信息安全管理体系审核指南 术语和定义
声明
本文是学习GB-T 28450-2020 信息技术 安全技术 信息安全管理体系审核指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
信息安全管理体系审核指南
本标准提供了下列指南:
1)信息安全管理体系(ISMS)审核方案的管理;
2)遵循GB/T 22080实施内部和外部审核;
3)ISMS审核员的能力和评价。
本标准宜与GB/T 19011—2013中包含的指南一起使用。
本标准遵循GB/T 19011—2013的结构,ISMS审核所需的ISMS特定指南,用字母“IS”进行标识。
开展ISMS审核时,本标准新增的ISMS特定指南宜与GB/T 19011—2013配合使用,用字母“IS”进行标识”。
GB/T 19011—2013提供了关于审核方案管理、管理体系内部或外部审核实施以及管理体系审核员能力和评价的指南。
本标准未声明组织规模要求,可适用于所有用户,包括中小型组织。
本标准中涉及的部分术语与定义,与其他标准相关内容的关系说明如下;
1)国际标准中的“Procedure”,在GB/T 19011—2013翻译为“程序”,而在GB/T 22080—2016中翻译为“规程”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采用其原标准中的定义。
2)国际标准中的“Implement”,在GB/T 19011—2013翻译为“实施”,而在GB/T 22080—2016中翻译为“实现”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采用其原标准中的定义。
3)国际标准中的“Maintain”,在GB/T 19011—2013翻译为“保持”,而在GB/T 22080—2016中翻译为“维护”,因本标准同时引用了这两个标准的原文,故本标准中出现该术语的地方均采用其原标准中的定义。
4)国际标准中的“Documented information”,在GB/T 29246—2017翻译为“文档化信息”,而在GB/T 22080—2016中翻译为“文件化信息”,因本标准引用了GB/T 22080—2016的原文,故本标准中出现该术语的地方均采用GB/T 22080—2016中的定义。
5)国际标准中的“Context”,在GB/T 29246—2017翻译为“语境”,而在GB/T 22080—2016中翻译为“环境”,因本标准引用了GB/T 22080—2016的原文,故本标准中出现该术语的地方均采用GB/T 22080—2016中的定义。
6)国际标准中的“Continuity”,在GB/T 29246—2017翻译为“持续性”,而在GB/T 22080—2016中翻译为“连续性”,因本标准引用了GB/T 22080—2016的原文,故本标准中出现该术语的地方均采用GB/T 22080—2016中的定义。
信息安全管理体系审核指南 范围
本标准在GB/T 19011—2013的基础上,为信息安全管理体系(Information Security Management System,以下简称ISMS)审核方案管理和审核实施提供了指南,并对ISMS审核员能力提供了评价指南。
本标准适用于需要理解或实施ISMS的内部或外部审核,或需要管理ISMS审核方案的所有组织。
信息安全管理体系审核指南 规范性引用文件
下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标准。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 19011—2013 管理体系审核指南(ISO 19011:2011,IDT)
GB/T 29246—2017 信息技术 安全技术 信息安全管理体系概述和词汇(ISO/IEC 27000:2016,IDT)
GB/T 22080—2016 信息技术 安全技术 信息安全管理体系要求(ISO/IEC 27001:2013,IDT)
信息安全管理体系审核指南 术语和定义
GB/T 19011—2013和GB/T 29246—2017界定的术语和定义适用于本文件。
信息安全管理体系审核指南 审核原则
GB/T 19011—2013的第4章中的原则适用。
信息安全管理体系审核指南 审核方案的管理
总则
GB/T 19011—2013的5.1中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.1总则
需要实施审核的组织宜建立审核方案,并考虑规划ISMS时所确定的风险和机会。
确立审核方案的目标
GB/T 19011—2013的5.2中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.2确立审核方案的目标
确立审核方案目标时,ISMS还宜考虑下列事项:
- 确定的信息安全要求;
- GB/T 22080的要求;
- 发生信息安全事态和事件时所反映出的受审核方的绩效水平,以及ISMS的有效性;
- 规划ISMS时所确定的风险和机会;
- 相关方的信息安全风险,例如受审核方和审核委托方。
ISMS特定审核方案的目标可包括:
—相关法律、合同要求、其他要求及其安全影响的符合性验证;
—获得并保持对受审核方在风险管理能力方面的信心;
—评价应对信息安全风险和机会的措施的有效性。
建立审核方案
审核方案管理人员的作用和职责
GB/T 19011—2013的5.3.1中的指南适用。
审核方案管理人员的能力
GB/T 19011—2013的5.3.2中的指南适用。
确定审核方案的范围和详略程度
GB/T 19011—2013的5.3.3中的指南适用。并且,以下ISMS特定的指南适用。
IS5.3.3确定审核方案的范围和详略程度
审核方案的范围和详略程度会有所不同,并受下列因素影响:
- ISMS规模,包括
- 在组织控制下开展工作的人员总数,以及与ISMS有关的相关方和合同方;
- 信息系统的数量;
- ISMS覆盖的场所数量;
- ISMS的复杂程度(包括过程和活动的数量和关键性),并考虑ISMS范围内场所间的差异;
- 与业务有关的信息安全风险的重要性;
- 规划ISMS时所确定的风险和机会的重要性;
- 在ISMS范围内保持信息的保密性、完整性和可用性的重要性;
- 待审核信息系统的复杂度,包括所部署信息技术的复杂度;
- 相似办公场所的数量。
宜在审核方案中确定优先事项,以便根据信息安全风险的重要性和ISMS范围内的业务要求开展更详细的审核。
识别和评估审核方案风险
GB/T 19011—2013的5.3.4中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.3.4识别和评估审核方案风险
审核方案风险还可能涉及保密要求相关的风险。
建立审核方案的程序
GB/T 19011—2013的 5.3.5中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.3.5建立审核方案的程序
宜根据受审核方和其他相关方的要求确定信息安全和保密的保障措施。其他方要求包括相关的法律和合同要求。
识别审核方案资源
GB/T 19011—2013的 5.3.6中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.3.6识别审核方案资源
ISMS审核员尤其宜分配足够的时间,针对适用于受审核方且与审核方案目标相关的所有重大风险,评审应对信息安全风险以及ISMS相关风险和机会所采取措施的有效性。
实施审核方案
总则
GB/T 19011—2013 的5.4.1中的指南适用。
规定每次审核的目标、范围和准则
GB/T 19011—2013的 5.4.2中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.4.2规定每次审核的目标、范围和准则
审核目标可包括以下内容:
- 评价ISMS是否充分识别并解决信息安全要求;
- 评价维护和有效改进ISMS的过程;
- 确定信息安全控制对ISMS要求和规程的符合程度。
审核范围宜考虑到信息安全风险,以及相关方(即审核委托方和受审核方)对ISMS带来的风险和机会。
