信息安全管理体系审核检查表

信息安全管理体系审核指南 标准规定的强制性ISMS文献 强制性ISMS文献 说明 1 ISMS方针文献，涉及ISMS的范围 根据标准“4.3.1”a和b的规定。 2 风险评估程序 根据“4.3.1”d和e的规定, 要有形成文献的“风险评估方法的描述”和“风险评估报告”。为了减少文献量，可创建一个风险评估程序。该程序文献应涉及“风险评估方法的描述”，而其运营的结果应产生风险评估报告。 3 风险解决程序 根据标准“4.3.1”f的规定, 要有形成文献的“风险解决计划”。因此，可创建一个风险解决程序。该程序文献运营的结果应产生风险解决计划。 4 文献控制程序 根据标准的“4.3.2文献控制”的规定，要有形成文献的“文献控制程序”。 5 记录控制程序 根据标准的“4.3.3记录控制”的规定，要有形成文献的“记录控制程序”。 6 内部审核程序 根据标准的“6内部ISMS审核”的规定，要有形成文献的“内部审核程序”。 7 纠正措施与防止措施程序 根据标准的“8.2纠正措施”的规定，要有形成文献的“纠正措施程序”。根据 “8.3防止措施”的规定，要有形成文献的“防止措施程序”。“纠正措施程序”和“防止措施程序”通常可以合并成一个文献。 8 控制措施有效性的测量程序 根据标准的“4.3.1 g”的规定，要有形成文献的“控制措施有效性的测量程序”。 9 管理评审程序 “管理评审”过程不一定要形成文献，但最佳形成“管理评审程序”文献，以方便实际工作。 9 合用性声明 根据标准的“4.3.1 i” 的规定, 要有形成文献的合用性声明。 审核重点 第二阶段审核 a 检查受审核组织如何评估信息安全风险和如何设计其ISMS，涉及如何 l 定义风险评估方法参见4.2.1 c l 辨认安全风险参见4.2.1 d l 分析和评价安全风险参见4.2.1 e l 辨认和评价风险解决选择措施参见的4.2.1 f l 选择风险解决所需的控制目的和控制措施参见4.2.1 g l 保证管理者正式批准所有残余风险参见4.2.1 h l 保证在ISMS实行和运营之前，获得管理者授权参见的4.2.1 i l 准备合用性声明参见4.2.1 j b 检查受审核组织如何执行ISMS监控、测量、报告和评审涉及抽样检查关键的过程是否到 位，至少涉及 l ISMS监视与评审依照4.2.3监视与评审ISMS”条款 l 控制措施有效性的测量依照 4.3.1 g l 内部ISMS审核依照第6章“内部ISMS审核” l 管理评审依照第7章“ISMS的管理评审” l ISMS改善依照第8章“ISMS改善”。 c 检查管理者如何执行管理评审涉及抽样检查关键的过程是否到位，依照条款涉及 l 4.2.3监视与评审ISMS l 第7章“ISMS的管理评审”。 d 检查管理者如何履行信息安全的职责涉及抽样检查关键的过程是否到位，依照条款涉及 l 4.2.3监视与评审ISMS l 5 管理职责 l 7 ISMS的管理评审 e 检查安全方针、风险评估结果、控制目的与控制措施、各种活动和职责，互相之间有如何连带关系 也参见本文第8章“过程规定的符合性审核”。 监督审核 a 上次审核发现的纠正/防止措施分析与执行情况； b 内审与管理评审的实行情况； c 管理体系的变更情况； d 信息资产的变更与相应的风险评估和解决情况； e 信息安全事故的解决和记录等。 再认证审核 a 检查组织的ISMS是否连续地全面地符合ISO/IEC 270012023的规定。 b 评审在这个认证周期中ISMS的实行与继续维护的情况，涉及 l 检查ISMS是否按照ISO/IEC 270012023的规定加以实行、维护和改善； l 评审ISMS文献和定期审核涉及内部审核和监督审核的结果； l 检查ISMS如何应对组织的业务与运营的变化； l 检查管理者对维护ISMS有效性的承诺情况。 4 信息安全管理体系 4.1总规定 4.2 建立和管理ISMS 4.2.1 建立ISMS 标准的规定 审核内容 审核记录 注释与指南 a 组织要定义ISMS的范围 l 组织是否有一个定义ISMS范围的过程 对“定义ISMS的范围”规定的符合性审核，要保证ISMS的定义不仅要涉及范围，也要涉及边界。对任何范围的删减，必须有具体说明和合法性理由。 l 是否有对任何范围的删减 b 组织要定义ISMS方针 l 组织是否有一个ISMS方针文献 规定明确规定ISMS方针的5个基本点，即ISMS方针要 1 涉及信息安全的目的框架、信息安全工作的总方向和原则； 2 考虑业务规定、法律法规的规定和协议规定； 3 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4 建立风险评价准则； 5 获得管理者批准。 在对这个规定的符合性审核时，要保证组织的ISMS方针满足上述5个规定。还要注意到ISMS方针与信息安全方针的关系。 l 组织的ISMS方针文献是否满足ISO/IEC 270012023规定的5个基本点见注释与指南栏 c 组织要定义风险评估方法 l 组织是否有一个定义风险评估方法的文献 规定明确规定，“定义组织的风险评估方法”的工作活动要涉及 1 拟定风险评估方法，而这个评估方法要适合组织的ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定； 2 制定接受风险的准则，拟定可接受的风险级别。 在对规定的符合性审核时，要保证上述2个规定得到满足。 l 组织的风险评估方法是否适合ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定 l 接受风险的准则是否已经拟定并根据此准则，拟定了可接受的风险级别 d 组织要辨认安全风险 l 组织是否有一个辨认安全风险的过程 “辨认安全风险”是一个过程活动。而这个过程要涉及 1 辨认组织ISMS范围内的资产及其负责人； 2 辨认资产所面临的威胁； 3 辨认也许被威胁运用的脆弱点； 4 辨认资产保密性、完整性和可用性的丧失导致的影响。 在对规定的符合性审核时，要保证“辨认安全风险”要涉及上述工作活动。 l 辨认安全风险的过程是否符合规定参见“注释与指南”栏 e 组织要分析和评价安全风险 l 组织是否有一个用于评估安全风险的过程 规定明确规定，“分析和评价安全风险”过程活动要涉及 1 评估安全破坏涉及资产的保密性、完整性，或可用性的丧失的后果也许产生的对组织的业务影响； 2 评估由重要威胁和脆弱点导致的安全破坏的