信息安全管理体系审核检查表

信息安全管理体系审核指南标准规定的强制性ISMS文献强制性ISMS文献说明 (1) ISMS方针文献，涉及ISMS的范围根据标准“4.3.1”a)和b)的规定。 (2) 风险评估程序根据“4.3.1”d)和e)的规定, 要有形成文献的“风险评估方法的描述”和“风险评估报告”。为了减少文献量，可创建一个《风险评估程序》。该程序文献应涉及“风险评估方法的描述”，而其运营的结果应产生《风险评估报告》。 (3) 风险解决程序根据标准“4.3.1”f)的规定, 要有形成文献的“风险解决计划”。因此，可创建一个《风险解决程序》。该程序文献运营的结果应产生《风险解决计划》。 (4) 文献控制程序根据标准的“4.3.2文献控制”的规定，要有形成文献的“文献控制程序”。 (5) 记录控制程序根据标准的“4.3.3记录控制”的规定，要有形成文献的“记录控制程序”。 (6) 内部审核程序根据标准的“6内部ISMS审核”的规定，要有形成文献的“内部审核程序”。 (7) 纠正措施与防止措施程序根据标准的“8.2纠正措施”的规定，要有形成文献的“纠正措施程序”。根据 “8.3防止措施”的规定，要有形成文献的“防止措施程序”。“纠正措施程序”和“防止措施程序”通常可以合并成一个文献。 (8) 控制措施有效性的测量程序根据标准的“4.3.1 g)”的规定，要有形成文献的“控制措施有效性的测量程序”。 (9) 管理评审程序 “管理评审”过程不一定要形成文献，但最佳形成“管理评审程序”文献，以方便实际工作。 (9) 合用性声明根据标准的“4.3.1 i)” 的规定, 要有形成文献的合用性声明。审核重点第二阶段审核： a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，涉及如何： l 定义风险评估方法(参见4.2.1 c) l 辨认安全风险(参见4.2.1 d)) l 分析和评价安全风险(参见4.2.1 e) l 辨认和评价风险解决选择措施(参见的4.2.1 f) l 选择风险解决所需的控制目的和控制措施(参见4.2.1 g)) l 保证管理者正式批准所有残余风险(参见4.2.1 h) l 保证在ISMS实行和运营之前，获得管理者授权(参见的4.2.1 i)) l 准备合用性声明(参见4.2.1 j) b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(涉及抽样检查关键的过程是否到位)，至少涉及： l ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) l 控制措施有效性的测量(依照 4.3.1 g) l 内部ISMS审核(依照第6章“内部ISMS审核”) l 管理评审(依照第7章“ISMS的管理评审”) l ISMS改善(依照第8章“ISMS改善”)。 c) 检查管理者如何执行管理评审(涉及抽样检查关键的过程是否到位)，依照条款涉及： l 4.2.3监视与评审ISMS l 第7章“ISMS的管理评审”。 d) 检查管理者如何履行信息安全的职责(涉及抽样检查关键的过程是否到位)，依照条款涉及： l 4.2.3监视与评审ISMS l 5 管理职责 l 7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目的与控制措施、各种活动和职责，互相之间有如何连带关系 (也参见本文第8章“过程规定的符合性审核”)。监督审核： a) 上次审核发现的纠正/防止措施分析与执行情况； b) 内审与管理评审的实行情况； c) 管理体系的变更情况； d) 信息资产的变更与相应的风险评估和解决情况； e) 信息安全事故的解决和记录等。再认证审核： a) 检查组织的ISMS是否连续地全面地符合ISO/IEC 27001:2023的规定。 b) 评审在这个认证周期中ISMS的实行与继续维护的情况，涉及： l 检查ISMS是否按照ISO/IEC 27001:2023的规定加以实行、维护和改善； l 评审ISMS文献和定期审核(涉及内部审核和监督审核)的结果； l 检查ISMS如何应对组织的业务与运营的变化； l 检查管理者对维护ISMS有效性的承诺情况。 4 信息安全管理体系 4.1总规定 4.2 建立和管理ISMS 4.2.1 建立ISMS 标准的规定审核内容审核记录注释与指南 a) 组织要定义ISMS的范围 l 组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”规定的符合性审核，要保证ISMS的定义不仅要涉及范围，也要涉及边界。对任何范围的删减，必须有具体说明和合法性理由。 l 是否有对任何范围的删减？ b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文献？规定明确规定ISMS方针的5个基本点，即ISMS方针要： 1) 涉及信息安全的目的框架、信息安全工作的总方向和原则； 2) 考虑业务规定、法律法规的规定和协议规定； 3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4) 建立风险评价准则； 5) 获得管理者批准。在对这个规定的符合性审核时，要保证组织的ISMS方针满足上述5个规定。还要注意到ISMS方针与信息安全方针的关系。 l 组织的ISMS方针文献是否满足ISO/IEC 27001:2023规定的5个基本点(见注释与指南栏)？ c) 组织要定义风险评估方法 l 组织是否有一个定义风险评估方法的文献？规定明确规定，“定义组织的风险评估方法”的工作(活动)要涉及： 1) 拟定风险评估方法，而这个评估方法要适合组织的ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定； 2) 制定接受风险的准则，拟定可接受的风险级别。在对规定的符合性审核时，要保证上述2个规定得到满足。 l 组织的风险评估方法是否适合ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定？ l 接受风险的准则是否已经拟定？并根据此准则，拟定了可接受的风险级别？ d) 组织要辨认安全风险 l 组织是否有一个辨认安全风险的过程？ “辨认安全风险”是一个过程(活动)。而这个过程要涉及： 1) 辨认组织ISMS范围内的资产及其负责人； 2) 辨认资产所面临的威胁； 3) 辨认也许被威胁运用的脆弱点； 4) 辨认资产保密性、完整性和可用性的丧失导致的影响。在对规定的符合性审核时，要保证“辨认安全风险”要涉及上述工作(活动)。 l 辨认安全风险的过程是否符合规定(参见“注释与指南”栏)？ e) 组织要分析和评价安全风险 l 组织是否有一个用于评估安全风险的过程？规定明确规定，“分析和评价安全风险”过程(活动)要涉及： 1) 评估安全破坏(涉及资产的保密性、完整性，或可用性的丧失的后果)也许产生的对组织的业务影响； 2) 评估由重要威胁和脆弱点导致的安全破坏的