信息安全管理体系审核检查表

《信息安全管理体系审核检查表》由会员分享，可在线阅读，更多相关《信息安全管理体系审核检查表（46页珍藏版）》请在装配图网上搜索。

1、信息安全管理体系审核指南标准要求的强制性ISMS文件强制性ISMS文件说明（1） ISMS方针文件，包括ISMS的范 围根据标准“4.31a）和b）的要求。（2）风险评估程序根据“4.31d）和e）的要求，要有形成文件的“风险评 估方法的描述”和“风险评估报告”。为了减少文件量，可 创建一个风险评估程序该程序文件应包括“风险评估 方法的描述”，而其运行的结果应产生风险评估报告（3）风险处理程序根据标准“4.3。1” f）的要求，要有形成文件的“风险处 理计划”。因此，可创建一个风险处理程序该程序文件 运行的结果应产生风险处理计划（4）文件控制程序根据标准的“4.3。2文件控制”的要求，要有形成

2、文件的 “文件控制程序” （5）记录控制程序根据标准的“4。3.3记录控制的要求，要有形成文件的“记 录控制程序” （6）内部审核程序根据标准的“6内部ISMS审核”的要求，要有形成文件的 “内部审核程序”。（7）纠正措施与预防措施程序根据标准的“8。2纠正措施的要求，要有形成文件的“纠 正措施程序”。根据“8.3预防措施”的要求，要有形成文 件的“预防措施程序”“纠正措施程序”和“预防措施程序” 通常可以合并成一个文件。（8）控制措施有效性的测量程序根据标准的“4。3。1 g）”的要求，要有形成文件的“控 制措施有效性的测量程序（9）管理评审程序“管理评审”过程不一定要形成文件，但最好形成“

3、管理评 审程序”文件，以方便实际工作。（9）适用性声明根据标准的“4.3.1 i）”的要求，要有形成文件的适用 性声明。审核重点第二阶段审核：a）检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何:定义风险评估方法（参见4.2。1 c）识别安全风险（参见4.2.1 d）内部ISMS审核（依照第6章“内部ISMS审核”）管理评审（依照第7章“ISMS的管理评审） ISMS改进（依照第8章“ISMS改进”）。c）检查管理者如何执行管理评审（包括抽样检查关键的过程是否到位），依照条款包括： 4。2.3监视与评审ISMS第7章“ISMS的管理评审”.d）检查管理者如何履行信息安全的职责（

4、包括抽样检查关键的过程是否到位），依照条款包 括： 4.2.3监视与评审ISMS5 管理职责 7 ISMS的管理评审e）检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责相互之间有如何 连带关系（也参见本文第8章“过程要求的符合性审核”） 。监督审核:a）上次审核发现的纠正/预防措施分析与执行情况；b）内审与管理评审的实施情况；c）管理体系的变更情况；d）信息资产的变更与相应的风险评估和处理情况；e）信息安全事故的处理和记录等.再认证审核:a）检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求.b）评审在这个认证周期中ISMS的实施与继续维护的情况，包

5、括：检查ISMS是否按照IS0/IEC 27001： 2005的要求加以实施、维护和改进；评审ISMS文件和定期审核（包括内部审核和监督审核）的结果；检查ISMS如何应对组织的业务与运行的变化；检验管理者对维护ISMS有效性的承诺情况。4 信息安全管理体系4.1 总要求4.2 建立和管理 ISMS4.2。1 建立 ISMS标准的要求审核内容审核记录注释与指南a）组织要定义ISMS 的范围 组织是否有一个定义ISMS范围的过程？对“定义ISMS的范围”要求的符合性审核，要确 保ISMS的定义不仅要包括范围，也要包括边界。对 任何范围的删减，必须有详细说明和正当性理由。 是否有对任何范围的删 减？

6、b）组织要定义ISMS 方针 组织是否有一个ISMS 方针文件？要求明确规定ISMS方针的5个基本点，即ISMS 方针要：1）包括信息安全的目标框架、信息安全工作的总 方向和原则；2）考虑业务要求、法律法规的要求和合同要求；3）与组织开发与维护ISMS的战略性风险管理，结合 起或保扌寸致；4）建立风险评价准则；5）获得管理者批准。在对这个要求的符合性审核时,要确保组织的 ISMS方针满足上述5个要求。还要注意到ISMS方 针与信息安全方针的关系。 组织的ISMS方针文件 是否满足ISO/IEC 27001:2005规定的5个基 本点（见注释与指南栏）？c）组织要定义风险 评估方法 组织是否有一

7、个定义 风险评估方法的文件？要求明确规定，“定义组织的风险评估方法”的工 作（活动）要包括：1）确定风险评估方法,而这个评估方法要适合组织 的ISMS的要求、适合已确定的组织的业务信息安全 要求和法律法规要求；2）制定接受风险的准则，确定可接受的风险级别。 组织的风险评估方法是 否适合ISMS的要求、适合已 确定的组织的业务信息安全 要求和法律法规要求？ 接受风险的准则是否已 经确定？并根据此准则，确 定了可接受的风险级别？在对要求的符合性审核时，要确保上述2个要求 得到满足.d）组织要识别安全 风险 组织是否有一个识别安 全风险的过程？“识别安全风险”是一个过程（活动）。而这个过程 要包括：

8、1）识别组织ISMS范围内的资产及其责任人；2）识别资产所面临的威胁；3）识别可能被威胁利用的脆弱点；4）识别资产保密性、完整性和可用性的丧失造成的 影响。在对要求的符合性审核时，要确保“识别安全风 险”要包括上述工作（活动）。 识别安全风险的过程 是否符合规定（参见“注释 与指南”栏）？e）组织要分析和评价 安全风险 组织是否有一个用于 评估安全风险的过程？要求明确规定，“分析和评价安全风险”过程（活 动）要包括：1）评估安全破坏（包括资产的保密性、完整性，或可 用性的丧失的后果）可能产生的对组织的业务影响；2）评估由主要威胁和脆弱点导致的安全破坏的现实 可能性、对资产的影响和当前所实施的控

