安全管理套表信息安全管理體系審核檢查表

1、信息安全管理體系審核指南標(biāo)準(zhǔn)要求的強(qiáng)制性ISMS文件強(qiáng)制性ISMS文件說(shuō)明(1) ISMS方針文件，包括ISMS的范圍根據(jù)標(biāo)準(zhǔn)“ 4.3.1 ” a)和b)的要求。(2)風(fēng)險(xiǎn)評(píng)估程序根據(jù)“ 4.3.1 ” d)和e)的要求，要有形成文件的“風(fēng)險(xiǎn)評(píng)估 方法的描述”和“風(fēng)險(xiǎn)評(píng)估報(bào)告”。 為了減少文件量，可創(chuàng) 建一個(gè)風(fēng)險(xiǎn)評(píng)估程序。該程序文件應(yīng)包括“風(fēng)險(xiǎn)評(píng)估方 法的描述”，而其運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。(3)風(fēng)險(xiǎn)處理程序根據(jù)標(biāo)準(zhǔn)“ 4.3.1 ” f)的要求，要有形成文件的“風(fēng)險(xiǎn)處理 計(jì)劃”。因此，可創(chuàng)建一個(gè)風(fēng)險(xiǎn)處理程序。該程序文件運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃。(4)文件控制程序根據(jù)標(biāo)準(zhǔn)的“4.3

2、.2文件控制”的要求，要有形成文件的“文 件控制程序”。(5)記錄控制程序根據(jù)標(biāo)準(zhǔn)的“4.3.3記錄控制”的要求，要有形成文件的“記 錄控制程序”。(6)內(nèi)部審核程序根據(jù)標(biāo)準(zhǔn)的“ 6內(nèi)部ISMS審核”的要求，要有形成文件的 “內(nèi)部審核程序”。(7)糾正措施與預(yù)防措施程序根據(jù)標(biāo)準(zhǔn)的“ 8.2糾正措施”的要求，要有形成文件的“糾 正措施程序”。根據(jù)“ 8.3預(yù)防措施”的要求，要有形成文 件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序” 通?？梢院喜⒊梢粋€(gè)文件。(8)控制措施有效性的測(cè)量程序根據(jù)標(biāo)準(zhǔn)的“ 4.3.1 g) ”的要求，要有形成文件的“控制措 施有效性的測(cè)量程序”。(9)管理評(píng)審

3、程序“管理評(píng)審”過(guò)程不一定要形成文件，但最好形成“管理評(píng) 審程序”文件，以方便實(shí)際工作。(9)適用性聲明根據(jù)標(biāo)準(zhǔn)的“ 4.3.1 i) ”的要求，要有形成文件的適用性 聲明。2審核重點(diǎn) 第二階段審核:ISMS,包括如何:a）檢查受審核組織如何評(píng)估信息安全風(fēng)險(xiǎn)和如何設(shè)計(jì)其定義風(fēng)險(xiǎn)評(píng)估方法 （ 參見(jiàn) 4.2.1 c） 識(shí)別安全風(fēng)險(xiǎn) （參見(jiàn) 4.2.1 d） 分析和評(píng)價(jià)安全風(fēng)險(xiǎn) （參見(jiàn) 4.2.1 e） 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施 （參見(jiàn)的 4.2.1 f） 選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施 （參見(jiàn) 4.2.1 g） 確保管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn) （參見(jiàn) 4.2.1 h） 確保在ISMS實(shí)施和

4、運(yùn)行之前，獲得管理者授權(quán)（參見(jiàn)的421 i）準(zhǔn)備適用性聲明 （ 參見(jiàn) 4.2.1 j）b）檢查受審核組織如何執(zhí)行 ISMS監(jiān)控、測(cè)量、報(bào)告和評(píng)審（包括抽樣檢查關(guān)鍵的過(guò)程是否到 位 ） ,至少包括:ISMS監(jiān)視與評(píng)審（依照423監(jiān)視與評(píng)審ISMS條款） 控制措施有效性的測(cè)量 （依照 4.3.1 g） 內(nèi)部ISMS審核（依照第6章“內(nèi)部ISMS審核”） 管理評(píng)審（依照第7章“ ISMS的管理評(píng)審”）ISMS改進(jìn)（依照第8章“ ISMS改進(jìn)”）。c）檢查管理者如何執(zhí)行管理評(píng)審 （包括抽樣檢查關(guān)鍵的過(guò)程是否到位 ）,依照條款包括:4.2.3 監(jiān)視與評(píng)審 ISMS第7章“ ISMS的管理評(píng)審”。d）檢查

5、管理者如何履行信息安全的職責(zé) （包括抽樣檢查關(guān)鍵的過(guò)程是否到位 ）,依照條款包 括:4.2.3 監(jiān)視與評(píng)審 ISMS5 管理職責(zé)7 ISMS 的管理評(píng)審）。e）檢查安全方針、風(fēng)險(xiǎn)評(píng)估結(jié)果、控制目標(biāo)與控制措施、各種活動(dòng)和職責(zé),相互之間有如何 連帶關(guān)系 （ 也參見(jiàn)本文第 8 章“過(guò)程要求的符合性審核”監(jiān)督審核:a）上次審核發(fā)現(xiàn)的糾正 / 預(yù)防措施分析與執(zhí)行情況；b）內(nèi)審與管理評(píng)審的實(shí)施情況；c）管理體系的變更情況；d）信息資產(chǎn)的變更與相應(yīng)的風(fēng)險(xiǎn)評(píng)估和處理情況；e）信息安全事故的處理和記錄等。再認(rèn)證審核:a）檢驗(yàn)組織的ISMS是否持續(xù)地全面地符合 ISO/IEC 27001:2005的要求。b）評(píng)審

6、在這個(gè)認(rèn)證周期中ISMS的實(shí)施與繼續(xù)維護(hù)的情況，包括：檢查ISMS是否按照ISO/IEC 27001:2005 的要求加以實(shí)施、維護(hù)和改進(jìn);評(píng)審ISMS文件和定期審核（包括內(nèi)部審核和監(jiān)督審核）的結(jié)果；檢查ISMS如何應(yīng)對(duì)組織的業(yè)務(wù)與運(yùn)行的變化；檢驗(yàn)管理者對(duì)維護(hù)ISMS有效性的承諾情況。4信息安全管理體系4.1總要求4.2建立和管理ISMS4.2.1 建立 ISMS標(biāo)準(zhǔn)的要求審核內(nèi)容審核記錄注釋與指南a）組織要定義ISMS的范圍組織是否有一個(gè)定義ISMS范圍的過(guò)程？對(duì)“定義ISMS的范圍”要求的符合性審核， 要確 保ISMS的定義不僅要包括范圍， 也要包括邊界。對(duì) 任何范圍的刪減，必須有詳細(xì)說(shuō)明

7、和正當(dāng)性理由。是否有對(duì)任何范圍的刪 減？b）組織要定義ISMS 方針組織是否有一個(gè)ISMS 方針文件？要求明確規(guī)定ISMS方針的5個(gè)基本點(diǎn)，即ISMS 方針要：1）包括信息安全的目標(biāo)框架、 信息安全工作的總方 向和原則；2）考慮業(yè)務(wù)要求、法律法規(guī)的要求和合同要求；3）與組織開(kāi)發(fā)與維護(hù)ISMS的戰(zhàn)略性風(fēng)險(xiǎn)管理，結(jié)合 一起或保持一致；4）建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則；5）獲得管理者批準(zhǔn)。在對(duì)這個(gè)要求的符合性審核時(shí)，要確保組織的ISMS方針滿足上述 5個(gè)要求。還要注意到 ISMS方 針與信息安全方針的關(guān)系。組織的ISMS方針文件 是否滿足ISO/IEC27001:2005規(guī)定的5個(gè)基 本點(diǎn)（見(jiàn)注釋與指南欄）？C

