ISMS 内审员培训课件

培训目的-

了解体系审核的基本概念

掌握ISMS内部审核流程

掌握ISMS内部审核方法与技巧

二 培训内容

审核概论

审核策划与准备

审核实施纠正及其跟踪

ISMS评价

ISMS内审员相关知识 一、ISMS内审员的定义

ISMS(信息安全管理体系)内审员是被委派实施信息安全管理体系内部审核的人员。他们需要对ISMS相关的标准、流程等有深入理解,从而能够开展审核工作,确保组织的信息安全管理体系建立、实施、运行、保持和改进活动的有效性与符合性。

二、ISMS内审员的资格要求

  • 培训经历:须参加信息管理体系内审员培训并获得内审员培训合格证书。
  • 综合素质:包括个人的综合素质、教育、工作经历、审核经历等多方面能力的组合,这些能力能证实其可作为审核员被委派实施审核工作。
三、ISMS内审员在审核中的工作内容 (一)审核前
  1. 审核策划与准备明确审核决定:确定审核目的(如确保信息安全管理体系的有效性与符合性)、审核时间、审核方式(例如集中式审核)等。确认审核组审核员要具备资格,保持审核的客观性与公正性,确定审核组长负责审核全过程及审核组管理工作,审核员在组长安排下实施审核。文件审核:了解体系中的所有过程是否得到识别并适当管理,了解过程文件满足审核准则程度,审核的依据包括信息安全管理体系程序文件、ISMS标准、合同、法律法规等,文件审核一般在现场审核前进行(部分如信息安全管理体系管理制度、办法、计划及指导书等也可在现场审核时进行)。编制审核计划:需考虑组织的大小和性质、体系覆盖员工数量、体系所涉及的范围、体系所涉及地点等因素。编制审核检查表作用:明确与审核目标有关的样本、确保审核程序规范化、使审核目标始终明确、保持审核进度、减少重复或不必要工作量、减少内审员偏见或随意性。原则:对照标准和ISMS文件编制、部门与过程相对应、选择典型信息安全问题且抽样有代表性、注意逻辑顺序明确审核步骤。使用时自己掌握,不必向受审方出示。
(二)审核实施
  1. 审核方法顺向追踪取证:从影响信息安全的因素跟踪到结束,按照业务流程自然顺序,从文件要求跟踪到执行记录,优点是系统连贯性强,可确认系统衔接整体情况,缺点是费时。逆向追踪取证:从已形成的结果追溯到影响因素的控制,按照业务流程逆向顺序,从现场记录查询到文件要求,优点是从结果找问题针对性强,有利于发现问题,缺点是问题复杂时不易理清,对审核知识面要求较高。独立审核(部门审核):以单个部门为中心,审核所涉及的相关职能业务和部门所涉及条款,优点是节约时间,缺点是缺乏系统性衔接,可能存在疏漏,审核准备时需充分考虑相关因素,过程审核思路要清晰,审核组内部沟通要求高。过程审核(按条款审核):以过程为中心进行审核。
  2. 审核过程控制审核计划的控制:审核活动的控制要抽样合理(一到三个)、辨别关键过程、评定主要因素、重视控制结果、注意相关影响、营造良好气氛。审核结果的控制:合格与不合格要以事实为基础,不合格事实要得到受审核方确认,组内须相互沟通,保持统一意见。
(三)审核后
  1. 纠正及其跟踪:对审核中发现的问题推动受审核方进行纠正,并跟踪纠正措施的执行情况,确保信息安全管理体系持续改进。
  2. ISMS评价:基于审核结果对整个信息安全管理体系进行评价,例如得出像“体系已经初步建立并运行,但尚须不断完善和改进”这样的结论,明确体系在人员意识、实施贯彻力度、资产识别、管理流程等方面存在的问题,并提出改进方向,如加大宣贯力度、加强检查监督、更新资产调查清单等措施以不断改进整个体系。
四、ISMS内审的目的

通过内部审核对组织内部的信息安全管理体系进行自我审查改进,确定体系满足审核准则(如ISO/IEC27001:2022标准、信息安全管理体系手册、信息安全策略和客户的信息安全管理体系要求、与信息安全相关的法律法规等)的程度,发现体系运行中的问题并加以改进,确保体系的有效性和符合性。

五、ISMS内审的时机、范围及频度

  • 时机、频度按计划时间间隔进行;在最初建立体系时频度可适当多一些;特殊情况如发生重大信息安全事件或用户重大投诉、组织机构、场地、信息方针、目标等发生了变化、接受第二、三方审核前也需要进行内审。
  • 范围审核的范围通常包括对地理位置、组织单元、活动和过程以及被覆盖的时间段的表述。