如果ISMS处于审核范围内,那么审核组宜根据内部和外部事项以及相关方的需求和期望,确认受审核方ISMS的范围和边界。审核组宜确认受审核方在ISMS范围内满足GB/T 22080—2016 4.3中规定的与审核范围有关的要求。
下列文件可作为审核准则,并用作确认符合性的参考:
- 受审核方采用的信息安全方针、信息安全目标、策略和规程;
- 法律和合同要求以及与受审核方相关的其他要求;
- 受审核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程;
- 适用性声明,特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明(无论该控制是否已实现),以及对GB/T 22080—2016附录A控制删减的合理性说明;
- 可适当处置风险的控制的定义;
- 监视、测量、分析和评价信息安全绩效及ISMS有效性的方法和准则;
- 客户的信息安全要求;
- 供应商或外包商应用的信息安全要求。
选择审核方法
GB/T 19011—2013 的5.4.3中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.4.3选择审核方法
如果进行联合审核,则宜特别关注相关方之间的信息泄露问题。在开始审核之前,宜与所有相关方达成协议。
选择审核组成员
GB/T 19011—2013 的5.4.4中的指南适用。并且,以下ISMS特定的指南适用。
IS 5.4.4选择审核组成员
整个审核组的能力宜包括充分具备和理解:
- 信息安全风险管理知识,足以支撑其评价受审核方所使用的方法;
- 信息安全及信息安全管理知识,足以支撑其评价控制的确定以及ISMS的规划、实现、维护和有效性。
为审核组长分配每次的审核职责
GB/T 19011—2013 的5.4.5中的指南适用。
管理审核方案结果
GB/T 19011—2013的 5.4.6中的指南适用。
管理和保持审核方案记录
GB/T 19011—2013 的5.4.7中的指南适用。
监视审核方案
GB/T 19011—2013 的5.5中的指南适用。
评审和改进审核方案
GB/T 19011—2013的5.6中的指南适用。
实施审核
总则
GB/T 19011—2013的6.1中的指南适用。
审核的启动
总则
GB/T 19011—2013 的6.2.1中的指南适用。
与受审核方建立初步联系
GB/T 19011—2013的 6.2.2中的指南适用。并且,以下ISMS特定的指南适用。
IS 6.2.2与受审核方建立初步联系
必要时,宜确保审核员获得使用文件化信息或审核活动所需其他信息(包括但不限于涉密或敏感信息)的必要安全许可。
确定审核的可行性
GB/T 19011—2013的 6.2.3中的指南适用。并且,以下ISMS特定的指南适用。
IS6.2.3确定审核的可行性
在审核开始之前,审核员宜询问受审核方是否存在无法提供审核组评审的ISMS审核证据,例如,因为证据中包含了个人身份信息或其他涉密/敏感信息。负责管理审核方案的人员宜确定在缺少这部分审核证据的情况下是否仍可对ISMS进行充分审核。如果得出的结论为缺少对这部分审核证据的评审将导致无法充分审核ISMS,负责管理审核方案的人员宜告知受审核方,在获得适当的准入安排或向受审核方提出或实施审核的替代手段之前,审核将无法进行。如果审核继续进行,审核计划宜考虑到所有访问限制。
审核活动的准备
审核准备阶段的文件评审
GB/T 19011—2013的 6.3.1中的指南适用。
编制审核计划
GB/T 19011—2013的 6.3.2中的指南适用。并且,以下ISMS特定的指南适用。
IS6.3.2编制审核计划
审核组长宜意识到审核组成员在现场可能对受审核方造成的风险。审核组在现场可能会影响受审核方的信息安全,产生额外的风险源,例如针对涉密或敏感记录或系统基础设施的意外删除、未授权信息泄露、无意的信息变更等。
审核组工作分配
GB/T 19011—2013的6.3.3中的指南适用。
准备工作文件
GB/T 19011—2013 的6.3.4中的指南适用。并且,以下ISMS特定的指南适用。
IS6.3.4准备工作文件
审核组长宜确保所有审核工作文件得以适当分类和处理。
审核活动的实施
总则
GB/T 19011—2013的 6.4.1中的指南适用。
举行首次会议
GB/T 19011—2013的6.4.2中的指南适用。
审核实施阶段的文件评审
GB/T 19011—2013 的6.4.3中的指南适用。并且,以下ISMS特定的指南适用。
IS 6.4.3审核实施阶段的文件评审
ISMS审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在,并符合审核准则要求。
ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关,并可追溯到信息安全方针和目标。
注:附录A为ISMS审核实践提供指南,包括如何使用相关文件化信息审核ISMS。
审核中的沟通
GB/T 19011—2013的 6.4.4中的指南适用。
向导和观察员的作用和责任
GB/T 19011—2013的 6.4.5中的指南适用。
信息的收集和验证
GB/T 19011—2013 的6.4.6中的指南适用。并且,以下ISMS特定的指南适用。
IS 6.4.6信息的收集和验证
在审核过程中收集相关信息的方法可包括:
- 核查记录(包括计算机日志和配置数据);
- 访问信息处理设备;
- 观察ISMS过程以及已实现的相关控制;
- 使用自动审核工具。
注1:附录A提供了关于如何审核ISMS过程的指南。
注2:GB/Z 32916提供了如何评价信息安全控制的额外指南。
ISMS审核组成员宜根据审核委托方、审核组和受审核方之间的协议,确保从受审核方获取的所有信息得到适当处理。
形成审核发现
GB/T 19011—2013 的6.4.7中的指南适用。
准备审核结论
GB/T 19011—2013 的6.4.8中的指南适用。
举行末次会议
GB/T 19011—2013的 6.4.9中的指南适用。
审核报告的编制和分发
审核报告的编制
GB/T 19011—2013 的6.5.1中的指南适用。并且,以下ISMS特定的指南适用。
IS 6.5.1审核报告的编制
如果审核组在审核过程中由于信息级别或敏感原因无法获得审核证据,则审核组长宜判断其影响审核发现和结论可信度的程度,并在审核报告中予以反映,不能因证据敏感性导致其不可用而进行妥协。
审核报告的分发
GB/T 19011—2013 的6.5.2中的指南适用。并且,以下ISMS特定的指南适用。
审核报告的分发
在分发审核报告时,宜采取适当措施确保报告的保密性。
注:当使用电子方式进行分发时,可适当加密审核报告。
审核的完成
GB/T 19011—2013的 6.6中的指南适用。
审核后续活动的实施
GB/T 19011—2013 的6.7中的指南适用。
审核员的能力和评价
总则
GB/T 19011—2013 的7.1中的指南适用。
确定满足审核方案需求的审核人员能力
总则
总则
GB/T 19011—2013 的7.2.1中的指南适用。并且,以下ISMS特定的指南适用。
IS 7.2.1总则
在确定ISMS审核员的适当知识和技能时,宜考虑以下内容:
- ISMS的复杂度(例如ISMS内信息系统的重要性,ISMS的风险评估结果);
- 在ISMS范围内开展的业务类型;
- 实现ISMS各组成部分(例如实现的控制、文件化信息和/或过程控制、涉及的技术平台和解决方案等)所使用技术的范围和多样性;
- 之前已证实的ISMS的绩效;
- ISMS范围内所用的外部方以及外包程度;
- 与审核方案相关的标准、法律要求和其他要求。
个人行为
GB/T 19011—2013的 7.2.2中的指南适用。
知识和技能
总则
GB/T 19011—2013 的7.2.3.1中的指南适用。
管理体系审核员的通用知识和技能
GB/T 19011—2013 的7.2.3.2中的指南适用。
管理体系审核员的特定领域与专业的知识和技能
GB/T 19011—2013的 7.2.3.3中的指南适用,并且GB/T 19011—2013中A.7的指南也适用。
审核组长的通用知识和技能
GB/T 19011—2013 的7.2.3.4中的指南适用。
多领域管理体系审核的知识和技能
GB/T 19011—2013 的7.2.3.5中的指南适用。
审核员能力的获得
总则
GB/T 19011—2013 的7.2.4中的指南适用。并且,以下ISMS特定的指南适用。