8、）組織要定義風(fēng)險(xiǎn) 評(píng)估方法組織是否有一個(gè)定義 風(fēng)險(xiǎn)評(píng)估方法的文件？要求明確規(guī)定，“定義組織的風(fēng)險(xiǎn)評(píng)估方法”的工 作（活動(dòng)）要包括：1）確定風(fēng)險(xiǎn)評(píng)估方法，而這個(gè)評(píng)估方法要適合組織 的ISMS的要求、適合已確定的組織的業(yè)務(wù)信息安全 要求和法律法規(guī)要求；2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，確定可接受的風(fēng)險(xiǎn)級(jí)別。組織的風(fēng)險(xiǎn)評(píng)估方法是 否適合ISMS的要求、適合已 確定的組織的業(yè)務(wù)信息安全 要求和法律法規(guī)要求？接受風(fēng)險(xiǎn)的準(zhǔn)則是否已 經(jīng)確定？并根據(jù)此準(zhǔn)則，確 定了可接受的風(fēng)險(xiǎn)級(jí)別？在對(duì)要求的符合性審核時(shí)，要確保上述2個(gè)要求得到滿足。d）組織要識(shí)別安全 風(fēng)險(xiǎn)組織是否有一個(gè)識(shí)別安 全風(fēng)險(xiǎn)的過(guò)程？“識(shí)別安全風(fēng)險(xiǎn)”是一個(gè)過(guò)程

9、（活動(dòng)）。而這個(gè)過(guò)程 要包括：1）識(shí)別組織ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；2）識(shí)別資產(chǎn)所面臨的威脅；3）識(shí)別可能被威脅利用的脆弱點(diǎn)；4）識(shí)別資產(chǎn)保密性、完整性和可用性的喪失造成的 影響。在對(duì)要求的符合性審核時(shí)，要確保“識(shí)別安全風(fēng) 險(xiǎn)”要包括上述工作（活動(dòng)）。識(shí)別安全風(fēng)險(xiǎn)的過(guò)程 是否符合規(guī)定（參見(jiàn)“注釋 與指南”欄）？e）組織要分析和評(píng)價(jià) 安全風(fēng)險(xiǎn)組織是否有一個(gè)用于 評(píng)估安全風(fēng)險(xiǎn)的過(guò)程？要求明確規(guī)定，“分析和評(píng)價(jià)安全風(fēng)險(xiǎn)”過(guò)程（活 動(dòng)）要包括：1）評(píng)估安全破壞（包括資產(chǎn)的保密性、完整性，或可 用性的喪失的后果）可能產(chǎn)生的對(duì)組織的業(yè)務(wù)影響；2）評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致的安全破壞的現(xiàn)實(shí) 可能性、對(duì)

10、資產(chǎn)的影響和當(dāng)前所實(shí)施的控制措施；3）估算風(fēng)險(xiǎn)的級(jí)別；4）確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用本組織的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理?！胺治龊驮u(píng)價(jià)安全風(fēng)險(xiǎn)”的結(jié)果應(yīng)產(chǎn)生一個(gè)“風(fēng)險(xiǎn) 評(píng)估報(bào)告”。在對(duì)要求的符合性審核時(shí)，要確保滿足 上述要求。是否評(píng)估了安全破壞可 能產(chǎn)生對(duì)組織的業(yè)務(wù)影響？這個(gè)安全風(fēng)險(xiǎn)評(píng)估過(guò) 程是否符合規(guī)定（參見(jiàn)“注 釋與指南欄” ）？f）組織要識(shí)別和評(píng)價(jià) 風(fēng)險(xiǎn)處理選擇措施組織是否有一個(gè)用于識(shí) 別和評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施 的過(guò)程？要求明確規(guī)定，可選擇的措施包括：1）采用適當(dāng)?shù)目刂拼胧?）接受風(fēng)險(xiǎn)；這個(gè)過(guò)程是否慮了 4種 可能的選擇（參見(jiàn)“注釋與 指南欄”）？組織是否有一個(gè)用于 選擇 ISO/

11、IEC 27001:2005 附錄A的風(fēng)險(xiǎn)處理控制目標(biāo) 和控制措施的過(guò)程？這個(gè)過(guò)程是否確保所 選擇的控制目標(biāo)和控制措 施滿足相關(guān)要求（參見(jiàn)“注 釋與指南”欄）？附錄A的控制目標(biāo)和控 制措施是否都被選擇？如果不選擇，是否有正 當(dāng)性理由？是否選擇了附錄A以外 的控制措施？所有殘余風(fēng)險(xiǎn)是否獲得 管理者正式批準(zhǔn)？g）組織要選擇風(fēng)險(xiǎn)處 理所需的控制目標(biāo)和 控制措施h）組織要確保管理者 正式批準(zhǔn)所有殘余風(fēng) 險(xiǎn)3）避免風(fēng)險(xiǎn)；4）轉(zhuǎn)移風(fēng)險(xiǎn)。在對(duì)要求的審核時(shí)， 要確保組織有一個(gè)“識(shí)別和 評(píng)價(jià)風(fēng)險(xiǎn)處理選擇措施”的過(guò)程，并考慮了上述4種可能的選擇?！斑x擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施”過(guò)程又包含3個(gè)具體要求：1）

12、控制目標(biāo)和控制措施要進(jìn)行選擇和實(shí)施，以滿 足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的安全要求；2）控制目標(biāo)和控制措施的選擇要考慮接受風(fēng)險(xiǎn)的 準(zhǔn)則，以及法律法規(guī)要求和合同要求；3）附錄A中的控制目標(biāo)和控制措施要加以選擇， 作為此“選擇風(fēng)險(xiǎn)處理所需的控制目標(biāo)和控制措施” 過(guò)程的一部分，以滿足已識(shí)別的安全需求。在對(duì)要求的審核時(shí)，要與本書第9章“控制目標(biāo)和 控制措施的審核” 結(jié)合一起進(jìn)行。最重要的是要確保 所選擇的控制目標(biāo)和控制措施：符合風(fēng)險(xiǎn)評(píng)估與處理過(guò)程中已經(jīng)識(shí)別安全要求； 符合接受風(fēng)險(xiǎn)準(zhǔn)則的要求，以及法律法規(guī)的要 求和合同的要求；如果附錄A中的控制目標(biāo)和控制措施適用于已識(shí) 別的安全要求，要加以選擇，不要錯(cuò)

