信息安全管理体系审核检查表.doc
《信息安全管理体系审核检查表.doc》由会员分享,可在线阅读,更多相关《信息安全管理体系审核检查表.doc(51页珍藏版)》请在咨信网上搜索。
1、信息安全管理体系审核指南标准规定的强制性ISMS文献 强制性ISMS文献说明(1) ISMS方针文献,涉及ISMS的范围根据标准“4.3.1”a)和b)的规定。(2) 风险评估程序根据“4.3.1”d)和e)的规定, 要有形成文献的“风险评估方法的描述”和“风险评估报告”。为了减少文献量,可创建一个风险评估程序。该程序文献应涉及“风险评估方法的描述”,而其运营的结果应产生风险评估报告。(3) 风险解决程序根据标准“4.3.1”f)的规定, 要有形成文献的“风险解决计划”。因此,可创建一个风险解决程序。该程序文献运营的结果应产生风险解决计划。(4) 文献控制程序根据标准的“4.3.2文献控制”的
2、规定,要有形成文献的“文献控制程序”。 (5) 记录控制程序根据标准的“4.3.3记录控制”的规定,要有形成文献的“记录控制程序”。(6) 内部审核程序根据标准的“6内部ISMS审核”的规定,要有形成文献的“内部审核程序”。(7) 纠正措施与防止措施程序根据标准的“8.2纠正措施”的规定,要有形成文献的“纠正措施程序”。根据 “8.3防止措施”的规定,要有形成文献的“防止措施程序”。“纠正措施程序”和“防止措施程序”通常可以合并成一个文献。(8) 控制措施有效性的测量程序根据标准的“4.3.1 g)”的规定,要有形成文献的“控制措施有效性的测量程序”。(9) 管理评审程序“管理评审”过程不一定
3、要形成文献,但最佳形成“管理评审程序”文献,以方便实际工作。(9) 合用性声明根据标准的“4.3.1 i)” 的规定, 要有形成文献的合用性声明。审核重点第二阶段审核:a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS,涉及如何:l 定义风险评估方法(参见4.2.1 c)l 辨认安全风险(参见4.2.1 d)l 分析和评价安全风险(参见4.2.1 e)l 辨认和评价风险解决选择措施(参见的4.2.1 f)l 选择风险解决所需的控制目的和控制措施(参见4.2.1 g)l 保证管理者正式批准所有残余风险(参见4.2.1 h)l 保证在ISMS实行和运营之前,获得管理者授权(参见的4.2.
4、1 i)l 准备合用性声明(参见4.2.1 j)b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(涉及抽样检查关键的过程是否到 位),至少涉及:l ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) l 控制措施有效性的测量(依照 4.3.1 g)l 内部ISMS审核(依照第6章“内部ISMS审核”)l 管理评审(依照第7章“ISMS的管理评审”) l ISMS改善(依照第8章“ISMS改善”)。c) 检查管理者如何执行管理评审(涉及抽样检查关键的过程是否到位),依照条款涉及:l 4.2.3监视与评审ISMSl 第7章“ISMS的管理评审”。d) 检查管理者如何履行信息安全
5、的职责(涉及抽样检查关键的过程是否到位),依照条款涉及:l 4.2.3监视与评审ISMSl 5 管理职责l 7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目的与控制措施、各种活动和职责,互相之间有如何连带关系 (也参见本文第8章“过程规定的符合性审核”)。监督审核:a) 上次审核发现的纠正/防止措施分析与执行情况;b) 内审与管理评审的实行情况;c) 管理体系的变更情况;d) 信息资产的变更与相应的风险评估和解决情况;e) 信息安全事故的解决和记录等。再认证审核:a) 检查组织的ISMS是否连续地全面地符合ISO/IEC 27001:2023的规定。b) 评审在这个认证周期中I
6、SMS的实行与继续维护的情况,涉及:l 检查ISMS是否按照ISO/IEC 27001:2023的规定加以实行、维护和改善;l 评审ISMS文献和定期审核(涉及内部审核和监督审核)的结果;l 检查ISMS如何应对组织的业务与运营的变化;l 检查管理者对维护ISMS有效性的承诺情况。4 信息安全管理体系4.1总规定4.2 建立和管理ISMS4.2.1 建立ISMS标准的规定审核内容审核记录注释与指南a) 组织要定义ISMS的范围l 组织是否有一个定义ISMS范围的过程?对“定义ISMS的范围”规定的符合性审核,要保证ISMS的定义不仅要涉及范围,也要涉及边界。对任何范围的删减,必须有具体说明和合
7、法性理由。l 是否有对任何范围的删减?b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文献?规定明确规定ISMS方针的5个基本点,即ISMS方针要: 1) 涉及信息安全的目的框架、信息安全工作的总方向和原则;2) 考虑业务规定、法律法规的规定和协议规定;3) 与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;4) 建立风险评价准则;5) 获得管理者批准。在对这个规定的符合性审核时,要保证组织的ISMS方针满足上述5个规定。还要注意到ISMS方针与信息安全方针的关系。l 组织的ISMS方针文献是否满足ISO/IEC 27001:2023规定的5个基本点(见注释与指南栏)?
