(高清版)GBT 28450-2020 信息技術(shù) 安全技術(shù) 信息安全管理體系審核指南

信息技術(shù)安全技術(shù)信息安全管理體系審核指南國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會I Ⅲ V 1 1 1 1 1 15.2確立審核方案的目標(biāo) 15.3建立審核方案 25.4實施審核方案 35.5監(jiān)視審核方案 4 4 46.1總則 46.2審核的啟動 4 5 56.5審核報告的編制和分發(fā) 6 76.7審核后續(xù)活動的實施 7 77.1總則 77.2確定滿足審核方案需求的審核人員能力 77.3審核員評價準(zhǔn)則的建立 8 87.5進行審核員評價 87.6保持并提高審核員能力 8附錄A(資料性附錄)ISMS審核實踐指南 9 Ⅲ GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001: VGB/T28450—2020/ISO/IEC27007:2017——遵循GB/T22080—2016實施內(nèi)部和外部審核； GB/T19011—2013提供了關(guān)于審核方案管理、管理體系內(nèi)部或外部審核實施以及管理體系審核 故本標(biāo)準(zhǔn)中出現(xiàn)該術(shù)語的地方均采用GB/T22080—2016中的定義；采用GB/T22080—2016中的定義；語的地方均采用GB/T22080—2016中的定義。1GB/T28450—2020/ISO/IEC27007:2017GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2013,GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯(ISO/IEC27000:GB/T19011—2013和GB/T29246—2017界定的術(shù)語和定義適用于本文件。GB/T19011—2013的第4章審核原則適用。GB/T19011—2013的5.1的指南適用。并且，以下ISMS特定的指南適用。GB/T19011—2013的5.2中的指南適用。并且，以2GB/T28450—2020/ISO/IEC27007:2017b)GB/T22080—2016的要求；d)規(guī)劃ISMS時所確定的風(fēng)GB/T19011—2013的5.3.1中的指南適用。GB/T19011—2013的5.3.2中的指南適用。1)在組織控制下開展工作的人員總數(shù)，以及與ISMS有關(guān)的相關(guān)方和合同方；2)信息系統(tǒng)的數(shù)量；b)ISMS的復(fù)雜程度(包括過程和活動的數(shù)量和關(guān)鍵性),并考慮ISMS范圍內(nèi)場所間的差異。宜在審核方案中確定優(yōu)先事項，以便根據(jù)信息安全風(fēng)險的重要性和ISMS范圍內(nèi)的業(yè)務(wù)要求開展3GB/T28450—2020/ISO/IECGB/T19011—2013的5.3.6中的指南適用。并且，以下ISMS特定的指ISMS審核員尤其宜分配足夠的時間，針對適用于受審核方且與審核方案目標(biāo)相關(guān)的所有重大風(fēng)a)評價ISMS是否充分識別并解決信息安全要求；b)評價維護和有效改進ISMS的過程；審核方ISMS的范圍和邊界。審核組宜確認(rèn)受審核方在ISMS范圍內(nèi)滿足GB/T22080—2016的4.3d)適用性聲明，特定部門或其他必要控制的識別以及對包含必要的控制及其選擇的合理性說明(無論該控制是否已實現(xiàn)),以及對GB/T22080—2016附錄A控制刪減的合理性說明；g)客戶的信息安全要求；45GB/T28450—2020/ISO/IEC27007:2017因為證據(jù)中包含了個人身份信息或其他涉密/敏感信息。負(fù)責(zé)管理審核方案的人員宜確定在缺少這部分審核證據(jù)的情況下是否仍可對ISMS進行充分審核。如果得出的結(jié)論為缺少對這部分審核證據(jù)的評GB/T19011—2013的6.3.1中的指南適用。GB/T19011—2013的6.3.3中的指南適GB/T19011—2013的6.3.4GB/T19011—2013的6.4.1中的指南適用。GB/T19011—2013的6.4.2中的指南適6GB/T28450—2020/ISO/IEC27007:2017GB/T19011—2013的6.4.3中的指南適用。并且，以下ISMS特定的指ISMS審核員宜驗證審核準(zhǔn)則所要求的且與審核范圍相關(guān)的文件化信息是否存在，并符合審核準(zhǔn)ISMS審核員宜確認(rèn)審核范圍內(nèi)所確定的控制與風(fēng)險評估和風(fēng)險處置結(jié)果相關(guān)，并可追溯到信息GB/T19011—2013的6.4.4中的指南適用。GB/T19011—2013的6.4.5中的指南適用。a)核查記錄(包括計算機日志和配置數(shù)據(jù));c)觀察ISMS過程以及已實現(xiàn)的相關(guān)控制；GB/T19011—2013的6.4.9中的指南適用。7GB/T28450—2020/ISO/IEC27007:2017審核發(fā)現(xiàn)和結(jié)論可信度的程度，并在審核報告中予以反映，不能因證據(jù)敏感性導(dǎo)致其不可用而進行GB/T19011—2013的6.6中的指南適用。GB/T19011—2013的6.7中的指南適用。GB/T19011—2013的7.1中的指南適用。GB/T19011—2013的7.2.2中的指南適用。8GB/T28450—2020/ISO/IEC27007:2017ISMS審核員宜具備信息技術(shù)和信息安全方面的知識和技能，如通過相關(guān)認(rèn)證(例如基于GB/T27024認(rèn)可的認(rèn)證)。ISMS審核員也宜理解相關(guān)業(yè)務(wù)需求。ISMS審核員的個人工作經(jīng)驗宜對他們在ISMS領(lǐng)域的知識和技能有所幫助。GB/T19011—2013的7.2.5中的指南適用。GB/T19011—2013的7.3中的指南適用。GB/T19011—2013的7.4中的指南適用。GB/T19011—2013的7.5中的指南適用。GB/T19011—2013的7.6中的指南適用。9GB/T28450—2020/ISO/IEC27007:2017本附錄對聲稱符合GB/T22080—2016的組織提供審核ISMS的通用指南。由于本附錄旨在適用責(zé)，活動和過程之間的接口相關(guān)信息。只有可證實的信息才可GB/T22080—2016遵循ISO/IEC導(dǎo)則第1部分附錄JC和融合的JTC1補充部分中的頂層結(jié)構(gòu)、在審核時最好同時處理實踐中密切相關(guān)的GB/T22080—2016章條。相關(guān)示例見表A.2。查一份文件化信息時，都是確認(rèn)其是否符合GB/T22080—2016中7.5要求的機會。