安全管理套表信息安全管理体系审核检查表.docx
《安全管理套表信息安全管理体系审核检查表.docx》由会员分享,可在线阅读,更多相关《安全管理套表信息安全管理体系审核检查表.docx(66页珍藏版)》请在冰豆网上搜索。
安全管理套表信息安全管理体系审核检查表
信息安全管理体系审核指南
标准要求的强制性ISMS文件
强制性ISMS文件
说明
(1)ISMS方针文件,包括ISMS的范围
根据标准“4.3.1”a)和b)的要求。
(2)风险评估程序
根据“4.3.1”d)和e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。
为了减少文件量,可创建一个《风险评估程序》。
该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生《风险评估报告》。
(3)风险处理程序
根据标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。
因此,可创建一个《风险处理程序》。
该程序文件运行的结果应产生《风险处理计划》。
(4)文件控制程序
根据标准的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。
(5)记录控制程序
根据标准的“4.3.3记录控制”的要求,要有形成文件的“记录控制程序”。
(6)内部审核程序
根据标准的“6内部ISMS审核”的要求,要有形成文件的“内部审核程序”。
(7)纠正措施与预防措施程序
根据标准的“8.2纠正措施”的要求,要有形成文件的“纠正措施程序”。
根据“8.3预防措施”的要求,要有形成文件的“预防措施程序”。
“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。
(8)控制措施有效性的测量程序
根据标准的“4.3.1g)”的要求,要有形成文件的“控制措施有效性的测量程序”。
(9)管理评审程序
“管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。
(9)适用性声明
根据标准的“4.3.1i)”的要求,要有形成文件的适用性声明。
审核重点
第二阶段审核:
a)检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:
●定义风险评估方法(参见4.2.1c)
●识别安全风险(参见4.2.1d))
●分析和评价安全风险(参见4.2.1e)
●识别和评价风险处理选择措施(参见的4.2.1f)
●选择风险处理所需的控制目标和控制措施(参见4.2.1g))
●确保管理者正式批准所有残余风险(参见4.2.1h)
●确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1i))
●准备适用性声明(参见4.2.1j)
b)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:
●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)
●控制措施有效性的测量(依照4.3.1g)
●内部ISMS审核(依照第6章“内部ISMS审核”)
●管理评审(依照第7章“ISMS的管理评审”)
●ISMS改进(依照第8章“ISMS改进”)。
c)检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括:
●4.2.3监视与评审ISMS
●第7章“ISMS的管理评审”。
d)检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:
●4.2.3监视与评审ISMS
●5管理职责
●7ISMS的管理评审
e)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。
监督审核:
a)上次审核发现的纠正/预防措施分析与执行情况;
b)内审与管理评审的实施情况;
c)管理体系的变更情况;
d)信息资产的变更与相应的风险评估和处理情况;
e)信息安全事故的处理和记录等。
再认证审核:
a)检验组织的ISMS是否持续地全面地符合ISO/IEC27001:
2005的要求。
b)评审在这个认证周期中ISMS的实施与继续维护的情况,包括:
●检查ISMS是否按照ISO/IEC27001:
2005的要求加以实施、维护和改进;
●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;
●检查ISMS如何应对组织的业务与运行的变化;
●检验管理者对维护ISMS有效性的承诺情况。
4信息安全管理体系
4.1总要求
4.2建立和管理ISMS
4.2.1建立ISMS
标准的要求
审核内容
审核记录
注释与指南
a)组织要定义ISMS的范围
●组织是否有一个定义ISMS范围的过程?
对“定义ISMS的范围”要求的符合性审核,要确保ISMS的定义不仅要包括范围,也要包括边界。
对任何范围的删减,必须有详细说明和正当性理由。
●是否有对任何范围的删减?
b)组织要定义ISMS方针
●组织是否有一个ISMS方针文件?
要求明确规定ISMS方针的5个基本点,即ISMS方针要:
1)包括信息安全的目标框架、信息安全工作的总方向和原则;
2)考虑业务要求、法律法规的要求和合同要求;
3)与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;
4)建立风险评价准则;
5)获得管理者批准。
在对这个要求的符合性审核时,要确保组织的ISMS方针满足上述5个要求。
还要注意到ISMS方针与信息安全方针的关系。
●组织的ISMS方针文件是否满足ISO/IEC27001:
2005规定的5个基本点(见注释与指南栏)?
c)组织要定义风险评估方法
●组织是否有一个定义风险评估方法的文件?