13、漏。首先要理解“殘余風(fēng)險(xiǎn)”的意義。可參見(jiàn)本書第9章“控制目標(biāo)和控制措施的審核”ISMS實(shí)施和運(yùn)行是否獲 得管理者授權(quán)？組織是否有一個(gè)準(zhǔn)備適 用性聲明的過(guò)程？適用性聲明的內(nèi)容是否 有含有標(biāo)準(zhǔn)規(guī)定的“ 3項(xiàng)內(nèi) 容”（參見(jiàn)“注釋與指南” 欄）？適用性聲明是否記載 附錄A中任何控制目標(biāo)和控 制措施的刪減，以及刪減的 正當(dāng)性理由？i）組織要確保在ISMS實(shí)施和運(yùn)行之前，獲得 管理者授權(quán)j）組織要準(zhǔn)備適用性 聲明要檢查是否有領(lǐng)導(dǎo)的簽字（可參見(jiàn)后面“ 4.3.2文件控制”的審核）。要求明確規(guī)定，“適用性聲明”必須至少包括以 下3項(xiàng)內(nèi)容：1）2）所選擇控制目標(biāo)和控制措施，及其選擇的理由; 當(dāng)前實(shí)施的控制目標(biāo)和

14、控制措施； 附錄A中任何控制目標(biāo)和控制措施的刪減，以及3） 刪減的正當(dāng)性理由。在對(duì)要求審核時(shí)，最重要的是要確保：“適用性聲明”的內(nèi)容至少含有上述3項(xiàng)；不選擇的理由必須是合理的，或證明其是正當(dāng) 性的。由于附錄 A推薦的控制目標(biāo)和控制措施是最 佳實(shí)踐，所以如果沒(méi)有正當(dāng)性理由， 都要加以選擇， 要防止漏選。對(duì)要求的審核，可與后面“ 4.3.1總則” i）的審 核和第9章“控制目標(biāo)和控制措施的審核”結(jié)合一 起進(jìn)行。422 實(shí)施與運(yùn)行ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要制定風(fēng)險(xiǎn)處 理計(jì)劃組織是否有一個(gè)符合 標(biāo)準(zhǔn)此條款要求的產(chǎn)生風(fēng) 險(xiǎn)處理計(jì)劃文件的過(guò)程？要求明確規(guī)定，組織要有一個(gè)產(chǎn)生風(fēng)險(xiǎn)處

15、理計(jì)劃的 過(guò)程或程序。而這個(gè)過(guò)程要確定信息安全風(fēng)險(xiǎn)的管理 措施、資源、職責(zé)和優(yōu)先級(jí)。由于標(biāo)準(zhǔn)的第4章只是“計(jì)劃”階段，在標(biāo)準(zhǔn)第 5章中將提出更具體的“資源”要求。對(duì)于“風(fēng)險(xiǎn)處理計(jì)劃”，可與“ 4.3.1總則”條款 的要求一起審核（見(jiàn)“ 4.3.1總則” f）審核）。是否有一個(gè)“風(fēng)險(xiǎn)處理 計(jì)劃”文件？b）組織要實(shí)施風(fēng)險(xiǎn)處 理計(jì)劃組織是否有一個(gè)符合 標(biāo)準(zhǔn)此條款要求的“實(shí)施風(fēng) 險(xiǎn)處理計(jì)劃”的過(guò)程？C）組織要實(shí)施所選 擇的控制措施d）組織要定義如何測(cè) 量所選控制措施的有 效性組織是否有一個(gè)符合標(biāo) 準(zhǔn)此條款要求的“實(shí)施所選 擇的控制措施”的過(guò)程？組織是否有一個(gè)“測(cè)量 所選控制措施有效性”的過(guò) 程？如何使

16、用測(cè)量措施,去 測(cè)量控制措施的有效性？e）組織要實(shí)施培訓(xùn) 和意識(shí)教育計(jì)劃f） 組織要管理ISMS組織是否有一個(gè)符合 標(biāo)準(zhǔn)此條款要求的“實(shí)施培 訓(xùn)和意識(shí)教育計(jì)劃”的過(guò) 程？，組織是否有“管理ISMS要求明確規(guī)定，組織要有一個(gè)“實(shí)施風(fēng)險(xiǎn)處理計(jì) 劃”的過(guò)程，或程序。而這個(gè)過(guò)程的目的是要達(dá)到 已確定的控制目標(biāo)，包括資金安排、角色和職責(zé)的 分配。要求明確規(guī)定，組織要有一個(gè)“實(shí)施所選擇的控制 措施”的過(guò)程，或程序，其目的是要滿足控制目標(biāo)。即組織要：1）定義如何測(cè)量所選控制措施的有效性，即要有一個(gè)“測(cè)量所選控制措施有效性”的過(guò)程；2）規(guī)定如何使用這些測(cè)量措施，對(duì)控制措施的有效 性進(jìn)行測(cè)量（或評(píng)估）；據(jù)此，管

17、理者和員工就可以確定所選控制措施是 否實(shí)現(xiàn)原計(jì)劃的控制目標(biāo)，或?qū)崿F(xiàn)的程度。在對(duì)這個(gè)要求的審核時(shí)，審核員必須檢查受審核 組織：是否有一個(gè)測(cè)量所選擇控制措施有效性的“測(cè)量措施”；如何使用其測(cè)量措施進(jìn)行測(cè)量； 所選控制措施是否達(dá)到既定的控制目標(biāo)?？膳c4.2.3c）規(guī)定的要求同時(shí)審核（參見(jiàn)“4.2.3 監(jiān)視與評(píng)審ISMS ）對(duì)于實(shí)施ISMS的組織來(lái)說(shuō)，很重要的事情是培訓(xùn)， 使其員工了解標(biāo)準(zhǔn)的意圖和信息安全的原理。因此在“實(shí)施與運(yùn)行組織的ISMS中，首先要有“培訓(xùn)和 意識(shí)教育計(jì)劃”（參見(jiàn)“5.2.2培訓(xùn)、意識(shí)和能力”）。要求明確規(guī)定，ISMS的運(yùn)行需要管理。的運(yùn)行的運(yùn)行”的過(guò)程？g）組織要管理ISMS的

18、資源組織是否有對(duì)ISMS實(shí) 施所需要的資源進(jìn)行管理 的過(guò)程？要求明確規(guī)定，ISMS實(shí)施所需要的資源要加以管 理（參見(jiàn)“ 5.2資源管理”）。h）組織要實(shí)施組織 的安全程序和其他控 制措施組織的ISMS是否有“迅 速檢測(cè)安全事件和對(duì)安全事 故能做出迅速反應(yīng)”的程 序？要求規(guī)定，在“迅速檢測(cè)安全事件和對(duì)安全事故 能做出迅速反應(yīng)”方面，要有相關(guān)的程序和控制措 施（參見(jiàn)“ 4.2.3監(jiān)視與評(píng)審ISMS a）。423 監(jiān)視與評(píng)審ISMS標(biāo)準(zhǔn)要求a）組織要執(zhí)行監(jiān)視與 評(píng)審程序b）組織要定期評(píng)審審核內(nèi)容組織是否有“監(jiān)視與評(píng) 審程序”，以：1）迅速檢測(cè)處理產(chǎn)生的 錯(cuò)誤；2）迅速識(shí)別試圖的和得 呈的安全違規(guī)事件

19、和事故；3）使管理者能確定指定 人員的安全活動(dòng)或通過(guò)信息 支術(shù)實(shí)施的安全活動(dòng)是否如 期執(zhí)行；4）通過(guò)使用指示器，幫助 僉測(cè)安全事件并預(yù)防安全事 故;5）確定解決安全違規(guī)事件 的措施是否有效？是否有符合此要求審核記錄注釋與指南要求明確規(guī)定，求組織要有“監(jiān)視與評(píng)審程序” 以達(dá)到以下5個(gè)目的：1）2）故；3）迅速檢測(cè)處理產(chǎn)生的錯(cuò)誤；迅速識(shí)別試圖的和得逞的安全違規(guī)事件和事使管理者能確定指定人員的安全活動(dòng)（或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)）是否如期執(zhí)行；4）通過(guò)使用指示器，幫助檢測(cè)安全事件并預(yù)防安 全事故；5）確定解決安全違規(guī)事件的措施是否有效。在對(duì)要求的審核時(shí)，必須檢查這些內(nèi)容。要求明確規(guī)定，組織對(duì)ISM