IS 7.2.4审核员能力的获得
ISMS审核员宜具备信息技术和信息安全方面的知识和技能,如通过相关认证(例如基于GB/T 27024认可的认证)。ISMS审核员也宜理解相关业务需求。ISMS审核员的个人工作经验宜对他们在ISMS领域的知识和技能有所帮助。
注:有关ISMS审核员认证的更多信息可以在GB/T 25067中找到。
审核组长
GB/T 19011—2013的 7.2.5中的指南适用。
审核员评价准则的建立
GB/T 19011—2013 的7.3中的指南适用。
选择适当的审核员评价方法
GB/T 19011—2013 的7.4中的指南适用。
进行审核员评价
GB/T 19011—2013的 7.5中的指南适用。
- 保持并提高审核员能力
GB/T 19011—2013 的7.6中的指南适用。
ISMS审核实践指南
概述
本附录对声称符合GB/T 22080的组织提供审核ISMS的通用指南。由于本指南旨在适用于所有ISMS审核,所以无论涉及的组织是何规模或性质,本指南均适用。本指南旨在供开展ISMS内部或外部审核的审核员使用。
注:GB/T 31496根据GB/T 22080给出了实施和操作ISMS的指南。
总则
审核目标、范围、准则和审核证据
在审核活动期间,宜通过适当的抽样方式获得并验证与审核目标、范围和准则有关的信息,包括职责,活动和过程之间的接口相关信息。只有能够证实的信息才可作为审核证据。宜记录导致审核发现的审核证据。
获取信息的方法包括以下内容:
—访谈;
—观察;
—文件评审,包括记录。
ISMS审核策略
GB/T 22080遵循ISO/IEC导则第1部分附录JC和融合的JTC1补充部分中的顶层结构、相同的章节标题、核心文本、通用术语与核心定义—JTC1特定规程。GB/T 22080定义了一组相互依赖的要求,这些要求作为一个整体发挥作用(通常被称为“体系方法”),并通过交叉引用予以部署。
在审核时最好同时处理实践中密切相关的GB/T 22080条款。相关示例请参见表A.2。
例如6.1.3和8.3以及6.2,5.1、5.2,5.3、7.1、7.4、7.5、9.1、9.3和10.2,同时审核这些条款及其关联或相关条款才有意义。
GB/T 22080—2016 7.5提出了有关文件化信息的要求。如表A.2中A.4.5所述,每次审核员检查一份文件化信息时,都是确认其是否符合GB/T 22080—2016 7.5要求的机会。有关如何执行上述内容的指南在表A.2的A.4.5中。表中每次出现“文件化信息”时,将不再重复对文件化信息的要求。
审核和文件化信息
审核活动涉及文件化信息,即:
- 在GB/T 22080中文件化信息的要求条款可用作审核准则;
- 以下文件化信息可作为审核证据:
- GB/T 22080—2016 7.5.1 b)中要求的文件化信息;
- 由组织确定的,GB/T 22080—2016 7.5.1 c)中要求的ISMS有效运行所必需的文件化信息。
除A.2.3 b)中所列的审核证据,审核员将通过访谈、观察和文件评审(包括记录)获得其他审核证据。
有关GB/T 22080的文件化信息的详细讨论可在A.3中找到。
GB/T 22080文件化信息要求指南
基本原理
审核员提出要求将文件化信息作为符合性证据时宜注意:
- 表A.1中所列的对文件化信息的16项明确要求,包括适用性声明;
- 其他要求:
- 可从上述文件化信息中找出符合性证据;
- 文件化信息未体现显性或隐性要求。
- GB/T 22080中对文件化信息的要求
| 有关的文件化信息要求 | 参考GB/T 22080 |
|---|---|
| ISMS的范围 | 4.3 |
| 信息安全策略 | 5.2 |
| 信息安全风险评估过程 | 6.1.2 |
| 信息安全风险处置过程 | 6.1.3 |
| 适用性声明 | 6.1.3 d) |
| 信息安全目标 | 6.2 |
| 能力的证据 | 7.2 d) |
| 由组织确定的有效实施ISMS所必须的文件化信息 | 7.5.1 b) |
| 运行规划和控制 | 8.1 |
| 信息安全风险评估的结果 | 8.2 |
| 信息安全风险处置的结果 | 8.3 |
| 监视和测量结果的证据 | 9.1 |
| 审核方案和审核结果的证据 | 9.2 g) |
| 管理评审结果的证据 | 9.3 |
| 表明不符合的性质以及后续措施的证据 | 10.1 f) |
| 任何纠正措施结果的证据 | 10.1 g) |
注:审核的定义表明它是一个文件化的过程,因此审核员可以认为GB/T 22080—2016 9.2要求的结果是一个文件化的审核过程。
对文件化信息有隐性要求的示例
作为A.3.1 b)1)的一个示例,在GB/T 22080—2016 6.1.2中要求组织“保留有关信息安全风险评估过程的文件化信息”。在这条之前的要求[GB/T 22080—2016 6.1.2 a)至e)]均涉及风险评估过程。因此,符合上述要求的证据存在于所要求的风险评估过程相关文件化信息中。
文件化信息未体现显性或隐性要求的示例
作为A.3.1 b)2)的一个示例,考虑GB/T 22080—2016 4.1.1的要求。对外部和内部事项相关的信息未要求文件化。因此,审核员不宜要求看到相关文件化信息。然而,如果组织不能解释其已对这些问题进行决策,将构成对GB/T 22080—2016 4.1.1条款的不符合。但是,组织有责任确定证明其符合要求的方式。证明方式包括最高管理者的解释(即有人知悉);在会议中讨论过该主题;在正式配置管理下的文件化信息中得到证明;也可以通过其他方式证明。实际上,证据很可能会分散在ISMS的文件化信息中。例如,GB/T 22080—2016 4.1.1的目的是帮助组织理解其ISMS环境。该环境贯穿于整个ISMS,尤其是在确定范围、方针以及执行风险评估和风险处置过程时。如果组织符合GB/T 22080—2016 4.1的要求,其外部和内部事项的知识可能会应用于ISMS的其他领域,这些应用将保持一致,并可能会有这些领域文件化信息的符合证据。
适用性声明
适用性声明(SOA)是另一个需要注意的领域。SOA宜包含所有必要的控制,即组织已有的控制、作为风险处置过程[GB/T 22080—2016 6.1.3 c)]结果的控制(为满足风险接受准则而对信息安全风险进行修改所需的控制)。所有必要的控制均为组织自身的要求。
必要的控制可以是GB/T 22080—2016附录A中的控制(非强制要求),也可以来自其他标准(例如ISO/IEC 27017)或其他来源,或者由组织进行专门设计。
在某些情况下,组织所使用的控制对附录A中的控制进行了变更,删减了原附录A中的控制,删减的理由是它已被组织变更后的控制所代替。其实这种变更可以并入附录A的控制中,不作为删减。
审核员宜基于组织各类必要的控制规范来判定符合性,而无需依据附录A给出的规范。如果组织的规范要求一个文件化规程,这会形成组织对GB/T 22080—2016.7.5.1b)的部分符合。如果未要求有文件化规程,那么审核员不宜要求见到该规程。但是,审核员宜关注[GB/T 22080—2016.8.1)]中的要求,组织宜“在必要的范围内保存文件化信息,以确保过程按计划进行”。鉴于8.1引用了6.1的内容,组织的风险处置计划及其必要的控制,都在文件化信息要求的范围内。
在审核控制的选择时,最好针对风险处置计划进行审核[如GB/T 22080—2016.6.1.3 e)中所述],而不只是审核适用性声明中所列出的个别必要控制。风险处置计划可能详细说明了必要控制之间的相互作用,而仅使用适用性声明则可能忽略这个因素。
其他文件化信息
GB/T 22080的关注焦点是结果。在文件化信息的16个明确要求中(见表A.1),只有三个涉及的规范(信息安全风险评估过程,信息安全风险处置过程和审核方案)。但是,这并不妨碍组织拥有文件化的规程。此类支持文件属于GB/T 22080—2016,7.5.1 b)的范围(组织确定的文件化信息对其ISMS的有效性是必要的)。因此,这类文件作为组织的要求,宜包含在审核范围内。
注释
所需信息可以是网页的一部分,也可以作为数据库查询的结果呈现给阅读人员。此外,除了适用性声明以外,GB/T 22080未给出文件名称。因此,有关信息安全策略的文件化信息可能不在名为“信息安全策略”的文件或网页中。组织有权为信息安全策略定义其它名称。在确保ISMS符合(GB/T 22080—2016 5.3a)要求方面具备责任和权限的人员是相同的,都宜知悉GB/T 22080中强制要求的文件化信息与他们的文件化信息之间的关系。
