安全合规/ISO--4--ISO 27000体系内部审核员技能总结
一、你的保护机制有哪些?
第一道防线–业务现场
识别和管理风险的最初责任
管理人员设置适当的控制措施并监视其有效性
不同职能之间的角色、职责和关系应清晰地说明
第二道防线–监督(风险与符合性)
高层管理者设置组织的风险策略和方针
第2道防线一般是法律、财务、人力资源等
通过风险管理框架对业务提供支持
第三道防线–独立保障
内审员提供对模型、系统和控制措施的独立的保障。他们直接向管理层报告
二、审核概论
审核
为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程
内部审核:
有时称第一方审核,用于内部目的,由组织自己或以组织的名义进行,可作为组织自我合格声明的基础。
外部审核:
第二方审核由组织的相关方(如顾客)或由其他人员以相关方的名义进行。
第三方审核由外部独立的组织进行。这类组织提供符合要求的认证或注册。
当信息安全和质量管理、环境管理体系被一起审核时,这种情况称为“一体化审核”。
当两个或两个以上审核机构合作,共同审核同一个受审核方时,这种情况称为“联合审核”
审核的分类
审核对象:
管理体系审核、过程审核、产品审核
审核方:
第一方审核(内部审核)、第二方审核(外部审核)、第三方审核(外部审核)
审核的目的
第一方审核
目的:
为顺利通过第二、第三方审核做好准备
保持、持续改进质量管理体系
机构(组织)自己对自己的审核:
评审员主要来自企业内部(内部认可的)
第一方审核主要用于自我诊断和改进工作,为有效的管理评审以及纠正和预防措施提供信息
第二方审核
目的:
选择、评价、认可供应商(此处的供应商指的就是我们)
促进供应商改进信息安全管理体系
客户(需方)对供方的审核(客户对我们进行审核)
评审员主要来自客户(需方)内部(评审员主要来自客户)
第二方审核主要用于:
1、供需双方在签订合同之前需方对供方信息安全保证能力的调查评估;
2、在合同实施过程中需方对供方信息安全管理体系的监控;
3、也适用于供方对其分承包方(分供方)信息安全管理体系的评估及监控。
第二方审核的目的是提供对供方(分供方)的信任。
第三方审核
目的:
得到符合ISO 27001标准的注册。
减少重复审核和不必要的开支。
提高企业的信誉和市场竞争力。
促进企业信息安全管理目标的实现。
独立于供需双方的机构的审核:
评审员通常需具有规定资格并经注册
第三方审核主要用于:
1、使被审核机构的信息安全管理体系登记注册,由第三方认证机构进行;
2、调查被审核机构的信息安全管理体系是否满足法规的要求,由法定管理机构进行。
第三方审核为许多潜在的客户提供信任。
第一方、第二方、第三方审核比较
| 审核方式 | 审核依据 | 提建议能力 | 权力 | 审核时间 |
|---|---|---|---|---|
| 第一方审核(内部) | 体系文件 合同 标准 |
提出 | 表面上很小 | 几星期 |
| 第二方审核(外部) | 合同 标准 体系文件 |
取决于客户的方针 | 取决于合同的大小 | 几天 |
| 第三方审核(外部) | 标准 体系文件 合同 |
一般不提出 | 表面上很大 | 几天 |
识别审核方
第一方审核:自己对自己
第二方审核:合作方对自己
第三方审核:认证机构对自己
信息安全管理体系审核范围
审核范围:
在规定时间内,对信息安全管理体系要求、场所和活动进行审核。
要求:
应包含ISO 27001标准的所有要求,剪裁应予以说明。一般以手册中所列的范围为准。
场所:
凡与审核的信息安全管理体系所覆盖的产品和质量活动有关的部门和场所均应列入审核范围。
活动:
凡与认证范围内信息安全有关的过程,均应列入审核范围。
三、内部信息安全管理体系审核步骤
内部信息安全管理体系审核管理流程
审核计划
年度审核划需要细分落实,应细分为:
审核实施计划1、审核实施计划2、……、审核实施计划n
年度审核计划分类
集中式审核计划:
1、一次审核针对全部标准要求及相关部门
2、适用于中小企业、无专职审核员的情况
3、新建信息安全管理体系、信息安全管理体系发生重大变化等情况时采用
滚动式审核计划:
1、一次审核几个部门或过程,但一个审核周期内所有相关部门和过程均应得到审核
2、重要的部门和过程可安排多次审核
3、适用于大、中型企业设有专门内审机构或专职人员的情况
审核实施计划--内容