20、S的有效性，進(jìn)行定期ISMS有效性“ISMS有效性的定期評(píng)審” 的過(guò)程？評(píng)審（包括ISMS方針和目標(biāo)的符合性評(píng)審、安全控 制措施的有效性評(píng)審）。而在對(duì)ISMS有效性的定期評(píng)審時(shí)，要聯(lián)系到（或考慮到）安全審核的結(jié)果、事故、有效性測(cè)量的結(jié)果、 所有相關(guān)方的建議和反饋。在對(duì)要求的審核時(shí)，要檢查是否有相關(guān)的過(guò)程或 活動(dòng)。c）組織要測(cè)量控制 措施的有效性是否有到位的“測(cè)量控 制措施的有效性”的過(guò)程 或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS中，要測(cè)量控制措施的有效性以驗(yàn)證安全要求是否得到 滿足。在對(duì)要求的審核時(shí)，要檢查是否有“測(cè)量控制措 施的有效性”的過(guò)程或程序。d）組織要評(píng)審風(fēng)險(xiǎn) 評(píng)估是否有到位

21、的“評(píng)審風(fēng) 險(xiǎn)評(píng)估”的過(guò)程或程序？要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS中，要按照既定的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估、殘余風(fēng)險(xiǎn) 和已確定的可接受的風(fēng)險(xiǎn)級(jí)別，要考慮以下方面的 變化：1）組織；2）技術(shù)；3）業(yè)務(wù)目標(biāo)和過(guò)程；4）已識(shí)別的威脅；5）已實(shí)施的控制措施的有效性；6）外部事件，如法律法規(guī)環(huán)境的變化、合同義務(wù) 的變化和社會(huì)環(huán)境的變化。在對(duì)要求的審核時(shí)，要檢查是否有相關(guān)的過(guò)程或 活動(dòng)?！霸u(píng)審風(fēng)險(xiǎn)評(píng)估” 的 過(guò)程是否考慮了“ 6方面的 變化”（參見(jiàn)注釋與指南）？e）組織要執(zhí)行定期的ISMS內(nèi)部審核是否有到位的定期的 “ISMS內(nèi)部審核”過(guò)程或程要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS中，要按既定的時(shí)

22、間間隔，執(zhí)行ISMS內(nèi)部審核。序？在對(duì)要求的審核時(shí)，要檢查是否有“定期的ISMS內(nèi)部審核”過(guò)程或程序。而對(duì)ISMS內(nèi)部審核的符合 性審核要按照標(biāo)準(zhǔn)第 6章的要求執(zhí)行。f）組織要執(zhí)行定期的ISMS管理評(píng)審是否有到位的定期的 “ISMS管理評(píng)審”過(guò)程或程 序？這個(gè)要求明確規(guī)定，組織在“監(jiān)視和評(píng)審ISMS中，要按既定的時(shí)間間隔，執(zhí)行ISMS管理評(píng)審。在對(duì)這個(gè)要求的審核時(shí)，要檢查是否有定期的“ ISMS管理評(píng)審”過(guò)程或程序。而對(duì)ISMS管理評(píng)審的符合性審核要按照標(biāo)準(zhǔn)的第7章的要求執(zhí)行。g）組織要更新信息安 全計(jì)劃組織是否參考監(jiān)視和評(píng) 審活動(dòng)的發(fā)現(xiàn)，而“更新信息 安全計(jì)劃”？這個(gè)要求明確規(guī)定，組織要參考

23、監(jiān)視和評(píng)審活動(dòng) 的發(fā)現(xiàn)，更新安全計(jì)劃。h）組織要維護(hù)ISMS事件和行動(dòng)措施的紀(jì)錄是否有到位的“維護(hù) ISMS事件和行動(dòng)措施的紀(jì) 錄”的過(guò)程？這個(gè)要求明確規(guī)定，組織要記錄可能影響ISMS有效性的事件和所采取的措施。對(duì)這個(gè)要求的審核，可與標(biāo)準(zhǔn)的“4.3.3 記錄控制”條款要求的審核一起進(jìn)行。424 保持與改進(jìn)ISMS標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）組織要實(shí)施ISMS 改進(jìn)是否有到位的“實(shí)施ISMS改進(jìn)”的過(guò)程？要求明確規(guī)定，組織對(duì)已識(shí)別的ISMS改進(jìn)點(diǎn)，要 加以實(shí)施。對(duì)要求的符合性審核時(shí)，要確保有到位的“實(shí)施 ISMS改進(jìn)”的過(guò)程。b）組織要采取適當(dāng) 的糾正措施和預(yù)防措 施是否有到位的“糾正

24、措 施和預(yù)防措施”的過(guò)程？要求明確規(guī)定，組織有與標(biāo)準(zhǔn)的“ 8.2糾正措施” 條款和“ 8.3預(yù)防措施”條款保持一致的“糾正措 施和預(yù)防措施”的過(guò)程，并要求吸取其它組織和本 組織的安全經(jīng)驗(yàn)教訓(xùn)。是否有到位的吸取其 它組織和本組織的安全經(jīng)驗(yàn)教訓(xùn)的過(guò)程？對(duì)要求的審核，可與標(biāo)準(zhǔn)的“ 8.2糾正措施”條 款和“ 8.3預(yù)防措施”條款的要求的審核一起進(jìn)行。C）組織要向所有相 關(guān)方交流ISMS的措施 和改進(jìn)狀況是否有向所有相關(guān)方 交流ISMS改進(jìn)的過(guò)程？要求明確規(guī)定，組織要向所有相關(guān)方交流ISMS的行動(dòng)措施和改進(jìn)情況，確保有適當(dāng)?shù)脑斍檎f(shuō)明， 并取得一致意見(jiàn)。d）組織要確保ISMS的改進(jìn)達(dá)到預(yù)期目標(biāo)是否有確保

25、ISMS的改進(jìn) 達(dá)到了預(yù)期目標(biāo)的過(guò)程？管理者要跟蹤改進(jìn)，直到達(dá)到了預(yù)期目標(biāo)。4.3文件要求4.3.1 總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1） ISMS文件要包括管理決定的記錄是否ISMS文件包括有 管理決定的記錄？在左欄所示的這 3）個(gè)要求是在“ 4.3.1總則”條 款開(kāi)始的一個(gè)引言段中提出的。這里提出ISMS文件:1）必須包括管理決定的記錄；2）必須確保所采取的行動(dòng)措施可追蹤到管理決定 和方針；3）必須確保已記錄的結(jié)果是可再生的。這里明確了，展示三者（即所選擇的控制措施、風(fēng) 險(xiǎn)評(píng)估的結(jié)果、ISMS方針與目標(biāo)）之間的關(guān)系的重要 性。即從所選擇控制措施可追溯到風(fēng)險(xiǎn)評(píng)估的結(jié)果， 而從風(fēng)險(xiǎn)評(píng)估的

