【安全管理套表】信息安全管理体系审核检
查表
信息安全管理体系审核指南标准要求的强制性ISMS文件
审核重点
第二阶段审核:
a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:
●定义风险评估方法(参见4.2.1 c)
●识别安全风险(参见4.2.1 d))
●分析和评价安全风险(参见4.2.1 e)
●识别和评价风险处理选择措施(参见的4.2.1 f)
●选择风险处理所需的控制目标和控制措施(参见4.2.1 g))
●确保管理者正式批准所有残余风险(参见4.2.1 h)
●确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1 i))
●准备适用性声明(参见4.2.1 j)
b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:
●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)
●控制措施有效性的测量(依照4.3.1 g)
●内部ISMS审核(依照第6章“内部ISMS审核”)
●管理评审(依照第7章“ISMS的管理评审”)
●ISMS改进(依照第8章“ISMS改进”)。
c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括:
●4.2.3监视与评审ISMS
●第7章“ISMS的管理评审”。
d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:
●4.2.3监视与评审ISMS
●5 管理职责
●7 ISMS的管理评审
e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。
监督审核:
a) 上次审核发现的纠正/预防措施分析与执行情况;
b) 内审与管理评审的实施情况;
c) 管理体系的变更情况;
d) 信息资产的变更与相应的风险评估和处理情况;
e) 信息安全事故的处理和记录等。
再认证审核:
a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。
b) 评审在这个认证周期中ISMS的实施与继续维护的情况,包括:
●检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进;
●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;
●检查ISMS如何应对组织的业务与运行的变化;
●检验管理者对维护ISMS有效性的承诺情况。
4 信息安全管理体系4.1总要求
4.2 建立和管理ISMS 4.2.1 建立ISMS