信息安全管理体系审核指南
标准要求的强制性ISMS文件
强制性ISMS文件 (2) 风险评估程序 说明 根据“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生《风险评估报告》。 根据标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此,可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。 根据标准的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。 根据标准的“4.3.3记录控制”的要求,要有形成文件的“记录控制程序”。 根据标准的“6内部ISMS审核”的要求,要有形成文件的“内部审核程序”。 根据标准的“8.2纠正措施”的要求,要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。 根据标准的“4.3.1 g)”的要求,要有形成文件的“控制措施有效性的测量程序”。 “管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。 根据标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。 (1) ISMS方针文件,包括ISMS的范围 根据标准“4.3.1”a)和b)的要求。 (3) 风险处理程序 (4) 文件控制程序 (5) 记录控制程序 (6) 内部审核程序 (7) 纠正措施与预防措施程序 (8) 控制措施有效性的测量程序 (9) 管理评审程序 (9) 适用性声明
1
审核重点
第二阶段审核: a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:
? 定义风险评估方法(参见4.2.1 c) ? 识别安全风险(参见4.2.1 d))
? 分析和评价安全风险(参见4.2.1 e)
? 识别和评价风险处理选择措施(参见的4.2.1 f)
? 选择风险处理所需的控制目标和控制措施(参见4.2.1 g)) ? 确保管理者正式批准所有残余风险(参见4.2.1 h)
? 确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1 i)) ? 准备适用性声明(参见4.2.1 j) b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到 位),至少包括:
? ISMS监视与评审(依照4.2.3监视与评审ISMS”条款) ? 控制措施有效性的测量(依照 4.3.1 g)
? 内部ISMS审核(依照第6章“内部ISMS审核”) ? 管理评审(依照第7章“ISMS的管理评审”) ? ISMS改进(依照第8章“ISMS改进”)。 c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括:
? 4.2.3监视与评审ISMS ? 第7章“ISMS的管理评审”。 d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:
? 4.2.3监视与评审ISMS ? 5 管理职责
? 7 ISMS的管理评审 e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系 (也参见本文第8章“过程要求的符合性审核”)。
监督审核:
a) 上次审核发现的纠正/预防措施分析与执行情况; b) 内审与管理评审的实施情况; c) 管理体系的变更情况; d) 信息资产的变更与相应的风险评估和处理情况; e) 信息安全事故的处理和记录等。
再认证审核:
a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。 b) 评审在这个认证周期中ISMS的实施与继续维护的情况,包括:
? 检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进; ? 评审ISMS文件和定期审核(包括内部审核和监督审核)的结果; ? 检查ISMS如何应对组织的业务与运行的变化; ? 检验管理者对维护ISMS有效性的承诺情况。
2
4 信息安全管理体系 4.1总要求
4.2 建立和管理ISMS 4.2.1 建立ISMS 标准的要求 a) 组织要定义ISMS的范围 b) 组织要定义ISMS方针 审核内容 ? 组织是否有一个定义ISMS范围的过程? ? 是否有对任何范围的删减? ? 组织是否有一个ISMS方针文件? ? 组织的ISMS方针文件是否满足ISO/IEC 27001:2005规定的5个基本点(见注释与指南栏)? 审核记录 注释与指南 对“定义ISMS的范围”要求的符合性审核,要确保ISMS的定义不仅要包括范围,也要包括边界。对任何范围的删减,必须有详细说明和正当性理由。 要求明确规定ISMS方针的5个基本点,即ISMS方针要: 1) 包括信息安全的目标框架、信息安全工作的总方向和原则; 2) 考虑业务要求、法律法规的要求和合同要求; 3) 与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致; 4) 建立风险评价准则; 5) 获得管理者批准。 在对这个要求的符合性审核时,要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。 要求明确规定,“定义组织的风险评估方法”的工作(活动)要包括: 1) 确定风险评估方法,而这个评估方法要适合组织的ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求; 2) 制定接受风险的准则,确定可接受的风险级别。 c) 组织要定义风险评估方法 ? 组织是否有一个定义风险评估方法的文件? ? 组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求? 1
? 接受风险的准则是否已经确定?并根据此准则,确定了可接受的风险级别? d) 组织要识别安全风险 ? 组织是否有一个识别安全风险的过程? ? 识别安全风险的过程是否符合规定(参见“注释与指南”栏)? 在对要求的符合性审核时,要确保上述2个要求得到满足。 “识别安全风险”是一个过程(活动)。而这个过程要包括: 1) 识别组织ISMS范围内的资产及其责任人; 2) 识别资产所面临的威胁; 3) 识别可能被威胁利用的脆弱点; 4) 识别资产保密性、完整性和可用性的丧失造成的影响。 在对要求的符合性审核时,要确保“识别安全风险”要包括上述工作(活动)。 要求明确规定,“分析和评价安全风险”过程(活动)要包括: 1) 评估安全破坏(包括资产的保密性、完整性,或可用性的丧失的后果)可能产生的对组织的业务影响; 2) 评估由主要威胁和脆弱点导致的安全破坏的现实可能性、对资产的影响和当前所实施的控制措施; 3) 估算风险的级别; 4) 确定风险是否可接受,或者是否需要使用本组织的接受风险的准则进行处理。 “分析和评价安全风险”的结果应产生一个“风险评估报告”。在对要求的符合性审核时,要确保满足上述要求。 要求明确规定,可选择的措施包括: 1) 采用适当的控制措施; 2) 接受风险; e) 组织要分析和评价? 组织是否有一个用于安全风险 评估安全风险的过程? ? 是否评估了安全破坏可能产生对组织的业务影响? ? 这个安全风险评估过程是否符合规定(参见“注释与指南栏”)? f) 组织要识别和评价? 组织是否有一个用于识风险处理选择措施 别和评价风险处理选择措施 的过程? 2
? 这个过程是否虑了4种可能的选择(参见“注释与指南栏”)? 3) 避免风险; 4) 转移风险。 在对要求的审核时, 要确保组织有一个“识别和评价风险处理选择措施”的过程,并考虑了上述4种可能的选择。 “选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求: 1) 控制目标和控制措施要进行选择和实施,以满足风险评估和风险处理过程中所识别的安全要求; 2) 控制目标和控制措施的选择要考虑接受风险的准则,以及法律法规要求和合同要求; 3) 附录A中的控制目标和控制措施要加以选择,作为此“选择风险处理所需的控制目标和控制措施”过程的一部分,以满足已识别的安全需求。 在对要求的审核时,要与本书第9章“控制目标和控制措施的审核”结合一起进行。最重要的是要确保所选择的控制目标和控制措施: ? 符合风险评估与处理过程中已经识别安全要求; ? 符合接受风险准则的要求,以及法律法规的要求和合同的要求; 如果附录A中的控制目标和控制措施适用于已识别的安全要求,要加以选择,不要错漏。 可参见本书第9章“控制目标和控制措施的审核”。 首先要理解“残余风险”的意义。 g) 组织要选择风险处? 组织是否有一个用于理所需的控制目标和选择ISO/IEC 27001:2005控制措施 附录A的风险处理控制目标和控制措施的过程? ? 这个过程是否确保所选择的控制目标和控制措施满足相关要求(参见“注释与指南”栏)? ? 附录A的控制目标和控制措施是否都被选择? ? 如果不选择,是否有正当性理由? ? 是否选择了附录A以外的控制措施? h) 组织要确保管理者? 所有残余风险是否获得正式批准所有残余风管理者正式批准? 险 3
信息安全管理体系审核检查表
