1、gB ICS 35.040 L 80 和国国家标准11: ./、中华人民GB/T 28450-2012 信息安全技术信息安全管理体系审核指南Information security technology-Guidelines for information security management system auditing 2012-10-01实施2012-06-29发布发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会hr峨VGPH$牛在飞M旷每1仿MM呵愣hwwIh MMrh 丑句瞌. GB/T 28450-2012 目次EN1111111134445555566788
2、8889口口口历经核审和序发程分剖和和HUHH土邮源阿准缸阳和及利批知u审高则则的责施录视uu施备施制的价队提原原目职实记监实准实编动评白和价件核核理的的的的的动的的的的成活与u能同持评文uu审审管案案案案案uu启审核核告完续力质技MU保的用义的1的方方方方方的评审审报的后能素和二的员引定则用4.案则核核核核核动则核件场场核核核的则人识育力核性和原通巳方总审审审审审活总审文现现审审审员总个知教能审围范语核核核核:i范规术审JJ审J234JJ审-JJJJJJJ审J2346主曰古口4455555566666666777777前引1234567附录A(资料性附录)各应用领域的典型应用系统示例a.12
3、 附录B(资料性附录)ISMS的过程审核示例14附录c(资料性附录)控制措施的审核示例.附录D(资料性附录)本标准与GB/T19011-2003的对照21GB/T 28450-2012 附录E(资料性附录)审核组审核员的选择.24 参考文献.27 图1审核方案管理流程图.2 图2能力的概念.8 表A.1典型IT应用系统举例 12 表B.1体系文件建立、发布与宣贯过程审核示例u表B.2风险评估与处理过程审核示例.15表B.3业务连续性的信息安全管理方面过程审核示例四表B.4法律法规符合性判定过程审核示例.17 表巳l信息处理设施的授权过程审核示例四表C.2处理第三方协议中的安全问题审核示例四表C
4、.3信息的标记与处理审核示例20表D.1本标准与GB/T19011-2003对照表21表E.1审核组审核员的选择知识能力考虑点示例.24E GB/T 28450-2012 目U昌本标准按照GB/T1. 1-2009给出的规则起草。本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会CSAC/TC260)提出并归口。本标准起草单位:中国信息安全认证中心、中国电子技术标准化研究所、北京知识安全工程中心。本标准主要起草人:张剑、上官晓丽、许玉娜、王新杰、闵京华、陈珍成。阳皿GB/T 28450-2012 sl 本标准旨在为信息安全管理体系(简称
5、ISMS)审核员(包括内部审核员和外部审核员)执行ISMS审核提供指导,以确保ISMS审核:既符合GB/T22080-2008的要求,又与GB/T19011-2003(质量和(或)环境管理体系审核指南)CISO 19011: 2002 , IDT)和ISO/IEC27006:2007(信息技术安全技术信息安全管理体系审核认证机构要求标准保持一致;+一一成为帮助受审核的组织持续改进的一项有效活动。本标准在GB/T190112003的基础上为信息安全管理体系的审核原则、审核方案管理和审核实施提供了指导,并对审核员的能力及其评价提供了指导。本标准旨在适用于广泛的潜在使用者,包括审核员、实施ISMS的
6、组织,因合同原因需要对ISMS实施审核的组织以及合格评定领域中与审核员注册或培训11、管理体系认证注册、认可或标准化有关的组织。当ISMS与其他管理体系一起实施时,由本标准使用者决定这些管理体系审核是分别进行还是一起进行。本标准采纳GB/T190112003(质量和(或)环境管理体系审核指南)(lSO19011:20Q2,IDT)的标准正文的格式与内容,在此基础上针对ISMS的特点增加了相关内容,用IS加以标识。另外,第7章针对ISMS提出了专门要求,还增加了5个资料性附录(见附录D)。此外,在监视与要求(如产品规范或法律法规)的符合性方面感兴趣的任何其他个人或组织,可以发现本标准中的指南是有
7、用的。N GB/T 28450-2012 信息安全技术信息安全管理体系审核指南1 范围本标准在GB/T19011-2003的基础上为信息安全管理体系(简称ISM凹的审核原则、审核方案管理和审核实施提供了指导,并对审核员的能力及其评价提供了指导。本标准适用于需要实施ISMS内部审核、外部审核或对审核进行管理的所有组织。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 19000-2008质量管理体系基础和术语(lSO9000: 2005 , IDT) GB/T 1