要求明确规定,“定义组织的风险评估方法”的工作(活动)要包括:
1)确定风险评估方法,而这个评估方法要适合组织的ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求;
2)制定接受风险的准则,确定可接受的风险级别。
在对要求的符合性审核时,要确保上述2个要求得到满足。
●组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求?
●接受风险的准则是否已经确定?
并根据此准则,确定了可接受的风险级别?
d)组织要识别安全风险
●组织是否有一个识别安全风险的过程?
“识别安全风险”是一个过程(活动)。
而这个过程要包括:
1)识别组织ISMS范围内的资产及其责任人;
2)识别资产所面临的威胁;
3)识别可能被威胁利用的脆弱点;
4)识别资产保密性、完整性和可用性的丧失造成的影响。
在对要求的符合性审核时,要确保“识别安全风险”要包括上述工作(活动)。
●识别安全风险的过程是否符合规定(参见“注释与指南”栏)?
e)组织要分析和评价安全风险
●组织是否有一个用于评估安全风险的过程?
要求明确规定,“分析和评价安全风险”过程(活动)要包括:
1)评估安全破坏(包括资产的保密性、完整性,或可用性的丧失的后果)可能产生的对组织的业务影响;
2)评估由主要威胁和脆弱点导致的安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;
3)估算风险的级别;
4)确定风险是否可接受,或者是否需要使用本组织的接受风险的准则进行处理。
“分析和评价安全风险”的结果应产生一个“风险评估报告”。
在对要求的符合性审核时,要确保满足上述要求。
●是否评估了安全破坏可能产生对组织的业务影响?
●这个安全风险评估过程是否符合规定(参见“注释与指南栏”)?
f)组织要识别和评价风险处理选择措施
●组织是否有一个用于识别和评价风险处理选择措施的过程?
要求明确规定,可选择的措施包括:
1)采用适当的控制措施;
2)接受风险;
3)避免风险;
4)转移风险。
在对要求的审核时,要确保组织有一个“识别和评价风险处理选择措施”的过程,并考虑了上述4种可能的选择。
●这个过程是否虑了4种可能的选择(参见“注释与指南栏”)?
g)组织要选择风险处理所需的控制目标和控制措施
●组织是否有一个用于选择ISO/IEC27001:
2005附录A的风险处理控制目标和控制措施的过程?
“选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求:
1)控制目标和控制措施要进行选择和实施,以满足风险评估和风险处理过程中所识别的安全要求;
2)控制目标和控制措施的选择要考虑接受风险的准则,以及法律法规要求和合同要求;
3)附录A中的控制目标和控制措施要加以选择,作为此“选择风险处理所需的控制目标和控制措施”过程的一部分,以满足已识别的安全需求。
在对要求的审核时,要与本书第9章“控制目标和控制措施的审核”结合一起进行。
最重要的是要确保所选择的控制目标和控制措施:
●符合风险评估与处理过程中已经识别安全要求;
●符合接受风险准则的要求,以及法律法规的要求和合同的要求;
如果附录A中的控制目标和控制措施适用于已识别的安全要求,要加以选择,不要错漏。
可参见本书第9章“控制目标和控制措施的审核”。
●这个过程是否确保所选择的控制目标和控制措施满足相关要求(参见“注释与指南”栏)?
●附录A的控制目标和控制措施是否都被选择?
●如果不选择,是否有正当性理由?
●是否选择了附录A以外的控制措施?
h)组织要确保管理者正式批准所有残余风险
●所有残余风险是否获得管理者正式批准?
首先要理解“残余风险”的意义。
i)组织要确保在ISMS实施和运行之前,获得管理者授权
●ISMS实施和运行是否获得管理者授权?
要检查是否有领导的签字(可参见后面“4.3.2文件控制”的审核)。
j)组织要准备适用性声明
●组织是否有一个准备适用性声明的过程?