审核目的 --> 审核范围 --> 审核依据 --> 审核组成员 --> 审核日期 --> 审核日程安排 --> 审核报告发布日期及范围
审核实施计划--范例
1、审核目的
对本公司现有的信息安全管理体系作全面审核,通过审核了解本公司的信息安全管理体系是否有效运行,是否具备申请ISO 27001认证条件。
2、审核范围
ISO27001涉及的全部要求及各有关部门。
3、审核依据
3.1 公司程序文件及其他相关文件
3.2 ISO 27001
4、审核组成员
4.1 组长:张山
4.2 审核员:组1为 李斯(行政)、刘武(营销);组2为 赵六( 品管)、王琪(技术)。
5、审核时间
2018年8月1~2018年8月2日
6、审核报告发布日期及范围
审核报告将于2018年8月15日发布,分发范围为公司总经理、管理者代表、各部门。
7、审核日程安排
熟悉必要的体系文件
审核实施计划分发各受审部门后,审核组长应尽快召集审核组成员举行审核组会议:
1.要求每个审核员完全了解审核任务;
2.要求审核员熟悉所审核部门的职责、程序文件、作业文件;
3.要求审核员在现场审核前完成检查表的编制。
编制检查表
注意事项:
1、掌握部门信息安全职能分工
2、以信息安全管理体系文件为主要依据
3、突出受审区域的主要职能
4、详略得当
5、检查表应有可操作性
6、按部门审核,应包含涉及的要求按要求审核,应包含涉及的部门
审核实施
首次会议
参加人员:
1.审核组全体人员;
2.总经理、管理者代表、受审核部门主管或其代表。
作用:
1.传达和落实审核实施计划;
2.简要介绍实施审核所采取的方法和程序;
3.在审核组和受审核方之间建立正式的联系;
4.确认审核组所需要的资源和设备已齐全;
5.澄清审核实施计划中不明确的内容.
要求:
1.准时,简短,明了;
2.时间:不超过半小时;
3.获得受审核方的理解与支持;
4.由审核组长主持会议。
现场审核
证据收集:
1.按照审核检查表,通过提问、面谈、检查文件、观察有关方面的工作和现状等形式来收集客观证据。
2.如果发现重大的可能导致不合格的线索,即使不在检查表之列,也应加以记录并进行调查。
3.对于面谈获得的信息应通过实际观察、测量和记录等其他渠道予以验证。
审核控制:
审核组长对审核全过程的控制负责:
1.审核实施计划的控制;
2.审核进度控制;
3.审核气氛控制;
4.审核范围控制;
5.不符合项的审定;
6.其他需协调、控制的方面。
观察结果:
1.所有的审核观察结果都应形成文件,在所有的工作都被审核之后,审核组应评审所有的观察结果,以确定哪些要作为不符合项报告提出。
2.审核审核组应确保这些报告的内容清晰、准确地形成文件,并且有证据支持。应按审核所依据的标准或其他有关文件中相应条款的要求指出不符合项。
3.组长应对观察结果进行复审,所有认为不符合的观察结果都应得到受审核方主管的认可。
审核组会议
在当天审核工作完成后召开;
时间一小时左右为宜;
仅审核组成员参加;
讨论并确定审核中有争议的事项;
整理审核结果;
确定当天的不符合项报告。
不符合性质
体系性不符合:
信息安全管理体系文件与ISO/IEC 27001:2013标准或有关法规、合同要求不符
实施性不符合:
未按信息安全管理体系文件的规定执行
效果性不符合
虽按信息安全管理体系文件规定执行,但缺乏有效性
不符合类型
严重不符合:
1.信息安全管理体系缺项或不符合ISO/IEC 27001:2013要求
2.任何有可能导致信息安全事件的不符合
3.审核员根据经验判定很可能导致信息安全管理体系失效的不符合
一般不符合:
1.孤立的人为错误
2.文件偶尔未被遵守,造成的后果不太严重
3.对体系不会产生重要影响的不符合
不符合项报告
受审核部门及主管姓名
审核员姓名,审核日期
审核依据
不符合事实描述
不符合类型
纠正措施计划
纠正措施验证
不符合事实描述要点
违反标准或手册、程序的哪个具体条款应力求判得确切:
如果判定不确切,纠正措施的方向就会产生偏差。
不合格问题的性质要直接点明:
如:
未经培训就操作防火墙造成控制错误;
错误地使用了状态标识;
没有书面的操作程序造成信息泄露等。
力求具体:
如:
事情发生在何地、何时、何人执行此事或在场、发生了何现象,以及有些关键的文件或记录的编号等。
末次会议
参加人员:
与首次会议一致。
目的:
结束现场审核;
向受审核部门介绍审核总体情况;
提出后续的工作要求;
要求:
准时开始、结束,以不超过一小时为宜;
