资源预览内容
第1页 / 共23页
第2页 / 共23页
第3页 / 共23页
第4页 / 共23页
第5页 / 共23页
第6页 / 共23页
第7页 / 共23页
第8页 / 共23页
第9页 / 共23页
第10页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
GB/T 发布中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会-实施-发布信息安全管理体系审核指南Guidelines for Information Security Management Systems Auditing (征求意见稿)GB/T 中华人民共和国国家标准ICS 35,040L 801 GB/T 目 次I前 言本标准由全国信息安全标准化技术委员会提出并归口;本标准起草单位:本标准主要起草人:。引 言GB/T22080-2008/ISO/IEC 27001:2005是基于过程的。标准的4 - 8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如,GB/T22080-2008/ISO/IEC 27001:2005标准的5-8章:“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”,可以看作构成ISMS管理体系的相互关系的大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC 27001:2005标准建议:组织使用PDCA模型,构建ISMS过程。这意味着,每一个过程都应有P(即计划),D(即实施、运行与维护),C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员 (包括内部审核员和外部审核员)执行ISMS审核提供指南,以确保ISMS审核:l 既能符合GB/T 22080-2008/ISO/IEC 27001:2005标准的要求,又能与GB/T19011 -2003/ISO 19011:2002和ISO/IEC 27006标准保持一致;l 成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。 本标准为审核方案管理、内部和外部ISMS 审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者,包括审核员、实施ISMS 的组织,因合同原因需要对ISMS 实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。 本标准旨在提供能够灵活运用的指南。如标准中多处所述,这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式,针对特定的问题提供了补充指南或示例。在某些情况下,这些内容旨在为小型组织使用本标准提供支持。第4章描述了审核的原则,这些原则帮助使用者认识审核的基本性质,是第5,6,7 章所必要的序言。第5章提供了管理审核方案的指南,覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源等内容。 第6章提供了ISMS审核的指南,包括审核组的选择。第7章提供了审核员所需能力的指南,描述了评价审核员的过程。 附录还提供了基于业务流程审核的指南和针对27001具体条款的审核指南。当ISMS 与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进行还是一起进行。 本标准仅提供指南,但使用者可以应用该指南制定自己与审核有关的要求。此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发现本标准中的指南是有用的。信息安全管理体系审核指南1.范围本标准为审核原则、审核方案管理、信息安全管理体系(ISMS)审核的实施提供了指南,也对审核员的能力提供了指南。本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。2. 规范性引用文件下列参考文件对于本文件的应用是必不可少的,其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。GB/T 22080-2008/ISO/IEC 27001:2005, 信息技术 安全技术 信息安全管理体系要求GB/T 22081-2008/ISO/IEC 27002:2005, 信息技术 安全技术 信息安全管理实用规则ISO/IEC 27006:2005, 信息技术 安全技术 信息安全管理体系审核认证机构要求GB/T 27021-2007/ISO/IEC 17021:2005, 合格评定管理体系审核认证机构的要求 GB/T 19000-2005/ISO 9000:2005 质量管理体系 基础和术语GB/T 19011-2003/ISO 19011:2002质量和(或)环境管理体系审核指南3. 术语和定义 本标准接受包括GB/T 19000-2000/ISO9000;GB/T 19011-2003/ ISO 19011:2002、GB/T 22080-2008/ ISO/IEC 27001:2005和GB/T 22081-2008/ ISO/IEC 27002:2005标准的相关术语和定义。 4. 