26、結(jié)果又可追溯到ISMS方針與目標(biāo)。2） ISMS文件要確保所采取的措施可追蹤到管理決定和方針是否ISMS文件確保所 采取的措施可追蹤到管理 決定和方針？3） ISMS文件要確保記錄的結(jié)果是可再生的是否ISMS文件確保記 錄的結(jié)果是可再生的？a） ISMS文件要包括ISMS方針與目標(biāo)文件是否有ISMS方針與目 標(biāo)文件？標(biāo)準(zhǔn)規(guī)定，ISMS文件要包括9方面的文件（見(jiàn)本 表從a）- i）欄）。其中，ISMS方針是最高級(jí)（或頂級(jí)） 的文件。b） ISMS文件要包括 ISMS的范圍是否有一個(gè)描述ISMS 范圍的文件？標(biāo)準(zhǔn)要求的ISMS文件內(nèi)容不一定都要形成單一 文件；某些相關(guān)的內(nèi)容可合并在一起，而形成一個(gè)

27、文件，也不會(huì)認(rèn)為違反標(biāo)準(zhǔn)的要求。在實(shí)際中，為了減少文件量，“ISMS的范圍”常合并于ISMS方針文件。參見(jiàn)表1-1 a)。c) ISMS文件要包括支 持ISMS的程序和控制 措施是否有支持ISMS的程 序和控制措施？這里，只是泛泛地提出?！爸С諭SMS的程序和控制措施”包括的內(nèi)容很廣。除了標(biāo)準(zhǔn)強(qiáng)制要求的程 序文件外，還可有許多組織自主決定的文件。文件 的內(nèi)容可隨組織的不同而有所不同。主要取決于：1) 組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；2) 安全要求的嚴(yán)格程度；3) 管理體系的范圍和復(fù)雜程度。組織需要哪些ISMS文件、控制措施及其復(fù)雜程度 如何，通常可根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果而決定(參見(jiàn)第6 章“6.3.1.1

28、獲得ISMS文件”)。d) ISMS文件要包括風(fēng)險(xiǎn)評(píng)估方法的描述是否有描述風(fēng)險(xiǎn)評(píng)估 方法的文件？與標(biāo)準(zhǔn)4.2.1c)條款的要求一致。最佳的實(shí)踐表明，“風(fēng)險(xiǎn)評(píng)估方法的描述”可 合并于“風(fēng)險(xiǎn)評(píng)估程序”；而“風(fēng)險(xiǎn)評(píng)估程序”的 運(yùn)行結(jié)果又產(chǎn)生“風(fēng)險(xiǎn)評(píng)估報(bào)告”。參見(jiàn)的表1-1 c)；參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性 ISMS文件”。e) ISMS文件要包括風(fēng)險(xiǎn)評(píng)估報(bào)告是否有可用的風(fēng)險(xiǎn)評(píng) 估報(bào)告？f) ISMS文件要包括風(fēng)險(xiǎn)處理計(jì)劃是否有可用的風(fēng)險(xiǎn)處 理計(jì)劃？與標(biāo)準(zhǔn)4.2.2b)的要求一致；參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性 ISMS文件”。g) ISMS文件要包括控制措施有效性的測(cè) 里程序是否有描述如何測(cè)量控 制措施有效性的

29、程序文件？與標(biāo)準(zhǔn)4.2.3 c 的要求一致； 參見(jiàn)“標(biāo)準(zhǔn)要求的強(qiáng)制性 ISMS文件”。h) ISMS文件要包括本標(biāo)準(zhǔn)所要求的記錄是否有提供符合要求 證據(jù)的記錄？“記錄”的范圍很廣。實(shí)際上，每一個(gè)程序文件 的運(yùn)行結(jié)果都可以產(chǎn)生可作為證據(jù)的“記錄”。參見(jiàn)“ 4.3.3記錄控制”。i) ISMS文件要包括適用性聲明是否有符合要求的適 用性聲明？參見(jiàn)表1-1 j)。4.3.2文件控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南1) ISMS所要求的文件要加以保護(hù)和控制是否有一個(gè)用于保護(hù)和 控制ISMS文件的過(guò)程？要求是標(biāo)準(zhǔn)的“ 4.3.2文件控制”條款開(kāi)始的一 個(gè)引言段中提出的。這里只是泛泛地提出。實(shí)際上， “

30、保護(hù)和控制ISMS文件的過(guò)程”可用“文件控制程 序文件”進(jìn)行控制。2) ISMS文件控制程序要形成文件是否有一個(gè)形成文件的 文件控制程序？“形成文件的文件控制程序”一般稱為“文件控 制程序文件”。這個(gè)程序文件是標(biāo)準(zhǔn)要求的必須的 ISMS文件之一?！?4.3.2文件控制”條款主要的要求是：建立一 個(gè)“文件控制程序文件”，并對(duì)文件進(jìn)行以下10方面控制(見(jiàn)下面a-j)。a) “文件控制程序文 件”要定義“文件發(fā)布 前要得到批準(zhǔn)”是否文件發(fā)布前要得 到批準(zhǔn)？在對(duì)這個(gè)“ 4.3.2文件控制”條款要求的審核 時(shí)，主要檢查：1) 組織是否有一個(gè)用于控制ISMS文件的“文件控制程序文件”；2) 組織的ISMS

31、文件實(shí)際上是否受控；3) 是否從“10方面” (a-j)控制ISMS文件。b) “文件控制程序文 件”要定義“必要時(shí)評(píng) 審與更新文件，并再次 獲得批準(zhǔn)”是否必要時(shí)評(píng)審與更 新文件，并再次批準(zhǔn)文件？C)“文件控制程序文 件”要定義“文件的更 改和現(xiàn)行修訂狀態(tài)得是否文件的更改和現(xiàn) 行修訂狀態(tài)得到標(biāo)識(shí)？49到標(biāo)識(shí)”d) “文件控制程序文 件”要定義“在使用處 可獲得有關(guān)版本的適 用文件”是否在使用處可獲得 有關(guān)版本的適用文件？e) “文件控制程序文 件”要定義“文件保持 清晰、易于識(shí)別”是否文件保持清晰、易 于識(shí)別？f) “文件控制程序文 件”要定義“文件可為 需要的人員使用，并依 照相關(guān)程序進(jìn)行傳

32、輸、 貯存和最終銷毀”是否文件可為需要的 人員使用，并依照相關(guān)程序 進(jìn)行傳輸、貯存和最終銷 毀？g) “文件控制程序文 件”要定義“外來(lái)文件 得到標(biāo)識(shí)”是否外來(lái)文件得到標(biāo)識(shí)？h) “文件控制程序文 件”要定義“文件的分 發(fā)受控制”是否文件的分發(fā)受控制？i) “文件控制程序文 件”要定義“防止作廢 文件非預(yù)期使用”是否“防止作廢文件非 預(yù)期使用”？j) “文件控制程序文 件”要定義“對(duì)需要保 留的作廢文件做出適 當(dāng)?shù)臉?biāo)識(shí)”是否“對(duì)需要保留的作 廢文件做出適當(dāng)?shù)臉?biāo)識(shí)” ？4.3.3記錄控制標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.記錄要加以建立與 保持是否有一個(gè)建立與保 持記錄的過(guò)程？記錄是提供符合I