有關(guān)如何執(zhí)行上a)在GB/T22080—2016中文件化信息的要求章條可用作審核準(zhǔn)則；2)由組織確定的，GB/T22080—2016的7.5.1b)中要求的ISMS有效運行所必需的文件化除A.2.3b)中所列的審核證據(jù)，審核員將通過訪談、觀察和文件評審(包括記錄)獲得其他審核GB/T28450—2020/ISO/IEC27007:2017有關(guān)GB/T22080—2016的文件化信息的詳細(xì)討論可在A.3中找到。2)文件化信息未體現(xiàn)顯性或隱性要求。ISMS的范圍適用性聲明能力的證據(jù)由組織確定的有效實施ISMS所必需的文件化信息運行規(guī)劃和控制審核方案和審核結(jié)果的證據(jù)管理評審結(jié)果的證據(jù)作為A.3.1b)1)的一個示例，在GB/T作為A.3.1b)2)的一個示例，考慮GB/T22080—2016的4.1要求。對外部和內(nèi)部事項相關(guān)的信息分符合。如果未要求有文件化規(guī)程，那么審核員不宜要求見到該規(guī)程。但是，審核員宜關(guān)注息安全策略”的文件或網(wǎng)頁中。組織有權(quán)為信息安全策略定義其他名稱。在確保ISMS符合GB/T28450—2020/ISO/IEC27007:2017表A.2列出了以下信息：——相應(yīng)的GB/T22080—2016章條編號和名稱；——GB/T22080—2016相應(yīng)的章條在GB/T29246A.1組織環(huán)境(4)A.1.1理解組織及其環(huán)境(4.1)審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其a)可能對ISMS產(chǎn)生積極或消極影響的重要事項；b)組織；c)組織的目的；d)ISMS的預(yù)期結(jié)果。a)與氣候、污染、資源可用性和生物多樣性有關(guān)的環(huán)境特性或情c)組織的特征或條件，例如組織管理、信息流—-—組織的政策、目標(biāo)和實現(xiàn)它們的戰(zhàn)略；——組織的文化；——組織采用的標(biāo)準(zhǔn)、準(zhǔn)則和模型；——組織產(chǎn)品和服務(wù)的生命周期；———信息系統(tǒng)、過程、科學(xué)和技術(shù)的潛在信d)審核和風(fēng)險評估的趨勢審核實踐指南a)有對可能積極或消極影響ISMS的重要事項有一個高層次(例如戰(zhàn)略的)的理解；b)了解與其目的相關(guān)的外部和內(nèi)部事項，以及影響其實現(xiàn)ISMS預(yù)期注1:4.3中的要求是“考慮4.1中提到的外部和內(nèi)部事項”。組織可考慮在輸出中未出審核員還宜確認(rèn)通過應(yīng)用風(fēng)險管理過程使風(fēng)險得到充分管理，來保護信息的保密性、審核員還宜驗證：組織重要主題、辯論和討論的問題以及變化的環(huán)境等相關(guān)事項的知識，是否被確認(rèn)已用于指導(dǎo)組織規(guī)劃、實現(xiàn)和運行管理體系GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.3ISO/IEC27003:2017的4.1章條審核證據(jù)審核證據(jù)可通過下列文件化信息或其他信息獲a)相關(guān)方；b)適用于ISMS和GB/T22080—2016的相關(guān)方的需求和期望。a)法律和監(jiān)管機構(gòu)(當(dāng)?shù)?、地區(qū)、自治區(qū)/省、國家或國際);b)上級組織；c)客戶；d)貿(mào)易和專業(yè)協(xié)會；e)社區(qū)團體；f)非政府組織；g)供應(yīng)商；h)鄰居；i)組織成員和代表組織工作的其他人；a)法律；b)許可、執(zhí)照或其他形式的授權(quán)；c)監(jiān)管機構(gòu)發(fā)布的決議；d)法院或行政法庭的判決；e)條約、公約和議定書；f)相關(guān)行業(yè)規(guī)范和標(biāo)準(zhǔn)；g)已簽訂的合同；h)與社區(qū)團體或非政府組織達(dá)成的協(xié)議；i)與公共機構(gòu)和客戶的協(xié)議；j)組織要求：k)自愿性原則或行為守則；1)自愿性標(biāo)識或環(huán)境承諾；m)根據(jù)與該組織的合同安排產(chǎn)生的義務(wù)；注4:相關(guān)方可能有不同的利益，這些利益可能完全一致、部分一致或與組織的經(jīng)營目標(biāo)相對立。與組織的經(jīng)營目標(biāo)相對立的相關(guān)方示例為黑客弱安全性。組織宜重視這類完全對立的相關(guān)方需求，即加強安全審核員宜意識到ISMS考慮了所有內(nèi)部和外部風(fēng)險源。因此，組織對相對立的相關(guān)方GB/T28450—2020/ISO/IEC27007:20審核實踐指南審核員宜確認(rèn)組織對適用于ISMS和GB/T22080—2016的相關(guān)方的需求和期望有一信息安全控制來確保這些需求和期望不會被滿足。審核員還可確認(rèn)是否有相關(guān)方意識到他們會受到ISMS的影響，如果是的話，他們需讓審核員還可驗證組織是否使用所獲得的知識來指導(dǎo)其規(guī)劃、實現(xiàn)和運行ISMS的工作ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.3ISO/IEC27003:2017的4.2A.1.3確定ISMS范圍(4.3)章條審核證據(jù)審核證據(jù)可通過以下文件化信息或其他信息獲——組織管理體系的范圍(4.3中定義);———適用時，組織的認(rèn)證范圍；注5:組織認(rèn)證的范圍不一定與其ISMS的范圍相同。通常情況ISMS組織架構(gòu)。審核實踐指南審核員宜確認(rèn)組織根據(jù)自己的意愿確定應(yīng)用ISMS的物理、信息、法律和組織邊界，并選擇在整個組織內(nèi)還是在組織內(nèi)的特定部門或職能部門實現(xiàn)GB/T22080—2016。審核員宜核實組織對其環(huán)境(4.1)、相關(guān)方(4.2)的要求以及組織執(zhí)行的活動和其他組織執(zhí)行的活動之間的接口和依賴性[4.3c]]的理解，并在確定I審核員宜進一步確認(rèn)組織的信息安全風(fēng)險評估和風(fēng)險處置恰當(dāng)?shù)胤从沉似浠顒?，并延伸到ISMS范圍內(nèi)定義的活動邊界，再延伸到適用的審核范圍。審審核范圍內(nèi)至少有一個適用性聲明，并且在適用性聲明中包含了風(fēng)險管理過程中確定的所有控制。這些控制是指GB/T22080—2016中6.1.3b)所述的必要控制，不必是GB/T22080—2016附錄A中所述的控制。這些控制可包括適用于特定行業(yè)的控制，審核員還宜確認(rèn)不完全在ISMS范圍內(nèi)的服務(wù)或活動的接口在ISMS中得到解決，并包含在組織的信息安全風(fēng)險評估中。