8、c) 组织要定义风险评估方法l 组织是否有一个定义风险评估方法的文献? 规定明确规定,“定义组织的风险评估方法”的工作(活动)要涉及:1) 拟定风险评估方法,而这个评估方法要适合组织的ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定; 2) 制定接受风险的准则,拟定可接受的风险级别。在对规定的符合性审核时,要保证上述2个规定得到满足。l 组织的风险评估方法是否适合ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定?l 接受风险的准则是否已经拟定?并根据此准则,拟定了可接受的风险级别?d) 组织要辨认安全风险l 组织是否有一个辨认安全风险的过程?“辨认安全风险”是一
9、个过程(活动)。而这个过程要涉及:1) 辨认组织ISMS范围内的资产及其负责人;2) 辨认资产所面临的威胁;3) 辨认也许被威胁运用的脆弱点;4) 辨认资产保密性、完整性和可用性的丧失导致的影响。在对规定的符合性审核时,要保证“辨认安全风险”要涉及上述工作(活动)。l 辨认安全风险的过程是否符合规定(参见“注释与指南”栏)? e) 组织要分析和评价安全风险l 组织是否有一个用于评估安全风险的过程?规定明确规定,“分析和评价安全风险”过程(活动)要涉及:1) 评估安全破坏(涉及资产的保密性、完整性,或可用性的丧失的后果)也许产生的对组织的业务影响;2) 评估由重要威胁和脆弱点导致的安全破坏的现实
10、也许性、对资产的影响和当前所实行的控制措施;3) 估算风险的级别;4) 拟定风险是否可接受,或者是否需要使用本组织的接受风险的准则进行解决。 “分析和评价安全风险”的结果应产生一个“风险评估报告”。在对规定的符合性审核时,要保证满足上述规定。l 是否评估了安全破坏也许产生对组织的业务影响?l 这个安全风险评估过程是否符合规定(参见“注释与指南栏”)?f) 组织要辨认和评价风险解决选择措施 l 组织是否有一个用于辨认和评价风险解决选择措施的过程? 规定明确规定,可选择的措施涉及:1) 采用适当的控制措施;2) 接受风险;3) 避免风险;4) 转移风险。在对规定的审核时, 要保证组织有一个“辨认和
11、评价风险解决选择措施”的过程,并考虑了上述4种也许的选择。 l 这个过程是否虑了4种也许的选择(参见“注释与指南栏”)?g) 组织要选择风险解决所需的控制目的和控制措施l 组织是否有一个用于选择ISO/IEC 27001:2023附录A的风险解决控制目的和控制措施的过程? “选择风险解决所需的控制目的和控制措施”过程又包含3个具体规定:1) 控制目的和控制措施要进行选择和实行,以满足风险评估和风险解决过程中所辨认的安全规定;2) 控制目的和控制措施的选择要考虑接受风险的准则,以及法律法规规定和协议规定;3) 附录A中的控制目的和控制措施要加以选择,作为此“选择风险解决所需的控制目的和控制措施”
12、过程的一部分,以满足已辨认的安全需求。在对规定的审核时,要与本书第9章“控制目的和控制措施的审核”结合一起进行。最重要的是要保证所选择的控制目的和控制措施:l 符合风险评估与解决过程中已经辨认安全规定;l 符合接受风险准则的规定,以及法律法规的规定和协议的规定;假如附录A中的控制目的和控制措施合用于已辨认的安全规定,要加以选择,不要错漏。可参见本书第9章“控制目的和控制措施的审核”。l 这个过程是否保证所选择的控制目的和控制措施满足相关规定(参见“注释与指南”栏)? l 附录A的控制目的和控制措施是否都被选择?l 假如不选择,是否有合法性理由? l 是否选择了附录A以外的控制措施?h) 组织要
