如何执行内部isms审核 (1).doc

如何执行内部ISMS审核信息安全的确保，已经被公认为一个重要的业务过程。一个组织如果不能正确地和有效地管理信息安全，那么其为顾客提供产品和服务的业务过程和能力就会受到质疑。信息安全的成功解决方法，是正确地建立、实施和维护一个如ISO/IEC 27001:2005标准所描述的信息安全管理体系(Information Security Management System,简称ISMS)。内部ISMS审核，有时也称第一方ISMS审核，或ISMS内审，是组织自我评估和检查其自己的ISMS的符合性。ISMS内审，在信息安全的维护和改进方面，起着核心的作用。然而，ISMS审核是一个新项目，对审核人员来说，是一种新的挑战。为了完成这个项目，审核人员不仅需要正确地与透彻地理解相关标准(包括ISO/IEC 27001:2005和ISO/IEC 17799:2005 等)，而且也需要有丰富的综合知识、审核技能、沟通能力和组织能力，更需要有一丝不苟的认真负责的精神。本文结合ISO/IEC 27001:2005标准的要求和笔者的实际工作经验，论述执行ISMS内审的步骤、活动和必须引起注意的关键点等。1.建立内部ISMS审核程序文件(1)执行标准对文件的规定 ISO/IEC 27001：2005标准的第6章“内部ISMS审核”规定，组织要建立“内部ISMS审核程序”文件。因此这个“内部ISMS审核程序”文件应是标准要求的必须要有的强制性文件。ISO/IEC 27001:2005标准还规定“内部ISMS审核程序”文件要定义：ISMS审核计划与审核实施的职责和要求、审核结果报告与记录保持的职责和要求。“内部ISMS审核程序”文件也必须包含这些规定。(2) 提供最有效的内审管理方法 在实际工作中，最有效的内审管理方法是，利用 “内部ISMS审核程序”文件，除了定义标准要求的规定外，还控制一系列内审活动及其顺序，包括(但不只限于)：1)内审适宜时机的确定(包括正常时期的时间间隔和非正常时期的时间间隔等)；2)内审的准备(包括组成审核组、制定审核方案/计划、查阅相关文件和编制检查表等)；3)ISMS文件的评审；4)首次会议的召开；5)现场审核；6)末次会议的召开；7)不符合项的确定；8)内审报告文件的编写；9)纠正措施的跟踪；10)记录的保存。(3) 产生所需要的记录表格 “内部ISMS审核程序”运行的结果产生内审所需要的预定义的和规范化的记录表格，包括(但不只限于)：1)内审计划表2)内审检查表3)内审首/末次会议记录表4)内审报告表5)纠正措施要求表(CAR)(4) 规范内审员的行动执行ISMS内审的人员称为内审员。“内部ISMS审核程序”定义本组织ISMS内审所要遵循的步骤和过程，是内审员执行内审工作的行动准则。2.做好充分的内审准备 (1)组成审核组 ISMS内审的成败关键在于内审员的素质和能力，包括：道德行为、公正表达、职业素养、独立性和基于证据的方法等。这些就是所谓的“审核原则”(参见ISO 19011:2002标准第4章“审核原则”)。因此，审核组的成员必须是合格的和具有能力的。特别是，审核组长，还应具有组织、领导和协调审核的能力。在多数情况下，内审员是组织内部的员工。但是，由于ISMS审核是一个新项目，有些组织内部缺乏合格的ISMS内审员，因此也可从外部聘用有能力的审核员作为其内审员，帮助其执行内审。(2)制定内审计划 在ISO/IEC 27001:2005第6章“6 内部ISMS审核”中，要求在ISMS内审时，要制定“审核方案”(Audit Program )。 审核方案是一个总审核计划，可包括一系列的审核。不管“审核方案”还是“审核计划”(Audit Plan)，都是“计划”，就像长远计划和短期计划都是计划一样。特别是，某些组织在一年只有一次内审时，“审核方案”就可看作“审核计划”。中国人比较习惯，而易于理解的名称应是“审核计划”。 审核计划十分重要。所有ISMS内审活动必须按计划执行。通常，审核组组长应按照预先编制的内审计划表的格式，拟定一份详细的内审计划，经相关领导(如管理者代表)批准后，在审核前一周发送给各个受审核的部门。内审计划的内容可包括(但不只限于)：1)审核目的；2)审核范围；3)审核准则；4)审核日期；5)审核组长与成员；6)受审部门的具体审核时间、审核范围和审核方法；7)首次/末次会议的时间和地点。(3) 查阅相关文件为了更准确地审核，审核员在审核之前应查阅相关文件，包括(但不只限于)：1)相关体系文件；2)过去的审核的发现；3)已经完成的纠正与预防措施的记录。(4) 编制检查表内审员应按照本组织预先编制好的内审检查表格式，编制其审核所需要的内审检查表，备现场审核使用。3.执行内审 (1)确定审核准则 ISMS“审核准则”(audit criteria)是审核人员测量受审组织ISMS执行情况符合性时的对照标准或依据。如果没有审核准则，审核人员就无法进行审核，也就是说不存在管理体系符合与不符合的问题，自然也不会有纠正措施/预防措施和改进等审核的后续活动。 因此，审核人员要十分熟悉审核准则。只有透彻地了解审核准则后，才能谈得上符合性审核。审核人员在审核时，如果发现不符合项，应指出不符合的依据（或审核准则的具体条款）。 