由审核组长主持会议。
会后:
将不符合项报告分发至责任部门和相关部门。
================================================================================
会议开始:
与会者签到,审核组长致谢受审核部门在审核期间的配合。
重申审核目的和范围:
由审核组长负责;
强调审核的局限性:
审核时抽样进行的,存在一定风险,但审核时已尽量使抽样具有代表性;
宣读不合格报告:
说明不合格报告的数量、分类,并按重要程度依次宣读不合格报告;
宣布审核结论:
就受审核部门在确保整个组织的信息安全管理体系的有效运行,实现总的信息安全目标方面提出审核结论。结论应全面总结信息安全管理工作的优缺点。
提出纠正措施要求:
提出分析不合格原因、制定纠正措施计划的期限(通常一周内),说明验证纠正措施的方法。
会议结束:
向受审核部门表示感谢,受审核部门主管对改进的承诺,必要时邀请最高管理者或管理者代表讲话。
审核报告
在审核后规定时间内,由审核组长编制审核报告,通常审核报告包括以下内容:
审核的目的和范围;
审核依据;
审核日期;
审核组成员姓名;
不合格项的统计分析;
审核总结和结论;
审核报告分发范围。
跟踪验证
制定纠正措施计划
1.审核组在现场审核中发现不符合项时,除要求受审核部门主管确认不合格事实外,还要求他们调查分析造成不合格的原因,有的放矢地制定纠正措施计划(包括纠正措施、责任人员、期限)。
2.如果受审核方坚持不同意对不合格的判定,也不肯制定纠正措施,则争执应提交管理者代表仲裁。
3.内审员可以提出纠正措施的方向,但不能代替责任部门制定纠正措施计划。
4.责任部门提出的纠正措施计划应得到审核员的认可,必要时还要经过管理者代表的批准。
纠正措施的实施
责任单位按纠正措施计划实施纠正措施:
1.纠正措施实施过程中如发生问题不能按期完成时,责任部门应向审核组长说明原因,申请延长期限。审核组长批准后方可修改纠正措施计划。
2.如在实施过程中涉及到几个部门,发生争议并难以解决时,应提请管理代表协调仲裁。
3.纠正措施实施情况应保存有关记录。
纠正措施的验证
审核员应对纠正措施计划完成情况进行验证。
验证的内容包括:
1.计划是否按规定的日期完成;
2.计划中的各项措施是否都已完成;
3.完成后的效果如何?是否还有类似不符合项发生?
4.实施情况是否有记录可查,记录是否按规定编号并妥善保存
5.如引起文件修改,是否按规定办理了修改批准和发放手续并加以记录?该文件是否已执行?
6.如果某些效果要更长时间才能体现,可留作问题待下一次审核时再查。
审核员负责将验证情况和结论记录在不符合项报告相关栏位中。
四、信息安全管理体系内部审核员
审核员的素质
知识:
掌握ISO 27001标准要求
熟悉与信息安全相关的法律法规等
技能:
编制审核计划、检查表、不符合项报告
具备信息安全管理体系文件与现场审核能力
善于沟通、机智灵活、适应性强
经验:
具有从事信息安全管理和企业管理的经验
具有一定的IT经验
道德:
正直诚信和客观公正
尊重人
冷静的态度和坚毅的精神
审核组长、审核员的职责
审核组长的职责:
全面负责审核各阶段的工作;
有权对审核工作的开展和审核结果做最后的决定;
协助选择审核组成员;
制定审核实施计划;
代表审核组与受审核部门主管接触;
编制并提交审核报告。
内审员的职责:
遵守相应的审核要求并传达和阐明审核要求;
参与制定审核实施计划,编制检查表,并按计划完成审核任务;
将审核发现形成文件并报告审核结果;
验证被审核部门所采取的纠正措施的有效性;
整理、保存与审核有关的文件;
配合并支持审核组长工作。
内审员的工作技巧
审核中的面谈
得当地提问
讲得少,听得多
保持融洽的关系
选择恰当的面谈对象
避免打断、干扰、反驳对方的谈话
“请”和“谢谢”应适当多用
对误解要有耐心
保持客观公正的态度
审核中的提问
通常问:
1.怎么样?什么?何时?何地?谁?为什么 ?请告诉我
2.封闭式与开启式问题相结合 提问与索看相结合
发问一定考虑被问者的背景
注意神态表情
适时表达好意
不说有情绪的话
不可连续发问
审核中的聆听、联想与追溯
审核中的聆听:
应专注、认真地听;
应有耐心;
应及时反馈;
尽可能不要做不成熟的反应;
多鼓励讲话者;
保持善意的态度。
联想与追溯:
善于从一个体系要求联想到其他体系要求,而到其他部门追溯证据。
但应避免过渡联想而顾此失彼。