例如與其他組織共享設(shè)施(宜確認(rèn)已建立范圍文件，并根據(jù)文件化信息(7.5)的要求進行控制ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.3ISO/IEC27003:2017的4.3GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))A.1.4信息安全管理體系(4.4)章條6.1.1、6.1.2、6.1.3、8持續(xù)改進、信息安全、管理體系審核證據(jù)審核證據(jù)可通過GB/T22080—2016要求建立的文件化信息或其他過程信息獲得，a)管理體系的過程(GB/T22080—2016的4.4);b)業(yè)務(wù)規(guī)劃和控制過程，包括外包過程(8.1);c)規(guī)劃ISMS時應(yīng)對風(fēng)險和機會的過程，包括信息安全風(fēng)險評8.2)和信息安全風(fēng)險處置過程(6.1.3和/或8.3);審核實踐指南了符合GB/T22080—2016的有效的管理體系，并建立了由相互關(guān)聯(lián)或相互作用的要素構(gòu)成的ISMS。審核員還宜確認(rèn)，該組織在目前的能力范圍內(nèi)保持了決定如何滿足ISMS要求的權(quán)力、ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.3ISO/IEC27003:2017的4.4A.2領(lǐng)導(dǎo)(5)A.2.1領(lǐng)導(dǎo)和承諾(5.1)章條4.1、4.2、4.4、5.2、5.3、6.1.1、6.2、7.1、7.4、8.1、審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其他信息獲a)信息安全方針[GB/T22080—2016的5.1a]];b)信息安全目標(biāo)(5.1a)];c)組織的過程；d)管理評審的結(jié)果[5.1c]、e)和g)];e)評估資源需求；f)有效的信息安全管理的重要性和遵守ISMS要求的溝通。還可通過與最高管理者的訪談獲得證據(jù)。管理評審的結(jié)果還可提供除5.1c)、e)和g)以外的子章條的審核證據(jù)GB/T28450—2020/ISO/IEC審核實踐指南審核員宜確認(rèn)組織最高管理者的強力支持、參與和承諾，這對成功實現(xiàn)GB/T22080—2016非常重要。a)已定義的最高管理者的職責(zé)；b)最高管理者對分配給組織的活動的圓滿完成負(fù)有責(zé)任；c)最高管理者確保建立信息安全方針和目標(biāo)，并與組織戰(zhàn)略方向一致；d)最高管理者傳達(dá)有效的信息安全管理和符合ISMS要求的重要性；e)最高管理者通過支持所有信息安全管理過程的實現(xiàn)ISMS狀態(tài)和有效性的報告[見5.3b]],確保ISMS達(dá)到其預(yù)期結(jié)果；f)最高管理者指導(dǎo)并支持組織中直接參與信息安全和ISMS的人員；g)最高管理者確保將ISMS要求整合到組織過程中；h)最高管理者確保ISMS所需資源可用；i)最高管理者在管理評審時評估資源需求，并設(shè)定持續(xù)改進和監(jiān)視計劃活動有效性的目標(biāo)；j)最高管理者創(chuàng)建文化和環(huán)境氛圍，鼓勵員工積極努力實現(xiàn)ISMS要求，并爭取實現(xiàn)ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的4.2ISO/IEC27003:2017的5.1A.2.2方針(5.2)章條審核證據(jù)審核證據(jù)可通過以下文件化信息或其他信息獲a)信息安全方針(5.1);b)信息安全目標(biāo)(5.2b)和6.2]審核實踐指南審核員宜確認(rèn)：a)信息安全方針說明了GB/T22080—2016要求的高層次的組織的目標(biāo)；b)信息安全方針用于構(gòu)建或建立組織為自己設(shè)定的信息安全目標(biāo)，或息安全策略的一部分；c)信息安全方針的文件化信息是根據(jù)文件化信息(7.5)的要求建立和控制的；d)信息安全方針按照溝通章條(7.4)的要求在內(nèi)部得到溝通；由于信息安全方針包含了滿足適用要求的承諾，特別是相關(guān)法律法規(guī)要求。因此，只要對導(dǎo)致不符合的系統(tǒng)缺陷及時發(fā)現(xiàn)并采取糾正措施ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的4.3.2ISO/IEC27003:2017的5.2章條GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))審核證據(jù)參考GB/T22080—2016的7.5.1b),審核證據(jù)可通過以下方面的文件化信息或其他信息獲得：a)組織的角色；b)在信息安全控制下工作并對組織的信息安全績效產(chǎn)生影響的人員的崗位說明書；c)執(zhí)行內(nèi)部審核方案及審核結(jié)果；此外，還可通過管理評審結(jié)果的文件化信息或其他信息審核實踐指南審核員宜通過審核文件化信息和/或訪談確a)執(zhí)行ISMS要求的職責(zé)和權(quán)限被分配給組織內(nèi)的相關(guān)角色；b)最高管理者負(fù)責(zé)這些職責(zé)和權(quán)限被分配并傳達(dá)給執(zhí)行這些角色的人員；c)按照溝通章條(7.4)的要求溝通職責(zé)和權(quán)限；d)按照內(nèi)部審核(9.2)的要求實施，證明符合GB/T22080—2016的要求；e)按照管理評審(9.3)的要求實施績效的報告。審核員宜驗證有責(zé)任的人員是否有足夠的權(quán)限與最高管理者聯(lián)系，以便其了解ISMS注6:確保管理體系符合GB/T22080—2016要求的角色可分配到個人、由多個人共同ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的4.3.3ISO/IEC27003:2017的5.3A.3.1.1總則(6.1.1)章條審核證據(jù)審核證據(jù)可通過以下文件化信息或其他信息獲a)ISMS的規(guī)劃(GB/T22080—2016的6.1.1、7.5.1b)和8.1];b)信息安全風(fēng)險評估過程(6.1.2);c)信息安全風(fēng)險評估結(jié)果(8.2);d)信息安全風(fēng)險處置過程(6.1.3);e)信息安全風(fēng)險處置結(jié)果(8.3);f)監(jiān)視和測量結(jié)果(9.1);g)內(nèi)部審核方案和內(nèi)部審核結(jié)果(9.2);h)管理評審(9.3);i)組織環(huán)境(4);j)信息安全目標(biāo)(6.2)GB/T28450—2020/ISO/IEC審核實踐指南審核員宜確認(rèn)規(guī)劃：a)在適當(dāng)?shù)乃缴辖SMS;b)考慮(4.1)中確定的組織環(huán)境相關(guān)的事項以及(4.3)中確定組織的適決GB/T22080—2016中6.1.1a)～c)有關(guān)的任何負(fù)面或正面的后果；c)預(yù)期了潛在的情況和后果，從而在事前預(yù)防不良影響；d)處置組織所確定的預(yù)期結(jié)果[6.1.1a]],包括通過應(yīng)用密性、完整性和可用性；e)通過目標(biāo)設(shè)定(6.2)、運行控制(8.1)或GB/T22080—2016的其他具體章條，例如定如何將必要或有益的行動納入到ISMS中；f)確定評估所采取措施有效性的機制，包括監(jiān)視、測量技術(shù)(9.1)管理評審(9.3)ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.3～5.7ISO/IEC27003:2017的6.1.1章條審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其他信息獲a)ISMS規(guī)劃(GB/T22080—2016的6.1.1、7.5.1b)和8.1];b)信息安全風(fēng)險評估過程(6.1.2)和信息安全風(fēng)險評估結(jié)果(8.2)審核實踐指南a)確定與ISMS相關(guān)的信息安全風(fēng)險；審核員宜確認(rèn)組織已建立并持續(xù)維護風(fēng)險接受準(zhǔn)則以及信息安全風(fēng)險評估實施準(zhǔn)則。雖然組織可自行考慮與風(fēng)險準(zhǔn)則相關(guān)的任何因素，包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則，但審核員宜評估組織是否基于已形成的決策建立了風(fēng)險準(zhǔn)則，包括風(fēng)比較合理的是，組織的風(fēng)險準(zhǔn)則包含在風(fēng)險評估過程的文件化信息中。如果沒有，組織宜能向?qū)徍藛T解釋它們是什么。至少，它們宜包括組織的實施準(zhǔn)則。注7:GB/T22080—2016的8.2要求組織在計劃的時進行信息安全風(fēng)險評估。可對所有ISMS或部分ISMS進行風(fēng)險評估(例如當(dāng)重大變更對ISMS的部分產(chǎn)生影響時，就要求對該部分進行新的風(fēng)險評估)GB/T28450—2020/ISO/IEC27007:20審核實踐指南審核員宜確認(rèn)信息安全風(fēng)險評估產(chǎn)生一致的、有效的和可比較的結(jié)果?？赏ㄟ^以下方式執(zhí)行：———詢問組織為何其自身的信息安全風(fēng)險評估結(jié)果為一致的、有效的和可比較的；——對有關(guān)信息安全風(fēng)險評估結(jié)果的文件化信息進為了評估一致性和可重復(fù)性，審核員可驗證：——以同樣方式評估類似情況下的類似風(fēng)險；——所評估風(fēng)險的差異具有合理的理由；——整體評估結(jié)果可清晰解釋?！谝郧暗娘L(fēng)險評估中相同風(fēng)險是如何評價的，如果風(fēng)險已經(jīng)發(fā)——如果一個風(fēng)險高于或低于其他風(fēng)險是可審核員宜確認(rèn)組織已識別出ISMS范圍內(nèi)與信息保密性、完整性和可用性喪失相關(guān)的信息安全風(fēng)險。注8:GB/T22080—2016不要求僅通過資產(chǎn)、威脅別方法也可接受，例如通過考慮事態(tài)和后果來識別風(fēng)險?？稍诮M織有關(guān)風(fēng)險評估的文件化信息中找到風(fēng)險識別過程的描述(見下文組織在制定風(fēng)險識別方法時可考慮(非必需)的因素包a)如何發(fā)現(xiàn)、識別和描述風(fēng)險；b)考慮的風(fēng)險來源。組織可考慮(非必需)的其他因素包括：會相關(guān)，但非追求機會；b)風(fēng)險來源是否在組織的控制下，即使風(fēng)險來源或原因可能不明顯；c)檢查特定后果的連鎖效應(yīng)，包括級聯(lián)效應(yīng)和累積效應(yīng)；d)考慮各種后果，即使風(fēng)險來源或產(chǎn)生原因不明顯；e)考慮可能的原因和情景，以顯示可能發(fā)生的后果；f)考慮所有重大原因和后果；注9:發(fā)現(xiàn)無意中遺漏了大量必要的控制可能表宜通過抽樣確認(rèn)ISMS范圍內(nèi)的所有重要信息都包含在風(fēng)險評估審核員宜驗證在風(fēng)險評估結(jié)果的文件化信息中已識別出ISMS范圍內(nèi)與信息保密性、完整性和可用性喪失相關(guān)的風(fēng)險。組織的信息安全目標(biāo)可幫風(fēng)險。a)對于每種風(fēng)險，已確定風(fēng)險責(zé)任人；b)每個風(fēng)險責(zé)任人都有責(zé)任和權(quán)力來管理他們已GB/T28450—2020/ISO/IEC審核實踐指南審核員宜確認(rèn)：a)組織宜理解所識別風(fēng)險的性質(zhì)，確定風(fēng)險的級別，作為信息安險分析的依據(jù)；b)風(fēng)險分析為風(fēng)險評價、風(fēng)險需如何處置及最適當(dāng)?shù)娘L(fēng)險處置、戰(zhàn)略和審核員還宜確認(rèn)組織已評估了其根據(jù)GB/T22080—2016的6.1.2c)所確定風(fēng)險的潛可在關(guān)于風(fēng)險評估過程的文件化信息中找到組織風(fēng)險分析方法關(guān)于風(fēng)險評估結(jié)果的文件化信息中(見下文)。審核員宜參考組織的風(fēng)險管理策略、戰(zhàn)a)根據(jù)風(fēng)險、分析目的以及可用的信息、數(shù)據(jù)和資源，以不同詳略程度開展；b)定性、半定量、定量或這些方法的組合，審核員宜確認(rèn)組織已將其風(fēng)險分析結(jié)果與信息安全風(fēng)險接受準(zhǔn)則進行比較，以確定已識別風(fēng)險的可接受性。審核員還宜確認(rèn)在風(fēng)險評估結(jié)果中，可表明風(fēng)險接受準(zhǔn)則已得到適當(dāng)應(yīng)用，且所識別進一步，審核員宜評審風(fēng)險評估：a)根據(jù)風(fēng)險分析的結(jié)果，協(xié)助制定風(fēng)險處置的方式和處置實施的優(yōu)先順序；b)涉及將分析過程中發(fā)現(xiàn)的風(fēng)險水平與考慮背景時建立的信息安全a)考慮更廣泛的風(fēng)險背景；b)考慮相關(guān)利益方的要求，包括法律、監(jiān)管審核員宜確認(rèn)存在關(guān)于風(fēng)險評估過程的文件化信關(guān)于信息安全風(fēng)險評估過程的文件化信息包a)風(fēng)險準(zhǔn)則的定義，包括風(fēng)險接受準(zhǔn)則和信息安全風(fēng)險評估實施準(zhǔn)則；b)結(jié)果的一致性、有效性和可比較性的基本原理；c)風(fēng)險識別過程的描述(包括風(fēng)險責(zé)任人的識別);d)分析信息安全風(fēng)險過程的描述(包括評估潛在后果、現(xiàn)水平);e)結(jié)果與風(fēng)險準(zhǔn)則進行比較的描述，以及風(fēng)險處置優(yōu)先級的描述。