1、信息安全系列培訓(xùn) - 內(nèi)部審核主要內(nèi)容審核基本概念審核過(guò)程審核策劃審核實(shí)施審核報(bào)告審核跟蹤基本概念為什么進(jìn)行審核ISO/IEC 27001:2005:組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實(shí)施和保持；按預(yù)期執(zhí)行。ISO 9001:2008組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以確定質(zhì)量管理體系是否 :符合策劃的安排(見(jiàn)7. 1)、本標(biāo)準(zhǔn)的要求以及組織所確定的質(zhì)量管理體系的要求;得到有效實(shí)施與保持。AgreeDisagree為什么審核向管理層展示觀點(diǎn)向管理層強(qiáng)調(diào)風(fēng)險(xiǎn)驗(yàn)證

2、業(yè)務(wù)有效性識(shí)別培訓(xùn)需求發(fā)現(xiàn)不符合進(jìn)行檢查推動(dòng)改進(jìn)的工具獲得證書(shū)使相關(guān)方滿意審核的定義為獲得審核證據(jù)，并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。 ISO 19001First party / internal audit第一方/內(nèi)部審核Second Party/external audit第二方/外部審核Third Party/external audit第三方/外部審核什么是審核準(zhǔn)則Organisations processes and operations組織的流程和運(yùn)營(yíng)Organisations management manual組織的管理手冊(cè)Wo

3、rk instructions工作指導(dǎo)Specifications規(guī)范System standard系統(tǒng)標(biāo)準(zhǔn)Statutory/Legislative requirements法律需求Codes of practice最佳實(shí)踐Procedures程序什么是審核證據(jù)通過(guò)觀察、測(cè)量或?qū)嶒?yàn)獲得的，并且能夠被驗(yàn)證的關(guān)于管理體系要素的實(shí)施和運(yùn)行的定性或定量的信息、記錄或陳述。特點(diǎn)：可陳述的事實(shí)；可驗(yàn)證的事實(shí)；不含有推測(cè)和猜想。審核發(fā)現(xiàn)將收集的審核證據(jù)與審核準(zhǔn)則進(jìn)行比較所得出得評(píng)價(jià)結(jié)果。審核發(fā)現(xiàn)使審核的評(píng)價(jià)結(jié)果，這種結(jié)果是依據(jù)審核準(zhǔn)則，在審核證據(jù)的基礎(chǔ)上做出的，審核發(fā)現(xiàn)是編制審核報(bào)告的基礎(chǔ)。審核發(fā)現(xiàn)分類N

4、oteworthy effort值得嘉獎(jiǎng)項(xiàng)Observation觀察項(xiàng)Non-conformity不符合項(xiàng)什么是不符合？不符合是指不能滿足要求A requirementA failingEvidenceISO 9000:2000, clause 3.6.2什么是觀察項(xiàng)?潛在問(wèn)題風(fēng)險(xiǎn)無(wú)效率無(wú)效力錯(cuò)誤的應(yīng)用最佳實(shí)踐錯(cuò)誤理解缺少溝通什么是值得嘉獎(jiǎng)項(xiàng)？采用最佳實(shí)踐證明持續(xù)改進(jìn)高層承諾動(dòng)機(jī)體系優(yōu)化審核案例（1）理賠部的Robin收到了一個(gè)從來(lái)的email。這個(gè)email有一個(gè)免費(fèi)下載一個(gè)搜索工具。Robin點(diǎn)擊這個(gè)連接，他的計(jì)算機(jī)被毀壞了。立刻填了一個(gè)事故報(bào)告表并發(fā)給了Paul 系統(tǒng)管理員要求解釋和快速