审核原则4.1 审核原则直接采用GB/T 19011-2003/ISO19011:2002的第4章。5.审核方案的管理5.1 总则在采用GB/T 19011-2003/ISO19011:2002的第5章5.1的基础上,补充如下。审核方案的权限(5.1) 审核方案的制定(5.2 5.3)目标和内容 策划 职责 资源 程序审核员能力和评价(7)审核活动(6)审核方案的改进(5.6) 审核方案的实施处置(5.4, 5.5) 安排审核日程实施评价审核员选择审核组指导审核活动保持记录 检查审核方案的监视和评审(5.6)监视和评审识别纠正和预防措施的需求识别改进的机会图1审核方案管理流程示图注1:图1说明了策划实施检查处置(PDCA)方法在本条准的应用。注2:图中及下文图表中的数字指的是本标准的相关条款。实用帮助审核方案的示例审核方案的例子包括:a) 覆盖组织信息安全管理管理体系的当年的一系列的内部审核;b)在六个月内对存在信息安全高风险的潜在供方的信息安全管理管理体系进行的第二方审核。c) 在认证机构和委托方之间合同规定的时间周期内,由第三方认证/注册机构对组织的信息安全管理体系进行的认证/注册和监督审核。审核方案还包括为实施审核方案中的审核进行适当的策划、提供资源和制定程序。5.1.1 IS 5.1 总则针对信息安全管理体系的审核需要考虑组织的基于业务的信息安全风险和该类组织的审核风险级别(参见附件:业务范围风险级别表)。5.2 审核方案的目的和内容5.2.1 审核方案的目的在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.1的基础上,补充如下。5.2.1.1 IS 5.2.1 审核方案的目的针对信息安全管理体系审核方案的目的还需要特别考虑: a) 信息安全的要求;(a) 来自组织业务风险评估结果的要求;(b) 来自法律法规和合同的要求;(c) 来自新技术、新措施的应用的要求;b) 信息安全测量;c) 信息安全的监视与评审;d) 以往的审核结果;e) 组织的确定的方针、策略和过程。5.2.2 审核方案的内容在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.2的基础上,补充如下。5.2.2.1 IS 5.2.2 审核方案的内容针对信息安全管理体系审核方案的内容还需要特别考虑: a) 信息安全风险管理的要求;(a) 风险处理的优先秩序;(b) 风险的潜在原因;b) 信息安全相关法律、法规的特殊要求;(a) 密码管理的要求;(b) 保密管理的要求;(c) 等级保护的要求;(d) 知识产权保护的要求;(e) 行业管理的特殊要求。c) 组织信息安全管理体系认证的风险级别。5.3 审核方案的职责、资源和程序5.3.1 审核方案的职责在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.1的基础上,补充如下。5.3.1.1 IS 5.3.1 审核方案的职责针对信息安全管理体系审核方案的职责还需要特别考虑管理审核方案人员应具有必要的信息安全相关知识,特别是对信息安全风险管理有深入了解。 a) 考虑组织的业务连续性要求;b) 注意组织对保密方面的要求;5.3.2 审核方案的资源在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.2的基础上,补充如下。5.3.2.1 IS 5.3.2 审核方案的资源针对信息安全管理体系审核方案的资源还需要特别考虑审核人员应具有必要的信息安全相关知识,特别是对信息安全风险管理有深入了解,即审核员可以信任审核专家工作。 a) 必要的信息安全审核专用工具的准备;b) 被审核组织的信息安全要求带来的相关对审核人员能力要求;5.3.3 审核方案的程序在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.3的基础上,补充如下。5.3.3.1 IS 5.3.3 审核方案的程序针对信息安全管理体系审核方案的程序还需要特别考虑审核员和审核组长应具有必要的信息安全相关知识,特别是对信息安全风险管理有深入了解。 a) 审核组成员的选择需要充分考虑其专业领域的背景情况;b) 实施审核要充分注意被审核方的业务特性;5.4 审核方案的实施在采用GB/T 19011-2003/ISO19011:2002的第5章5.4的基础上,补充如下。5.4. 1 IS 5.4 审核方案的实施针对信息安全管理体系审核方案的实施还需要特别考虑在审核方案的维护过程中应考虑信息安全风险评估的变化。5.5 审核方案的记录直接采用GB/T 19011-2003/ISO19011:2002的第5章的5.5节。5.6 审核方案的监视和评审直接采用GB/T 19011-2003/ISO19011:2002的第5章的5.6节。6. 审核活动6.1 总则在采用GB/T 19011-2003/ISO19011:2002的第6章6.1的基础上,补充如下。6.1.1 IS 6.1 总则针对信息安全管理体系审核活动的总则还需要特别考虑被审核组织的业务流程和连续性要求。6.2 审核的启动6.2.1 指定审核组长在采用GB/T 19011-2003/ISO19011:2002的第6章6.2.1的基础上,补充如下。6.2.1.1 IS 6.2.1 指定审核组长针对信息安全管理体系审核活动的中指定审核组长需要特别提出制定的审核组长需要有相应的能力,特别是对新的应
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号