信息安全管理体系审核检查表.doc

资源描述

信息安全管理体系审核指南标准规定的强制性ISMS文献强制性ISMS文献说明 (1) ISMS方针文献，涉及ISMS的范围根据标准“4.3.1”a)和b)的规定。 (2) 风险评估程序根据“4.3.1”d)和e)的规定, 要有形成文献的“风险评估方法的描述”和“风险评估报告”。为了减少文献量，可创建一个《风险评估程序》。该程序文献应涉及“风险评估方法的描述”，而其运营的结果应产生《风险评估报告》。 (3) 风险解决程序根据标准“4.3.1”f)的规定, 要有形成文献的“风险解决计划”。因此，可创建一个《风险解决程序》。该程序文献运营的结果应产生《风险解决计划》。 (4) 文献控制程序根据标准的“4.3.2文献控制”的规定，要有形成文献的“文献控制程序”。 (5) 记录控制程序根据标准的“4.3.3记录控制”的规定，要有形成文献的“记录控制程序”。 (6) 内部审核程序根据标准的“6内部ISMS审核”的规定，要有形成文献的“内部审核程序”。 (7) 纠正措施与防止措施程序根据标准的“8.2纠正措施”的规定，要有形成文献的“纠正措施程序”。根据 “8.3防止措施”的规定，要有形成文献的“防止措施程序”。“纠正措施程序”和“防止措施程序”通常可以合并成一个文献。 (8) 控制措施有效性的测量程序根据标准的“4.3.1 g)”的规定，要有形成文献的“控制措施有效性的测量程序”。 (9) 管理评审程序 “管理评审”过程不一定要形成文献，但最佳形成“管理评审程序”文献，以方便实际工作。 (9) 合用性声明根据标准的“4.3.1 i)” 的规定, 要有形成文献的合用性声明。审核重点第二阶段审核： a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，涉及如何： l 定义风险评估方法(参见4.2.1 c) l 辨认安全风险(参见4.2.1 d)) l 分析和评价安全风险(参见4.2.1 e) l 辨认和评价风险解决选择措施(参见的4.2.1 f) l 选择风险解决所需的控制目的和控制措施(参见4.2.1 g)) l 保证管理者正式批准所有残余风险(参见4.2.1 h) l 保证在ISMS实行和运营之前，获得管理者授权(参见的4.2.1 i)) l 准备合用性声明(参见4.2.1 j) b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(涉及抽样检查关键的过程是否到位)，至少涉及： l ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) l 控制措施有效性的测量(依照 4.3.1 g) l 内部ISMS审核(依照第6章“内部ISMS审核”) l 管理评审(依照第7章“ISMS的管理评审”) l ISMS改善(依照第8章“ISMS改善”)。 c) 检查管理者如何执行管理评审(涉及抽样检查关键的过程是否到位)，依照条款涉及： l 4.2.3监视与评审ISMS l 第7章“ISMS的管理评审”。 d) 检查管理者如何履行信息安全的职责(涉及抽样检查关键的过程是否到位)，依照条款涉及： l 4.2.3监视与评审ISMS l 5 管理职责 l 7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目的与控制措施、各种活动和职责，互相之间有如何连带关系 (也参见本文第8章“过程规定的符合性审核”)。监督审核： a) 上次审核发现的纠正/防止措施分析与执行情况； b) 内审与管理评审的实行情况； c) 管理体系的变更情况； d) 信息资产的变更与相应的风险评估和解决情况； e) 信息安全事故的解决和记录等。再认证审核： a) 检查组织的ISMS是否连续地全面地符合ISO/IEC 27001:2023的规定。 b) 评审在这个认证周期中ISMS的实行与继续维护的情况，涉及： l 检查ISMS是否按照ISO/IEC 27001:2023的规定加以实行、维护和改善； l 评审ISMS文献和定期审核(涉及内部审核和监督审核)的结果； l 检查ISMS如何应对组织的业务与运营的变化； l 检查管理者对维护ISMS有效性的承诺情况。 