5、解決方案。Paul否認(rèn)曾送過(guò)那個(gè)email，但是幫助Robin格式化了他的計(jì)算機(jī)系統(tǒng)的硬盤(pán)并根據(jù)保險(xiǎn)備份恢復(fù)程序的要求恢復(fù)了他的數(shù)據(jù)有沒(méi)有不符合事項(xiàng)？審核案例（2）一個(gè)星期之后，Robin又收到了一個(gè)發(fā)自郵件，這一次要求他的郵件口令字。Robin很生氣，與Paul發(fā)生了爭(zhēng)吵并要求對(duì)此類問(wèn)題有個(gè)解決方案。他發(fā)出一個(gè)事故報(bào)告給Paul并轉(zhuǎn)發(fā)這個(gè)郵件給他，要求措施。Paul回答說(shuō)“對(duì)不起”并保證調(diào)查這個(gè)問(wèn)題Paul 于是刪除了郵件，因?yàn)榇祟愢]件問(wèn)題好像經(jīng)常發(fā)生Is this a nonconformity? 這是不符合事項(xiàng)嗎？審核案例（3）審核員在審核數(shù)據(jù)庫(kù)控制的時(shí)候發(fā)現(xiàn)某些在工作時(shí)間所進(jìn)行的變更需

6、要通過(guò)一系列的處理過(guò)程，而在非工作時(shí)間進(jìn)行的變更卻只需要進(jìn)行很少的幾個(gè)步驟。審核案例（4）在物品接收檢驗(yàn)部門(mén)，稽核員注意到檢驗(yàn)員正在供貨商出貨計(jì)算機(jī)系統(tǒng)上輸入其員工代號(hào)，以作為物品接收檢驗(yàn)已滿意完成的證據(jù)。但是該員工的代號(hào)卻能在內(nèi)部的電話號(hào)碼表中輕易得知。審核案例（5）審核日期2001年11月14日。當(dāng)審查組織的管理階層審查會(huì)議紀(jì)錄時(shí)，稽核員注意到最后的會(huì)議紀(jì)錄日期是2001年5月15日?，F(xiàn)行的管制性公司程序復(fù)本AP.01第3版發(fā)行給稽核員，該程序上要求每三個(gè)月舉行管理階層審查會(huì)議。信息安全經(jīng)理說(shuō)明是因?yàn)楣芾硖庨L(zhǎng)在上個(gè)月已經(jīng)出國(guó)，而他們想要在稽核完成后立即舉行一次管理階層審查會(huì)議。系統(tǒng)方法將相

7、互關(guān)聯(lián)的過(guò)程作為體系來(lái)看待、理解和管理，有助于組織提高實(shí)現(xiàn)目標(biāo)的有效性和效率。鏈條效應(yīng)審核的獨(dú)立性ISO 9001:2008 條款8.2.2組織應(yīng)策劃審核方案，策劃時(shí)應(yīng)考慮擬審核的過(guò)程和區(qū)域的狀況和重要性以及以往審核的結(jié)果。應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。ISO/IEC 27001:2005 條款6 應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。應(yīng)確定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。審核的原則與

8、審核員有關(guān)的原則道德行為公正表達(dá)職業(yè)素養(yǎng)與審核活動(dòng)有關(guān)的原則獨(dú)立性基于證據(jù)的方法審核員在體系審核中，審核員的“質(zhì)量”將直接影響到管理體系的審核質(zhì)量，進(jìn)而影響到審核機(jī)構(gòu)的信譽(yù)。審核的一致性，是體系審核活動(dòng)的最基本的要求。它是指不同的審核員在相同的條件下，其審核結(jié)果應(yīng)該是基本相同的。為了達(dá)到這一目的，應(yīng)該對(duì)審核員提出相應(yīng)的要求，以確保審核工作的質(zhì)量。 概要 審核員審核組長(zhǎng)全面負(fù)責(zé)各階段的審核工作；協(xié)助選擇審核組的成員；制定審核計(jì)劃、起草工作文件、給審核組成員布置工作；代表審核組與受審核方領(lǐng)導(dǎo)接觸；及時(shí)向受審核方報(bào)告關(guān)鍵性的不合格（不符合）情況；報(bào)告審核過(guò)程中遇到的重大障礙；審核組長(zhǎng)有權(quán)對(duì)審核工作的