注10:上述各項均符合GB/T22080—2016要求，這就是為什么程的文件化信息中找到相關(guān)信息的原因ISO31000:2009的5.3、5.4、5.7ISO/IEC27003:2017的6.1.2、8.2章條GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其他信息獲得a)ISMS規(guī)劃；b)信息安全風(fēng)險處置過程；c)信息安全風(fēng)險處置結(jié)果；d)適用性聲明審核實踐指南審核員宜確認(rèn)組織將信息安全風(fēng)險修改作為了信息安全風(fēng)險處置過審核員還宜評審信息安全風(fēng)險處置是否涉及：a)選擇一個或多個選項來修改信息安全風(fēng)險，并實現(xiàn)這些規(guī)定或修改控制的選項；審核員宜確認(rèn)有關(guān)風(fēng)險處置過程的文件化信息，包含組織用于選擇適當(dāng)信息安全風(fēng)險處置選項的方法的描述。審核員還宜確認(rèn)此描述與組織實際執(zhí)行的內(nèi)容相對請注意，GB/T29246—2017中2.79的注1列舉了七種風(fēng)險處GB/T22080—2016的6.1.3中引用了ISO31000:2009的注釋。審核員宜驗證風(fēng)險準(zhǔn)則與風(fēng)險處置計劃之間的一致性。組織宜能解釋它在風(fēng)險處置審核員宜審核組織選定的風(fēng)險處置選項。審核員還宜評審所選風(fēng)險處置選項的適審核員宜驗證最近的變更(例如新的IT系統(tǒng)或業(yè)務(wù)過程)是否已適當(dāng)納入風(fēng)險評估和審核員宜確認(rèn)有關(guān)風(fēng)險處置過程的文件化信息，包含組織用于確定必要信息安全控制的方法的描述。審核員還宜確認(rèn)此描述符合組織實際執(zhí)行的操[GB/T22080—2016的6.1.3d]要求適用性聲明包含必要的控制以及附錄A中包含但不必要的控制。它們可能是特定部門的控制(作為行業(yè)特定標(biāo)準(zhǔn)，例如ISO/IEC27011、ISO/IEC27017)。他們也可能是“定制化控制”,因或從任何來源識別[見GB/T22080—2016的6.1.3b]]。確定實現(xiàn)風(fēng)險處置選項的所有控制都宜包含在適用性聲明中。此外，任何定制化控制審核員宜驗證適用性聲明是否包含：a)應(yīng)用GB/T22080—2016過程所確定的必要控制6.1.3的b)和c);b)包含它們的理由(例如，參考使用它的風(fēng)險處置選項);c)是否實現(xiàn)了必要的控制；d)所有被刪減的附錄A的控制的理由，例1)控制適用于組織不涉及的活動；2)組織使用定制化控制，不需附錄A的控制；3)組織使用定制化控制，其作用與附錄A控制相同(更多信息見GB/Te)相關(guān)的行業(yè)特定控制，這些控制將被指定為必要的控制，或以附錄A刪減的控制因此，審核員宜確認(rèn)實現(xiàn)選定風(fēng)險處置選項所需的控制與適用性聲明之間的一致性GB/T28450—2020/ISO/IEC27007:20審核實踐指南審核員宜確認(rèn)有關(guān)風(fēng)險處置過程的文件化信息，包含組織用于制定風(fēng)險處置計劃的方法描述。審核員還宜確認(rèn)風(fēng)險處置計劃是根據(jù)GB/T22080—2016的6.1.3a)～c)制定的。審核員宜進一步確認(rèn)處置計劃中提供的信息包a)計劃所涉及的風(fēng)險；b)必要的控制；c)如何采取必要的控制來修改風(fēng)險以便于滿足風(fēng)險接受準(zhǔn)則；d)風(fēng)險責(zé)任人；e)選定的風(fēng)險處置選項；f)必要控制的實現(xiàn)狀態(tài)；g)選擇處置選項的原因，包括可獲得的預(yù)期收益；h)處置計劃包括的責(zé)任人、時間表和進度；i)包括意外事件在內(nèi)的資源需求；j)績效考核和約束：審核員宜評審風(fēng)險處置計劃是否考慮了組織的目標(biāo)設(shè)定和管理過程，并與相關(guān)利益方審核員宜確認(rèn)組織：a)確定了風(fēng)險責(zé)任人；b)記錄了殘余風(fēng)險；c)獲得風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃審核員宜確認(rèn)有關(guān)風(fēng)險處置的文件化信息真實存在。確保有關(guān)信息的文件化信息是a)選擇適當(dāng)?shù)男畔踩L(fēng)險處置選項的方法；b)確定必要控制的方法；c)GB/T22080—2016附錄A如何用于確定無意中忽略的必要控制；d)如何編制SOA;e)如何編制風(fēng)險處置計劃；f)如何獲得風(fēng)險責(zé)任人的批準(zhǔn)。ISO31000:2009的5.5、5.7ISO/IEC27003:2017的6.1.3、8.3章條5.1、5.2、7.1、7.3、7.4、7.5、GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))審核證據(jù)審核證據(jù)可通過與信息安全目標(biāo)及其實現(xiàn)規(guī)劃相關(guān)的文件化信息或其他信息獲得審核實踐指南需注意的是，信息安全目標(biāo)及其實現(xiàn)規(guī)劃(GB/T22080—2016的6.2)與領(lǐng)導(dǎo)和承諾(5.1)、方針(5.2)存在關(guān)聯(lián)。審核員宜確認(rèn)：a)信息安全目標(biāo)是在組織相關(guān)職能和層面上建立的；b)信息安全目標(biāo)以其實現(xiàn)可進行檢測的方式進行詳細(xì)說明；c)必要時(可能存在信息安全目標(biāo)無法進行測量的情況),目標(biāo)可測量；d)根據(jù)監(jiān)視、測量、分析和評價(9.1)的要求，定期核實信息安全目標(biāo)及其實現(xiàn)規(guī)劃的現(xiàn)狀和進展，并酌情進行更新，與持續(xù)改進的要求保持一致；e)信息安全目標(biāo)及其實現(xiàn)規(guī)劃根據(jù)溝通(7.4)要求進行溝通；f)根據(jù)文件化信息(7.5)的要求創(chuàng)建并控制目標(biāo)的文件化信息。