4 信息安全管理体系 4.1总规定 4.2 建立和管理ISMS 4.2.1 建立ISMS 标准的规定审核内容审核记录注释与指南 a) 组织要定义ISMS的范围 l 组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”规定的符合性审核，要保证ISMS的定义不仅要涉及范围，也要涉及边界。对任何范围的删减，必须有具体说明和合法性理由。 l 是否有对任何范围的删减？ b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文献？规定明确规定ISMS方针的5个基本点，即ISMS方针要： 1) 涉及信息安全的目的框架、信息安全工作的总方向和原则； 2) 考虑业务规定、法律法规的规定和协议规定； 3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4) 建立风险评价准则； 5) 获得管理者批准。在对这个规定的符合性审核时，要保证组织的ISMS方针满足上述5个规定。还要注意到ISMS方针与信息安全方针的关系。 l 组织的ISMS方针文献是否满足ISO/IEC 27001:2023规定的5个基本点(见注释与指南栏)？ c) 组织要定义风险评估方法 l 组织是否有一个定义风险评估方法的文献？规定明确规定，“定义组织的风险评估方法”的工作(活动)要涉及： 1) 拟定风险评估方法，而这个评估方法要适合组织的ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定； 2) 制定接受风险的准则，拟定可接受的风险级别。在对规定的符合性审核时，要保证上述2个规定得到满足。 l 组织的风险评估方法是否适合ISMS的规定、适合已拟定的组织的业务信息安全规定和法律法规规定？ l 接受风险的准则是否已经拟定？并根据此准则，拟定了可接受的风险级别？ d) 组织要辨认安全风险 l 组织是否有一个辨认安全风险的过程？ “辨认安全风险”是一个过程(活动)。而这个过程要涉及： 1) 辨认组织ISMS范围内的资产及其负责人； 2) 辨认资产所面临的威胁； 3) 辨认也许被威胁运用的脆弱点； 4) 辨认资产保密性、完整性和可用性的丧失导致的影响。在对规定的符合性审核时，要保证“辨认安全风险”要涉及上述工作(活动)。 l 辨认安全风险的过程是否符合规定(参见“注释与指南”栏)？ e) 组织要分析和评价安全风险 l 组织是否有一个用于评估安全风险的过程？规定明确规定，“分析和评价安全风险”过程(活动)要涉及： 1) 评估安全破坏(涉及资产的保密性、完整性，或可用性的丧失的后果)也许产生的对组织的业务影响； 2) 评估由重要威胁和脆弱点导致的安全破坏的现实也许性、对资产的影响和当前所实行的控制措施； 3) 估算风险的级别； 4) 拟定风险是否可接受，或者是否需要使用本组织的接受风险的准则进行解决。 “分析和评价安全风险”的结果应产生一个“风险评估报告”。在对规定的符合性审核时，要保证满足上述规定。 l 是否评估了安全破坏也许产生对组织的业务影响？ l 这个安全风险评估过程是否符合规定(参见“注释与指南栏”)？ f) 组织要辨认和评价风险解决选择措施 l 组织是否有一个用于辨认和评价风险解决选择措施的过程？规定明确规定，可选择的措施涉及： 1) 采用适当的控制措施； 2) 接受风险； 3) 避免风险； 4) 转移风险。在对规定的审核时，要保证组织有一个“辨认和评价风险解决选择措施”的过程，并考虑了上述4种也许的选择。 l 这个过程是否虑了4种也许的选择(参见“注释与指南栏”)？ g) 组织要选择风险解决所需的控制目的和控制措施 l 组织是否有一个用于选择ISO/IEC 27001:2023附录A的风险解决控制目的和控制措施的过程？ “选择风险解决所需的控制目的和控制措施”过程又包含3个具体规定： 1) 控制目的和控制措施要进行选择和实行，以满足风险评估和风险解决过程中所辨认的安全规定； 2) 控制目的和控制措施的选择要考虑接受风险的准则，以及法律法规规定和协议规定； 3) 附录A中的控制目的和控制措施要加以选择，作为此“选择风险解决所需的控制目的和控制措施”过程的一部分，以满足已辨认的安全需求。