ISMS审核指南
表A.2列出了以下信息:
— 第一行:相应的GB/T 22080条款的编号和名称;
— 第二行:相关条款(有关如何使用此行的信息,请参阅A.2.2);
— 第三行:GB/T 22080相应的条款在GB/T 29246中的相关定义;
— 第四行:“审核证据”,可能来源于GB/T 22080的相应条款;
— 第五行:“审核实践指南”,即审核的指南(参见A.3);
— 第六行:“支持性文件”,针对相应的GB/T 22080条款参考对审核有帮助的其他文件。
- GB/T 22080的审核指南
| A.1组织环境(4) | |
|---|---|
| A.1.1理解组织及其环境(4.1) | |
| GB/T 22080中相关条款 | 6.1,9.3 |
| GB/T 29246中相关定义 | 外部环境,信息安全,内部环境,管理体系,组织 |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)可能对ISMS产生积极或消极影响的重要事项; b)组织; c)组织的目的; d)ISMS的预期结果。 重要事项的可能来源包括: a)与气候,污染,资源可用性和生物多样性有关的环境特性或情况,以及这些情况可能对组织实现其目标的能力产生的影响; b)来自于国际、国内、地区、当地的各种外部文化的、社会的、政治的、法律的、监管的、金融的、技术的、经济的、自然的和竞争的环境; c)组织的特征或条件,例如组织管理,信息流和决策过程; — 组织的政策、目标和实现它们的战略; — 组织的文化; — 组织采用的标准,准则和模型; — 组织产品和服务的生命周期; — 信息系统,过程,科学和技术的潜在信息安全管理; d)审核和风险评估的趋势。 |
| 审核实践指南 | 审核员宜确认该组织: a)有对可能积极或消极影响ISMS的重要事项有一个高层次(如战略的)的理解; b)了解与其目的相关的外部和内部事项,以及影响其实现ISMS预期结果能力的事项。 注1:4.3中的要求是“考虑4.1中提到的外部和内部事项”。组织可以考虑在输出中未出现的内容。 审核员还宜确认通过应用风险管理过程使风险得到充分管理,来保护信息的保密性,完整性和可用性的预期结果。 审核员还宜验证:组织重要主题、辩论和讨论的问题以及变化的环境等相关事项的知识,是否被确认已用于指导组织规划、实现和运行管理体系。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.3;ISO/IEC 27003:2017,4.1 |
| 表A.2 (续) | |
| A.1.2理解相关方的需求和期望(4.2) | |
| GB/T 22080中相关条款 | 4.1,4.3 |
| GB/T 29246中相关定义 | 相关方 |
| 审核证据 | 审核证据可以通过下列文件化信息或其他信息获得: a)相关方; b)适用于ISMS和GB/T 22080的相关方的需求和期望。 注2:潜在的相关方可能包括: a)法律和监管机构(当地、地区、自治区/省、国家或国际); b)上级组织; c)客户; d)贸易和专业协会; e)社区团体; f)非政府组织; g)供应商; h)邻居; i)组织成员和代表组织工作的其他人; j)信息安全专家。 注3:相关方要求可能包括: a)法律; b)许可、执照或其他形式的授权; c)监管机构发布的决议; d)法院或行政法庭的判决; e)条约、公约和议定书; f)相关行业规范和标准; g)已签订的合同; h)与社区团体或非政府组织达成的协议; i)与公共机构和客户的协议; j)组织要求; k)自愿性原则或行为守则; l)自愿性标识或环境承诺; m)根据与该组织的合同安排产生的义务; n)信息和通信交换。 注4:相关方可以有不同的利益,这些利益可以完全一致、部分一致或与组织的经营目标相对立。与组织的经营目标相对立的相关方示例为黑客。黑客要求组织形成弱安全性。组织宜重视这类完全对立的相关方需求,即加强安全性。 审核员宜意识到ISMS考虑了所有内部和外部风险源。因此,组织对相对立的相关方及其需求的理解具有高度相关性。 |
| 表A.2 (续) | |
| 审核实践指南 | 审核员宜确认组织对适用于ISMS和GB/T 22080的相关方的需求和期望有一个高层次(如战略性)的理解。 审核员宜核实该组织是否已识别出相关方的需求,包括自愿采纳或签订的协议、合同,或因纳入法律、法规、许可、政府授权或法庭诉讼中所导致打强制性需求和期望。值得注意的是,并非所有相关方要求都是组织的要求,有些要求不适用于组织或与ISMS不相关。一些相关方的需求(例如黑客的需求)与ISMS的目的相反,组织宜通过适当的信息安全控制来确保这些需求和期望不会被满足。 审核员还可以确认是否有相关方意识到他们会受到ISMS的影响,如果是的话,他们需让组织知道这些情况。 审核员还可以验证组织是否使用所获得的知识来指导其规划、实现和运行ISMS的工作。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.3 ISO/IEC 27003:2017,4.2 |
| A.1.3 确定ISMS范围(4.3) | |
| GB/T 22080中相关条款 | 4.1,4.2 |
| GB/T 29246中相关定义 | 外包 |
| 审核证据 | 审核证据可以通过以下文件化信息或其他信息获得 — 组织管理体系的范围(4.3中定义); — 适用时,组织的认证范围; — 适用性声明。 注5:组织认证的范围不一定与其ISMS的范围相同。通常情况下,认证范围仅限于ISMS组织架构。 |
| 审核实践指南 | 审核员宜确认组织根据自己的意愿确定应用ISMS的物理、信息、法律和组织边界,并选择在整个组织内还是在组织内的特定部门或职能部门实现GB/T 22080。 审核员宜核实组织对其环境(4.1)、相关方(4.2)的要求以及组织执行的活动和其他组织执行的活动之间的接口和依赖性(4.3 C)的理解,并在确定ISMS的范围时予以充分考虑。 审核员宜进一步确认组织的信息安全风险评估和风险处置恰当地反映了其活动,并延伸到ISMS范围内定义的活动边界,再延伸到适用的审核范围。审核员宜核实每一个审核范围内至少有一个适用性声明,并且在适用性声明中包含了风险管理过程中确定的所有控制。这些控制是指GB/T 22080 6.1.3 b)所述的必要控制,不必是GB/T 22080—2016附录A中所述的控制。这些控制可以包括适用于特定行业的控制,以及组织自行设计或从其他来源识别的控制。 审核员还宜确认不完全在ISMS范围内的服务或活动的接口在ISMS中得到解决,并包含在组织的信息安全风险评估中。例如与其他组织共享设施(例如IT系统、数据库、远程通信系统或业务功能的外包)。 宜确认已建立范围文件,并根据文件化信息(7.5)的要求进行控制。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.3 ISO/IEC 27003:2017,4.3 GB/T 25067—2019,8.2,9.1.3.5 IS 9.1.3 认证范围 GB/T 27021.1—2017,8.2.2 |
| 表A.2 (续) | |
| A.1.4 信息安全管理体系 (4.4) | |
| GB/T 22080中相关条款 | 6.1.1,6.1.2,6.1.3,8.1,8.2,8.3 |
| GB/T 29246中相关定义 | 持续改进,信息安全,管理体系 |
| 审核证据 | 审核证据可以通过GB/T 22080要求建立的文件化信息或其他过程信息获得,包括: a)管理体系的过程(GB/T 22080—2016,4.4); b)业务规划和控制过程,包括外包过程(8.1); c)规划ISMS时应对风险和机会的过程,包括信息安全风险评估过程(6.1.2和/或8.1.2)和信息安全风险处置过程(6.1.3和/或8.1.3); d)实现信息安全目标的过程。 |
| 审核实践指南 | 审核员宜核实组织创建了“必要且充分”的一组过程和控制,这些过程和控制共同构成了符合GB/T 22080的有效的管理体系,并建立了由相互关联或相互作用的要素构成的ISMS。 审核员还宜确认,该组织在目前的能力范围内保持了决定如何满足ISMS要求的权力、义务和自主权,包括详略程度及将ISMS要求纳入其业务的程度。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.3 ISO/IEC 27003:2017,4.4 |