要求明确规定,“适用性声明”必须至少包括以下3项内容:
1)所选择控制目标和控制措施,及其选择的理由;
2)当前实施的控制目标和控制措施;
3)附录A中任何控制目标和控制措施的删减,以及删减的正当性理由。
在对要求审核时,最重要的是要确保:
●“适用性声明”的内容至少含有上述3项;
●不选择的理由必须是合理的,或证明其是正当性的。
由于附录A推荐的控制目标和控制措施是最佳实践,所以如果没有正当性理由,都要加以选择,要防止漏选。
对要求的审核,可与后面“4.3.1总则”i)的审核和第9章“控制目标和控制措施的审核”结合一起进行。
●适用性声明的内容是否有含有标准规定的“3项内容”(参见“注释与指南”栏)?
●适用性声明是否记载附录A中任何控制目标和控制措施的删减,以及删减的正当性理由?
4.2.2实施与运行ISMS
标准要求
审核内容
审核记录
注释与指南
a)组织要制定风险处理计划
●组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程?
要求明确规定,组织要有一个产生风险处理计划的过程或程序。
而这个过程要确定信息安全风险的管理措施、资源、职责和优先级。
由于标准的第4章只是“计划”阶段,在标准第5章中将提出更具体的“资源”要求。
对于“风险处理计划”,可与“4.3.1总则”条款的要求一起审核(见“4.3.1总则”f)审核)。
●是否有一个“风险处理计划”文件?
b)组织要实施风险处理计划
●组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程?
要求明确规定,组织要有一个“实施风险处理计划”的过程,或程序。
而这个过程的目的是要达到已确定的控制目标,包括资金安排、角色和职责的分配。
c)组织要实施所选择的控制措施
●组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程?
要求明确规定,组织要有一个“实施所选择的控制措施”的过程,或程序,其目的是要满足控制目标。
d)组织要定义如何测量所选控制措施的有效性
●组织是否有一个“测量所选控制措施有效性”的过程?
即组织要:
5)定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;
6)规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);
据此,管理者和员工就可以确定所选控制措施是否实现原计划的控制目标,或实现的程度。
在对这个要求的审核时,审核员必须检查受审核组织:
Ø是否有一个测量所选择控制措施有效性的“测量措施”;
Ø如何使用其测量措施进行测量;
Ø所选控制措施是否达到既定的控制目标。
Ø可与4.2.3c)规定的要求同时审核(参见“4.2.3监视与评审ISMS”)
●如何使用测量措施,去测量控制措施的有效性?
e)组织要实施培训和意识教育计划
●组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
对于实施ISMS的组织来说,很重要的事情是培训,使其员工了解标准的意图和信息安全的原理。
因此在“实施与运行组织的ISMS”中,首先要有“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。
f)组织要管理ISMS的运行
●组织是否有“管理ISMS的运行”的过程?
要求明确规定,ISMS的运行需要管理。
g)组织要管理ISMS的资源
●组织是否有对ISMS实施所需要的资源进行管理的过程?
要求明确规定,ISMS实施所需要的资源要加以管理(参见“5.2资源管理”)。
h)组织要实施组织的安全程序和其他控制措施
●组织的ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反应”的程序?
要求规定,在“迅速检测安全事件和对安全事故能做出迅速反应”方面,要有相关的程序和控制措施(参见“4.2.3监视与评审ISMS”a))。
4.2.3监视与评审ISMS
标准要求
审核内容
审核记录
注释与指南
a)组织要执行监视与评审程序
●组织是否有“监视与评审程序”,以:
1)迅速检测处理产生的错误;
2)迅速识别试图的和得逞的安全违规事件和事故;
3)使管理者能确定指定人员的安全活动或通过信息技术实施的安全活动是否如期执行;
4)通过使用指示器,帮助检测安全事件并预防安全事故;
5)确定解决安全违规事件的措施是否有效?
要求明确规定,求组织要有“监视与评审程序”,以达到以下5个目的:
1)迅速检测处理产生的错误;
2)迅速识别试图的和得逞的安全违规事件和事故;
3)使管理者能确定指定人员的安全活动(或通过信息技术实施的安全活动)是否如期执行;
4)通过使用指示器,帮助检测安全事件并预防安全事故;
5)确定解决安全违规事件的措施是否有效。
在对要求的审核时,必须检查这些内容。
b)组织要定期评审ISMS有效性
●是否有符合此要求“ISMS有效性的定期评审”的过程?
