【安全管理套表】信息安全管理体系审核检查表

【安全管理套表】信息安全管理体系审核检

查表

信息安全管理体系审核指南标准要求的强制性ISMS文件

审核重点

第二阶段审核：

a) 检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：

●定义风险评估方法(参见4.2.1 c)

●识别安全风险(参见4.2.1 d))

●分析和评价安全风险(参见4.2.1 e)

●识别和评价风险处理选择措施(参见的4.2.1 f)

●选择风险处理所需的控制目标和控制措施(参见4.2.1 g))

●确保管理者正式批准所有残余风险(参见4.2.1 h)

●确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1 i))

●准备适用性声明(参见4.2.1 j)

b) 检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括：

●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)

●控制措施有效性的测量(依照4.3.1 g)

●内部ISMS审核(依照第6章“内部ISMS审核”)

●管理评审(依照第7章“ISMS的管理评审”)

●ISMS改进(依照第8章“ISMS改进”)。

c) 检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●第7章“ISMS的管理评审”。

d) 检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●5 管理职责

●7 ISMS的管理评审

e) 检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。

监督审核：

a) 上次审核发现的纠正/预防措施分析与执行情况；

b) 内审与管理评审的实施情况；

c) 管理体系的变更情况；

d) 信息资产的变更与相应的风险评估和处理情况；

e) 信息安全事故的处理和记录等。

再认证审核：

a) 检验组织的ISMS是否持续地全面地符合ISO/IEC 27001:2005的要求。

b) 评审在这个认证周期中ISMS的实施与继续维护的情况，包括：

●检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、维护和改进；

●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；

●检查ISMS如何应对组织的业务与运行的变化；

●检验管理者对维护ISMS有效性的承诺情况。

4 信息安全管理体系4.1总要求

4.2 建立和管理ISMS 4.2.1 建立ISMS