在对规定的审核时，要与本书第9章“控制目的和控制措施的审核”结合一起进行。最重要的是要保证所选择的控制目的和控制措施： l 符合风险评估与解决过程中已经辨认安全规定； l 符合接受风险准则的规定，以及法律法规的规定和协议的规定；假如附录A中的控制目的和控制措施合用于已辨认的安全规定，要加以选择，不要错漏。可参见本书第9章“控制目的和控制措施的审核”。 l 这个过程是否保证所选择的控制目的和控制措施满足相关规定(参见“注释与指南”栏)？ l 附录A的控制目的和控制措施是否都被选择？ l 假如不选择，是否有合法性理由？ l 是否选择了附录A以外的控制措施？ h) 组织要保证管理者正式批准所有残余风险 l 所有残余风险是否获得管理者正式批准？一方面要理解“残余风险”的意义。 i) 组织要保证在ISMS实行和运营之前，获得管理者授权 l ISMS实行和运营是否获得管理者授权？要检查是否有领导的签字(可参见后面 “4.3.2文献控制”的审核)。 j) 组织要准备合用性声明 l 组织是否有一个准备合用性声明的过程？规定明确规定,“合用性声明”必须至少涉及以下3项内容： 1) 所选择控制目的和控制措施，及其选择的理由； 2) 当前实行的控制目的和控制措施； 3) 附录A中任何控制目的和控制措施的删减，以及删减的合法性理由。在对规定审核时，最重要的是要保证： l “合用性声明”的内容至少具有上述3项； l 不选择的理由必须是合理的，或证明其是合法性的。由于附录A推荐的控制目的和控制措施是最佳实践，所以假如没有合法性理由，都要加以选择，要防止漏选。对规定的审核，可与后面“4.3.1总则”i)的审核和第9章“控制目的和控制措施的审核”结合一起进行。 l 合用性声明的内容是否有具有标准规定的“3项内容”(参见“注释与指南”栏)？ l 合用性声明是否记载附录A中任何控制目的和控制措施的删减，以及删减的合法性理由？ 4.2.2 实行与运营ISMS 标准规定审核内容审核记录注释与指南 a) 组织要制定风险解决计划 l 组织是否有一个符合标准此条款规定的产生风险解决计划文献的过程？规定明确规定，组织要有一个产生风险解决计划的过程或程序。而这个过程要拟定信息安全风险的管理措施、资源、职责和优先级。由于标准的第4章只是“计划”阶段，在标准第5章中将提出更具体的“资源”规定。对于“风险解决计划”，可与“4.3.1总则”条款的规定一起审核(见“4.3.1总则”f) 审核)。 l 是否有一个“风险解决计划”文献？ b) 组织要实行风险解决计划 l 组织是否有一个符合标准此条款规定的“实行风险解决计划”的过程？规定明确规定，组织要有一个“实行风险解决计划”的过程，或程序。而这个过程的目的是要达成已拟定的控制目的，涉及资金安排、角色和职责的分派。 c) 组织要实行所选择的控制措施 l 组织是否有一个符合标准此条款规定的“实行所选择的控制措施”的过程？规定明确规定，组织要有一个“实行所选择的控制措施”的过程，或程序，其目的是要满足控制目的。 d) 组织要定义如何测量所选控制措施的有效性 l 组织是否有一个“测量所选控制措施有效性”的过程？即组织要： 1) 定义如何测量所选控制措施的有效性，即要有一个“测量所选控制措施有效性”的过程； 2) 规定如何使用这些测量措施，对控制措施的有效性进行测量(或评估)；据此，管理者和员工就可以拟定所选控制措施是否实现原计划的控制目的，或实现的限度。在对这个规定的审核时，审核员必须检查受审核组织： Ø 是否有一个测量所选择控制措施有效性的“测量措施”； Ø 如何使用其测量措施进行测量； Ø 所选控制措施是否达成既定的控制目的。 Ø 可与4.2.3c)规定的规定同时审核 (参见“4.2.3 监视与评审ISMS”) l 如何使用测量措施，去测量控制措施的有效性？ e) 组织要实行培训和意识教育计划 l 组织是否有一个符合标准此条款规定的“实行培训和意识教育计划”的过程？对于实行ISMS的组织来说，很重要的事情是培训，使其员工了解标准的意图和信息安全的原理。