9、制措施；3）估算风险的级别；4）确定风险是否可接受，或者是否需要使用本组织 的接受风险的准则进行处理。“分析和评价安全风险”的结果应产生一个“风险 评估报告”。在对要求的符合性审核时，要确保满足 上述要求。 是否评估了安全破坏可 能产生对组织的业务影响？ 这个安全风险评估过 程是否符合规定（参见“注 释与指南栏）？f）组织要识别和评价 风险处理选择措施 组织是否有一个用于识 别和评价风险处理选择措施 的过程？要求明确规定，可选择的措施包括：1）采用适当的控制措施；2）接受风险； 这个过程是否虑了4种 可能的选择（参见“注释与 指南栏”）？3）避免风险；4）转移风险。在对要求的审核时，要确保组织

10、有一个“识别和 评价风险处理选择措施”的过程，并考虑了上述4 种可能的选择.g）组织要选择风险处 理所需的控制目标和 控制措施组织是否有一个用于选择 ISO/IEC 27001： 2005 附录A的风险处理控制目标 和控制措施的过程？“选择风险处理所需的控制目标和控制措施”过程 又包含3个具体要求：1）控制目标和控制措施要进行选择和实施，以满 足风险评估和风险处理过程中所识别的安全要求；2）控制目标和控制措施的选择要考虑接受风险的 准则，以及法律法规要求和合同要求；3）附录A中的控制目标和控制措施要加以选择， 作为此“选择风险处理所需的控制目标和控制措施” 过程的一部分，以满足已识别的安全需求

11、.在对要求的审核时，要与本书第9章“控制目标和 控制措施的审核”结合一起进行。最重要的是要确保 所选择的控制目标和控制措施：符合风险评估与处理过程中已经识别安全要求;符合接受风险准则的要求，以及法律法规的要 求和合同的要求；如果附录A中的控制目标和控制措施适用于已识 别的安全要求，要加以选择，不要错漏.可参见本书第9章“控制目标和控制措施的审核”。 这个过程是否确保所 选择的控制目标和控制措 施满足相关要求（参见“注 释与指南”栏）？ 附录A的控制目标和控 制措施是否都被选择？ 如果不选择，是否有正 当性理由？ 是否选择了附录A以外 的控制措施？h）组织要确保管理者 正式批准所有残余风 险 所

12、有残余风险是否获得 管理者正式批准？首先要理解“残余风险的意义。i）组织要确保在ISMS 实施和运行之前，获得 管理者授权 ISMS实施和运行是否获 得管理者授权？要检查是否有领导的签字（可参见后面“4。3.2 文件控制”的审核）。j）组织要准备适用性 声明 组织是否有一个准备适 用性声明的过程？要求明确规定，“适用性声明”必须至少包括以 下3项内容：1）所选择控制目标和控制措施，及其选择的理由;2）当前实施的控制目标和控制措施；3）附录A中任何控制目标和控制措施的删减，以及 删减的正当性理由.在对要求审核时，最重要的是要确保： “适用性声明”的内容至少含有上述3项； 不选择的理由必须是合理的

13、，或证明其是正当 性的。由于附录A推荐的控制目标和控制措施是最 佳实践，所以如果没有正当性理由，都要加以选择， 要防止漏选。对要求的审核，可与后面“4。3。1总则” i）的 审核和第9章“控制目标和控制措施的审核”结合 一起进行. 适用性声明的内容是否 有含有标准规定的“3项内 容”参见“注释与指南”栏）？ 适用性声明是否记载 附录A中任何控制目标和控 制措施的删减，以及删减的 正当性理由？4.2.2 实施与运行 ISMS标准要求审核内容审核记录注释与指南a）组织要制定风险处 理计划 组织是否有一个符合 标准此条款要求的产生风 险处理计划文件的过程？要求明确规定，组织要有一个产生风险处理计划的

14、 过程或程序。而这个过程要确定信息安全风险的管理 措施、资源、职责和优先级。由于标准的第4章只是“计划”阶段，在标准第 5章中将提出更具体的“资源”要求。对于“风险处理计划”，可与“4.3。1总则”条 款的要求一起审核（见“4.3。1总则” f）审核）. 是否有一个“风险处理 计划”文件？b）组织要实施风险处 理计划 组织是否有一个符合 标准此条款要求的“实施风 险处理计划的过程？要求明确规定，组织要有一个“实施风险处理计 划”的过程，或程序。而这个过程的目的是要达到 已确定的控制目标，包括资金安排、角色和职责的 分配。c）组织要实施所选 择的控制措施 组织是否有一个符合标 准此条款要求的“实

15、施所选 择的控制措施”的过程？要求明确规定，组织要有一个“实施所选择的控制 措施”的过程，或程序,其目的是要满足控制目标。d）组织要定义如何测 量所选控制措施的有 效性 组织是否有一个“测量 所选控制措施有效性”的过 程？即组织要：1）定义如何测量所选控制措施的有效性，即要有一 个“测量所选控制措施有效性”的过程；2）规定如何使用这些测量措施，对控制措施的有效 性进行测量（或评估）；据此，管理者和员工就可以确定所选控制措施是 否实现原计划的控制目标，或实现的程度。在对这个要求的审核时，审核员必须检查受审核 组织： 是否有一个测量所选择控制措施有效性的“测量 措施”； 如何使用其测量措施进行测量