| A.2 领导(5) | |
| A.2.1 领导和承诺 (5.1) | |
| GB/T 22080中相关条款 | 4.1,4.2,4.4,5.2,5.3,6.1.1,6.2,7.1,7.4,8.1,9.3,10.2 |
| GB/T 29246中相关定义 | 信息安全,最高管理者 |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)信息安全方针[GB/T 22080—2016,5.1 a)]; b)信息安全目标[5.1 a)]; c)组织的过程; d)管理评审的结果[5.1 c),e)和 g)]; e)评估资源需求; f)有效的信息安全管理的重要性和遵守ISMS要求的沟通。 还可以通过与最高管理者的访谈获得证据。管理评审的结果还可以提供除5.1 c),e)和g)以外的子条款的审核证据。 |
| 表A.2 (续) | |
| 审核实践指南 | 审核员宜确认组织最高管理者的强力支持、参与和承诺,这对成功实现GB/T 22080非常重要。 审核员还宜审核:: a)已定义的最高管理者的职责; b)最高管理者对分配给组织的活动的圆满完成负有责任; c)最高管理者确保建立信息安全方针和目标,并与组织战略方向一致; d)最高管理者传达有效的信息安全管理和符合ISMS要求的重要性; e)最高管理者通过支持所有信息安全管理过程的实现,特别是通过要求和评审有关ISMS状态和有效性的报告[见5.3 b)],确保ISMS达到其预期结果; f)最高管理者指导并支持组织中直接参与信息安全和ISMS的人员; g)最高管理者确保将ISMS要求整合到组织过程中; h)最高管理者确保ISMS所需资源可用; i)最高管理者在管理评审时评估资源需求,并设定持续改进和监视计划活动有效性的目标; j)最高管理者创建文化和环境氛围,鼓励员工积极努力实现ISMS要求,并争取实现信息安全目标。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,4.2 ISO/IEC 27003:2017,5.1 |
| A.2.2 方针(5.2) | |
| GB/T 22080中相关条款 | 6.2,7.4 |
| GB/T 29246中相关定义 | 信息安全,方针 |
| 审核证据 | 审核证据可以通过以下文件化信息或其他信息获得: a)信息安全方针(5.1); b)信息安全目标[5.2 b)和 6.2]。 |
| 审核实践指南 | 审核员宜确认: a)信息安全方针说明了GB/T 22080要求的高层次的组织承诺,并考虑了组织的目标; b)信息安全方针用于构建或建立组织为自己设定的信息安全目标,或明确说明为信息安全策略的一部分; c)信息安全方针的文件化信息是根据文件化信息(7.5)的要求建立和控制的; d)信息安全方针按照沟通条款(7.4)的要求在内部得到沟通; e)信息安全方针适当时对其他相关方可用; 由于信息安全方针包含了满足适用要求的承诺,特别是相关法律法规要求。因此,只要对导致不符合的系统缺陷及时发现并采取纠正措施,即不宜视为不符合。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,4.3.2 ISO/IEC 27003:2017,5.2 |
| A.2.3 组织的角色、责任和权限(5.3) | |
| GB/T 22080中相关条款 | 7.4,9.2,9.3 |
| GB/T 29246中相关定义 | 信息安全,组织,最高管理者 |
| 表A.2 (续) | |
| 审核证据 | 参考GB/T 22080—2016,7.5.1 b),审核证据可以通过以下方面的文件化信息或其他信息获得: a)组织的角色; b)在信息安全控制下工作并对组织的信息安全绩效产生影响的人员的岗位说明书; c)执行内部审核方案及审核结果; d)ISMS的范围与组织架构。 此外,还可以通过管理评审结果的文件化信息或其他信息来开展进一步的审核。 |
| 审核实践指南 | 审核员宜通过审核文件化信息和/或访谈确认: a)执行ISMS要求的职责和权限被分配给组织内的相关角色; b)最高管理者负责这些职责和权限被分配并传达给执行这些角色的人员; c)按照沟通条款(7.4)的要求沟通职责和权限; d)按照内部审核(9.2)的要求实施,证明符合GB/T 22080的要求; e)按照管理评审(9.3)的要求实施绩效的报告。 审核员宜验证有责任的人员是否有足够的权限与最高管理者联系,以便其了解ISMS的状态和绩效。 注6:确保管理体系符合GB/T 22080要求的角色可以分配到个人、由多个人共同承担或分配给团队。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,4.3.3 ISO/IEC 27003:2017,5.3 |
| A.3 规划 (6) | |
| A.3.1 应对风险和机会的措施 (6.1) | |
| A.3.1.1 总则(6.1.1) | |
| GB/T 22080中相关条款 | 4.1,4.2,8.1,9,10.2 |
| GB/T 29246中相关定义 | 信息安全,风险,风险管理 |
| 审核证据 | 审核证据可以通过以下文件化信息或其他信息获得: a)ISMS的规划[GB/T 22080—2016,6.1.1,7.5.1 b]和8.1]; b)信息安全风险评估过程(6.1.2); c)信息安全风险评估结果(8.2); d)信息安全风险处置过程(6.1.3); e)信息安全风险处置结果(8.3); f)监视和测量结果(9.1); g)内部审核方案和内部审核结果(9.2); h)管理评审(9.3); i)组织环境(4); j)信息安全目标(6.2)。 |
| 表A.2 (续) | |
| 审核实践指南 | 审核员宜确认规划: a)在适当的水平上建立ISMS; b)考虑(4.1)中确定的组织环境相关的事项以及(4.3)中确定组织的适用要求,以解决GB/T 22080—2016,6.1.1 a)到c)有关的任何负面或正面的后果; c)预防或减少不良影响; d)处置组织所确定的预期结果[6.1.1 a],包括通过应用风险管理过程保护信息的保密性、完整性和可用性; e)通过目标设定(6.2)、运行控制(8.1)或GB/T 22080的其他具体条款(如资源规定(7.1)、能力(7.2)、信息安全风险评估(8.2))、信息安全风险处置(8.3),确定如何将必要或有益的行动纳入到ISMS中; f)确定评估所采取措施有效性的机制,包括监视、测量技术(9.1)、内部审核(9.2)或管理评审(9.3)。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.3 to 5.7 ISO/IEC 27003:2017,6.1.1 |
| A.3.1.2 信息安全风险评估 (6.1.2) | |
| GB/T 22080中相关条款 | 8.2 |
| GB/T 29246中相关定义 | 可用性,保密性,信息安全,完整性,风险接受,风险分析,风险评估,风险准则,风险识别 |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)ISMS规划 [GB/T 22080—2016,6.1.1,7.5.1 b)和8.1)]; b)信息安全风险评估过程(6.1.2)和信息安全风险评估结果(8.2)。 |
| 审核实践指南 | 审核员宜确认信息安全风险评估: a)确定与ISMS相关的信息安全风险; b)包括风险识别,风险分析和风险评估过程。 |
| 风险准则[GB/T 22080—2016,6.1.2 a)] | |
| 审核员宜确认组织已建立并持续维护风险接受准则以及信息安全风险评估实施准则。 虽然组织可以自行考虑与风险准则相关的任何因素,包括风险接受准则和信息安全风险评估实施准则,但审核员宜评估组织是否基于已形成的决策建立了风险准则,包括风险接受准则和风险评估实施准则。 比较合理的是,组织的风险准则包含在风险评估过程的文件化信息中。如果没有,组织宜能够向审核员解释它们是什么。至少,它们宜包括组织的风险接受准则和风险评估实施准则。 注7:GB/T 22080—2016,8.2要求组织在计划的时间间隔内、重大变更提出或发生时进行信息安全风险评估。可以对所有ISMS或部分ISMS进行风险评估(例如当重大变更对ISMS的部分产生影响时,就要求对该部分进行新的风险评估)。 | |