9、開(kāi)展和審核觀察結(jié)果作出最后的決定；清晰、明確地報(bào)告審核結(jié)果。組長(zhǎng)職責(zé)審核員在確定的審核范圍內(nèi)進(jìn)行工作；收集和分析與受審核的管理體系有關(guān)并足以對(duì)其下結(jié)論的證據(jù)；將觀察結(jié)果整理成書(shū)面資料；報(bào)告審核結(jié)果；驗(yàn)證由審核結(jié)果導(dǎo)致的糾正措施的有效性（當(dāng)委托方提出要求時(shí)）；收存、保管和呈送與審核有關(guān)的文件；配合和支持審核組長(zhǎng)的工作。組員職責(zé)審核過(guò)程審核過(guò)程PLANCONDUCTREPORTFOLLOW-UP審核過(guò)程 策劃審核計(jì)劃審核計(jì)劃包括年度審核計(jì)劃和審核活動(dòng)計(jì)劃（審核大綱）。年度審核計(jì)劃是審核策劃的始端也是總綱，審核活動(dòng)計(jì)劃則是按照年度審核計(jì)劃安排具體實(shí)施。審核計(jì)劃的內(nèi)容可包括：審核目的、范圍、審核準(zhǔn)則、

10、審核組成員及分工、主要審核活動(dòng)的時(shí)間安排、首末次會(huì)議時(shí)間等。組織年度審核計(jì)劃應(yīng)以文件形式頒發(fā)，審核活動(dòng)計(jì)劃應(yīng)有審核組長(zhǎng)簽名和主管領(lǐng)導(dǎo)的批準(zhǔn)。年度審核計(jì)劃審核活動(dòng)計(jì)劃跟蹤審核計(jì)劃臨時(shí)性審核計(jì)劃成立審核小組根據(jù)審核活動(dòng)目的、范圍、部門(mén)、過(guò)程以及審核日程安排，選定審核組長(zhǎng)和成員，建立審核小組。小組成立后，應(yīng)明確各成員分工和要求，這是審核組長(zhǎng)的責(zé)任。審核組長(zhǎng)應(yīng)注意“審核員不能審核自己的工作”的原則。審核員按分配任務(wù)做好各項(xiàng)準(zhǔn)備工作。主要有：熟悉必要的文件和程序；根據(jù)要求編制檢查表；考慮前次審核結(jié)果應(yīng)跟蹤的項(xiàng)目。小組成立后通常應(yīng)舉行審核組會(huì)議，以確保審核前準(zhǔn)備工作全部完成，每個(gè)審核員對(duì)審核任務(wù)完全了解。

11、審核計(jì)劃表審核檢查表ACTIVITY :REFERENCES :DATE:DATE:ItemRequirement / questionResp/Ref.Findings/ Helps with preparation幫助準(zhǔn)備Focuses the auditor審核員關(guān)注Ensures issues are not forgotten確問(wèn)題不被忘記Time control時(shí)間控制Assists with reporting報(bào)告Aids Consistency目標(biāo)堅(jiān)持不要思路狹窄,管理審核并不是檢查表審核檢查表的目的檢查表參考(1)檢查表參考(2)審核過(guò)程 實(shí)施審核審核的兩大階段文件審核現(xiàn)場(chǎng)審

