返回
信息安全管理体系审核检查表.doc

信息安全管理体系审核检查表.doc

ID:57273501

大小:524.50 KB

页数:46页

时间:2020-08-08

信息安全管理体系审核检查表.doc_第1页
信息安全管理体系审核检查表.doc_第2页
信息安全管理体系审核检查表.doc_第3页
信息安全管理体系审核检查表.doc_第4页
信息安全管理体系审核检查表.doc_第5页
资源描述:

《信息安全管理体系审核检查表.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理体系审核指南标准要求的强制性ISMS文件强制性ISMS文件说明(1)ISMS方针文件,包括ISMS的范围根据标准“4.3.1”a)和b)的要求。(2)风险评估程序根据“4.3.1”d)和e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生《风险评估报告》。(3)风险处理程序根据标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。因此,可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。(4)文件

2、控制程序根据标准的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。(5)记录控制程序根据标准的“4.3.3记录控制”的要求,要有形成文件的“记录控制程序”。(6)内部审核程序根据标准的“6内部ISMS审核”的要求,要有形成文件的“内部审核程序”。(7)纠正措施与预防措施程序根据标准的“8.2纠正措施”的要求,要有形成文件的“纠正措施程序”。根据“8.3预防措施”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8)控制措施有效性的测量程序根据标准的“4.3.1g)”的要求,要有形成文件的“控

3、制措施有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。(9)适用性声明根据标准的“4.3.1i)”的要求,要有形成文件的适用性声明。审核重点第二阶段审核:a)检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:l定义风险评估方法(参见4.2.1c)l识别安全风险(参见4.2.1d))l分析和评价安全风险(参见4.2.1e)l识别和评价风险处理选择措施(参见的4.2.1f)l选择风险处理所需的控制目标和控制措施(参见4.2.1g))l确保管理者正式批准所有残余风险(参见4

4、.2.1h)l确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1i))l准备适用性声明(参见4.2.1j)b)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:lISMS监视与评审(依照4.2.3监视与评审ISMS”条款)l控制措施有效性的测量(依照4.3.1g)l内部ISMS审核(依照第6章“内部ISMS审核”)l管理评审(依照第7章“ISMS的管理评审”)lISMS改进(依照第8章“ISMS改进”)。c)检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括:l4.2.3

5、监视与评审ISMSl第7章“ISMS的管理评审”。d)检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:l4.2.3监视与评审ISMSl5管理职责l7ISMS的管理评审e)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。监督审核:a)上次审核发现的纠正/预防措施分析与执行情况;b)内审与管理评审的实施情况;c)管理体系的变更情况;d)信息资产的变更与相应的风险评估和处理情况;e)信息安全事故的处理和记录等。再认证审核:a)检验组织的ISMS

6、是否持续地全面地符合ISO/IEC27001:2005的要求。b)评审在这个认证周期中ISMS的实施与继续维护的情况,包括:l检查ISMS是否按照ISO/IEC27001:2005的要求加以实施、维护和改进;l评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;l检查ISMS如何应对组织的业务与运行的变化;l检验管理者对维护ISMS有效性的承诺情况。4信息安全管理体系4.1总要求4.2建立和管理ISMS4.2.1建立ISMS标准的要求审核内容审核记录注释与指南a)组织要定义ISMS的范围l组织是否有一个定义ISMS范围的过程?对“定义ISMS的范

7、围”要求的符合性审核,要确保ISMS的定义不仅要包括范围,也要包括边界。对任何范围的删减,必须有详细说明和正当性理由。l是否有对任何范围的删减?b)组织要定义ISMS方针l组织是否有一个ISMS方针文件?要求明确规定ISMS方针的5个基本点,即ISMS方针要:1)包括信息安全的目标框架、信息安全工作的总方向和原则;2)考虑业务要求、法律法规的要求和合同要求;3)与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;4)建立风险评价准则;5)获得管理者批准。在对这个要求的符合性审核时,要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针

8、与信息安全方针的关系。l组织的ISMS方针文件是否满足ISO/IEC27001:

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。