| 结果的一致性、有效性和可比较性 [GB/T 22080—2016,6.1.2 b)] | |
| 表A.2 (续) | |
| 审核员宜确认信息安全风险评估产生一致的、有效的和可比较的结果。可以通过以下方式执行: 1)询问组织为何其自身的信息安全风险评估结果为一致的、有效的和可比较的; 2)对有关信息安全风险评估结果的文件化信息进行抽样检查。 为了评估一致性和可重复性,审核员可以验证: 1)以同样方式评估类似情况下的类似风险; 2)所评估风险的差异具有合理的理由; 3)整体评估结果可以准确理解。 为了评估可比较性,审核员可以验证: 1)在以前的风险评估中相同风险是如何评价的,如果风险已经发生变化,是否可以解释; 2)如果一个风险高于或低于其他风险是可清晰进行解释的。 | |
| 风险识别[GB/T 22080—2016,6.1.2 c)] | |
| 审核员宜确认组织已识别出ISMS范围内与信息保密性、完整性和可用性丧失相关的信息安全风险。 注8:GB/T 22080不要求仅通过资产、威胁和脆弱性来识别风险。其他风险识别方法也可以接受,例如通过考虑事态和后果来识别风险。 可在组织有关风险评估的文件化信息中找到风险识别过程的描述(见下文)。 组织在制定风险识别方法时可以考虑(非必须)的因素包括: a)如何发现、识别和描述风险; b)考虑的风险来源。 组织可以考虑(非必须)的其他因素包括: a)风险如何产生、增强、预防、降低、加速或延迟组织实现其信息安全目标;风险与机会相关,但非追求机会; b)风险来源是否在组织的控制下,即使风险来源或原因可能不明显; c)检查特定后果的连锁效应,包括级联效应和累积效应; d)考虑各种后果,即使风险来源或产生原因不明显; e)考虑可能的原因和情景,以显示可能发生的后果; f)考虑所有重大原因和后果; g)如何建立全面的风险列表。 注9:发现无意中遗漏了大量必要的控制可能表明风险识别过程较弱。 宜通过抽样确认ISMS范围内的所有重要信息都包含在风险评估中。 审核员宜验证在风险评估结果的文件化信息中已识别出ISMS范围内与信息保密性、完整性和可用性丧失相关的风险。组织的信息安全目标可帮助审核员识别信息安全风险。 审核员还宜确认: a)对于每种风险,已确定风险责任人; b)每个风险责任人都有责任和权力来管理他们已识别的风险。 | |
| 风险分析[GB/T 22080—2016,6.1.2 d)] | |
| 表A.2 (续) | |
| 审核员宜确认: a)组织宜理解所识别风险的性质,确定风险的级别,作为信息安全风险评估过程中风险分析的依据; b)风险分析为风险评价、风险需如何处置及最适当的风险处置、战略和方法方面的决策提供输入; 审核员还宜确认组织已评估了其根据GB/T 22080—2016,6.1.2 c)所确定风险的潜在后果和可能性,从而确定风险级别。 可在关于风险评估过程的文件化信息中找到组织风险分析方法的描述,结果将出现在关于风险评估结果的文件化信息中(见下文)。审核员宜参考组织的风险管理策略、战略和方法。 风险分析可以是: a)根据风险、分析目的以及可用的信息、数据和资源,以不同详略程度开展; b)定性、半定量、定量或这些方法的组合,依环境而定。 | |
| 风险评价[GB/T 22080—2016,6.1.2 e)] | |
| 审核员宜确认组织已将其风险分析结果与信息安全风险接受准则进行比较,以确定已识别风险的可接受性。 审核员还宜确认在风险评估结果中,可表明风险接受准则已得到适当应用,且所识别和分析的风险已被优先处置。 进一步,审核员宜评审风险评估: a)根据风险分析的结果,协助制定风险需要处置的方式和处置实施的优先顺序; b)涉及将分析过程中发现的风险水平与考虑背景时建立的信息安全风险准则进行比较。 审核员还宜评估决定: a)考虑更广泛的风险背景; b)考虑相关利益方的要求,包括法律、监管和其他要求。 | |
| 文件化信息[GB/T 22080—2016,6.1.2和8.2] | |
| 审核员宜确认存在关于风险评估过程的文件化信息。 关于信息安全风险评估过程的文件化信息包括: a)风险准则的定义,包括风险接受准则和信息安全风险评估实施准则; b)结果的一致性、有效性和可比较性的基本原理; c)风险识别过程的描述(包括风险责任人的识别); d)分析信息安全风险过程的描述(包括评估潜在后果、现实可能性及由此建立的风险水平); e)结果与风险准则进行比较的描述,以及风险处置优先级的描述。 注10:上述各项均符合GB/T 22080要求,这就是为什么可在关于风险评估过程的文件化信息中找到相关信息的原因。 | |
| 支持性文件 | ISO 31000:2009,5.3,5.4,5.7 ISO/IEC 27003:2017,6.1.2,8.2 |
| A.3.1.3信息安全风险处置(6.1.3) | |
| GB/T 22080中相关条款 | 8.3,附录A. |
| GB/T 29246中相关定义 | 控制,控制目标,文件化信息,信息安全,残余风险,风险评估,风险准则,风险责任人,风险处置 |
| 表A.2 (续) | |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)ISMS规划; b)信息安全风险处置过程; c)信息安全风险处置结果; d)适用性声明。 |
| 审核实践指南 | 信息安全风险处置(GB/T 22080—2016,6.1.3) |
| 审核员宜确认组织将信息安全风险修改作为了信息安全风险处置过程。 审核员还宜评审信息安全风险处置是否涉及: a)选择一个或多个选项来修改信息安全风险,并实现这些规定或修改控制的选项; b)评估该措施的有效性和周期性。 | |
| 选择适当的信息安全风险处置选项[GB/T 22080—2016,6.1.3 a] | |
| 审核员宜确认有关风险处置过程的文件化信息,包含组织用于选择适当信息安全风险处置选项的方法的描述。审核员还宜确认此描述与组织实际执行的内容相对应。 请注意,GB/T 29246—2017,2.79,注1列举了七种风险处置选项,并且在GB/T 22080—2016,6.1.3中引用了ISO 31000的注释。 审核员宜验证风险准则与风险处置计划之间的一致性。组织宜能够解释它在风险处置选项方面做出的决策,即使它们没有被记录。 审核员宜审核组织选定的风险处置选项。审核员还宜评审所选风险处置选项的适当性。 审核员宜验证最近的变更(例如新的IT系统或业务过程)是否已适当纳入风险评估和风险处置决策。 | |
| 确定所有必要的控制[GB/T 22080—2016,6.1.3 b] | |
| 审核员宜确认有关风险处置过程的文件化信息,包含组织用于确定必要信息安全控制的方法的描述。审核员还宜确认此描述符合组织实际执行的操作。 [GB/T 22080—2016,6.1.3 d)]要求适用性声明包含必要的控制以及附录A中包含但不必要的控制。它们可能是特定部门的控制(如行业特定标准,如ISO/IEC 27011、ISO/IEC 27017)。 他们也可能是“定制化控制”,因为组织可自己设计或从任何来源识别[见GB/T 22080—2016,6.1.3 b)]。 确定实现风险处置选项的所有控制都宜包含在适用性声明中。此外,任何定制化控制宜在要求和实现中明确定义。 | |
| 与附录A [GB/T 22080—2016,6.1.3 c)] 进行比较 | |
| 通过评审适用性声明来证明符合此要求。 | |
| 制定适用性声明[GB/T 22080—2016,6.1.3 d)] | |
| 表A.2 (续) | |
| 审核员宜验证适用性声明是否包含: a)应用GB/T 22080—2016过程所确定的必要控制6.1.3 b)和c); b)包含它们的理由(例如,参考使用它的风险处置选项); c)是否实现了必要的控制; d)所有被删减的附录A的控制的理由,例如: 1)控制适用于组织不涉及的活动; 2)组织使用定制化控制,不需要附录A的控制; 3)组织使用定制化控制,其作用与附录A控制相同(更多信息见GB/T 31496); e)相关的行业特定控制,这些控制将被指定为必要的控制,或以附录A删减的控制相同的方式进行处置。 因此,审核员宜确认实现选定风险处置选项所需的控制与适用性声明之间的一致性。 | |
| 制定风险处置计划[GB/T 22080—2016,6.1.3 e] | |