12、核首次會(huì)議審核活動(dòng)審核報(bào)告末次會(huì)議首次會(huì)議首次會(huì)議應(yīng)該是正式的，并保存出席人員的紀(jì)錄。會(huì)議應(yīng)該有審核組長(zhǎng)主持。 適當(dāng)時(shí)，首次會(huì)議應(yīng)該包括以下內(nèi)容：介紹與會(huì)者，包括概述其職責(zé)；確認(rèn)審核目的、范圍和準(zhǔn)則；與受審核方確認(rèn)審核日程以及相關(guān)的其他安排，例如：末此會(huì)議的日期和時(shí)間，審核組和受審放管理層之間的臨時(shí)會(huì)議以及任何新的變動(dòng)；實(shí)施符合所用的方法和程序，包括告知審核方證據(jù)只是給可獲得信息的樣本，因此在審核中存在不確定的因素；確認(rèn)審核組和受審核方之間的正式溝通渠道；確認(rèn)審核所用的語(yǔ)言；確認(rèn)在審核中將及時(shí)向受審核方通報(bào)審核進(jìn)展情況；確認(rèn)已具備審核組所需的資源和設(shè)施；確認(rèn)有關(guān)保密事宜；確認(rèn)審核工作時(shí)的安全事

13、項(xiàng)、應(yīng)急和安全程序；確認(rèn)向?qū)У陌才?、作用和身份；?bào)告的方法，包括不符合的分級(jí)；有關(guān)審核可能被終止的條件的信息；關(guān)于審核的實(shí)施或結(jié)論的申訴系統(tǒng)的信息。審核活動(dòng)信息的收集方法面談對(duì)活動(dòng)的觀察文件評(píng)審審核的方式抽樣審核過(guò)程 - 報(bào)告編寫(xiě)你的審核發(fā)現(xiàn)根據(jù)風(fēng)險(xiǎn)和公司目標(biāo)排序發(fā)現(xiàn)決定公布那些不符合項(xiàng)/觀察項(xiàng)/值得努力項(xiàng)獨(dú)立完成報(bào)告編寫(xiě)（應(yīng)包括要求、不滿足、證據(jù)）審核報(bào)告格式INTERNAL AUDIT FINDING REPORT Date: Company/Department: Ref Number:Area under review: Focus/Risk Area:Category: Non-co

14、nformity / Observation / Note worthy effort (delete as needed) Finding:Action:Close Date:Auditor:審核報(bào)告分析（1）財(cái)務(wù)系統(tǒng)-新中大訪問(wèn)權(quán)限和密碼-應(yīng)明確系統(tǒng)的訪問(wèn)權(quán)限分配和加強(qiáng)密碼強(qiáng)度A.11.2.3風(fēng)險(xiǎn)評(píng)估-需要對(duì)網(wǎng)絡(luò)的評(píng)估符合實(shí)際的情況，例如：應(yīng)對(duì)網(wǎng)絡(luò)安全設(shè)備的硬件和策略的變更的風(fēng)險(xiǎn)進(jìn)行識(shí)別并符合風(fēng)險(xiǎn)要求；評(píng)估的風(fēng)險(xiǎn)應(yīng)有相應(yīng)的措施才能確認(rèn)風(fēng)險(xiǎn)已經(jīng)降低到可接受的程度。4.2.1加強(qiáng)開(kāi)發(fā)庫(kù)與受控庫(kù)的同步管理。并提高開(kāi)發(fā)庫(kù)的基線管理。A12.5.1應(yīng)明確軟件安裝基線及對(duì)正版軟件使用的要求和監(jiān)督檢查。

15、A 15.1.2內(nèi)部網(wǎng)絡(luò)維護(hù)的過(guò)程中需要加強(qiáng)遵照信息安全事故的管理規(guī)定進(jìn)行處理。A13應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)、資源的安全和使用狀況進(jìn)行數(shù)據(jù)分析和統(tǒng)計(jì)，并提供容量管理方案和計(jì)劃；豐富應(yīng)急方案的內(nèi)容并進(jìn)行和參加相應(yīng)的演練。A 14應(yīng)加強(qiáng)對(duì)基礎(chǔ)架構(gòu)、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用的變更分類原則和標(biāo)準(zhǔn)。防火墻策略應(yīng)加強(qiáng)可審計(jì)性。并提供相應(yīng)的策略列表A10.6加強(qiáng)第三方服務(wù)交付的管理，把實(shí)際為我們提供服務(wù)的第三方列入第三方服務(wù)匯總表，并需要完善相應(yīng)的第三方工作記錄單。A10.2應(yīng)該將管理體系整合納入公司體系建設(shè)工作計(jì)劃,體系文件需要整合,內(nèi)部組織和管理過(guò)程需要整合.4公司ERP系統(tǒng)中的部分資產(chǎn)信息不完整,資產(chǎn)信息有缺項(xiàng).應(yīng)該有

