《《ISMS内部审核员培训(ISO27001)信息安全》.pdf

TWB 信息安全管理体系内部审核 信息安全管理体系内部审核培训课程 此报告仅供客户内部使用。未经诺恒公司的书面许可，其它任何机构不 得擅自传阅、引用或复制。 培训目的  了解信息安全管理体系审核基本程序  掌握信息安全管理体系审核计划及检查表编制方法  掌握信息安全管理体系内部审核基本技巧  掌握信息安全管理体系审核报告及跟踪方法 V2.0 2 培训内容  审核总论  审核策划与准备  审核实施  审核报告、纠正与跟踪 V2.0 3 审核总论  审核的基本定义  审核的基本程序 V2.0 4 什么是审核？ 审核证据 审核结论 客观评价 满足程度 审核准则 系统的、独立的、并形成文件的过程 V2.0 5 信息安全管理体系审核定义 为获得与信息安全相关的审核证据并对其进行客观评价， 以确定满足是否符合信息安全审核准则的程度所进行的 系统的、独立的并形成文件的过程。 – 评价的对象是与信息安全相关审核证据 – 评价的依据是信息安全审核准则 – 系统的、独立的、客观的评价过程 – 形成文件 V2.0 6 信息安全审核准则 用作依据的一组方针、程序或要求。 –信息安全管理方针 –SOA(适用性声明书) –风险评估报告及管理计划 –信息安全相关法规要求 –ISO27001-2:2002标准要求 –客户合同要求 –相关方（合作伙伴、股东等）明确的信息安全要求 –内部管理程序、工作程序、指南、安全规范要求 V2.0 7 审核证据  与审核准则有关的并且能够证实的： – 记录 – 事实陈述 – 或其他信息  审核准则可以是定性的或定量的 V2.0 8 审核类型 第一方审核/ 内审 第二方审核 组织 顾客 第三方审核 第三方机构/认证机构 V2.0