| 审核员宜确认有关风险处置过程的文件化信息,包含组织用于制定风险处置计划的方法描述。 审核员还宜确认风险处置计划是根据GB/T 22080—2016,6.1.3 a)至c)制定的。 审核员宜进一步确认处置计划中提供的信息包括: a)计划所涉及的风险; b)必要的控制; c)如何采取必要的控制来修改风险以便于满足风险接受准则; d)风险责任人; 注11:风险责任人负责批准风险处置计划并接受残余风险。 e)选定的风险处置选项; f)必要控制的实现状态; g)选择处置选项的原因,包括可获得的预期收益; h)处置计划包括的责任人、时间表和进度; i)包括意外事件在内的资源需求; j)绩效考核和约束; k)报告和监视。 审核员宜评审风险处置计划是否考虑了组织的目标设定和管理过程,并与相关利益方进行了讨论。 | |
| 获得风险责任人批准[GB/T 22080—2016,6.1.3 f)] | |
| 审核员宜确认组织: a)确定了风险责任人; b)记录了残余风险; c)获得风险责任人对信息安全风险处置计划的批准和对残余风险的接受。 | |
| 文件化信息 | |
| 表A.2 (续) | |
| 审核员宜确认有关风险处置的文件化信息真实存在。确保有关信息的文件化信息是合理的,安全风险处置过程含以下描述: a)选择适当的信息安全风险处置选项的方法; b)确定必要控制的方法; c)GB/T 22080—2016附录A如何用于确定无意中忽略的必要控制; d)如何编制SOA; e)如何编制风险处置计划; f)如何获得风险责任人的批准。 注12:对组织风险处置计划的内容或格式没有特别要求。 | |
| 支持性文件 | ISO 31000:2009,5.5,5.7 ISO/IEC 27003:2017,6.1.3,8.3 GB/T 25067 |
| A.3.2 信息安全目标及其实现规划(6.2) | |
| GB/T 22080中相关条款 | 5.1, 5.2, 7.1, 7.3, 7.4, 7.5, 9.1, 9.3, 10.2 |
| GB/T 29246中相关定义 | 信息安全,目标 |
| 审核证据 | 审核证据可以通过与信息安全目标及其实现规划相关的文件化信息或其他信息获得。 |
| 审核实践指南 | 需要注意的是,信息安全目标及其实现规划(GB/T 22080—2016,6.2)与领导和承诺(5.1)、方针存在关联。 审核员宜确认: a)信息安全目标是在组织相关职能和层面上建立的; b)信息安全目标以其实现可进行检测的方式进行详细说明; c)必要时(可能存在信息安全目标无法进行测量的情况),目标可测量; d)根据监视、测量、分析和评价(9.1)的要求,定期核实信息安全目标及其实现规划的现状和进展,并酌情进行更新,与持续改进的要求保持一致; e)信息安全目标及其实现规划根据沟通(7.4)要求进行沟通; f)根据文件化信息(7.5)的要求创建并控制目标的文件化信息。 审核员还宜验证: a)实现信息安全目标(即“什么”)和相关时间范围(即“何时”)所需的措施得以确定; b)责任分配(即“谁”)根据组织的角色、责任和权限(5.3)的要求得以建立; c)适用的信息安全要求、风险评估和风险处置结果在目标及其实现规划中予以考虑; d)任何实现目标的需求(例如预算、专业技能、技术或基础设施等)根据资源(7.1)要求得以确定并提供; e)用于评价完成事项总体结果的机制根据监视、测量、分析和评价(9.1)的要求得以确定,并根据管理评审(9.3)的要求进行报告。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO/IEC 27003:2017,6.2 |
| A.4支持(7) | |
| A.4.1资源(7.1) | |
| GB/T 22080中相关条款 | 5.1,6.2,7.2 |
| 表A.2 (续) | |
| GB/T 29246中相关定义 | 持续改进,管理制度 |
| 审核证据 | 审核证据可以通过文件化信息或组织需要资源的其他信息获得: a)建立并实施ISMS(包括其运行与控制); b)持续改进ISMS。 资源包括: a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力; b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c)基础设施(例如建筑物,通信线路等); d)技术; e)信息以及与信息和信息处置相关的其他资产设备; f)资金(例如现金,流动证券和信贷额度)。 |
| 审核实践指南 | 审核员宜确认组织计划、确定和分配了建立和实施ISMS所需的资源(包括其运行与控制),以及维护和持续改进所需的资源。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,4.3.5 |
| A.4.2 能力 (7.2) | |
| GB/T 22080中相关条款 | 5.3,7.1,7.5.1注,9.1 d)和e),9.2 e) |
| GB/T 29246中相关定义 | 能力,有效性 |
| 审核证据 | 审核证据可通过文件化信息或其他相关信息获得: a)组织的角色、责任和权限; b)岗位描述; c)所需的能力; d)教育记录; e)培训计划、课程和教育活动; f)保留适当的文件化信息作为能力的证据; g)评估其有效性。 GB/T 22080—2016,7.2将能力范围扩至非组织成员。该要求规定他们“在组织的控制下工作”。例如包括分包商和志愿者。 第三方要求的审核证据宜限于证明为ISMS组织执行的职能和活动。 |
| 审核实践指南 | 审核员宜确认组织: a)确定: 1)组织控制下从事会影响组织信息安全绩效的工作人员; 2)人员获得预期结果的知识和技能; 3)人员运用知识和技能达到预期结果的能力; b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 GB/T 31496—2015, 7.2 ISO/IEC 27021: 一、附录A |
| 表A.2 (续) | |
| A.4.3 意识 (7.3) | |
| GB/T 22080中相关条款 | 5.1 d),5.2,9.1,9.2,10.1,10.2 |
| GB/T 29246中相关定义 | 符合性,有效性,绩效,策略 |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)信息安全方针; b)信息安全目标; c)信息安全绩效; d)不符合的纠正措施; e)组织的角色,责任和权限; f)岗位描述; g)适用的学习计划和培训材料。 |
| 审核实践指南 | 审核员宜确认在组织的控制下,工作人员能够意识到: a)信息安全方针; b)其对ISMS有效性的贡献,包括改进信息安全绩效带来的益处; c)不符合ISMS要求带来的影响。 审核员宜访谈适当数量的人员作为抽样,以确认他们了解这些信息。 对方针的认识不宜被视为需要记住方针;相反,人们宜认识到关键的方针承诺及其在实现这些承诺方面的作用。 审核员还可在非专门用于信息安全的意识和培训计划中找到信息安全意识证据。这些活动可与最高管理者的沟通活动密切相关。[GB/T 22080—2016,5.1 d)和7.4]。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9。 ISO/IEC 27003:2017,7.3 |
| A.4.4 沟通 (7.4) | |
| GB/T 22080中相关条款 | 5.1,5.2,5.3,6.2,9.2 |
| GB/T 29246中相关定义 | 方针 |
| 审核证据 | 审核证据可以通过文件化信息或其他信息获得: a)信息安全方针; b)组织的角色、责任和权限; c)信息安全风险评估过程; d)信息安全风险处置过程; e)信息安全目标; f)过程已按计划执行的信息; g)信息安全风险评估结果; h)信息安全风险处置结果; i)ISMS绩效; j)审核结果; k)管理评审结果。 |
| 表A.2 (续) | |
