ISO27001简介
1、来源:
BS7799-1:1995《信息安全管理实施细则》——ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》——ISO/IEC 17799:2005(内容提升)——ISO/IEC 27002:2005
BS7799-2:1998《信息安全管理体系规范》——BS7799-2:2002(加PDCA)——ISO/IEC 27001:2005
GB/T19716:2005《信息安全管理实用规则》参考ISO17799:2002——GB/T22081-2008.
2、ISMS 文件体系通常是由四个层次构成的:
信息安全手册:对信息安全管理体系框架的整体描述;
一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等;
二级文件:各类程序文件;
三级文件:具体的作业指导书;
四级文件:各种记录文件,包括实施各项流程的记录成果。
3、认证过程:
第一步:建立ISMS,可由外部组织;
第二步:提出申请;
第三步:认证审核:预审、书面审核、现场审核;
第四步:获得证书,半年或一年用户复审,三年期满重审。
4、ISO2001与ISO17799:
ISO/IEC 27001的附录中有ISO/IEC 17799中的5到15章的全部内容,也就是说在进行ISMS建设以及27001认证时, ISO/IEC 17799中11个方面,39个控制点,以及133个控制措施都作为重要的参考点,进行差距分析时,这些内容都是重要的依据。
17799重点关注的是实施细则,27001重点关注的是建设体系的要求,并且有认证机制。
内部审核员
1、基本概念
审核含义:对信息安全相关的审核证据进行客观评价,以确定满足信息安全审核准则的程度所进行的系统、独立并形成文件的过程。
审核准则:安全管理方针、SOA、风险评估报告及管理计划、法规要求、合同要求、内部安全规范要求扥;
审核证据:与审核准则有关并且能够证实的记录、事实陈述及其他信息。
审核类型:第一方审核(内审)、第二方审核(顾客),第三方审核;
审核阶段:第一阶段为文件审查,第二阶段为对ISMS实施结果审查。
基本程序:策划与准备、实施、报告、跟踪。
2、审核策划与准备
——年度审核策划:时间及方式
——审核准备:目的及范围、特别要求、成员、时间资源、计划、检查表、审核前沟通
——编制ISMS审核实施计划:目的及范围、准则、成员、详细日程安排(会议时间、人员分配、受审部门时间、主要审核点)、特别说明(临时权限及业务影响)、批准人签字、通知的对象部门
——编制审核检查表:(备忘录,应该反映实际的业务过程)审核准则、部门、检查要点、验证方法、抽样数、审核时间、验证结果。
——审核前沟通:特别事项、提前通知、组内会议。
3、审核实施
——首次会议
——现场审核:
基本原则(行规):进入审核区域、自我介绍(由陪同人员介绍)、解释希望看什么、进行适当深度调查、如无问题继续审核计划、切记为了问题而审核。
提问方式:开放式提问了解活动,封闭式提问用于确认。
审核技巧:抽样、验证、询问;
——不合格报告:
分类:严重不合格、一般不合格、观察意见;
不合格判断:足够事实?孤立的问题?频繁?严重程度?纠正措施?对受审方的帮助?违反ISO哪一条规则?
不合格描述:客观判断、地点、事实、原因、职位、专业术语、可追溯、改进。得到责任人的许可。
报告:准确清晰的描述不合格事实、问题性质、违反规定条款,纠正措施计划及责任部门
——审核组会议
——末次会议
4、审核报告、纠正及跟踪
——审核报告
——纠正措施计划及执行:补救措施、预防措施
——纠正措施跟踪
——审核档案管理:审核实施计划、审核检查表、现场审核记录、审核不合格报告、审核报告、纠正预防措施计划、纠正措施实施证据、措施验证记录。