33、SMS要求和有效運(yùn)行客觀證據(jù)的 一種特殊類型的文件。記錄需要建立與保持、保護(hù)與控制。b.記錄要加以保護(hù)與 控制是否有一個(gè)保護(hù)與控 制記錄的過(guò)程？C. ISMS要考慮相關(guān)法律法規(guī)要求和合同 義務(wù)ISMS是否考慮了相關(guān)法 律法規(guī)要求和合同義務(wù)？組織要提供證據(jù)（記錄），證明其ISMS考慮了相關(guān) 法律法規(guī)要求和合同義務(wù)。d.記錄要保持清晰、 易于識(shí)別和檢索記錄是否保持清晰、易 于識(shí)別和檢索？作為客觀證據(jù)的記錄，必須易于理解，不能含糊 不清。e.記錄的控制要形 成文件，并加以實(shí)施記錄的控制是否形成 了文件？記錄的控制包括：記錄的標(biāo)識(shí)、貯存、保護(hù)、檢 索、保存期限和處置等。這些控制要形成文件，通 常稱為“

34、記錄控制程序文件”?！坝涗浛刂瞥绦蛭募笔潜仨氁械腎SMS文件之Of.記錄要保留ISMS過(guò) 程的執(zhí)行情況，和所有 重大安全事故的執(zhí)行 情況記錄是否保留了 ISMS 過(guò)程的執(zhí)行情況？這里，ISMS過(guò)程是指 ISO/IEC 27001:2005 的 4.2 條款所列出的過(guò)程，包括ISMS的建立、實(shí)施與運(yùn)行、 監(jiān)視與評(píng)審、保持和改進(jìn)。所有這些過(guò)程的記錄要 加以保留，所有重大安全事故的紀(jì)錄也要保留。記錄是否保留了所有重 大安全事故的執(zhí)行情況？5管理職責(zé)5.1管理承諾標(biāo)準(zhǔn)要求管理者要對(duì)ISMS的 建立、實(shí)施與運(yùn)行、監(jiān) 視與評(píng)審、保持和改 進(jìn)，做出承諾，提供證 據(jù)。審核內(nèi)容是否有一個(gè)確保管理 者對(duì)ISM

35、S的建立、實(shí)施與 運(yùn)行、監(jiān)視與評(píng)審、保持和 改進(jìn)，做出承諾的過(guò)程？管理者提供承諾的證 據(jù)是否包括8方面的內(nèi)容 （見(jiàn)“注釋與指南”欄）？審核記錄注釋與指南這里，“管理承諾”應(yīng)理解為“最高管理者（層）的承諾”。ISO/IEC 27001:2005標(biāo)準(zhǔn)認(rèn)為，ISMS的成功運(yùn)行 需要管理者參與并做出承諾。因此標(biāo)準(zhǔn)要求最高管 理層（包括總經(jīng)理和管理者代表等 ）展示出其如何支 持（或承諾）ISMS建立、實(shí)施與運(yùn)行、監(jiān)視與評(píng)審、 保持與改進(jìn)，并提供 8方面內(nèi)容的證據(jù)，包括：制定ISMS方針；確保建立ISMS目標(biāo)和計(jì)劃；建立信息安全的角色和職責(zé)；向該組織傳達(dá)滿足信息安全目標(biāo)與符合信息安a）b）c）d）全方針的

36、重要性、法律責(zé)任和持續(xù)改進(jìn)的需要；提供足夠的資源；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別準(zhǔn)則; 確保ISMS內(nèi)審的執(zhí)行；進(jìn)行ISMS管理評(píng)審。e)f)g)h)標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要確定和提供所需要的資源管理者是否提供ISMS活 動(dòng)所需要的資源？這里ISMS活動(dòng)包括ISMS建立、實(shí)施與運(yùn)行、監(jiān) 視與評(píng)審、保持和改進(jìn)。5.2資源管理5.2.1資源提供管理者是否提供確保信 息安全程序支持業(yè)務(wù)要求所 需要的資源？管理者是否提供滿足 法律法規(guī)要求、合同安全要 求所需要的資源？是否提供通過(guò)正確實(shí) 施控制措施維護(hù)安全所需 要的資源？管理者是否提供必要 的評(píng)審與對(duì)評(píng)審結(jié)果做出 適當(dāng)反應(yīng)所需要的

37、資源？管理者是否提供改進(jìn) ISMS有效性所需要的資源？資源包括人、財(cái)、物（如設(shè)備、工具和資料等）。522培訓(xùn)、意識(shí)和能力標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要確保分配有 ISMS職責(zé)的所有人員 都具有執(zhí)行所要求任 務(wù)的能力是否有一個(gè)確保分配 有ISMS職責(zé)的所有人員都 具有完成所要求任務(wù)的能 力的過(guò)程？要求明確規(guī)定，確保分配有ISMS職責(zé)的所有人員 都具有完成其所要求任務(wù)的能力。這個(gè)過(guò)程包括4個(gè)活動(dòng)：a）確定所有ISMS人員所必要的能力；b）提供培訓(xùn)，或采取其它措施 （例如聘用有能力的 人員），以滿足這些需要；C）評(píng)價(jià)培訓(xùn)等措施的有效性；d）保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。在對(duì)要

38、求的符合性審核時(shí)，要檢查培訓(xùn)記錄和相關(guān)證據(jù)。b.組織要確保所有 相關(guān)人員意識(shí)到其信 息安全活動(dòng)的重要性是否有一個(gè)確保所有 相關(guān)人員都識(shí)到其信息安 全活動(dòng)的重要性的過(guò)程？要求明確規(guī)定，組織要確保所有相關(guān)人員意識(shí)到 其信息安全活動(dòng)的利害關(guān)系與重要性，并為達(dá)到 ISMS 目標(biāo)做出貢獻(xiàn)。在對(duì)要求的符合性審核時(shí)，可以抽查相關(guān)人員的 安全意識(shí)。6內(nèi)部ISMS審核標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)定期進(jìn)行內(nèi)部ISMS審核是否有一個(gè)定期進(jìn)行 內(nèi)部ISMS審核的過(guò)程？要求明確規(guī)定，“組織要按照既定的時(shí)間間隔進(jìn)行 內(nèi)部ISMS審核”。而內(nèi)部審核的目的是確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否：a)

39、 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b) 符合已確定的信息安全要求；c) 得到有效地實(shí)施和保持；d) 按預(yù)期執(zhí)行。在對(duì)要求符合性審核時(shí)，要確保上述要求得到滿足。(2)制定審核方案是否有一個(gè)審核方案？該審核方案是否考慮了 受審核的過(guò)程與受審核的部 門的狀況和重要性，以及以 往審核的結(jié)果？要求明確規(guī)定，在進(jìn)行內(nèi)部審核之前，要制定“審 核方案”。而這個(gè)審核方案要考慮受審核的過(guò)程與受 審核的部門的狀況和重要性，以及以往審核的結(jié)果。(3)定義審核的準(zhǔn)則、 范圍、頻次和方法審核的準(zhǔn)則、范圍、頻 次和方法是否定義？在實(shí)際中，審核的準(zhǔn)則、范圍、頻次和方法可以 包含于審核方案或?qū)徍擞?jì)劃中。(4)審核員的選擇，審