| 审核实践指南 | 审核员宜确认组织的沟通需求已根据GB/T 22080的沟通要求得到有效的识别、实现和维护。 证据的例子可包括: a)会议记录中的信息; b)正式的沟通计划、文件化规程和结果; c)与分配到特定角色的人员进行面谈,以证明他们知悉与其角色相关的沟通要求:沟通什么、何时沟通、与谁沟通、谁来沟通以及影响沟通的过程。 这些证据可以补充: a)下列沟通信息: 1)有效的信息安全管理的重要性以及ISMS要求的符合性; 2)方针; 3)责任和权限; 4)ISMS绩效; 5)目标; 6)对ISMS有效性的贡献,包括改进信息安全绩效带来的益处; 7)不符合ISMS要求带来的影响; 8)审核结果; b)正式的沟通计划、文件化规程和结果。 审核员宜验证组织是否已确定其与ISMS相关的沟通需求,例如,这些需求可包括透明度、适当性、可信度、回应性、清晰度以及保护。 沟通可以是口头或书面、单向或双向、内部或外部的。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,4.3.6,4.3.7 ISO/IEC 27003:2017,7.4 |
| A.4.5 文件化信息 (7.5) | |
| A.4.5.1 总则 (7.5.1) | |
| GB/T 22080中相关条款 | 4.3,5.2 e),6.1.2,6.1.3,6.2,7.2 d),8.1,8.2,8.3,9.1,9.2 g),9.3,和 10.1 |
| GB/T 29246中相关定义 | 文件化信息 |
| 表A.2 (续) | |
| 审核证据 | 审核证据可以通过ISMS中的文件化信息或其他信息进行创建、控制或维护,包括: a)管理体系的范围; b)方针; c)目标; d)能力的证据; e)管理体系运行规划和控制所需的外部信息; f)信息安全风险评估过程; g)信息安全风险处置过程; h)适用性声明; i)必须提供的信息,以确保过程和确定的控制按计划进行; j)信息安全风险评估结果; k)信息安全风险处置结果; l)监视、测量、分析和评估结果; m)内部审核计划及其实施的证据; n)内部审核结果; o)管理评审结果; p)不符合的原因和采取的措施; q)纠正措施结果。 文件化信息是为需求而创建,非为满足GB/T 22080的要求而创建。 |
| 审核实践指南 | 审核员宜确认该组织的ISMS包括: a)GB/T 22080要求的文件化信息; b)组织确定必要的ISMS体系有效性的文件化信息。 叙述“文件化信息作为…的证据”意味着之前的术语“记录”。 审核员宜确认组织确定除了GB/T 22080明确要求的ISMS的有效性之外,还需要哪些文件化信息,这些因素宜在审核证据列表中被考虑。 术语“文件化信息”是指GB/T 22080确定的信息,可以任何格式或介质来控制和维护 (见 7.5.3)。 审核员宜按照7.5.2和7.5.3的要求确认创建和控制文件化信息。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.7 ISO/IEC 27003:2017,7.5.1 |
| A.4.5.2 创建和更新 (7.5.2) | |
| GB/T 22080中相关条款 | 4.3,5.2 e),6.1.2,6.1.3,6.2,7.2 d),8.1,8.2,8.3,9.1,9.2 g),9.3,和 10.1 |
| GB/T 29246中相关定义 | 文件化信息 |
| 审核证据 | 审核证据可以通过以下方面的文件化信息或其他信息获得: a)允许明确和具有唯一标识的共同属性; b)使用的格式和介质; c)上次评审或更新的日期; d)变更的历史; e)评审者和批准者的身份。 |
| 表A.2 (续) | |
| 审核实践指南 | 审核员宜确认在创建和更新文件化信息时,组织确保适当 a)标识和描述(例如标题、日期、作者或引用编号); b)格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的); c)对适宜性和充分性的评审和批准。 注13:用于文件化信息的标识、格式和介质是组织实施GB/T 22080的选择;它不必是文本格式或纸质手册的形式。 如若ISMS范围内的文件化信息提交审核,审核员宜抓住机会执行这些审核任务。 它们不必每次都进行,只需达到足够次数即可确认符合GB/T 22080—2016,7.5.2相关要求。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO/IEC 27003:2017,7.5.2 |
| A.4.5.3 文件化信息的控制(7.5.3) | |
| GB/T 22080中相关条款 | 4.3,5.2 e),6.1.2,6.1.3,6.2,7.2 d),8.1,8.2,8.3,9.1,9.2 g),9.3,和 10.1 |
| GB/T 29246中相关定义 | 文件化信息 |
| 审核证据 | 审核证据可以通过以下活动的文件化信息或其他信息获得: a)分发、访问、检索和使用; b)存储和保护,包括保持可读性; c)控制变更(例如版本控制); d)保留和处置; e)文件化信息库的结构和配置。 |
| 审核实践指南 | 审核员宜确认ISMS和GB/T 22080要求的文件化信息得以控制,以确保: a)无论何时何地,必要时是可用且适用的; b)受到充分保护(例如,保密性、不当使用或完整性丧失)。 审核员宜确认组织适用时处理了以下问题: a)分发、访问、检索和使用; b)存储和保存,包括保持可读性(以数字或其他格式或手写); c)控制变更(例如版本控制); d)保留和处置。 如若ISMS范围内的文件化信息提交审核,审核员宜抓住机会执行这些审核任务。 它们不必每次都进行,只需达到足够次数即可确认符合GB/T 22080—2016,7.5.3相关要求。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO 31000:2009,5.7 ISO/IEC 27003:2017,7.5.3 |
| A.5 运行 (8) | |
| A.5.1运行规划和控制(8.1) | |
| GB/T 22080中相关条款 | 4.4,6.1.1,6.1.2,6.1.3,6.2,7.5.1,9.1,和 9.2 |
| GB/T 29246中相关定义 | 后果,信息安全,目标,组织,外包,处理,要求 |
| 表A.2 (续) | |
| 审核证据 | 审核证据可以通过文件化信息或其他信息获得: a)组织需确认运行控制处理已按照计划得到实施(GB/T 22080—2016,8.1); b)组织有必要确认ISMS的有效性 [GB/T 22080—2016,7.5.1 b)]; c)ISMS规划 (GB/T 22080—2016,6.1.1); d)信息安全目标 (GB/T 22080—2016,6.2)。 |
| 审核实践指南 | 审核员宜确认组织规划、实现和控制满足组织运行中信息安全要求所需的过程,以确保完成GB/T 22080中的要求,并确定风险优先级以及其他因素。 审核员宜确认运行控制包括实施的方法和信息安全控制,确保业务操作、活动或设备符合规定的条件、绩效标准或遵从法规的限制,从而有效地实现ISMS的预期结果。这些控制的建立实现了业务过程需要的最佳功能所必需的技术要求,例如技术规范或操作参数或特定的方法。 宜对与业务过程相关的运行控制和信息安全控制的情况进行评审,在这些业务过程中,缺少运行控制和信息安全控制可能导致偏离方针和目标或构成不可接受的风险。这些情况可能与业务操作、活动、过程、生产、安装、服务、维护、合同方、供应商或外包商有关。所执行的控制程度将取决于许多因素,包括所执行的功能、它们的重要性或复杂性、偏离的潜在后果、可变性或所涉及的可用的技术能力。 因此,审核员宜审核组织: a)实施在“应对风险和机会的措施”中所确定的活动(GB/T 22080—2016,6.1); b)执行计划以实现已确定的信息安全目标,并制定计划实现这些目标(GB/T 22080—2016,6.2); c)创建和控制所需的文件,以确认运行控制和信息安全控制已按照文件化信息的要求按计划进行 (GB/T 22080—2016,7.5); d)控制计划的变更并审核意外变更的后果,以防止或以最大限度地减少未满足技术要求或引入新风险的可能性; e)当运行控制失败时,采取必要的措施来解决任何由此产生的不良影响; f)确保外包过程是确定和受控的,例如:将运行控制应用限制为局部控制或影响的程度,并且将不会在外包处置过程中改变与外部实体的法律关系。 |
| 支持性文件 | ISO/IEC导则第1部分—2017年融合的JTC1补充部分,附录JC,JC.9 ISO/IEC 27003:2017,8.1 |
| A.5.2 信息安全风险评估 (8.2) |