ISO27001簡介
1、來源:
BS7799-1:1995《信息安全管理實施細則》——ISO/IEC 17799:2000《信息技術——信息安全管理實施細則》——ISO/IEC 17799:2005(內容提升)——ISO/IEC 27002:2005
BS7799-2:1998《信息安全管理體系規範》——BS7799-2:2002(加PDCA)——ISO/IEC 27001:2005
GB/T19716:2005《信息安全管理實用規則》參考ISO17799:2002——GB/T22081-2008.
2、ISMS 文件體系通常是由四個層次構成的:
信息安全手冊:對信息安全管理體系框架的整體描述;
一級文件:全組織範圍內的信息安全方針,以及下屬各個方面的策略方針等;
二級文件:各類程序文件;
三級文件:具體的作業指導書;
四級文件:各種記錄文件,包括實施各項流程的記錄成果。
3、認證過程:
第一步:建立ISMS,可由外部組織;
第二步:提出申請;
第三步:認證審覈:預審、書面審覈、現場審覈;
第四步:獲得證書,半年或一年用戶複審,三年期滿重審。
4、ISO2001與ISO17799:
ISO/IEC 27001的附錄中有ISO/IEC 17799中的5到15章的全部內容,也就是說在進行ISMS建設以及27001認證時, ISO/IEC 17799中11個方面,39個控制點,以及133個控制措施都作爲重要的參考點,進行差距分析時,這些內容都是重要的依據。
17799重點關注的是實施細則,27001重點關注的是建設體系的要求,並且有認證機制。
內部審覈員
1、基本概念
審覈含義:對信息安全相關的審覈證據進行客觀評價,以確定滿足信息安全審覈準則的程度所進行的系統、獨立並形成文件的過程。
審覈準則:安全管理方針、SOA、風險評估報告及管理計劃、法規要求、合同要求、內部安全規範要求扥;
審覈證據:與審覈準則有關並且能夠證實的記錄、事實陳述及其他信息。
審覈類型:第一方審覈(內審)、第二方審覈(顧客),第三方審覈;
審覈階段:第一階段爲文件審查,第二階段爲對ISMS實施結果審查。
基本程序:策劃與準備、實施、報告、跟蹤。
2、審覈策劃與準備
——年度審覈策劃:時間及方式
——審覈準備:目的及範圍、特別要求、成員、時間資源、計劃、檢查表、審覈前溝通
——編制ISMS審覈實施計劃:目的及範圍、準則、成員、詳細日程安排(會議時間、人員分配、受審部門時間、主要審覈點)、特別說明(臨時權限及業務影響)、批准人簽字、通知的對象部門
——編制審覈檢查表:(備忘錄,應該反映實際的業務過程)審覈準則、部門、檢查要點、驗證方法、抽樣數、審覈時間、驗證結果。
——審覈前溝通:特別事項、提前通知、組內會議。
3、審覈實施
——首次會議
——現場審覈:
基本原則(行規):進入審覈區域、自我介紹(由陪同人員介紹)、解釋希望看什麼、進行適當深度調查、如無問題繼續審核計劃、切記爲了問題而審覈。
提問方式:開放式提問了解活動,封閉式提問用於確認。
審覈技巧:抽樣、驗證、詢問;
——不合格報告:
分類:嚴重不合格、一般不合格、觀察意見;
不合格判斷:足夠事實?孤立的問題?頻繁?嚴重程度?糾正措施?對受審方的幫助?違反ISO哪一條規則?
不合格描述:客觀判斷、地點、事實、原因、職位、專業術語、可追溯、改進。得到責任人的許可。
報告:準確清晰的描述不合格事實、問題性質、違反規定條款,糾正措施計劃及責任部門
——審覈組會議
——末次會議
4、審覈報告、糾正及跟蹤
——審覈報告
——糾正措施計劃及執行:補救措施、預防措施
——糾正措施跟蹤
——審覈檔案管理:審覈實施計劃、審覈檢查表、現場審覈記錄、審覈不合格報告、審覈報告、糾正預防措施計劃、糾正措施實施證據、措施驗證記錄。