ISMS“审核准则”应包括： 1)ISO/IEC 27001:2005标准； 2)受审组织已经建立的、当前正在运行的ISMS方针和程序； 3)相关法律法规要求和合同要求。注意：如果ISMS与其它体系联合审核，则“审核准则”还应包括其它体系的标准、方针和程序。每一次审核，可以只使用一个或一个以上的“审核准则”。 (2)执行审核活动 审核活动可包括(但不只限于)：文件评审，现场审核(包括举行首次会议、采访受审人员、查找证据、形成审核发现、准备审核结论和举行末次会议等)，和编制、批准与分发审核报告等(可参见ISO 19011:2002标准第6章“审核活动”)。 审核工作至少包括： 1)证实该组织是否按照其方针、目标和程序，执行工作； 2)证实该组织的ISMS是否符合ISO/IEC 27001:2005标准4-8章的所有要求； 3)检查组织如何评估信息安全风险和如何设计其ISMS； 4)检查组织如何执行ISMS监控、测量、报告和评审(包括检查相关的过程是否到位)； 5)检查管理者如何执行ISMS管理评审(包括检查相关的过程是否到位)； 6)检查管理者如何履行信息安全的职责(包括检查相关的过程是否到位)；7)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系。(3) 使审核增值所有审核活动都应是增值的。关于如何使审核增值的问题，国外已有许多研究和报道。这里，“增值”(“adding value”)主要不是指增加了确切的可量化的金钱数值，而是指使审核对组织“更加有用”（to make something more useful）。最重要的是，审核员应使审核有用于组织维护与改进其ISMS、帮助其持续改进安全控制措施、实现其战略的业务目标，而不能使审核成为组织的负担。从审核“增值”的概念出发，审核活动的类型和内容都可以作适当的裁剪。 4.报告审核结果 (1) 形成审核发现 审核员经过现场采访和取证后，应编写审核发现。审核发现包括对相关要求的“符合”(或满足)、 “不符合”(或不满足)和“部分符合”（或部分满足）的情况。“不符合”和“部分符合”的审核发现属于不符合项。“不符合项”一般具有以下5个属性（Attributes）。 1)准则(Criteria) 审核人员在开出“不符合项”时，应指出不符合的审核准则(见本文3. 执行内审的(1) 确定审核准则)。2)状况(Condition) 状况是审核发现的实际情况，描述受审部门曾经做过或者正在做的事情，可包括ISMS方针和程序如何实施(或不实施) 的情况等。审核人员在开出“不符合项”时，应描述其实际情况。3)原因(Cause) 对于已发现的不符合项来说, 必须有其发生的原因，即为什么出现当前的状况。原因可能有多个。因此，ISO/IEC 27001:2005标准要求，为了防止不符合项再次发生，组织的管理者在采取纠正措施纠正所发现的不符合项之前，必须“确定不符合的原因”(见ISO/IEC 27001:2005标准8.2 b)。 分析不符合项的原因和采取纠正措施是受审区域(或部门)管理者的重要职责(见ISO/IEC 27001:2005标准6.内部ISMS审核)。4)严重度(Severity) 不符合项的严重度可以理解为其造成的影响的严重程度，但标准却没有明确的定义。因此，不符合项的严重度可能有不同分类方法。一般可考虑分为3类：重大不符合项(或称严重不符合项)、小不符合项(或称一般不符合项)和观察项。审核人员在开出不符合项时，应同时指出其严重度。5)措施 (Action)对于审核发现的不符合项，组织必须采取措施加以纠正，并加以跟踪(见ISO/IEC 27001:2005标准ISO/IEC 27001:2005标准8.2纠正措施，6.内部ISMS审核)。因此，受审部门的管理者在查明不发生符合项的原因之后，应在规定的时间内采取措施纠正除观察项外的所有不符合项。(2)讨论审核发现 在最终的审核报告发布之前，审核员应与适当层次的相关管理者一起非正式地讨论所有审核发现、结论和建议等。其目的是，为受审人员对审核发现、结论和建议提供充分发表意见的机会，从而消除对具体问题的误解或曲解。参与讨论的人员除了相关管理者外，通常也包括具有具体操作知识的人员和有权批准实施纠正措施的人员。 (3) 报告审核结果 内审员应真实地、没有偏见地报告其审核工作。最终审核结果应形成审核报告文件。审核报告的目标应是，提供管理者有关其ISMS的符合程度的信息，以帮助改正其ISMS。审核报告文件的内容可以包括(但可适当增减，也不只限于)： 1)审核的目的和范围 2)审核的结果，包括： 安全控制目标和控制措施是否符合要求； 是否还有会导致安全风险的重大控制弱点(或不符合项)。 3)内审员的意见； 4)改进的建议，包括应采取的纠正措施与预防措施建议。 最终审核报告文件经过审核组讨论和通过后，并及时传送给相关管理者。5.跟踪审核发现 对于审核发现的问题(或不符合项)，管理者应采取措施(包括纠正措施和预防措施)，并进行跟踪直到问题获得解决为止。对于内审员，应促使和协助管理者在规定的时间范围内完成纠正措施或预防措施。 当纠正措施或预防措施完成、获得验证，而相关内审记录获得妥善保管后，内审工作即可暂时关闭。