因此在“实行与运营组织的ISMS”中，一方面要有“培训和意识教育计划”(参见“5.2.2培训、意识和能力”)。 f) 组织要管理ISMS的运营 l 组织是否有“管理ISMS的运营”的过程？规定明确规定, ISMS的运营需要管理。 g) 组织要管理ISMS的资源 l 组织是否有对ISMS实行所需要的资源进行管理的过程？规定明确规定, ISMS实行所需要的资源要加以管理(参见“5.2 资源管理”)。 h) 组织要实行组织的安全程序和其他控制措施 l 组织的ISMS是否有“迅速检测安全事件和对安全事故能做出迅速反映”的程序？规定规定，在“迅速检测安全事件和对安全事故能做出迅速反映”方面，要有相关的程序和控制措施(参见“4.2.3 监视与评审ISMS”a))。 4.2.3 监视与评审ISMS 标准规定审核内容审核记录注释与指南 a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”，以： 1) 迅速检测解决产生的错误； 2) 迅速辨认试图的和得逞的安全违规事件和事故； 3) 使管理者能拟定指定人员的安全活动或通过信息技术实行的安全活动是否如期执行； 4) 通过使用指示器，帮助检测安全事件并防止安全事故； 5) 拟定解决安全违规事件的措施是否有效？规定明确规定，求组织要有“监视与评审程序”，以达成以下5个目的： 1) 迅速检测解决产生的错误； 2) 迅速辨认试图的和得逞的安全违规事件和事故； 3) 使管理者能拟定指定人员的安全活动(或通过信息技术实行的安全活动)是否如期执行； 4) 通过使用指示器，帮助检测安全事件并防止安全事故； 5) 拟定解决安全违规事件的措施是否有效。在对规定的审核时，必须检查这些内容。 b) 组织要定期评审ISMS有效性 l 是否有符合此规定 “ISMS有效性的定期评审”的过程？规定明确规定，组织对ISMS的有效性，进行定期评审(涉及ISMS方针和目的的符合性评审、安全控制措施的有效性评审)。而在对ISMS有效性的定期评审时，要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。在对规定的审核时，要检查是否有相关的过程或活动。 c) 组织要测量控制措施的有效性 l 是否有到位的“测量控制措施的有效性” 的过程或程序？规定明确规定，组织在“监视和评审ISMS”中，要测量控制措施的有效性以验证安全规定是否得到满足。在对规定的审核时，要检查是否有“测量控制措施的有效性”的过程或程序。 d) 组织要评审风险评估 l 是否有到位的“评审风险评估” 的过程或程序？规定明确规定，组织在“监视和评审ISMS”中，要按照既定的时间间隔，评审风险评估、残余风险和已拟定的可接受的风险级别，要考虑以下方面的变化： 1) 组织； 2) 技术； 3) 业务目的和过程； 4) 已辨认的威胁； 5) 已实行的控制措施的有效性； 6) 外部事件，如法律法规环境的变化、协议义务的变化和社会环境的变化。在对规定的审核时，要检查是否有相关的过程或活动。 l “评审风险评估” 的过程是否考虑了“6方面的变化”(参见注释与指南)？ e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程序？规定明确规定，组织在“监视和评审ISMS”中，要按既定的时间间隔，执行ISMS内部审核。在对规定的审核时，要检查是否有“定期的ISMS内部审核”过程或程序。而对ISMS内部审核的符合性审核要按照标准第6章的规定执行。 f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序？这个规定明确规定，组织在“监视和评审ISMS”中，要按既定的时间间隔，执行ISMS管理评审。在对这个规定的审核时，要检查是否有定期的“ISMS管理评审”过程或程序。而对ISMS管理评审的符合性审核要按照标准的第7章的规定执行。 g) 组织要更新信息安全计划 l 组织是否参考监视和评审活动的发现，而“更新信息安全计划”？这个规定明确规定，组织要参考监视和评审活动的发现，更新安全计划。 h) 组织要维护ISMS事件和行动措施的纪录 l 是否有到位的“维护ISMS事件和行动措施的纪录”的过程？