16、計(jì)劃實(shí)施資產(chǎn)配置審計(jì),確保ERP中資產(chǎn)信息的完整和準(zhǔn)確.A7審核報(bào)告分析（2）標(biāo)準(zhǔn)條款A(yù)10.1.2要求“對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制?！狈阑饓Φ陌踩刂埔?guī)則在7月2日發(fā)生了變更，但未能提供相關(guān)的防火墻變更控制記錄。 未能滿足標(biāo)準(zhǔn)的要求。A10.1.2ISMS-L2-信息系統(tǒng)運(yùn)維管理規(guī)定條款2.6要求 “組織與外部網(wǎng)絡(luò)之間默認(rèn)禁止所有端口和協(xié)議，根據(jù)需要經(jīng)申請(qǐng)后開(kāi)通相應(yīng)端口”但防火墻172.16.10.1上卻啟用了”ANY TO ANY “規(guī)則（規(guī)則號(hào)105）。 違背了公司所設(shè)定的”默認(rèn)禁止“的規(guī)定。A11.1.1標(biāo)準(zhǔn)條款A(yù)11.2.2要求“應(yīng)限制和控制特殊權(quán)限的分配及使用。”組織內(nèi)普

17、通員工均擁有客戶端PC的管理員權(quán)限，存在普通員工利用管理員管線修改安全規(guī)則的風(fēng)險(xiǎn)，如修改禁用USB端口的安全策略的風(fēng)險(xiǎn)。未能滿足“應(yīng)限制和控制特殊權(quán)限的分配及使用”的要求。A11.2.2標(biāo)準(zhǔn)條款A(yù)10.3.1要求”資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。“但組織沒(méi)有對(duì)容量的監(jiān)視要求以及監(jiān)視結(jié)果的記錄形成規(guī)定。 A10.3.1末次會(huì)議審核組長(zhǎng)主持清楚的解釋審核發(fā)現(xiàn)將審核發(fā)現(xiàn)與此同時(shí)公司業(yè)務(wù)目標(biāo)相聯(lián)系，并排序風(fēng)險(xiǎn)審核過(guò)程 審核跟蹤什么是審核跟蹤?驗(yàn)證糾正措施的實(shí)施和有效性確認(rèn)根本原因被描述,不僅僅找到直接問(wèn)題Non conformities失誤原因模式

18、LACK OF CONTROLBASIC CAUSESIMMEDIATE CAUSESINCIDENTSLOSSInadequate:- Policy- System- ComplianceInadequate organisation factors:- Human- Process- HardwareSubstandard:- Acts- ConditionsUndesired events:- Defects- Deviations- Non-conformance- Customer- Possibilities- Product- ReputationLACK OF CONTROL缺少控制不充分- 策略- 系統(tǒng)- 符合性BASIC CAUSES基本原因不充分的組織因素 人力- 流程- 硬件IMMEDIATE CAUSES直接原因不合格- 行為- 條件INCIDENTS事故不期望的事件- 過(guò)失- 背離 不符合LOSS損失- 客戶- 可能性- 產(chǎn)品- 名譽(yù)不符合項(xiàng)糾正措施案例（1）不符合項(xiàng)糾正措施案例（2）不符合項(xiàng)糾正措施案例（3）不符合項(xiàng)糾正措施案例（4）不符合項(xiàng)糾正措施案例（5）不符合項(xiàng)內(nèi)容描述原因分析糾正措施ISO/IEC 27001:2005 條款A(yù)11.3.1規(guī)定“應(yīng)要求用戶在選擇及使用口令時(shí)，遵