b)責(zé)任分配(即“誰”)根據(jù)組織的角色、責(zé)任和權(quán)限(5.3)的要求得以建立；c)適用的信息安全要求、風(fēng)險評估和風(fēng)險處置結(jié)果在目標(biāo)及其實現(xiàn)規(guī)劃中予以考慮；d)任何實現(xiàn)目標(biāo)的需求(例如預(yù)算、專業(yè)技能、技術(shù)或基礎(chǔ)設(shè)施求得以確定并提供；e)用于評價完成事項總體結(jié)果的機制根據(jù)監(jiān)視、測量、分析和評價(9.1)的要求得以ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC27003:2017的6.2章條審核證據(jù)審核證據(jù)可通過文件化信息或組織所需資源的其他信息獲得：a)建立并實施ISMS(包括其運行與控制);b)持續(xù)改進ISMS。a)人員；b)專業(yè)技能或知識；c)組織的基礎(chǔ)設(shè)施(例如建筑物、通信線路等);d)技術(shù)；e)信息以及與信息和信息處置相關(guān)的其他資產(chǎn)設(shè)備；f)資金(例如現(xiàn)金、流動證券和信貸額度)審核實踐指南審核員宜確認(rèn)組織計劃、確定和分配了建立和實施ISMS所需的資源(包括其運行與控ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的4.3.5GB/T28450—2020/ISO/IEC27007:20A.4.2能力(7.2)章條5.3、7.1、7.5.1注、9.1d)和9.1e)、9.2e)能力、有效性審核證據(jù)審核證據(jù)可通過文件化信息或其他相關(guān)信息獲a)組織的角色、責(zé)任和權(quán)限；b)崗位描述；c)所需的能力；d)教育記錄；e)培訓(xùn)計劃、課程和教育活動；f)保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)；GB/T22080—2016的7.2將能力范圍擴至非組織成員。該要求規(guī)定他們第三方要求的審核證據(jù)宜限于證明為ISMS組織審核實踐指南審核員宜確認(rèn)組織：1)組織控制下從事會影響組織信息安全績效的工作人員；2)人員獲得預(yù)期結(jié)果的知識和技能；3)人員運用知識和技能達(dá)到預(yù)期結(jié)果的能力。b)確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗的基礎(chǔ)上能夠勝任其工作。c)適用時，采取措施以獲得必要的能力，ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC27021:2017的附錄AA.4.3意識(7.3)章條審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其他信息獲a)信息安全方針；b)信息安全目標(biāo)；c)信息安全績效；d)不符合的糾正措施；e)組織的角色、責(zé)任和權(quán)限；f)崗位描述；審核實踐指南審核員宜確認(rèn)在組織的控制下，工作人員能意識到：a)信息安全方針；b)其對ISMS有效性的貢獻，包括改進信息安全績效帶來的益處；c)不符合ISMS要求帶來的影響。審核員宜訪談適當(dāng)數(shù)量的人員作為抽樣，以確認(rèn)他們了解這些信息。對方針的認(rèn)識不宜被視為需記住方針；相反，人們宜認(rèn)識到關(guān)鍵的現(xiàn)這些承諾方面的作用。審核員還可在非專門用于信息安全的意識和培訓(xùn)計劃中找到信息安全意識證據(jù)。這些活動可與最高管理者的溝通活動密切相關(guān)(GB/T22080—2016的5.1d)和7.4]GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC27003:2017的7.3A.4.4溝通(7.4)章條審核證據(jù)審核證據(jù)可通過文件化信息或其他信息獲得：a)信息安全方針；b)組織的角色、責(zé)任和權(quán)限；c)信息安全風(fēng)險評估過程；d)信息安全風(fēng)險處置過程；e)信息安全目標(biāo)；f)過程已按計劃執(zhí)行的信息；g)信息安全風(fēng)險評估結(jié)果；h)信息安全風(fēng)險處置結(jié)果；i)ISMS績效；審核實踐指南審核員宜確認(rèn)組織的溝通需求已根據(jù)GB/T22080—2016的溝通要求得到有效的識證據(jù)的示例可包括：a)會議記錄中的信息；b)正式的溝通計劃、文件化規(guī)程和結(jié)果；c)與分配到特定角色的人員進行面談，以證明他們知悉與其角色相關(guān)的溝通要求：溝通什么、何時溝通、與誰溝通、誰來溝通以及影響溝通的過這些證據(jù)可補充：1)有效的信息安全管理的重要性以及ISMS要求的符合性；2)方針；3)責(zé)任和權(quán)限；4)ISMS績效；5)目標(biāo)；6)對ISMS有效性的貢獻，包括改進信息安全績效帶來的益處；7)不符合ISMS要求帶來的影響；審核員宜驗證組織是否已確定其與ISMS相關(guān)的溝通需求，例如，這些需求可包括透明度、適當(dāng)性、可信度、回應(yīng)性、清晰度以及保溝通可是口頭或書面、單向或雙向、內(nèi)部或外部的ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的4.3.6、4.3.7ISO/IEC27003:2017的7.4GB/T28450—2020/ISO/IECA.4.5文件化信息(7.5)A.4.5.1總則(7.5.1)4.3、5.2e)、6.1.2、6.1.3、6.2、7.2d)、8.1、8.2、8.3、9.1、9.2g)、9文件化信息審核證據(jù)審核證據(jù)可通過ISMS中的文件化信息或其他信息進行創(chuàng)建、控制a)管理體系的范圍；b)方針；d)能力的證據(jù)；e)管理體系運行規(guī)劃和控制所需的外部信息；f)信息安全風(fēng)險評估過程；g)信息安全風(fēng)險處置過程；h)適用性聲明；i)必要的信息，以確保過程和確定的控制按計劃進行；j)信息安全風(fēng)險評估結(jié)果；k)信息安全風(fēng)險處置結(jié)果；1)監(jiān)視、測量、分析和評估結(jié)果；m)內(nèi)部審核計劃及其實施的證據(jù)；n)內(nèi)部審核結(jié)果；o)管理評審結(jié)果；p)不符合的原因和采取的措施；q)糾正措施結(jié)果。文件化信息是為需求而創(chuàng)建，并非為滿足GB/T22080—2審核實踐指南a)GB/T22080—2016要求的文件化信息；b)組織確定必要的ISMS體系有效性的敘述“文件化信息作為...的證據(jù)”意味著之前的術(shù)語“記錄”。審核員宜確認(rèn)組織確定除了GB/T22080—2016明確要求的ISMS的有效性之外，還需哪些文件化信息，這些因素宜在審核證據(jù)列術(shù)語“文件化信息”是指GB/T22080—2016確定的信息，可以任何格式或介質(zhì)來控制和維護(見7.5.3)。