要求明确规定,组织对ISMS的有效性,进行定期评审(包括ISMS方针和目标的符合性评审、安全控制措施的有效性评审)。
而在对ISMS有效性的定期评审时,要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。
在对要求的审核时,要检查是否有相关的过程或活动。
c)组织要测量控制措施的有效性
●是否有到位的“测量控制措施的有效性”的过程或程序?
要求明确规定,组织在“监视和评审ISMS”中,要测量控制措施的有效性以验证安全要求是否得到满足。
在对要求的审核时,要检查是否有“测量控制措施的有效性”的过程或程序。
d)组织要评审风险评估
●是否有到位的“评审风险评估”的过程或程序?
要求明确规定,组织在“监视和评审ISMS”中,要按照既定的时间间隔,评审风险评估、残余风险和已确定的可接受的风险级别,要考虑以下方面的变化:
1)组织;
2)技术;
3)业务目标和过程;
4)已识别的威胁;
5)已实施的控制措施的有效性;
6)外部事件,如法律法规环境的变化、合同义务的变化和社会环境的变化。
在对要求的审核时,要检查是否有相关的过程或活动。
●“评审风险评估”的过程是否考虑了“6方面的变化”(参见注释与指南)?
e)组织要执行定期的ISMS内部审核
●是否有到位的定期的“ISMS内部审核”过程或程序?
要求明确规定,组织在“监视和评审ISMS”中,要按既定的时间间隔,执行ISMS内部审核。
在对要求的审核时,要检查是否有“定期的ISMS内部审核”过程或程序。
而对ISMS内部审核的符合性审核要按照标准第6章的要求执行。
f)组织要执行定期的ISMS管理评审
●是否有到位的定期的“ISMS管理评审”过程或程序?
这个要求明确规定,组织在“监视和评审ISMS”中,要按既定的时间间隔,执行ISMS管理评审。
在对这个要求的审核时,要检查是否有定期的“ISMS管理评审”过程或程序。
而对ISMS管理评审的符合性审核要按照标准的第7章的要求执行。
g)组织要更新信息安全计划
●组织是否参考监视和评审活动的发现,而“更新信息安全计划”?
这个要求明确规定,组织要参考监视和评审活动的发现,更新安全计划。
h)组织要维护ISMS事件和行动措施的纪录
●是否有到位的“维护ISMS事件和行动措施的纪录”的过程?
这个要求明确规定,组织要记录可能影响ISMS有效性的事件和所采取的措施。
对这个要求的审核,可与标准的“4.3.3记录控制”条款要求的审核一起进行。
4.2.4保持与改进ISMS
标准要求
审核内容
审核记录
注释与指南
a)组织要实施ISMS改进
●是否有到位的“实施ISMS改进”的过程?
要求明确规定,组织对已识别的ISMS改进点,要加以实施。
对要求的符合性审核时,要确保有到位的“实施ISMS改进”的过程。
b)组织要采取适当的纠正措施和预防措施
●是否有到位的“纠正措施和预防措施”的过程?
要求明确规定,组织有与标准的“8.2纠正措施”条款和“8.3预防措施”条款保持一致的“纠正措施和预防措施”的过程,并要求吸取其它组织和本组织的安全经验教训。
对要求的审核,可与标准的“8.2纠正措施”条款和“8.3预防措施”条款的要求的审核一起进行。
●是否有到位的吸取其它组织和本组织的安全经验教训的过程?
c)组织要向所有相关方交流ISMS的措施和改进状况
●是否有向所有相关方交流ISMS改进的过程?
要求明确规定,组织要向所有相关方交流ISMS的行动措施和改进情况,确保有适当的详情说明,并取得一致意见。
d)组织要确保ISMS的改进达到预期目标
●是否有确保ISMS的改进达到了预期目标的过程?
管理者要跟踪改进,直到达到了预期目标。
4.3文件要求
4.3.1总则
标准要求
审核内容
审核记录
注释与指南
1)ISMS文件要包括管理决定的记录
●是否ISMS文件包括有管理决定的记录?
