第五部分：信息安全管理体系内部审核

?SGS-CSTC Standards Technical Services Co., Ltd. ?Р第一部分信息安全基础知识及案例分析?第二部分 ISO27001标准正文部分详解? ISO27001标准附录A详解?第三部分信息安全风险评估与管理?第四部分体系文件编写?第五部分信息安全管理体系内部审核Р课程内容Р了解管理体系审核的基本概念? 掌握ISMS内部审核的流程? 掌握ISMS内部审核的方法和技巧Р教学目标Р主要内容Р1、审核概论?2、审核策划和准备?3、现场审核活动的实施?4、纠正措施及其跟踪?5、ISMS评价Р1.1 定义? 为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程? (ISO 9000)?1.2 审核“成败”的关键? 系统的:正式、有序的审查活动? 独立的:保持审核的独立性和公正性Р1 审核概论Р1.5 审核的类型Р组织Р顾客Р供方Р认证/注册机构Р第三方审核Р(外部)Р第二方审核Р第二方审核Р第一方审核Р(外部)Р(外部)Р(内部)Р1 审核概论Р1.6 内部审核的目的Р目的Р主要依据:信息安全管理体系文件Р外部审核前的准备Р作为一种管理手段,是组织管理评审输入的重要内容Р确保信息安全管理体系正常运行和改进的需要Р1 审核概论Р1.7 ISMS内审的时机、范围和频度? 按策划的时间间隔? 一般至少每年应覆盖ISMS所涉及部门、过程一次? 最初建立体系时频度可适当多一些? 特殊情况:? 发生严重信息安全问题或用户投诉? 组织机构、生产场所、信息安全方针目标等发生重大变化? 接受第二、第三方审核前Р1 审核概论Р1.8 ISMS内部审核的依据? 1、ISO 27001:2005版标准? 2、信息安全管理手册? 3、程序文件? 4、信息安全策略? 5、有关的法律、法规? 6、其他信息安全管理文件Р1 审核概论