13、保证管理者正式批准所有残余风险l 所有残余风险是否获得管理者正式批准?一方面要理解“残余风险”的意义。i) 组织要保证在ISMS实行和运营之前,获得管理者授权l ISMS实行和运营是否获得管理者授权?要检查是否有领导的签字(可参见后面 “4.3.2文献控制”的审核)。j) 组织要准备合用性声明 l 组织是否有一个准备合用性声明的过程?规定明确规定,“合用性声明”必须至少涉及以下3项内容:1) 所选择控制目的和控制措施,及其选择的理由;2) 当前实行的控制目的和控制措施;3) 附录A中任何控制目的和控制措施的删减,以及删减的合法性理由。在对规定审核时,最重要的是要保证: l “合用性声明”的内容
14、至少具有上述3项;l 不选择的理由必须是合理的,或证明其是合法性的。由于附录A推荐的控制目的和控制措施是最佳实践,所以假如没有合法性理由,都要加以选择,要防止漏选。对规定的审核,可与后面“4.3.1总则”i)的审核和第9章“控制目的和控制措施的审核”结合一起进行。l 合用性声明的内容是否有具有标准规定的“3项内容”(参见“注释与指南”栏)?l 合用性声明是否记载附录A中任何控制目的和控制措施的删减,以及删减的合法性理由?4.2.2 实行与运营ISMS标准规定审核内容审核记录注释与指南a) 组织要制定风险解决计划 l 组织是否有一个符合标准此条款规定的产生风险解决计划文献的过程? 规定明确规定,
15、组织要有一个产生风险解决计划的过程或程序。而这个过程要拟定信息安全风险的管理措施、资源、职责和优先级。由于标准的第4章只是“计划”阶段,在标准第5章中将提出更具体的“资源”规定。 对于“风险解决计划”,可与“4.3.1总则”条款的规定一起审核(见“4.3.1总则”f) 审核)。l 是否有一个“风险解决计划”文献?b) 组织要实行风险解决计划 l 组织是否有一个符合标准此条款规定的“实行风险解决计划”的过程? 规定明确规定,组织要有一个“实行风险解决计划”的过程,或程序。而这个过程的目的是要达成已拟定的控制目的,涉及资金安排、角色和职责的分派。c) 组织要实行所选择的控制措施l 组织是否有一个符
16、合标准此条款规定的“实行所选择的控制措施”的过程?规定明确规定,组织要有一个“实行所选择的控制措施”的过程,或程序,其目的是要满足控制目的。d) 组织要定义如何测量所选控制措施的有效性l 组织是否有一个“测量所选控制措施有效性”的过程?即组织要: 1) 定义如何测量所选控制措施的有效性,即要有一个“测量所选控制措施有效性”的过程;2) 规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估);据此,管理者和员工就可以拟定所选控制措施是否实现原计划的控制目的,或实现的限度。在对这个规定的审核时,审核员必须检查受审核组织: 是否有一个测量所选择控制措施有效性的“测量措施”; 如何使用其测量措
17、施进行测量; 所选控制措施是否达成既定的控制目的。 可与4.2.3c)规定的规定 同时审核 (参见“4.2.3 监视与评审ISMS”)l 如何使用测量措施,去测量控制措施的有效性?e) 组织要实行培训和意识教育计划 l 组织是否有一个符合标准此条款规定的“实行培训和意识教育计划”的过程?对于实行ISMS的组织来说,很重要的事情是培训,使其员工了解标准的意图和信息安全的原理。因此在“实行与运营组织的ISMS”中,一方面要有“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。f) 组织要管理ISMS的运营 l 组织是否有“管理ISMS的运营”的过程?规定明确规定, ISMS的运营需要管理