40、核的實(shí)施要確保審核 過(guò)程的客觀公正審核員的選擇，審核的 實(shí)施是否確保審核過(guò)程的客 觀公正？在這方面，應(yīng)遵照本書第 4章的規(guī)定執(zhí)行。其中 包括“審核發(fā)現(xiàn)、審核結(jié)論和審核報(bào)告要真實(shí)和準(zhǔn) 確地反映審核活動(dòng)” 。(5)審核員不準(zhǔn)審核 自己的工作是否審核員審核了自己 的工作？要識(shí)別內(nèi)部審核員除了內(nèi)審以外的其它工作。(6)形成內(nèi)審程序文 件是否有定義內(nèi)審職責(zé) 和要求方面的內(nèi)審程序文 件？要求明確規(guī)定，內(nèi)審的職責(zé)和要求(包括審核的計(jì) 劃與實(shí)施、審核結(jié)果的報(bào)告、記錄的保持等)必須以 形成文件的程序加以定義。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足。(7)采取糾正措施是否有一個(gè)確保受審部 門的責(zé)任管理者及

41、時(shí)采取措 施，消除“已發(fā)現(xiàn)的不符合 事項(xiàng)及其產(chǎn)生的原因”的過(guò) 程？要求的意義包括：1) 受審部門的責(zé)任管理者要采取糾正措施；2) 糾正措施要包含原因分析；3) 糾正措施不能有不適當(dāng)?shù)难舆t。在對(duì)要求的符合性審核時(shí)，要確保上述要求得到滿足。(8)跟蹤糾正措施是否有一個(gè)對(duì)糾正措 施的跟蹤活動(dòng)？“跟蹤糾正措施”是受審部門責(zé)任管理者的職責(zé)， 包括：1) 要跟蹤和驗(yàn)證糾正措施，直到真正獲得落實(shí)；2) 要報(bào)告跟蹤和驗(yàn)證的結(jié)果。跟蹤活動(dòng)是否包括驗(yàn) 證和驗(yàn)證結(jié)果的報(bào)告？o7 ISMS的管理評(píng)審7.1總則標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南(1)管理者要每年至少評(píng)審1次ISMS是否有一個(gè)確保最高管 理者每年至少評(píng)審

42、 1次ISMS 的過(guò)程？管理評(píng)審的目的是確保 ISMS持續(xù)的適宜性、充分 性和有效性。為了確保最高管理者每年至少評(píng)審1次ISMS,最是否檢查了 ISMS的實(shí)施 情況，以確保ISMS持續(xù)的適 宜性、充分性和有效性？好的實(shí)踐是通過(guò)使用一個(gè)“管理評(píng)審程序文件”進(jìn)行 控制。“管理評(píng)審程序文件”也控制相關(guān)的管理評(píng)審 過(guò)程，以滿足標(biāo)準(zhǔn)的要求。但是，標(biāo)準(zhǔn)沒(méi)有明確規(guī)定一定要有一個(gè)形成文件的“管理評(píng)審程序”。因此，在審核時(shí)，主要是要確保 有符合要求的評(píng)審過(guò)程。（2）評(píng)審要包括評(píng)估 改進(jìn)的機(jī)會(huì)和變更ISMS的需要在管理評(píng)審時(shí)，是否評(píng) 估了 ISMS（包括信息安全方 針和信息安全目標(biāo)）改進(jìn)的 機(jī)會(huì)和變更的需要？在運(yùn)

43、行期間，操作者是不能任意變更ISMS的。ISMS的改進(jìn)和變更，只能經(jīng)過(guò)最高管理者對(duì)ISNS的評(píng)審，做出評(píng)審決定后，才能執(zhí)行。因此管理評(píng) 審時(shí)，要有這方面的評(píng)估。（3）評(píng)審的結(jié)果要形成 文件評(píng)審結(jié)果是否形成了文 件？審核員在進(jìn)行“ISMS的管理評(píng)審”的審核時(shí)，必 須按標(biāo)準(zhǔn)“ 4.3.3記錄控制”條款的要求，檢查評(píng) 審結(jié)果和相關(guān)的評(píng)審的記錄。（4）評(píng)審的記錄要加以 保持記錄是否按照“記錄控 制”的要求加以保持？7.2 評(píng)審輸入標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）管理評(píng)審的輸入 要包括審核和評(píng)審結(jié) 果是否有一個(gè)確保管理 評(píng)審的輸入包括標(biāo)準(zhǔn)要求 的9方面信息的過(guò)程？在審核時(shí)，審核員應(yīng)首先檢查組織如何

44、確保滿足 標(biāo)準(zhǔn)規(guī)定的9方面管理評(píng)審的輸入信息（見(jiàn)本表的 a-i）。是否管理評(píng)審的輸入包 括先前的審核和評(píng)審結(jié)果？審核員應(yīng)檢查管理評(píng)審的輸入是否包括先前的審 核（包括內(nèi)審和外審）和管理評(píng)審的結(jié)果。b）管理評(píng)審的輸入要 包括相關(guān)方的反饋是否管理評(píng)審的輸入 包括相關(guān)方的反饋？審核員應(yīng)檢查管理評(píng)審的輸入是否包括相關(guān)方（如顧客和相關(guān)人員）的反饋，包括意見(jiàn)、抱怨和評(píng) 論等。c）管理評(píng)審的輸入要 包括可用于改進(jìn)ISMS 的技術(shù)、產(chǎn)品或程序是否管理評(píng)審的輸入 包括可用于改進(jìn)ISMS的技 術(shù)、產(chǎn)品或程序？審核員應(yīng)檢查管理評(píng)審的輸入是否包括可用于改 進(jìn)ISMS有效性的技術(shù)、產(chǎn)品或程序。d）管理評(píng)審的輸入要 包括預(yù)

45、防和糾正措施 的狀況是否管理評(píng)審的輸入包 括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評(píng)審的輸入是否包括先前的預(yù) 防措施和糾正措施的情況，包括查相關(guān)記錄。e）管理評(píng)審的輸入要 包括以往風(fēng)險(xiǎn)評(píng)估沒(méi) 有充分解決的脆弱點(diǎn) 或威脅是否管理評(píng)審的輸入包 括預(yù)防和糾正措施的狀況？審核員應(yīng)檢查管理評(píng)審的輸入是否包括在先前的 風(fēng)險(xiǎn)評(píng)估期間，沒(méi)有充分解決的安全問(wèn)題。f）管理評(píng)審的輸入要 包括有效性測(cè)量的結(jié) 果是否管理評(píng)審的輸入包 括ISMS有效性的測(cè)量結(jié)果？審核員應(yīng)檢查管理評(píng)審的輸入是否包括在先前對(duì) ISMS的有效性的測(cè)量結(jié)果。g）管理評(píng)審的輸入要 包括以往管理評(píng)審的 跟蹤措施是否管理評(píng)審的輸入包 括以往管理評(píng)審的

46、跟蹤措 施？審核員應(yīng)檢查管理評(píng)審的輸入是否包括以往管 理評(píng)審的跟蹤措施，包括對(duì)以往管理評(píng)審結(jié)果的貫 徹、跟蹤和驗(yàn)證的結(jié)果。h）管理評(píng)審的輸入要 包括可能影響ISMS的 任何變更是否管理評(píng)審的輸入 包括可能影響ISMS的任何 變更？審核員應(yīng)檢查管理評(píng)審的輸入是否包括可能影響 ISMS的任何變更，包括出現(xiàn)新的信息資產(chǎn)、技術(shù)的 變更、內(nèi)外環(huán)境的變更和組織結(jié)構(gòu)的變更等。i）管理評(píng)審的輸入要 包括改進(jìn)的建議是否管理評(píng)審的輸入 包括任改進(jìn)的建議？審核員應(yīng)檢查管理評(píng)審的輸入是否包括改進(jìn) ISMS的任何建議。7.3評(píng)審輸出標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a）管理評(píng)審的輸出要 包括ISMS有效性的改 進(jìn)是否有