这个规定明确规定，组织要记录也许影响ISMS有效性的事件和所采用的措施。对这个规定的审核，可与标准的“4.3.3 记录控制”条款规定的审核一起进行。 4.2.4 保持与改善ISMS 标准规定审核内容审核记录注释与指南 a) 组织要实行ISMS改善 l 是否有到位的“实行ISMS改善”的过程？规定明确规定，组织对已辨认的ISMS改善点，要加以实行。对规定的符合性审核时，要保证有到位的“实行ISMS改善”的过程。 b) 组织要采用适当的纠正措施和防止措施 l 是否有到位的“纠正措施和防止措施”的过程？规定明确规定，组织有与标准的“8.2 纠正措施”条款和“8.3 防止措施”条款保持一致的“纠正措施和防止措施”的过程，并规定吸取其它组织和本组织的安全经验教训。对规定的审核，可与标准的“8.2 纠正措施”条款和“8.3 防止措施”条款的规定的审核一起进行。 l 是否有到位的吸取其它组织和本组织的安全经验教训的过程？ c) 组织要向所有相关方交流ISMS的措施和改善状况 l 是否有向所有相关方交流ISMS改善的过程？规定明确规定，组织要向所有相关方交流ISMS的行动措施和改善情况，保证有适当的详情说明，并取得一致意见。 d) 组织要保证ISMS的改善达成预期目的 l 是否有保证ISMS的改善达成了预期目的的过程？管理者要跟踪改善，直到达成了预期目的。 4.3 文献规定 4.3.1 总则标准规定审核内容审核记录注释与指南 1) ISMS文献要涉及管理决定的记录 l 是否ISMS文献涉及有管理决定的记录？在左栏所示的这3）个规定是在“4.3.1总则”条款开始的一个引言段中提出的。这里提出ISMS文献： 1) 必须涉及管理决定的记录； 2) 必须保证所采用的行动措施可追踪到管理决定和方针； 3) 必须保证已记录的结果是可再生的。这里明确了，展示三者(即所选择的控制措施、风险评估的结果、ISMS方针与目的)之间的关系的重要性。即从所选择控制措施可追溯到风险评估的结果，而从风险评估的结果又可追溯到ISMS方针与目的。 2) ISMS文献要保证所采用的措施可追踪到管理决定和方针 l 是否ISMS文献保证所采用的措施可追踪到管理决定和方针？ 3) ISMS文献要保证记录的结果是可再生的 l 是否ISMS文献保证记录的结果是可再生的？ a) ISMS文献要涉及ISMS方针与目的文献 l 是否有ISMS方针与目的文献？标准规定，ISMS文献要涉及9方面的文献(见本表从a)- i)栏)。其中，ISMS方针是最高级(或顶级)的文献。 b) ISMS文献要涉及ISMS的范围 l 是否有一个描述ISMS范围的文献？ l l 标准规定的ISMS文献内容不一定都要形成单一文献；某些相关的内容可合并在一起，而形成一个文献，也不会认为违反标准的规定。 l 在实际中，为了减少文献量，“ISMS的范围”常合并于ISMS方针文献。 l 参见表1-1 a) 。 c) ISMS文献要涉及支持ISMS的程序和控制措施 l 是否有支持ISMS的程序和控制措施？这里，只是泛泛地提出。“支持ISMS的程序和控制措施”涉及的内容很广。除了标准强制规定的程序文献外，还可有许多组织自主决定的文献。文献的内容可随组织的不同而有所不同。重要取决于: 1) 组织的业务活动及风险； 2) 安全规定的严格限度； 3) 管理体系的范围和复杂限度。组织需要哪些ISMS文献、控制措施及其复杂限度如何，通常可根据风险评估的结果而决定(参见第6章“6.3.1.1获得ISMS文献”)。 d) ISMS文献要涉及风险评估方法的描述 l 是否有描述风险评估方法的文献？ l l 与标准4.2.1c)条款的规定一致。 l 最佳的实践表白，“风险评估方法的描述”可合并于“风险评估程序”；而“风险评估程序”的运营结果又产生“风险评估报告”。 l 参见的表1-1 c)； l 参见“标准规定的强制性ISMS文献”。 e) ISMS文献要涉及风险评估报告 l 是否有可用的风险评估报告？ f) ISMS文献要涉及风险解决计划 l 是否有可用的风险解决计划？ l l 与标准4.2.2b)的规定一致； l 参见“标准规定的强制性ISMS文献”。 g) ISMS文献要涉及控制措施有效性的测量程序 l 是否有描述如何测量控制措施有效性的程序文献？ l l 与标准4.2.3 c的规定一致； l 参见“标准规定的强制性ISMS文献”。 h) ISMS文献要涉及本标准所规定的记录 l 是否有提供符合规定证据的记录？ l l “记录”的范围很广。事实上，每一个程序文献的运营结果都可以产生可作为证据的“记录”。 l 参见“4.3.3记录控制”。 i) ISMS文献要涉及合用性声明 l 是否有符合规定的合用性声明？参见表1-1 j)。 4.3.2文献控制标准规定审核内容审核记录注释与指南 1) ISMS所规定的文献要加以保护和控制是否有一个用于保护和控制ISMS文献的过程？规定是标准的“4.3.2文献控制”条款开始的一个引言段中提出的。这里只是泛泛地提出。事实上，“保护和控制ISMS文献的过程”可用“文献控制程序文献”进行控制。 2) ISMS文献控制程序要形成文献是否有一个形成文献的文献控制程序？ “形成文献的文献控制程序”一般称为“文献控制程序文献”。这个程序文献是标准规定的必须的ISMS文献之一。 “4.3.2文献控制”条款重要的规定是：建立一个“文献控制程序文献”，并对文献进行以下10方面控制(见下面a-j)。 a)“文献控制程序文献”要定义“文献发布前要得到批准” l 是否文献发布前要得到批准？在对这个“4.3.2文献控制”条款规定的审核时，重要检查: 1) 组织是否有一个用于控制ISMS文献的“文献控制程序文献”； 2) 组织的ISMS文献事实上是否受控； 3) 是否从“10方面”(a-j)控制ISMS文献。 b)“文献控制程序文献”要定义“必要时评审与更新文献，并再次获得批准” l 是否必要时评审与更新文献，并再次批准文献？ c)“文献控制程序文献”要定义“文献的更改和现行修订状态得到标记” l 是否文献的更改和现行修订状态得到标记？ d)“文献控制程序文献”要定义“在使用处可获得有关版本的合用文献” l 是否在使用处可获得有关版本的合用文献？ e) “文献控制程序文献”要定义“文献保持清楚、易于辨认” l 是否文献保持清楚、易于辨认？ f) “文献控制程序文献”要定义“文献可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁” l 是否文献可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁？ g) “文献控制程序文献”要定义“外来文献得到标记” l 是否外来文献得到标记？ h) “文献控制程序文献”要定义“文献的分发受控制” l 是否文献的分发受控制？ i) “文献控制程序文献”要定义“防止作废文献非预期使用” l 是否“防止作废文献非预期使用”？ j) “文献控制程序文献”要定义“对需要保存的作废文献做出适当的标记” l 是否“对需要保存的作废文献做出适当的标记”？ 4.3.3 记录控制标准规定审核内容审核记录注释与指南 a. 记录要加以建立与保持 l 是否有一个建立与保持记录的过程？记录是提供符合ISMS规定和有效运营客观证据的一种特殊类型的文献。记录需要建立与保持、保护与控制。 b. 记录要加以保护与控制 l 是否有一个保护与控制记录的过程？ c. ISMS要考虑相关法律法规规定和协议义务 l ISMS是否考虑了相关法律法规规定和协议义务？组织要提供证据(记录)，证明其ISMS考虑了相关法律法规规定和协议义务。 d. 记录要保持清楚、易于辨认和检索 l 记录是否保持清楚、易于辨认和检索？作为客观证据的记录，必须易于理解，不能模糊不清。 e. 记录的控制要形成文献, 并加以实行 l 记录的控制是否形成了文献？记录的控制涉及：记录的标记、贮存、保护、检索、保存期限和处置等。这些控制要形成文献，通常称为“记录控制程序文献”。 “记录控制程序文献”是必须要有的ISMS文献之一。 f. 记录要保存ISMS过程的执行情况，和所有重大安全事故的执行情况 l 记录是否保存了ISMS过程的执行情况？这里，ISMS过程是指ISO/IEC 27001:2023的 4.2条款所列出的过程，涉及ISMS的建立、实行与运营、监视与评审、保持和改善。所有这些过程的记录要加以保存，所有重大安全事故的纪录也要保存。 