18、。g) 组织要管理ISMS的资源l 组织是否有对ISMS实行所需要的资源进行管理的过程? 规定明确规定, ISMS实行所需要的资源要加以管理(参见“5.2 资源管理”)。h) 组织要实行组织的安全程序和其他控制措施l 组织的ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反映”的程序? 规定规定, 在“迅速检测安全事件和对安全事故能做出迅速反映”方面,要有相关的程序和控制措施(参见“4.2.3 监视与评审ISMS”a)。4.2.3 监视与评审ISMS标准规定审核内容审核记录注释与指南a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”,以:1) 迅速检测解决产生的错误;2)
19、迅速辨认试图的和得逞的安全违规事件和事故;3) 使管理者能拟定指定人员的安全活动或通过信息技术实行的安全活动是否如期执行;4) 通过使用指示器,帮助检测安全事件并防止安全事故;5) 拟定解决安全违规事件的措施是否有效? 规定明确规定,求组织要有“监视与评审程序”,以达成以下5个目的:1) 迅速检测解决产生的错误;2) 迅速辨认试图的和得逞的安全违规事件和事故;3) 使管理者能拟定指定人员的安全活动(或通过信息技术实行的安全活动)是否如期执行;4) 通过使用指示器,帮助检测安全事件并防止安全事故;5) 拟定解决安全违规事件的措施是否有效。在对规定的审核时,必须检查这些内容。 b) 组织要定期评审
20、ISMS有效性l 是否有符合此规定 “ISMS有效性的定期评审”的过程?规定明确规定,组织对ISMS的有效性,进行定期评审(涉及ISMS方针和目的的符合性评审、安全控制措施的有效性评审)。而在对ISMS有效性的定期评审时,要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。在对规定的审核时,要检查是否有相关的过程或活动。c) 组织要测量控制措施的有效性l 是否有到位的“测量控制措施的有效性” 的过程或程序?规定明确规定,组织在“监视和评审ISMS”中,要测量控制措施的有效性以验证安全规定是否得到满足。 在对规定的审核时,要检查是否有“测量控制措施的有效性”的过程
21、或程序。d) 组织要评审风险评估l 是否有到位的“评审风险评估” 的过程或程序?规定明确规定,组织在“监视和评审ISMS”中,要按照既定的时间间隔,评审风险评估、残余风险和已拟定的可接受的风险级别,要考虑以下方面的变化:1) 组织;2) 技术;3) 业务目的和过程;4) 已辨认的威胁;5) 已实行的控制措施的有效性;6) 外部事件,如法律法规环境的变化、协议义务的变化和社会环境的变化。在对规定的审核时,要检查是否有相关的过程或活动。l “评审风险评估” 的过程是否考虑了“6方面的变化”(参见注释与指南)?e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程
22、序?规定明确规定,组织在“监视和评审ISMS”中,要按既定的时间间隔,执行ISMS内部审核。在对规定的审核时,要检查是否有“定期的ISMS内部审核”过程或程序。而对ISMS内部审核的符合性审核要按照标准第6章的规定执行。f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序?这个规定明确规定,组织在“监视和评审ISMS”中,要按既定的时间间隔,执行ISMS管理评审。在对这个规定的审核时,要检查是否有定期的“ISMS管理评审”过程或程序。而对ISMS管理评审的符合性审核要按照标准的第7章的规定执行。 g) 组织要更新信息安全计划 l 组织是否参考监视和评审活
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 体系 审核 检查表
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。