16、； 所选控制措施是否达到既定的控制目标。 可与4.2.3c）规定的要求同时审核（参见“4.2.3监视与评审ISMS”） 如何使用测量措施，去 测量控制措施的有效性？e）组织要实施培训 和意识教育计划 组织是否有一个符合 标准此条款要求的“实施培 训和意识教育计划”的过 程？对于实施ISMS的组织来说，很重要的事情是培训, 使其员工了解标准的意图和信息安全的原理因此在 “实施与运行组织的ISMS”中,首先要有“培训和意 识教育计划（参见“5。2。2培训、意识和能力）。f）组织要管理ISMS组织是否有“管理ISMS要求明确规定，ISMS的运行需要管理。的运行的运行”的过程？g）组织要管理ISMS

17、的资源 组织是否有对ISMS实 施所需要的资源进行管理 的过程？要求明确规定，ISMS实施所需要的资源要加以管 理（参见“5。2资源管理”）。h）组织要实施组织 的安全程序和其他控 制措施 组织的ISMS是否有“迅 速检测安全事件和对安全事 故能做出迅速反应”的程序?要求规定，在“迅速检测安全事件和对安全事故 能做出迅速反应”方面，要有相关的程序和控制措 施（参见“4。2.3监视与评审ISMSa）。4.2.3监视与评审ISMS标准要求审核内容审核记录注释与指南a）组织要执行监视与 评审程序 组织是否有“监视与评 审程序”，以：1）迅速检测处理产生的 错误；2）迅速识别试图的和得 逞的安全违规事

18、件和事故；3）使管理者能确定指定 人员的安全活动或通过信息 技术实施的安全活动是否如 期执行；4）通过使用指示器，帮助 检测安全事件并预防安全事 故；5）确定解决安全违规事件 的措施是否有效？要求明确规定，求组织要有“监视与评审程序” 以达到以下5个目的：1）迅速检测处理产生的错误；2）迅速识别试图的和得逞的安全违规事件和事 故；3）使管理者能确定指定人员的安全活动（或通过 信息技术实施的安全活动）是否如期执行；4）通过使用指示器，帮助检测安全事件并预防安 全事故；5）确定解决安全违规事件的措施是否有效。在对要求的审核时，必须检查这些内容.b）组织要定期评审ISMS有效性 是否有符合此要求 “

19、ISMS有效性的定期评审 的过程？要求明确规定，组织对ISMS的有效性，进行定期 评审（包括ISMS方针和目标的符合性评审、安全控 制措施的有效性评审）.而在对ISMS有效性的定期评审时，要联系到（或 考虑到）安全审核的结果、事故、有效性测量的结果、 所有相关方的建议和反馈.在对要求的审核时，要检查是否有相关的过程或 活动。c）组织要测量控制 措施的有效性 是否有到位的“测量控 制措施的有效性”的过程 或程序？要求明确规定，组织在“监视和评审ISMS中， 要测量控制措施的有效性以验证安全要求是否得到 满足.在对要求的审核时，要检查是否有“测量控制措施 的有效性的过程或程序.d）组织要评审风险

20、评估 是否有到位的“评审风 险评估”的过程或程序？要求明确规定，组织在“监视和评审ISMS中， 要按照既定的时间间隔，评审风险评估、残余风险 和已确定的可接受的风险级别，要考虑以下方面的 变化：1）组织；2）技术；3）业务目标和过程；4）已识别的威胁；5）已实施的控制措施的有效性；6）外部事件，如法律法规环境的变化、合同义务 的变化和社会环境的变化。在对要求的审核时，要检查是否有相关的过程或 活动。 “评审风险评估的 过程是否考虑了 “6方面的 变化”（参见注释与指南）？e）组织要执行定期的ISMS内部审核 是否有到位的定期的 “ISMS内部审核”过程或程 序？要求明确规定，组织在“监视和评审

21、ISMS”中， 要按既定的时间间隔，执行ISMS内部审核。在对要求的审核时，要检查是否有“定期的ISMS 内部审核”过程或程序。而对ISMS内部审核的符合性审核要按照标准第6章的要求执行。f）组织要执行定期的ISMS管理评审 是否有到位的定期的 “ISMS管理评审”过程或程 序？这个要求明确规定，组织在“监视和评审ISMS” 中，要按既定的时间间隔，执行ISMS管理评审。在对这个要求的审核时，要检查是否有定期的 “ISMS管理评审”过程或程序.而对ISMS管理评审 的符合性审核要按照标准的第7章的要求执行.g）组织要更新信息安 全计划 组织是否参考监视和评 审活动的发现，而“更新信息 安全计划

22、” ？这个要求明确规定，组织要参考监视和评审活动 的发现，更新安全计划。h）组织要维护ISMS 事件和行动措施的纪 录 是否有到位的“维护 ISMS事件和行动措施的纪 录”的过程？这个要求明确规定，组织要记录可能影响ISMS 有效性的事件和所采取的措施。对这个要求的审核，可与标准的“4.3.3记录控 制”条款要求的审核一起进行。4.2.4 保持与改进 ISMS标准要求审核内容审核记录注释与指南a）组织要实施ISMS 改进 是否有到位的“实施ISMS改进”的过程？要求明确规定，组织对已识别的ISMS改进点，要 加以实施。对要求的符合性审核时，要确保有到位的“实施 ISMS改进”的过程.b）组织要

