資訊保安管理體系審核指南

目次本標準由全國資訊保安標準化技術委員會提出並歸口；

本標準起草單位：

本標準主要起草人：。

gb/t22080-2008/iso/iec 27001:2005是基於過程的。標準的4 - 8章規定了一組isms過程。

過程可有簡單過程和複雜過程。複雜過程又可包含許多較為簡單的過程。例如，gb/t22080-2008/iso/iec 27001:

2005標準的5-8章：「管理職責」、「內部isms審核」、「isms的管理評審」和「isms改進」，可以看作構成isms管理體系的相互關係的４大主要過程。而每乙個大過程又包含許多較小的過程。

gb/t22080-2008/iso/iec 27001:2005標準建議:組織使用pdca模型，構建isms過程。

這意味著，每乙個過程都應有p(即計畫),d(即實施、執行與維護)，c(即監視、審核和評審)和a(即保持和改進)階段。本指南旨在為資訊保安管理體系(簡稱isms)審核員 (包括內部審核員和外部審核員)執行isms審核提供指南，以確保isms審核：

● 既能符合gb/t 22080-2008/iso/iec 27001:2005標準的要求，又能與gb/t19011 -2003/iso 19011：2002和iso/iec 27006標準保持一致；

● 成為幫助受審核的組織完成其目標、改進其工作的乙個增值活動。

本標準為審核方案管理、內部和外部isms 審核的實施以及審核員的能力評價提供了指南。本標準旨在適用於廣泛的潛在使用者，包括審核員、實施isms 的組織，因合同原因需要對isms 實施審核的組織以及合格評定領域中與審核員註冊或培訓、管理體系認證註冊、認可或標準化有關組織。

本標準旨在提供能夠靈活運用的指南。如標準中多處所述，這些指南的使用可根據受審核方的規模、性質以及實施審核的目的和範圍的不同而不同。本標準方框中的內容以實用幫助方式，針對特定的問題提供了補充指南或示例。

在某些情況下，這些內容旨在為小型組織使用本標準提供支援。

第4章描述了審核的原則，這些原則幫助使用者認識審核的基本性質，是第5，6，7 章所必要的序言。

第5章提供了管理審核方案的指南，覆蓋了諸如為審核方案的管理分配職責、建立審核方案目的、協調審核活動和提供充分審核組所需資源等內容。

第6章提供了isms審核的指南，包括審核組的選擇。

第7章提供了審核員所需能力的指南，描述了評價審核員的過程。

附錄還提供了基於業務流程審核的指南和針對27001具體條款的審核指南。

當isms 與其他管理體系一起實施時，由本標準使用者決定這些管理體系審核是分別進行還是一起進行。

本標準僅提供指南，但使用者可以應用該指南制定自己與審核有關的要求。

此外，在監視與要求（如產品規範或法律法規）的符合性方面感興趣的任何其他個人或組織，可以發現本標準中的指南是有用的。

資訊保安管理體系審核指南

本標準為審核原則、審核方案管理、資訊保安管理體系（isms）審核的實施提供了指南，也對審核員的能力提供了指南。

本標準適用於需要實施資訊保安管理體系內部審核和外部審核或需要管理審核的所有組織。

下列參考檔案對於本檔案的應用是必不可少的，其中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用檔案，只有引用的版本適用於本標準；凡是不注日期的引用檔案，其最新版本（包括任何修改）適用於本標準。

gb/t 22080-2008/iso/iec 27001:2005, 資訊科技 — 安全技術 — 資訊保安管理體系要求

gb/t 22081-2008/iso/iec 27002:2005, 資訊科技 — 安全技術 — 資訊保安管理實用規則

iso/iec 27006:2005, 資訊科技 — 安全技術 — 資訊保安管理體系審核認證機構要求

gb/t 27021-2007/iso/iec 17021:2005，合格評定—管理體系審核認證機構的要求

gb/t 19000-2005/iso 9000：2005 質量管理體系基礎和術語

gb/t 19011-2003/iso 19011:2002質量和（或）環境管理體系審核指南

本標準接受包括gb/t 19000-2000/iso9000；gb/t 19011-2003/ iso 19011:2002、gb/t 22080-2008/ iso/iec 27001:2005和gb/t 22081-2008/ iso/iec 27002:

2005標準的相關術語和定義。

4.1 審核原則

直接採用gb/t 19011-2003/iso19011：2002的第4章。

5.1 總則

在採用gb/t 19011-2003/iso19011:2002的第5章5.1的基礎上，補充如下。

圖1—審核方案管理流程示圖

注1：圖1說明了策劃—實施—檢查—處置（pdca）方法在本條準的應用。

注2：圖中及下文圖表中的數字指的是本標準的相關條款。

實用幫助——審核方案的示例

審核方案的例子包括：

a）覆蓋組織資訊保安管理管理體系的當年的一系列的內部審核;

b）在六個月內對存在資訊保安高風險的潛在供方的資訊保安管理管理體系進行的第二方審核。

c) 在認證機構和委託方之間合同規定的時間週期內，由第三方認證/序號產生器構對組織的資訊保安管理體系進行的認證/註冊和監督審核。

審核方案還包括為實施審核方案中的審核進行適當的策劃、提供資源和制定程式。

5.1.1 is 5.1 總則

針對資訊保安管理體系的審核需要考慮組織的基於業務的資訊保安風險和該類組織的審核風險級別（參見附件：業務範圍風險級別表）。

5.2 審核方案的目的和內容

5.2.1 審核方案的目的

在採用gb/t 19011-2003/iso19011:2002的第5章5.2.1的基礎上，補充如下。

5.2.1.1 is 5.2.1 審核方案的目的

針對資訊保安管理體系審核方案的目的還需要特別考慮：

a）資訊保安的要求；

(a）來自組織業務風險評估結果的要求；

(b）來自法律法規和合同的要求；

b）資訊保安測量；

c）資訊保安的監視與評審；

d）以往的審核結果；

e）組織的確定的方針、策略和過程。

5.2.2 審核方案的內容

在採用gb/t 19011-2003/iso19011:2002的第5章5.2.2的基礎上，補充如下。

5.2.2.1 is 5.2.2 審核方案的內容

針對資訊保安管理體系審核方案的內容還需要特別考慮：

a）資訊保安風險管理的要求；

(a）風險處理的優先秩序；

(b）風險的潛在原因；

b）資訊保安相關法律、法規的特殊要求；

(a）密碼管理的要求；

(b）保密管理的要求；

(d) 智財權保護的要求；

(e) 行業管理的特殊要求。

c）組織資訊保安管理體系認證的風險級別。

5.3 審核方案的職責、資源和程式

5.3.1 審核方案的職責

在採用gb/t 19011-2003/iso19011:2002的第5章5.3.1的基礎上，補充如下。

5.3.1.1 is 5.3.1 審核方案的職責

針對資訊保安管理體系審核方案的職責還需要特別考慮管理審核方案人員應具有必要的資訊保安相關知識，特別是對資訊保安風險管理有深入了解。

a）考慮組織的業務連續性要求；

b）注意組織對保密方面的要求；

5.3.2 審核方案的資源

在採用gb/t 19011-2003/iso19011:2002的第5章5.3.2的基礎上，補充如下。

5.3.2.1 is 5.3.2 審核方案的資源

針對資訊保安管理體系審核方案的資源還需要特別考慮審核人員應具有必要的資訊保安相關知識，特別是對資訊保安風險管理有深入了解，即審核員可以信任審核專家工作。

a）必要的資訊保安審核專用工具的準備；

b）被審核組織的資訊保安要求帶來的相關對審核人員能力要求；

5.3.3 審核方案的程式

在採用gb/t 19011-2003/iso19011:2002的第5章5.3.3的基礎上，補充如下。

5.3.3.1 is 5.3.3 審核方案的程式

針對資訊保安管理體系審核方案的程式還需要特別考慮審核員和審核組長應具有必要的資訊保安相關知識，特別是對資訊保安風險管理有深入了解。

a）審核組成員的選擇需要充分考慮其專業領域的背景情況；

b）實施審核要充分注意被審核方的業務特性；

5.4 審核方案的實施

在採用gb/t 19011-2003/iso19011:2002的第5章5.4的基礎上，補充如下。

資訊保安管理體系審核指南

管理體系審核指南

安全生產風險管理體系審核指南電力施工企業部分

職業健康安全管理體系審核指南ZY0445101

資訊保安管理體系審核指南

管理體系審核指南

安全生產風險管理體系審核指南 電力施工企業部分

職業健康安全管理體系審核指南ZY0445101

相關推薦

安全生產風險管理體系審核指南電力施工企業部分