价，以确定满足经协商的准则（3.9.4）的程度所进行的系统的、独立的并形成文件的过程（3.4.1）o

♦审核方案一针对特定的时间框架和特定的目的所策划的一组（一个或多个）审核（3.9.1）

♦审核范围一审核（3.9.1）的广度和界限。

注：

范围通常包括对地理位置,组织单元、活动和过程（3.4.1）以及被覆盖的时间段的表述。

♦准则一确定为依据的一组方针、程序（3.4.5）或要求（3.1.2）。

♦审核证据一可多方查证的与经协'商的准则（3.9.4）有关的记录（3.7.6）、

事实陈述或其他信息（3.7.1）

注：

审核证据可以是定性的或定量的。

1.2审核概论--有关审核术语与定义

注：

以下术语与定义参考GB/T19000-2000idt1509000:

2000质量管理体糸•基毗和术语

♦审核发现一审核（3.9.1）的结果。

♦审核结论一审核组（3.9.10）在考虑了所有审核发现（3.9.6）以后得出的审核（3.9.1）结果。

♦审核委托方一要求或请求审核（3.9.1）的组织（3.3.1）或个人。

♦受审核方一被审核的组织（3.3.1）。

.审核组一实施审核（3.9.1）的一个人或一组人。

注1:

审核组的一个或多个人通常是合格审核员（3.9.14）,并且其中之一通常被任命为审核组长。

审核组可包括接受培训的审核员。

在需要时可包括技术专家（3.9.12）o

注2：

观察员可以陪同审核组，但不作为成员。

♦审核员一被委派实施审核（3.9.1）的人员。

注：

对所考虑的特定审核，审核员通常要具有必要的资格。

5

1.2审核概论--有关审核术语与定义

注：

以下术语与定义参考GB/T19000-2000idt1509000:

2000质量管理体糸•基础和术语

♦技术专家一〈审核〉提供关于被审核的某个组织（3.3.1）、过程（3.4.1）、活动或领域的专业支持的人员。

♦审核员資格一个人的综合素质、教育、培训、工作经历、审核（3.9.1）经历及能够一个人作为审核员（3.9.11）被委派所需要证实的能力的组4口o

♦合格审核员一已成功通过了一个审核员鉴定过程（3.8.6）的人员。

6

1.3审核概论一审核的内容

♦获得审核的证据

♦客观、公正的评价

♦确定满足审核准则的程度

7

1.4审核概论一过程评价的基本问题

♦过程是否被识别并适当的规定？

♦职责是否分配？

♦程序是否得实施和保持？

♦在实施所要求的结果方面，过程是否有效。

1.5审核概论一审核分类

第一方审核〈内部）

第三方审核：

（外部）

认证/注册机构

第一方审核一（通常）指的是组织内部的自我审查改进。

第二方审核一（通常）指的是供方（提供商）或客户对组织的审核。

第三方审核--（通常）指的是认证机构对组织的审核。

1.6审核概论一内审目的

目

的

确保信息安全管理体系正常运行和改进的需要

作为一种管理手段，是组织管理评审输入的重要内容

外部审核前的准备

主要依据：

信息安全管理体系文件

1.7审核概论一审核时机、范围及频度

♦ISMS内审的时机、范围和频度

＞按计划时间间隔；

＞一般至少每年应覆盖ISMS所涉及的部门、过程一次;

＞最初建立体系时频度可适当多一些；

＞特殊情况：

•发生重大信息安全事件或用户重大投诉

•组织机构、场地、信息方针、目标等发生了变化；

•接受第二、三方审核前。

1.8审核概论一审核依据

♦ISMS审核依据

＞IS0/IEC27001：

2005标准

＞信息安全管理体系手册

＞信息安全管理体系程序文件

＞信息安全策略

＞与信息安全相关的法律法规

＞其它与信息安全相关的文件

12

1.9审核概论一审核方式及特点

♦ISMS审核方式

＞集中审核：

定期全面性一次的铺开成内部审核。

＞分散审核：

根据人员安排或现状，按阶段性按条款采取地毯式的逐级审核报告。

2审核策划与准备—审核流程图

\7

\7

SZ

1.明确审核决定

2.确定审核组

3.熟悉审核文件

4.编制审核计划

5.编制审核检查表

6.发出审核通知

1.审核过程控制

2.首次会议

3.审核方法

4.审核证据

5.不合格项报告

6.汇总分析

7.末次会议

8.审核报告

1.纠正措施计划是否按规定限期完成

2.计划中各项措施是否都已完成

3.完成后的效果如何

4.实施情况是否可査

5整体验证评价

14

2审核策划与准备

♦明确审核决定

♦确定审核组

♦文件审核

♦编制审核计划

♦编制审核检查表

♦发布审核通知

15

2.1明确审核决定

♦审核目的■-确保信息安全管理体系建立、实施、运行、保持和改进活动的有效性与符合性

审核范围-■信息屮心业务及物理边界本部8楼

♦审核时间■■待定

♦审核方式■■例如：

建议采取集中式审核