23、采取适当 的纠正措施和预防措 施 是否有到位的“纠正措 施和预防措施”的过程？要求明确规定，组织有与标准的“8.2纠正措施 条款和“8.3预防措施”条款保持一致的“纠正措 施和预防措施”的过程，并要求吸取其它组织和本 组织的安全经验教训.对要求的审核，可与标准的论。2纠正措施”条 款和“8.3预防措施条款的要求的审核一起进行. 是否有到位的吸取其 它组织和本组织的安全经 验教训的过程？c）组织要向所有相 是否有向所有相关方要求明确规定，组织要向所有相关方交流ISMS关方交流ISMS的措施 和改进状况交流ISMS改进的过程？的行动措施和改进情况，确保有适当的详情说明， 并取得一致意见。d）组织要

24、确保ISMS的 改进达到预期目标 是否有确保ISMS的改进 达到了预期目标的过程？管理者要跟踪改进，直到达到了预期目标.4.3文件要求4.3。1总则标准要求审核内容审核记录注释与指南1） ISMS文件要包括 管理决定的记录 是否ISMS文件包括有 管理决定的记录？在左栏所示的这3）个要求是在“4.3。1总则”条 款开始的一个引言段中提出的这里提出ISMS文件：1）必须包括管理决定的记录；2）必须确保所采取的行动措施可追踪到管理决定 和方针；3）必须确保已记录的结果是可再生的。这里明确了，展示三者（即所选择的控制措施、风 险评估的结果、ISMS方针与目标）之间的关系的重 要性。即从所选择控制措施

25、可追溯到风险评估的结 果，而从风险评估的结果又可追溯到ISMS方针与目 标。2）ISMS文件要确保所 采取的措施可追踪到 管理决定和方针 是否ISMS文件确保所 采取的措施可追踪到管理 决定和方针？3） ISMS文件要确保记 录的结果是可再生的 是否ISMS文件确保记 录的结果是可再生的？a） ISMS文件要包括 ISMS方针与目标文件 是否有ISMS方针与目 标文件？标准规定，ISMS文件要包括9方面的文件（见本 表从a）-i）栏）。其中，ISMS方针是最高级（或顶 级）的文件。b） ISMS文件要包括ISMS的范围 是否有一个描述ISMS 范围的文件？ 标准要求的ISMS文件内容不一定都要

26、形成单一 文件；某些相关的内容可合并在一起,而形成一个文 件，也不会认为违反标准的要求。 在实际中，为了减少文件量，“ISMS的范围” 常合并于ISMS方针文件。 参见表1-1 a）。c) ISMS文件要包括支 持ISMS的程序和控制 措施 是否有支持ISMS的程 序和控制措施？这里，只是泛泛地提出。“支持ISMS的程序和控 制措施包括的内容很广。除了标准强制要求的程序 文件外，还可有许多组织自主决定的文件.文件的内 容可随组织的不同而有所不同主要取决于：1) 组织的业务活动及风险；2) 安全要求的严格程度；3) 管理体系的范围和复杂程度。组织需要哪些ISMS文件、控制措施及其复杂程度 如何，

27、通常可根据风险评估的结果而决定(参见第6 章“6.3.1.1获得ISMS文件”)。d) ISMS文件要包括风 险评估方法的描述 是否有描述风险评估 方法的文件？ 与标准4.2.1c)条款的要求一致。 最佳的实践表明，“风险评估方法的描述可合 并于“风险评估程序”；而“风险评估程序”的运行 结果又产生“风险评估报告. 参见的表11 c); 参见“标准要求的强制性ISMS文件”。e) ISMS文件要包括 风险评估报告 是否有可用的风险评 估报告？f) ISMS文件要包括 风险处理计划 是否有可用的风险处 理计划？ 与标准4。2。2b)的要求一致； 参见“标准要求的强制性ISMS文件。g) ISMS

28、文件要包括 控制措施有效性的测 量程序 是否有描述如何测量控 制措施有效性的程序文件？ 与标准4.2.3 c的要求一致； 参见“标准要求的强制性ISMS文件”。h) ISMS文件要包括本 标准所要求的记录 是否有提供符合要求 证据的记录？ “记录”的范围很广。实际上，每一个程序文件 的运行结果都可以产生可作为证据的“记录。 参见“4.3。3记录控制”。i) ISMS文件要包括 适用性声明 是否有符合要求的适 用性声明？参见表1-1 j).4.3。2文件控制标准要求审核内容审核记录注释与指南1） ISMS所要求的文件 要加以保护和控制是否有一个用于保护和 控制ISMS文件的过程？要求是标准的“4

29、。3.2文件控制”条款开始的一 个引言段中提出的这里只是泛泛地提出。实际上， “保护和控制ISMS文件的过程”可用“文件控制程 序文件进行控制。2） ISMS文件控制程序 要形成文件是否有一个形成文件的 文件控制程序？“形成文件的文件控制程序”一般称为“文件控 制程序文件”这个程序文件是标准要求的必须的 ISMS文件之一。“4。3。2文件控制”条款主要的要求是:建立一 个“文件控制程序文件”，并对文件进行以下10方 面控制（见卜面aj）。a） “文件控制程序文 件”要定义“文件发布 前要得到批准” 是否文件发布前要得 到批准？在对这个“4。3。2文件控制”条款要求的审核 时，主要检查：1）组织

30、是否有一个用于控制ISMS文件的“文件控 制程序文件”；2）组织的ISMS文件实际上是否受控；3）是否从“10方面”（aj）控制ISMS文件。b） “文件控制程序文 件”要定义“必要时评 审与更新文件，并再次 获得批准” 是否必要时评审与更 新文件，并再次批准文件？C）“文件控制程序文 件要定义“文件的更 改和现行修订状态得 到标识” 是否文件的更改和现 行修订状态得到标识？d） “文件控制程序文 件要定义“在使用处 可获得有关版本的适 用文件” 是否在使用处可获得 有关版本的适用文件？e) “文件控制程序文 件”要定义“文件保持 清晰、易于识别” 是否文件保持清晰、易 于识别？f) “文件控

31、制程序文 件”要定义“文件可为 需要的人员使用，并依 照相关程序进行传输、 贮存和最终销毁” 是否文件可为需要的 人员使用，并依照相关程序 进行传输、贮存和最终销 毁？g) “文件控制程序文 件要定义“外来文件 得到标识” 是否外来文件得到标 识？h) “文件控制程序文 件要定义“文件的分 发受控制” 是否文件的分发受控 制？i) “文件控制程序文 件要定义“防止作废 文件非预期使用” 是否“防止作废文件非 预期使用？j) “文件控制程序文 件要定义“对需要保 留的作废文件做出适 当的标识 是否“对需要保留的作 废文件做出适当的标识？4.3.3 记录控制标准要求审核内容审核记录注释与指南a。记

32、录要加以建立与 保持 是否有一个建立与保 持记录的过程？记录是提供符合ISMS要求和有效运行客观证据的 一种特殊类型的文件.记录需要建立与保持、保护与控制.b.记录要加以保护与 是否有一个保护与控控制制记录的过程？Co ISMS要考虑相关 法律法规要求和合同 义务 ISMS是否考虑了相关法 律法规要求和合同义务？组织要提供证据（记录），证明其ISMS考虑了相关 法律法规要求和合同义务。do记录要保持清晰、 易于识别和检索 记录是否保持清晰、易 于识别和检索？作为客观证据的记录，必须易于理解，不能含糊不 清。eo记录的控制要形 成文件，并加以实施 记录的控制是否形成 了文件？记录的控制包括：记录

33、的标识、贮存、保护、检 索、保存期限和处置等。这些控制要形成文件，通 常称为“记录控制程序文件”“记录控制程序文件是必须要有的ISMS文件之ofo记录要保留ISMS 过程的执行情况，和所 有重大安全事故的执 行情况 记录是否保留了 ISMS 过程的执行情况？这里，ISMS 过程是指 IS0/IEC 27001： 2005 的 4 2条款所列出的过程，包括ISMS的建立、实施与运 行、监视与评审、保持和改进。所有这些过程的记 录要加以保留，所有重大安全事故的纪录也要保留. 记录是否保留了所有重 大安全事故的执行情况？5管理职责5。1管理承诺标准要求审核内容审核记录注释与指南管理者要对ISMS的

34、建立、实施与运行、监 视与评审、保持和改 进，做出承诺，提供证 据。 是否有一个确保管理 者对ISMS的建立、实施与 运行、监视与评审、保持和 改进，做出承诺的过程？这里，“管理承诺”应理解为“最高管理者（层） 的承诺”ISO/IEC 27001： 2005标准认为，ISMS的成功运 行需要管理者参与并做出承诺。因此标准要求最高 管理层（包括总经理和管理者代表等）展示出其如 何支持（或承诺）ISMS建立、实施与运行、监视与 管理者提供承诺的证 据是否包括8方面的内容（见“注释与指南”栏）？评审、保持与改进，并提供8方面内容的证据，包 括：a）制定ISMS方针；b）确保建立ISMS目标和计划；c

35、）建立信息安全的角色和职责；d）向该组织传达满足信息安全目标与符合信息安 全方针的重要性、法律责任和持续改进的需要；e）提供足够的资源；f）决定接受风险的准则和风险的可接受级别准则;g）确保ISMS内审的执行；h）进行ISMS管理评审。5。2 资源管理5。2。1 资源提供标准要求审核内容审核记录注释与指南组织要确定和提供 所需要的资源 管理者是否提供ISMS活 动所需要的资源？这里 ISMS活动包括ISMS建立、实施与运行、监 视与评审、保持和改进。 管理者是否提供确保信 息安全程序支持业务要求所 需要的资源？资源包括人、财、物（如设备、工具和资料等）。 管理者是否提供满足 法律法规要求、合同

36、安全要 求所需要的资源？ 是否提供通过正确实 施控制措施维护安全所需 要的资源？ 管理者是否提供必要 的评审与对评审结果做出 适当反应所需要的资源？ 管理者是否提供改进 ISMS有效性所需要的资源？5。2。2 培训、意识和能力标准要求审核内容审核记录注释与指南a。组织要确保分配有 ISMS职责的所有人员 都具有执行所要求任 务的能力 是否有一个确保分配 有ISMS职责的所有人员都 具有完成所要求任务的能 力的过程？要求明确规定，确保分配有ISMS职责的所有人员 都具有完成其所要求任务的能力这个过程包括4 个活动：a）确定所有ISMS人员所必要的能力；b）提供培训，或采取其它措施（例如聘用有能力

37、的 人员），以满足这些需要；c）评价培训等措施的有效性；d）保持教育、培训、技能、经历和资格的记录。在对要求的符合性审核时，要检查培训记录和相关 证据。b。组织要确保所有 相关人员意识到其信 息安全活动的重要性 是否有一个确保所有 相关人员都识到其信息安 全活动的重要性的过程？要求明确规定，组织要确保所有相关人员意识到 其信息安全活动的利害关系与重要性，并为达到 ISMS目标做出贡献。在对要求的符合性审核时，可以抽查相关人员的 安全意识。6 内部 ISMS 审核标准要求审核内容审核记录注释与指南（1）定期进行内部ISMS审核 是否有一个定期进行 内部ISMS审核的过程？要求明确规定，“组织要按