在左栏所示的这3)个要求是在“4.3.1总则”条款开始的一个引言段中提出的。
这里提出ISMS文件:
1)必须包括管理决定的记录;
2)必须确保所采取的行动措施可追踪到管理决定和方针;
3)必须确保已记录的结果是可再生的。
这里明确了,展示三者(即所选择的控制措施、风险评估的结果、ISMS方针与目标)之间的关系的重要性。
即从所选择控制措施可追溯到风险评估的结果,而从风险评估的结果又可追溯到ISMS方针与目标。
2)ISMS文件要确保所采取的措施可追踪到管理决定和方针
●是否ISMS文件确保所采取的措施可追踪到管理决定和方针?
3)ISMS文件要确保记录的结果是可再生的
●是否ISMS文件确保记录的结果是可再生的?
a)ISMS文件要包括ISMS方针与目标文件
●是否有ISMS方针与目标文件?
标准规定,ISMS文件要包括9方面的文件(见本表从a)-i)栏)。
其中,ISMS方针是最高级(或顶级)的文件。
b)ISMS文件要包括ISMS的范围
●是否有一个描述ISMS范围的文件?
●
●标准要求的ISMS文件内容不一定都要形成单一文件;某些相关的内容可合并在一起,而形成一个文件,也不会认为违反标准的要求。
●在实际中,为了减少文件量,“ISMS的范围”常合并于ISMS方针文件。
●参见表1-1a)。
c)ISMS文件要包括支持ISMS的程序和控制措施
●是否有支持ISMS的程序和控制措施?
这里,只是泛泛地提出。
“支持ISMS的程序和控制措施”包括的内容很广。
除了标准强制要求的程序文件外,还可有许多组织自主决定的文件。
文件的内容可随组织的不同而有所不同。
主要取决于:
1)组织的业务活动及风险;
2)安全要求的严格程度;
3)管理体系的范围和复杂程度。
组织需要哪些ISMS文件、控制措施及其复杂程度如何,通常可根据风险评估的结果而决定(参见第6章“6.3.1.1获得ISMS文件”)。
d)ISMS文件要包括风险评估方法的描述
●是否有描述风险评估方法的文件?
●
●与标准4.2.1c)条款的要求一致。
●最佳的实践表明,“风险评估方法的描述”可合并于“风险评估程序”;而“风险评估程序”的运行结果又产生“风险评估报告”。
●参见的表1-1c);
●参见“标准要求的强制性ISMS文件”。
e)ISMS文件要包括风险评估报告
●是否有可用的风险评估报告?
f)ISMS文件要包括风险处理计划
●是否有可用的风险处理计划?
●
●与标准4.2.2b)的要求一致;
●参见“标准要求的强制性ISMS文件”。
g)ISMS文件要包括控制措施有效性的测量程序
●是否有描述如何测量控制措施有效性的程序文件?
●
●与标准4.2.3c的要求一致;
●参见“标准要求的强制性ISMS文件”。
h)ISMS文件要包括本标准所要求的记录
●是否有提供符合要求证据的记录?
●
●“记录”的范围很广。
实际上,每一个程序文件的运行结果都可以产生可作为证据的“记录”。
●参见“4.3.3记录控制”。
i)ISMS文件要包括适用性声明
●是否有符合要求的适用性声明?
参见表1-1j)。
4.3.2文件控制
标准要求
审核内容
审核记录
注释与指南
1)ISMS所要求的文件要加以保护和控制
是否有一个用于保护和控制ISMS文件的过程?
要求是标准的“4.3.2文件控制”条款开始的一个引言段中提出的。
这里只是泛泛地提出。
实际上,“保护和控制ISMS文件的过程”可用“文件控制程序文件”进行控制。
2)ISMS文件控制程序要形成文件
是否有一个形成文件的文件控制程序?
“形成文件的文件控制程序”一般称为“文件控制程序文件”。
这个程序文件是标准要求的必须的ISMS文件之一。
“4.3.2文件控制”条款主要的要求是:
建立一个“文件控制程序文件”,并对文件进行以下10方面控制(见下面a-j)。
a)“文件控制程序文件”要定义“文件发布前要得到批准”
●是否文件发布前要得到批准?
在对这个“4.3.2文件控制”条款要求的审核时,主要检查:
1)组织是否有一个用于控制ISMS文件的“文件控制程序文件”;
2)组织的ISMS文件实际上是否受控;
3)是否从“10方面”(a-j)控制ISMS文件
升级会员 