審核員宜按照7.5.2和7.5.3的要求確認(rèn)創(chuàng)建和控制文件化信息ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.7ISO/IEC27003:2017的7.5.14.3、5.2e)、6.1.2、6.1.3、6.2、7.2d)、8.1、8.2、8.3、9.1、9.2g)、9文件化信息GB/T28450—2020/ISO/IEC27007:2017審核證據(jù)審核證據(jù)可通過以下方面的文件化信息或其他信息獲a)允許明確和具有唯一標(biāo)識的共同屬性；b)使用的格式和介質(zhì)；c)上次評審或更新的日期；d)變更的歷史；審核實踐指南審核員宜確認(rèn)在創(chuàng)建和更新文件化信息時，組織確保適a)標(biāo)識和描述(例如標(biāo)題、日期、作者或引用編號);b)格式(例如語言、軟件版本、圖表)和介質(zhì)(例如紙質(zhì)的、電子的);c)對適宜性和充分性的評審和批準(zhǔn)。注13:用于文件化信息的標(biāo)識、格式和介質(zhì)是組織實施GB/T22080—2016的選擇；它不必是文本格式或紙質(zhì)手冊的形式。如若ISMS范圍內(nèi)的文件化信息提交審核，審核員宜抓住機會執(zhí)行這些審核任務(wù)。它們不必每次都進行，只需達(dá)到足夠次數(shù)即可確認(rèn)符合GB/T22080—201要求ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC27003:2017的7.5.2章條文件化信息審核證據(jù)審核證據(jù)可通過以下活動的文件化信息或其他信息獲a)分發(fā)、訪問、檢索和使用；b)存儲和保護，包括保持可讀性；c)控制變更(例如版本控制);d)保留和處置；審核實踐指南審核員宜確認(rèn)ISMS和GB/T22080—2016要求的文件化信息得以控制，以確保：a)無論何時何地，必要時是可用且適用的；b)受到充分保護(例如，保密性、不當(dāng)使用或完整性喪失審核員宜確認(rèn)組織適用時處理了以下問題：a)分發(fā)、訪問、檢索和使用；b)存儲和保存，包括保持可讀性(以數(shù)字或其他格式或手寫);c)控制變更(例如版本控制);如若ISMS范圍內(nèi)的文件化信息提交審核，審核員宜抓住機會執(zhí)行這些審核任務(wù)。它們不必每次都進行，只需達(dá)到足夠次數(shù)即可確認(rèn)符合GB/T22080—201要求GB/T28450—2020/ISO/IECISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.7ISO/IEC27003:2017的7.5.3A.5.1運行規(guī)劃和控制(8.1)章條4.4、6.1.1、6.1.2、6.1.3、6.2、7.5.1審核證據(jù)審核證據(jù)可通過文件化信息或其他信息獲得：a)組織需確認(rèn)運行控制處理已按照計劃得到實施(GB/T22080—2016的8.1);b)組織有必要確認(rèn)ISMS的有效性(GB/T22080—2016的7.5.1b)];c)ISMS規(guī)劃(GB/T22080—2016的6.1.1);d)信息安全目標(biāo)(GB/T22080—2016的6.2)審核實踐指南審核員宜確認(rèn)組織規(guī)劃、實現(xiàn)和控制滿足組織運行中信息安全要求所需的過程，以確保完成GB/T22080—2016中的要求，并確定風(fēng)險優(yōu)先級以及其他因素。審核員宜確認(rèn)運行控制包括實施的方法和信息安全控制，確保業(yè)務(wù)操作、活動或設(shè)備符合規(guī)定的條件、績效標(biāo)準(zhǔn)或遵從法規(guī)的限制，從而有效地實現(xiàn)ISMS的預(yù)期結(jié)果。這些控制的建立實現(xiàn)了業(yè)務(wù)過程需要的最佳功能所必需的技術(shù)作參數(shù)或特定的方法。宜對與業(yè)務(wù)過程相關(guān)的運行控制和信息安全控制的情況中，缺少運行控制和信息安全控制可能導(dǎo)致偏離方針和目標(biāo)或構(gòu)成不可商有關(guān)。所執(zhí)行的控制程度將取決于許多因素，包括所執(zhí)行的功能、它復(fù)雜性、偏離的潛在后果、可變性或所涉及的可用的技因此，審核員宜審核組織：a)實施在“應(yīng)對風(fēng)險和機會的措施”中所確定的活動(GB/T22080—2016的6.1):b)執(zhí)行計劃以實現(xiàn)已確定的信息安全目標(biāo)，并制定計劃實現(xiàn)這些目22080—2016的6.2);c)創(chuàng)建和控制所需的文件，以確認(rèn)運行控制和信息安全求按計劃進行(GB/T22080—2016的7.5);d)控制計劃的變更并審核意外變更的后果，以防止或以要求或引入新風(fēng)險的可能性；e)當(dāng)運行控制失敗時，采取必要的措施來解決任何由此產(chǎn)生的不良影響；f)確保外包過程是確定和受控的，例如：將運行控制應(yīng)用限度，并且將不會在外包處置過程中改變與外部實體的法律關(guān)系ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC27003:2017的8.1A.5.2信息安全風(fēng)險評估(8.2)章條GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))審核證據(jù)審核證據(jù)可通過文件化信息或其他有關(guān)信息獲a)ISMS規(guī)劃(GB/T22080—2016的6.1.1);b)信息安全風(fēng)險評估過程(GB/T22080—2016的6.1.2);c)信息安全風(fēng)險評估結(jié)果(GB/T22080—2016的8.2);d)適用性聲明；e)風(fēng)險處置計劃審核實踐指南審核員宜確認(rèn)(GB/T22080—2016的6.1)定義和應(yīng)用的信息安全風(fēng)險評估過程得以實施并已納入組織運行中，按計劃的時間間隔或當(dāng)重大變更提出或發(fā)生時執(zhí)行信息安全風(fēng)險評估，同時考慮了GB/T22080—2016的6.1.2a)中已建立的準(zhǔn)則。審核員宜評估：b)當(dāng)ISMS(或其環(huán)境)發(fā)生任何重大變更或發(fā)生信息安全事件時，組織或事件需要進行額外的信息安全風(fēng)險評估以及如何觸發(fā)這些評估。ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.4.1ISO/IEC27003:2017的8.2A.5.3信息安全風(fēng)險處置(8.3)章條審核證據(jù)審核證據(jù)可通過文件化信息或其他有關(guān)信息獲a)ISMS規(guī)劃；b)信息安全風(fēng)險處置過程；c)風(fēng)險處置計劃；d)信息安全風(fēng)險處置結(jié)果；e)適用性聲明審核實踐指南審核員宜確認(rèn)在“ISMS規(guī)劃”(GB/T22080—2016的6.1)中定義和應(yīng)用的信息安全風(fēng)險處置過程已實施并整合到組織運行中，并在每次信息安全風(fēng)險評估(GB/T22080—2016的8.2)迭代后或當(dāng)風(fēng)險處置的實施(部分)失敗時得以執(zhí)ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO31000:2009的5.5ISO/IEC27003:2017的8.3A.6績效評價(9)章條GB/T28450—2020/ISO/IEC審核證據(jù)審核證據(jù)可通過文件化信息或關(guān)于監(jiān)視、測量GB/T22080—2016的9.1)。證據(jù)也可通過文件化信息或其他有關(guān)的信息獲a)相關(guān)職能和層級的信息安全目標(biāo)；b)規(guī)劃如何實現(xiàn)信息安全目標(biāo)；c)實現(xiàn)信息安全目標(biāo)的情況和程度；d)向最高管理者報告ISMS的執(zhí)行情況(參見GB/T22080—2016的5.3b)];e)風(fēng)險評估結(jié)果及風(fēng)險處置選項現(xiàn)狀；f)監(jiān)視、測量、分析、評價方法；g)內(nèi)部審核方案和審核結(jié)果；h)管理評審和管理評審結(jié)果；i)信息安全事態(tài)報告(見GB/T22080—2016的A.16.1.2);j)信息安全漏洞報告(見GB/T22080—2016的A.16.1.3);k)信息安全事件報告(見GB/T22080—2016的A.16.1.4)審核實踐指南審核員宜確認(rèn)組織：a)評估ISMS的信息安全績效和有效性；1)需要被監(jiān)視和測量的內(nèi)容，包括信息安全過程和控制；2)適用時，監(jiān)視、測量、分析和評價的方法，以確保得到有效的結(jié)果；3)何時宜執(zhí)行監(jiān)視和測量；4)誰宜監(jiān)視和測量；5)何時宜分析和評價監(jiān)視和測量的結(jié)果；6)誰宜分析和評價這些結(jié)果。審核員宜使用文件化信息作為證據(jù)來評審信息安全績效，例如計劃、對最高管理者提交的ISMS績效報告、管理評審結(jié)果、內(nèi)部審核報告和信息安全事態(tài)、弱點事件報的程度。審核員宜確定組織是否以及如何評估應(yīng)對風(fēng)險和機會的措施的有效性，以確保在風(fēng)險處置中信息安全控制得到有效實現(xiàn)和運審核員還宜評估對信息安全績效的執(zhí)行情況，以促進ISMS的持續(xù)改進。審核員還宜確認(rèn)，變更將作為反映風(fēng)險評估和風(fēng)險處置過程的結(jié)果(GB/T22080—2016的8.1和8.2)。此外，審核員宜確認(rèn)應(yīng)對風(fēng)險和機會的措施的文件化信息已更審核員宜審核被監(jiān)視或測量、分析和評價的特征信息是必要的，并且充分地判斷這些ISMS計劃措施的實現(xiàn)程度和成果。審核員宜確認(rèn)通過監(jiān)視或測量、分析和評價獲得的信息是按照管理評審的要求提交給最高管理者的(GB/T22080—2016的9.3)。ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9A.6.2內(nèi)部審核(9.2)章條審核、審核范圍、能力GB/T28450—2020/ISO/IEC27007:2017表A.2(續(xù))審核證據(jù)審核證據(jù)可通過文件化信息或其他有關(guān)信息獲a)內(nèi)部審核方案；b)內(nèi)部審核計劃；c)內(nèi)部審核結(jié)果；d)內(nèi)部審核員的權(quán)限；e)管理評審結(jié)果審核實踐指南注15:A.6.2為外部審核、自我檢查或同行評估審核員宜確認(rèn)組織規(guī)劃、實現(xiàn)和維護一個內(nèi)部審核方案，以便提供關(guān)于ISMS是否符合GB/T22080—2016要求和組織自己附加的任何ISMS相關(guān)要求的信息，以否按計劃有效實施和維護。a)內(nèi)部審核是根據(jù)相關(guān)過程的重要性和以往審核的結(jié)果來計劃和安排的；b)制定和實施內(nèi)部審核的方法；c)考慮到內(nèi)部審核過程的完整性和獨立性，分配審核方案內(nèi)的職責(zé)和分工；d)定義每次審核的審核準(zhǔn)則和范圍；e)設(shè)計目的是提供ISMS是否符合下列要求的信息：1)GB/T22080—2016的要求；2)組織自身要求；f)旨在提供信息以確認(rèn)ISMS是否得到有效實現(xiàn)和維審核員宜確認(rèn)內(nèi)部審核方案和審核是由內(nèi)部人員計劃、實現(xiàn)和維護，或由代表組織行事的外部人員進行管理。在任何一種情況下，審核員宜確認(rèn)負(fù)責(zé)管理內(nèi)部審核方案的人員和執(zhí)行內(nèi)部審核的審核員是否可滿足能力(參見GB/T22080—2016的7.2和9.2)要求和指南(參見GB/T22080—2016的7.2)。審核員宜確認(rèn)內(nèi)部審核結(jié)果向負(fù)責(zé)審核的職能部門/單位的管理層以及滿足相關(guān)溝通(GB/T22080—2016的7.4)要求的任何其他人員進行報告。審核員宜確認(rèn)內(nèi)部審核結(jié)果的信息，包括趨勢，是否按照管理評審(參見GB/T22080—行了評審ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9GB/T25067—2020的9.1.5.1、9.3.1.2.2h)、9.5.1、9.6.2.1.1a)A.6.3管理評審(9.3)章條4.1、4.2、8.2、8.3、9.1、9.2、1GB/T28450—2020/ISO/IEC審核證據(jù)審核證據(jù)可通過文件化信息或其他有關(guān)信息獲a)按計劃的時間間隔進行評審；b)以往管理評審的措施狀況；c)與ISMS相關(guān)的外部和內(nèi)部事項的變更；d)對信息安全績效的反饋，包括不符合和糾正措施、監(jiān)視和測量結(jié)果、審核結(jié)果和信息安全目標(biāo)完成的情況等趨勢；e)相關(guān)方的反饋；f)風(fēng)險評估結(jié)果及風(fēng)險處置計劃的狀態(tài)；審核實踐指南審核員宜確認(rèn)，最高管理者已按計劃的評審時間表進行管理評審，評審輸入的所有信審核員宜通過審核來評估最高管理者是否親自參與評審，實施該機制以推動ISMS的更新，并指導(dǎo)持續(xù)改進措施的優(yōu)先順序，特別是與組織背景期的結(jié)果或有利的條件和結(jié)果。審核員宜驗證管理評審是否包括對A.6.3審核證據(jù)所列的b)～g)所有項目的考慮。審核員還宜確認(rèn)，管理評審的輸出結(jié)果包括ISMS變更的持續(xù)改進機會和任何需求相ISO/IEC導(dǎo)則第1部分：2017年融合的JTC1補充部分中附錄JC的JC.9ISO/IEC