38、照既定的时间间隔进行 内部ISMS审核”而内部审核的目的是确定其ISMS的控制目标、控制措施、过程和程序是否：a) 符合本标准和相关法律法规的要求；b) 符合已确定的信息安全要求；c) 得到有效地实施和保持；d) 按预期执行。在对要求符合性审核时，要确保上述要求得到满足(2)制定审核方案 是否有一个申核方案？ 该申核方案是否考虑了 受审核的过程与受审核的部 门的状况和重要性，以及以 往审核的结果？要求明确规定，在进行内部审核之前，要制定“审 核方案。而这个审核方案要考虑受审核的过程与受 审核的部门的状况和重要性,以及以往审核的结果。(3)定义审核的准则、 范围、频次和方法 审核的准则、范围、频

39、 次和方法是否定义？在实际中，审核的准则、范围、频次和方法可以 包含于申核方案或申核计划中.(4)审核员的选择，审 核的实施要确保审核 过程的客观公正 审核员的选择，审核的 实施是否确保审核过程的客 观公正？在这方面，应遵照本书第4章的规定执行.其中包 括“审核发现、审核结论和审核报告要真实和准确 地反映审核活动。(5)审核员不准审核 自己的工作 是否审核员审核了自己 的工作？要识别内部审核员除了内审以外的其它工作。(6)形成内审程序文 件 是否有定义内审职责 和要求方面的内审程序文 件？要求明确规定，内审的职责和要求(包括审核的计 划与实施、审核结果的报告、记录的保持等)必须 以形成文件的程

40、序加以定义.在对要求的符合性审核时，要确保上述要求得到满足(7)采取纠正措施 是否有一个确保受审部 门的责任管理者及时采取措 施，消除“已发现的不符合事 项及其产生的原因”的过要求的意义包括：1) 受审部门的责任管理者要采取纠正措施；2) 纠正措施要包含原因分析；3) 纠正措施不能有不适当的延迟.程？在对要求的符合性审核时，要确保上述要求得到满足（8）跟踪纠正措施 是否有一个对纠正措 施的跟踪活动？“跟踪纠正措施是受审部门责任管理者的职责， 包括：1）要跟踪和验证纠正措施，直到真正获得落实；2）要报告跟踪和验证的结果。 跟踪活动是否包括验 证和验证结果的报告？7 ISMS的管理评审7。1总则标

41、准要求审核内容审核记录注释与指南（1）管理者要每年至 少评审1次ISMS 是否有一个确保最咼管 理者每年至少评审1次ISMS 的过程？管理评审的目的是确保ISMS持续的适宜性、充分 性和有效性。为了确保最咼管理者每年至少评审1次ISMS,最好 的实践是通过使用一个“管理评审程序文件”进行控 制。“管理评审程序文件”也控制相关的管理评审过 程，以满足标准的要求。但是，标准没有明确规定一定要有一个形成文件的 “管理评审程序”。因此，在审核时，主要是要确保 有符合要求的评审过程. 是否检查了 ISMS的实施 情况，以确保ISMS持续的适 宜性、充分性和有效性？（2）评审要包括评估 改进的机会和变更

42、ISMS的需要 在管理评审时，是否评 估了 ISMS （包括信息安全方 针和信息安全目标）改进的 机会和变更的需要？在运行期间，操作者是不能任意变更ISMS的。 ISMS的改进和变更，只能经过最咼管理者对ISNS 的评审，做出评审决定后，才能执行。因此管理评审 时，要有这方面的评估。（3）评审的结果要形 成文件 评审结果是否形成了文 件？审核员在进行“ISMS的管理评审的审核时，必须 按标准“4。3.3记录控制条款的要求，检查评审结 果和相关的评审的记录。（4）评审的记录要加以 保持 记录是否按照“记录控 制”的要求加以保持？7。2 评审输入标准要求审核内容审核记录注释与指南a）管理评审的输入

43、 要包括审核和评审结 果 是否有一个确保管理 评审的输入包括标准要求 的9方面信息的过程？在审核时，审核员应首先检查组织如何确保满足 标准规定的9方面管理评审的输入信息（见本表的a i）。 是否管理评审的输入包 括先前的审核和评审结果？审核员应检查管理评审的输入是否包括先前的审 核（包括内审和外审）和管理评审的结果。b）管理评审的输入要 包括相关方的反馈 是否管理评审的输入 包括相关方的反馈？审核员应检查管理评审的输入是否包括相关方 （如顾客和相关人员）的反馈，包括意见、抱怨和评 论等。c）管理评审的输入要 包括可用于改进ISMS 的技术、产品或程序 是否管理评审的输入 包括可用于改进ISMS

44、的技 术、产品或程序？审核员应检查管理评审的输入是否包括可用于改 进ISMS有效性的技术、产品或程序。d）管理评审的输入要 包括预防和纠正措施 的状况 是否管理评审的输入包 括预防和纠正措施的状况？审核员应检查管理评审的输入是否包括先前的预 防措施和纠正措施的情况，包括查相关记录.e）管理评审的输入要 包括以往风险评估没 有充分解决的脆弱点 或威胁 是否管理评审的输入包 括预防和纠正措施的状况？审核员应检查管理评审的输入是否包括在先前的 风险评估期间，没有充分解决的安全问题。f）管理评审的输入要 包括有效性测量的结 果 是否管理评审的输入包 括ISMS有效性的测量结果？审核员应检查管理评审的输

45、入是否包括在先前对 ISMS的有效性的测量结果。g）管理评审的输入要 包括以往管理评审的 跟踪措施 是否管理评审的输入包 括以往管理评审的跟踪措 施？审核员应检查管理评审的输入是否包括以往管 理评审的跟踪措施，包括对以往管理评审结果的贯 彻、跟踪和验证的结果.h）管理评审的输入要 包括可能影响ISMS的 任何变更 是否管理评审的输入 包括可能影响ISMS的任何 变更？审核员应检查管理评审的输入是否包括可能影响 ISMS的任何变更，包括出现新的信息资产、技术的 变更、内外环境的变更和组织结构的变更等。i）管理评审的输入要 包括改进的建议 是否管理评审的输入 包括任改进的建议？审核员应检查管理评审