47、一個(gè)確保管理 評(píng)審的輸出包括5方面要求 的過(guò)程？在審核時(shí)，審核員應(yīng)首先檢查組織如何確保管理評(píng) 審滿足標(biāo)準(zhǔn)規(guī)定的 5方面的輸出（見(jiàn)本表a）-e）。是否管理評(píng)審做出了 改進(jìn)ISMS有效性的決定？審核員應(yīng)檢查管理評(píng)審的輸出是否有改進(jìn)ISMS有效性的決定。b）管理評(píng)審的輸出要 包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn) 處理計(jì)劃的更新是否管理評(píng)審做出了 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理 計(jì)劃的決定？風(fēng)險(xiǎn)是動(dòng)態(tài)的。風(fēng)險(xiǎn)評(píng)估活動(dòng)要定期執(zhí)行，風(fēng)險(xiǎn) 處理計(jì)劃要及時(shí)更新。管理評(píng)審要做出這方面的決 定。審核員應(yīng)檢查管理評(píng)審的輸出是否有這方面的 決定。C）管理評(píng)審的輸出要 包括必要時(shí)對(duì)影響信 息安全的程序和控制 措施的修改，以應(yīng)對(duì)可 能沖擊ISMS

48、的內(nèi)外事 件是否管理評(píng)審做出了在 必要時(shí)對(duì)影響信息安全的程 序和控制措施的修改決定， 以應(yīng)對(duì)可能沖擊ISMS的內(nèi)外 事件？要求的含義是，為了應(yīng)對(duì)可能沖擊ISMS的內(nèi)外事 件，包括：1）業(yè)務(wù)要求發(fā)生變化；2）安全要求發(fā)生變化；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程發(fā)生變化；4）法律法規(guī)要求發(fā)生變化；5）合同義務(wù)發(fā)生變化；6）接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級(jí)別和/或準(zhǔn)則發(fā)生變化。 要對(duì)影響信息安全的程序和控制措施進(jìn)行修改。 管理評(píng)審要做出這方面的決定。在審核時(shí)，要檢查這方面的決定。d）管理評(píng)審的輸出要 包括對(duì)資源需求的決 定是否管理評(píng)審做出了對(duì) 資源需求的決定？要求是解決資源需求。管理評(píng)審要做出解決 ISMS 資源需求的

49、決定。在審核時(shí)，要檢查這方面的決定。e）管理評(píng)審的輸出要 包括改進(jìn)測(cè)量控制措 施有效性的方法要求是改進(jìn)如何測(cè)量控制措施的有效性。管理 評(píng)審要做出這方面的決定。在審核時(shí)，要檢查這方 面的決定。8 ISMS改進(jìn)8.1持續(xù)改進(jìn)標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南組織要持續(xù)改進(jìn)ISMS的有效性是否有一個(gè)確保組織持 續(xù)改進(jìn)ISMS有效性的過(guò)程？要求規(guī)定，組織要通過(guò)多種途徑，持續(xù)改進(jìn)ISMS的有效性持，包括：1）使用信息安全方針；2）使用安全目標(biāo)；3）使用審核結(jié)果；4）使用監(jiān)視事件的分析；5）使用糾正措施與預(yù)防措施；6）使用管理評(píng)審。因此，審核員在進(jìn)行審核時(shí)，應(yīng)考慮以上方面， 并結(jié)合一起進(jìn)行。8.2糾正措施

50、標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施， 消除不符合ISMS要求 的原因是否有一個(gè)確保采取 惜施，消除不符合ISMS要求 的原因的過(guò)程？要求規(guī)定，組織要采取措施， 消除不符合ISMS要 求的原因，目的是防止不符合事項(xiàng)再次發(fā)生。b.糾正措施程序要 形成文件是否有一個(gè)糾正措施 程序文件？“形成文件的糾正措施程序”通常也稱“糾正措 施程序文件”，是標(biāo)準(zhǔn)強(qiáng)制性要求的ISMS文件之一。c.糾正措施程序文 件要定義“識(shí)別不符 合項(xiàng)”是否糾正措施程序文 件定義了 “識(shí)別不符合項(xiàng)” ？d.糾正措施程序文件 要定義“確定產(chǎn)生不符 合項(xiàng)的原因”是否糾正措施程序文 件定義了“確定產(chǎn)生不符合 項(xiàng)的原因”

51、？e.糾正措施程序文件 要定義“評(píng)價(jià)確保不 符合項(xiàng)不再發(fā)生的措 施需求”是否糾正措施程序文 件定義了“評(píng)價(jià)確保不符合 項(xiàng)不再發(fā)生的措施需求”？f.糾正措施程序文件 要定義“確定和實(shí)施 所需要的糾正措施”是否糾正措施程序文 件定義了“確定和實(shí)施所需 要的糾正措施”？g.糾正措施程序文件 要定義“記錄所采取 措施的結(jié)果”是否糾正措施程序文 件定義了“記錄所采取措施 的結(jié)果”？h.糾正措施程序文件 要定義“評(píng)審所采取 的糾正措施”是否糾正措施程序文 件定義了“評(píng)審所采取的糾 正措施”？標(biāo)準(zhǔn)要求組織要建立和執(zhí)行 件”。這個(gè)“糾正措施程序文件” 表“標(biāo)準(zhǔn)的要求”欄 c-h）。審核員在文件評(píng)審階段，“糾正

52、措施程序文要定義6條要求（見(jiàn)本就應(yīng)對(duì)照此“ 8.2糾正措施”的要求，評(píng)審“糾正措施程序文件”的符合 性。標(biāo)準(zhǔn)要求審核內(nèi)容審核記錄注釋與指南a.組織要采取措施， 消除潛在的不符合 ISMS要求的原因是否有一個(gè)用于確保采 取措施，消除潛在的不符合 SMS要求的原因的過(guò)程？要求規(guī)定，組織要采取措施，消除潛在的不符合 ISMS要求的原因，目的是預(yù)先防止未來(lái)發(fā)生不符合 事項(xiàng)。8.3預(yù)防措施b.所采取的預(yù)防措 施要與潛在問(wèn)題的影 響程度相適應(yīng)所采取的預(yù)防措施是 否適于潛在問(wèn)題的影響？所要采取的預(yù)防措施，要根據(jù)潛在問(wèn)題的影響大 小而決定。c.組織要建立一個(gè) 預(yù)防措施程序文件， 定義5條相關(guān)要求是否有一個(gè)定義5條相 關(guān)要求的預(yù)防措施程序文 件？要求規(guī)定，組織要建立和執(zhí)行一個(gè)預(yù)防措施程序 文件。該程序文件要定義 5條相關(guān)要求：a）識(shí)別潛在的不符合事項(xiàng)及其原因；b）評(píng)價(jià)預(yù)防發(fā)生不符合事項(xiàng)的措施的需要； C）確定和實(shí)施所需要的預(yù)防措施；d）記錄所采取措施的結(jié)果；e）評(píng)審所采取的預(yù)防措施。在審核時(shí)，審核員要檢查確保：一組織要有一個(gè) 形成