l 记录是否保存了所有重大安全事故的执行情况？ 5 管理职责 5.1 管理承诺标准规定审核内容审核记录注释与指南管理者要对ISMS的建立、实行与运营、监视与评审、保持和改善，做出承诺, 提供证据。 l 是否有一个保证管理者对ISMS的建立、实行与运营、监视与评审、保持和改善，做出承诺的过程？这里，“管理承诺”应理解为“最高管理者(层)的承诺”。 ISO/IEC 27001:2023标准认为，ISMS的成功运营需要管理者参与并做出承诺。因此标准规定最高管理层(涉及总经理和管理者代表等)展示出其如何支持(或承诺)ISMS建立、实行与运营、监视与评审、保持与改善，并提供8方面内容的证据，涉及： a) 制定ISMS方针； b) 保证建立ISMS目的和计划； c) 建立信息安全的角色和职责； d) 向该组织传达满足信息安全目的与符合信息安全方针的重要性、法律责任和连续改善的需要； e) 提供足够的资源； f) 决定接受风险的准则和风险的可接受级别准则； g) 保证ISMS内审的执行； h) 进行ISMS管理评审。 l 管理者提供承诺的证据是否涉及8方面的内容(见“注释与指南”栏)？ 5.2 资源管理 5.2.1 资源提供标准规定审核内容审核记录注释与指南组织要拟定和提供所需要的资源 l 管理者是否提供ISMS活动所需要的资源？这里ISMS活动涉及ISMS建立、实行与运营、监视与评审、保持和改善。 l 管理者是否提供保证信息安全程序支持业务规定所需要的资源？资源涉及人、财、物(如设备、工具和资料等)。 l 管理者是否提供满足法律法规规定、协议安全规定所需要的资源？ l 是否提供通过正的确施控制措施维护安全所需要的资源？ l 管理者是否提供必要的评审与对评审结果做出适当反映所需要的资源？ l 管理者是否提供改善ISMS有效性所需要的资源？ 5.2.2 培训、意识和能力标准规定审核内容审核记录注释与指南 a. 组织要保证分派有ISMS职责的所有人员都具有执行所规定任务的能力 l 是否有一个保证分派有ISMS职责的所有人员都具有完毕所规定任务的能力的过程？规定明确规定，保证分派有ISMS职责的所有人员都具有完毕其所规定任务的能力。这个过程涉及4个活动： a) 拟定所有ISMS人员所必要的能力； b) 提供培训，或采用其它措施(例如聘用有能力的人员)，以满足这些需要； c) 评价培训等措施的有效性； d) 保持教育、培训、技能、经历和资格的记录。在对规定的符合性审核时，要检查培训记录和相关证据。 b. 组织要保证所有相关人员意识到其信息安全活动的重要性 l 是否有一个保证所有相关人员都识到其信息安全活动的重要性的过程？规定明确规定，组织要保证所有相关人员意识到其信息安全活动的利害关系与重要性，并为达成ISMS目的做出奉献。在对规定的符合性审核时，可以抽查相关人员的安全意识。 6 内部ISMS审核标准规定审核内容审核记录注释与指南 (1) 定期进行内部ISMS审核 l 是否有一个定期进行内部ISMS审核的过程？规定明确规定，“组织要按照既定的时间间隔进行内部ISMS审核”。而内部审核的目的是拟定其ISMS的控制目的、控制措施、过程和程序是否： a) 符合本标准和相关法律法规的规定； b) 符合已拟定的信息安全规定； c) 得到有效地实行和保持； d) 按预期执行。在对规定符合性审核时，要保证上述规定得到满足。 (2) 制定审核方案 l 是否有一个审核方案？ l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果？规定明确规定，在进行内部审核之前，要制定“审核方案”。而这个审核方案要考虑受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果。 (3) 定义审核的准则、范围、频次和方法 l 审核的准则、范围、频次和方法是否认义? 在实际中，审核的准则、范围、频次和方法可以包含于审核方案或审核计划中。 (4) 审核员的选择，审核的实行要保证审核过程的客观公正 l 审核员的选择，审核的实行是否保证审核过程的客观公正？在这方面，应遵照本书第4章的规定执行。其中涉及“审核发现、审核结论和审核报告要真实和准确地反映审核活动”。 (5) 审核员不准审核自己的工作 l 是否审核员审核了自己的工作？要辨认内部审核员除了内审以外的其它工作。 (6) 形成内审程序文献 l 是否有定义内审职责和规定方面的内审程序文献？规定明确规定，内审的职责和规定(涉及审核的计划与实行、审核结果的报告、记录的保持等)必须以形成文献的程序加以定义。在对规定的符合性审核时，要保证上述规定得到满足。。 (7) 采用纠正措施 l 是否有一个保证受审部门的责任管理者及时采用措施，消除“已发现的不符合事项及其产生的因素”的过程？规定的意义涉及： 1) 受审部门的责任管理者要采用纠正措施； 2) 纠正措施要包含因素分析； 3) 纠正措施不能有不适当的延迟。在对规定的符合性审核时，要保证上述规定得到满足。 (8) 跟踪纠正措施 l 是否有一个对纠正措施的跟踪活动？ “跟踪纠正措施”是受审部门责任管理者的职责，涉及： 1) 要跟踪和验证纠正措施，直到真正获得贯彻； 2) 要报告跟踪和验证的结果。 l 跟踪活动是否涉及验证和验证结果的报告？ 7 ISMS的管理评审 7.1 总则标准规定审核内容审核记录注释与指南 (1) 管理者要每年至少评审1次ISMS l 是否有一个保证最高管理者每年至少评审1次ISMS的过程？管理评审的目的是保证ISMS连续的适宜性、充足性和有效性。为了保证最高管理者每年至少评审1次ISMS，最佳的实践是通过使用一个“管理评审程序文献”进行控制。“管理评审程序文献”也控制相关的管理评审过程，以满足标准的规定。但是，标准没有明确规定一定要有一个形成文献的“管理评审程序”。因此，在审核时，重要是要保证有符合规定的评审过程。 l 是否检查了ISMS的实行情况，以保证ISMS连续的适宜性、充足性和有效性？ (2) 评审要涉及评估改善的机会和变更ISMS的需要 l 在管理评审时，是否评估了ISMS（涉及信息安全方针和信息安全目的）改善的机会和变更的需要？在运营期间，操作者是不能任意变更ISMS的。ISMS的改善和变更，只能通过最高管理者对ISNS的评审，做出评审决定后，才干执行。因此管理评审时，要有这方面的评估。 (3)评审的结果要形成文献 l 评审结果是否形成了文献？审核员在进行“ISMS的管理评审”的审核时，必须按标准“4.3.3 记录控制”条款的规定，检查评审结果和相关的评审的记录。 (4)评审的记录要加以保持 l 记录是否按照“记录控制”的规定加以保持？ 7.2 评审输入标准规定审核内容审核记录注释与指南 a) 管理评审的输入要涉及审核和评审结果 l 是否有一个保证管理评审的输入涉及标准规定的9方面信息的过程？在审核时，审核员应一方面检查组织如何保证满足标准规定的9方面管理评审的输入信息(见本表的a-i)。 l 是否管理评审的输入涉及先前的审核和评审结果？审核员应检查管理评审的输入是否涉及先前的审核(涉及内审和外审)和管理评审的结果。 b)管理评审的输入要涉及相关方的反馈 l 是否管理评审的输入涉及相关方的反馈？审核员应检查管理评审的输入是否涉及相关方(如顾客和相关人员)的反馈，涉及意见、抱怨和评论等。 c)管理评审的输入要涉及可用于改善ISMS的技术、产品或程序 l 是否管理评审的输入涉及可用于改善ISMS的技术、产品或程序？审核员应检查管理评审的输入是否涉及可用于改善ISMS有效性的技术、产品或程序。 d)管理评审的输入要涉及防止和纠正措施的状况 l 是否管理评审的输入涉及防止和纠正措施的状况？审核员应检查管理评审的输入是否涉及先前的防止措施和纠正措施的情况，涉及查相关记录。 e)管理评审的输入要涉及以往风险评估没有充足解决的脆弱点或威胁 l 是否管理评审的输入涉及防止和纠正措施的状况？审核员应检查管理评审的输入是否涉及在先前的风险评估期间，没有充足解决的安全问题。 f)管理评审的输入要涉及有效性测量的结果 l 是否管理评审的输入涉及ISMS有效性的测量结果？审核员应检查管理评审的输入是否涉及在先前对ISMS的有效性的测量结果。 g)管理评审的输入要涉及以往管理评审的跟踪措施 l 是否管理评审的输入涉及以往管理评审的跟踪措施？审核员应检查管理评审的输入是否涉及以往管理评审的跟踪措施，涉及对以往管理评审结果的贯彻、

展开阅读全文