46、的输入是否包括改进 ISMS的任何建议。7.3 评审输出标准要求审核内容审核记录注释与指南a）管理评审的输出要 包括ISMS有效性的改 进 是否有一个确保管理 评审的输出包括5方面要求 的过程？在审核时，审核员应首先检查组织如何确保管理评 审满足标准规定的5方面的输出（见本表a） -e）. 是否管理评审做出了 改进ISMS有效性的决定？审核员应检查管理评审的输出是否有改进ISMS 有效性的决定。b）管理评审的输出要 包括风险评估和风险 处理计划的更新 是否管理评审做出了 更新风险评估和风险处理 计划的决定？风险是动态的。风险评估活动要定期执行，风险处 理计划要及时更新管理评审要做出这方面的决定

47、。 申核员应检查管理评申的输出是否有这方面的决 定。c）管理评审的输出要 包括必要时对影响信 息安全的程序和控制 措施的修改，以应对可 能冲击ISMS的内外事 件 是否管理评审做出了在 必要时对影响信息安全的程 序和控制措施的修改决定， 以应对可能冲击ISMS的内外 事件？要求的含义是，为了应对可能冲击ISMS的内外事 件，包括：1）业务要求发生变化；2）安全要求发生变化；3）影响现有业务要求的业务过程发生变化；4）法律法规要求发生变化；5）合同义务发生变化；6）接受风险的风险级别和/或准则发生变化。 要对影响信息安全的程序和控制措施进行修改。 管理评申要做出这方面的决定。在审核时，要检查这方

48、面的决定。d）管理评审的输出要 包括对资源需求的决 定 是否管理评审做出了对 资源需求的决定？要求是解决资源需求。管理评审要做出解决ISMS 资源需求的决定.在审核时，要检查这方面的决定。e）管理评审的输出要 包括改进测量控制措 施有效性的方法要求是改进如何测量控制措施的有效性。管理 评申要做出这方面的决定。在申核时，要检查这方 面的决定.8 ISMS改进8。1持续改进标准要求审核内容审核记录注释与指南组织要持续改进ISMS的有效性 是否有一个确保组织持 续改进ISMS有效性的过程？要求规定，组织要通过多种途径，持续改进ISMS 的有效性持,包括：1）使用信息安全方针；2）使用安全目标；3）使

49、用审核结果；4）使用监视事件的分析；5）使用纠正措施与预防措施；6）使用管理评审。因此，审核员在进行审核时，应考虑以上方面，并 结合一起进行。8。2纠正措施标准要求审核内容审核记录注释与指南a.组织要采取措施， 消除不符合ISMS要求 的原因 是否有一个确保米取 措施，消除不符合ISMS要求 的原因的过程？要求规定，组织要采取措施，消除不符合ISMS要 求的原因，目的是防止不符合事项再次发生.b.纠正措施程序要 形成文件 是否有一个纠正措施 程序文件？“形成文件的纠正措施程序通常也称“纠正措施 程序文件”，是标准强制性要求的ISMS文件之一。标准要求组织要建立和执行“纠正措施程序文 件”这个“

50、纠正措施程序文件”要定义6条要求（见本 表“标准的要求”栏ch）o审核员在文件评审阶段，就应对照此“8.2纠正 措施”的要求，评审“纠正措施程序文件”的符合性.C。纠正措施程序文 件要定义“识别不符 合项” 是否纠正措施程序文 件定义了“识别不符合项”？do纠正措施程序文件 要定义“确定产生不符 合项的原因” 是否纠正措施程序文 件定义了“确定产生不符合 项的原因？e.纠正措施程序文件 要定义“评价确保不 符合项不再发生的措 施需求” 是否纠正措施程序文 件定义了“评价确保不符合 项不再发生的措施需求”？fo纠正措施程序文件 要定义“确定和实施 所需要的纠正措施” 是否纠正措施程序文 件定义了

51、“确定和实施所需 要的纠正措施” ？g.纠正措施程序文件 要定义“记录所采取 措施的结果” 是否纠正措施程序文 件定义了“记录所采取措施 的结果？h.纠正措施程序文件 要定义“评审所采取 的纠正措施” 是否纠正措施程序文 件定义了“评审所采取的纠 正措施”？8。3 预防措施标准要求审核内容审核记录注释与指南a。组织要采取措施， 消除潜在的不符合 ISMS要求的原因 是否有一个用于确保米 取措施，消除潜在的不符合 ISMS要求的原因的过程？要求规定，组织要米取措施，消除潜在的不符合 ISMS要求的原因，目的是预先防止未来发生不符合 事项。b。所采取的预防措 施要与潜在问题的影 响程度相适应 所采

52、取的预防措施是 否适于潜在问题的影响？所要米取的预防措施，要根据潜在问题的影响大 小而决定.C.组织要建立一个 预防措施程序文件， 定义5条相关要求 是否有一个定义5条相 关要求的预防措施程序文 件？要求规定，组织要建立和执行一个预防措施程序 文件该程序文件要定义5条相关要求：a）识别潜在的不符合事项及其原因；b）评价预防发生不符合事项的措施的需要； C）确定和实施所需要的预防措施；d）记录所采取措施的结果；e）评审所采取的预防措施.在审核时,审核员要检查确保：一组织要有一个形 成文件的“预防措施程序”二该文件要定义上术5 条要求。do组织要识别已经 发生了变化的风险 是否有一个用于识别已 经

53、发生了变化的风险的过程?风险是动态的，组织必须有一个用于识别已经发 生了变化的风险的过程，并对已经发生了变化的风 险，要识别其预防措施的要求.有些组织通过使用一个“风险评估程序文件”对 此过程要求进行控制。在审核时，审核员可结合标准的“4.2建立和管 理ISMS”条款的相关要求，进行审核。e.组织要识别对已经 发生了变化的风险的 预防措施的要求 对已经发生了重大变 化的风险，是否识别其预防 措施要求？f.预防措施的优先 级要根据风险评估的 结果确定 是否预防措施的优先级 根据风险评估的结果而确 定？附录 2 控制要求符合性审核A.5 安全方针A。5.1信息安全方针目标：依据业务要求和相关法律法

54、规,提供信息安全的管理方向和支持。相关条款控制要求与检查内容实施的方法，或删减的正当性A.5.1.1信息安全 方针文件是否有信息安全方针文件？信息安全方针文件是否获得管理者批准、发布和传 达给所有员工和相关的外方？信息安全方针文件是否符合标准的要求，如是否 说明管理承诺，并提出组织管理信息安全的方 法？A。5.1。2息安全方 针的评审为了确保信息安全方针持续的适宜性、充分性和 有效性，是否按既定的时间间隔（或当发生重大变 化时）对其进行评审？A。6信息安全的组织A.6.1 内部的组织目标：管理组织内的信息安全。相关条款控制要求与检查内容实施的方法，或删减的正当性A.6.1.1信息安全 的管理承

55、诺管理者是否通过清晰的方向、可证实的承诺、明确 的任务，和信息安全职责的承认，来积极支持组织 内的安全？Ao 6。1.2信息安全 协调信息安全活动是否由不同部门的代表协调相关工 作？Ao 6o 1o 3信息安 全职责的分配所有的信息安全职责（包括保护各个资产的职责和 执行特定安全过程的职责）是否有明确的规定？Ao 6.1.4信息处理对新信息处理设施，是否有管理授权过程？设施的授权过程A.6.1.5保密性协议是否所有员工都要签署一个反映组织信息保护需 要的保密协议（或不泄露协议）？保密协议（或不泄露协议）是否得到识别和定期评 审？A.6.1。6联系权威 部门组织是否与相关权威部门（例如，执法部门

56、、消防 部门和监管部门）保持适当的联系？A。6。1.7联系特殊 利益团体组织是否与特殊利益团体、安全专家组和专业协 会保持适当的联系？A6.18信息安全 的独立评审组织是否对其管理信息安全的方法与实践（即信息 安全控制目标与控制措施、方针、过程和程序）， 按既定的时间间隔（或当安全实施发生重大变化 时）进行独立评审？A.6。2外方目标：保持被外方访问与处理，与外方通信，或被管理的组织的信息与信息处理设施的安全.相关条款控制要求与检查内容实施的方法，或删减的正当性Ao 6。2.1外方相关 风险的识别组织的信息和信息处理设施受外方访问或管理而 产生的风险，是否进行识别？组织的信息和信息处理设施，在

57、允许外方访问前， 是否执行适当的控制措施？Ao 6.2o 2处理与顾 客有关的安全问题在允许顾客访问组织信息或资产之前，所有确定 的安全要求是否得到解决？A.6.2.3处理第三方 协议中的安全问题涉及访问、处理、交流（或管理）组织的信息或信 息处理设施的第三方协议，是否涵盖所有相关的 安全要求？A。7资产A。7。1对资产的职责目标：实现和保持对组织资产的适当保护。相关条款控制要求与检查内容实施的方法，或删减的正当性Ao 7.1.1资产清单是否所有资产度都进行了识别？是否所有重要资产都进行了登记、建立了清单文 件并加以维护？A.7.1.2资产责任人所有信息和信息处理设施相关资产，是否都有责 任人

58、？A.7.1o 3资产的可 接受使用信息和信息处理设施相关资产的可接受使用规 贝y,是否确定、形成了文件并加以实施？Ao 7.2信息分类目标：确保信息受到适当级别的保护。相关条款控制要求与检查题实施的方法，或删减的正当性Ao 7.2o 1分类指南是否有一个信息分类指南（或分类法）？信息是否按照其对组织的价值、法律要求、敏感 性和关键性进行分类？A.7o 2o 2信息的标 记和处理信息标记与处理程序是否按照组织采用的分类 法，加以开发和实施？A.8 人力资源安全Ao 8o 1雇用之前 目标：确保雇员、承包人和第三方用户理解其职责，适合其考虑的角色，以降低行窃、欺诈和误用设施的风险.相关条款控制要

59、求与检查内容实施的方法，或删减的正当性A.8. 1。1角色和职责雇员、承包人和第三方用户的安全角色和职责是否 按照组织的信息安全方针加以定义并形成了文 件？A.8.1.2 筛选对所有雇用的候选者、承包人和第三方用户，是否按照相关法律法规、道德规范、相应的业务要求、 要被访问信息的类别、和已察觉的风险，进行背景 验证检杳？Ao &1。3雇用的条 款和条件雇员、承包人和第三方用户是否签署了雇用合同 的条款和条件，作为他们合同义务的一部分？“雇用合同的条款和条件”是否声明雇员、承包人 和第三方用户的信息安全职责？AA.8。2雇用期间目标：确保所有雇员、承包人和第三方用户意识到信息安全威胁与利害关系、他们的职责与义务,并在其正常工作中支持组织的安全方针和减少人为过失的风险。相关条款控制要求与检查内容实施的方法，