8、9011-2003 质量和(或)环境管理体系审核指南(lSO19011:2002 , IDT) GB/T 22080-2008信息技术安全技术信息安全管理体系要求CISO/IEC27001: 2005 , IDT) GB/T 22081-2008信息技术安全技术信息安全管理实用规则CISO/IEC27002: 2005 , IDT) 3 术语和定义GB/T 19000-2008、GB/T19011-2003、GB/T22080-2008和GB/T22081-2008界定的术语和定义适用于本文件。4 审核原则4. 1 通用的审核原则GB/T 19011-2003的第4章中的原则适用。并且,以下I
9、SMS特定的指南适用。4.2 IS 4. 1审核原则ISMS的审核还应遵循如下原则:a) 保密性:ISMS的审核由于其特殊性,审核员应对保密性给予充分的重视,如注意受审核方的保密管理规程,关注受审核方对保密的特殊要求。b) 基于风险:ISMS本身是基于业务风险管理的体系,需要审核员专注受审核方的业务风险,特别是实际残余风险;同时,对一些特殊的组织的审核会有特殊的风险,需要充分认识认证带来的风险。5 审核方案的管理5. 1 总则GB/T 19011-2003的5.1中的指南适用。并且,以下ISMS特定的指南适用。图1所示为审核方案的管理流程。1 GB/T 28450-2012 r-处置审核方案的
10、授权(5. 1) 审核方案的制定(5.2、5.3)一一目标和内容z一职责:一一资源:一一程序J 审核方案的改进(5.6) 审核方案的实施(5.4、5.5)一一安排审核日程,一一评价审核员,一一选择审核组;一一指导审核活动囚一一保持记录十f审核方案的监视和评审(5.6) 一一监视和评审:一一-识别纠正和预防措施的需求g一一识别改进的机会图1审核方案管理流程图注1:图1说明了规划一实施一检查一处置(PDCA)方法在本标准的应用。注2:图中及下文图表中的数字指的是本标准的相关条款。2 审核员的能力和评价(7) 审核活动(6) -寸规划施占头寸Il-ll-一_.J检查_.J GB/T 28450-20
11、12 5. 1. 1 IS 5. 1总则ISMS审核需要考虑受审核方的基于业务的信息安全风险和该类组织的审核风险级别(见附录A)。5.2 审核方案的目的和内容5.2. 1 审核方案的目的GB/T 19011-2003的5.2.1中的指南适用。并且,以下ISMS特定的指南适用。5. 2. 1. 1 IS 5. 2. 1审核方案的目的确定ISMS审核方案的目的还需考虑:a) 信息安全的要求:1) 来自组织业务风险评估结果的要求;2) 来自法律法规和合同的要求;3) 来自新技术、新措施的应用的要求;b) 信息安全有效性测量;c) ISMS监视与评审活动;d) 以往的ISMS审核结果;e) 组织的宗旨
12、、目标和过程。5.2.2 审核方案的内容GB/T 19011-2003的5.2.2中的指南适用。并且,以下ISMS特定的指南适用。5. 2. 3 IS 5. 2. 2审核方案的内窑ISMS审核方案的内容还需考虑:a) ISMS的规模:1) 体系所覆盖的人数,包括组织员工、相关方人员等;2) 使用的信息系统的数量;3) 处理的信息量;的用户的数量;5) 特权用户的数;6) IT平台的数量;7) 网络的数量及它们的规模;8) 体系所覆盖的场所。b) ISMS的复杂性:1) 所操作和处理的敏感和关键信息的多少及类型;2) 电子交易的数量及类型;3) 远程工作的范围;的ISMS文件化的程度。c) 信息
13、系统复杂程度及其应用的信息技术程度与复杂性。d) 信息安全风险管理的要求。1) 所识别的信息安全风险;2) 风险处理的优先秩序;3 GB/T 28450-2012 3) 风险的潜在原因。e) 信息安全相关法律、法规的要求,例如:密码管理、保密管理、等级保护、知识产权保护和行业管理等要求。f) 是否存在相似的场所。g) 在体系覆盖范围的不同场所之间是否存在ISMS复杂性上的差异。h) 组织ISMS认证的风险级别。i) 经证实的以往ISMS绩效。5.3 审核方案的职责、资源和程序5.3. 1 审核方案的职责GB/T 19011-2003的5.3.1中的指南适用。并且,以下ISMS特定的指南适用。5
14、. 3. 1. 1 IS 5. 3. 1审核方案的职责承担ISMS审核方案职责的人员还需具有必要的信息安全相关知识,特别是信息安全风险管理相关知识。负责管理ISMS审核方案的人员还需考虑:a) 受审核方ISMS的特点;b) 受审核方的业务持续性要求。5.3.2 审核方案的资源GB/T 19011-2003的5.3.2中的指南适用。并且,以下ISMS特定的指南适用。5. 3. 2. 1 IS 5. 3.2审核方案的资谭识别ISMS审核方案的资源还需考虑:a) 具有所需的信息安全相关知识的审核员;b) 具有所需专业领域背景知识的审核组成员;c) 必要的信息安全审核专用工具。5.3.3 审核方案的程
15、序GB/T 19011-2003的5.3.3中的指南适用。5.4 审核方案的实施GB/T 19011一2003的5.4中的指南适用。并且,以下ISMS特定的指南适用。5.4. 1 IS 5. 4审核方案的实施ISMS审核方案的实施还需考虑:a) 满足受审核方和相关方的保密要求;b) 信息安全风险评估的结果及变化。5.5 审核方案的记录GB/T 19011-2003的5.5中的指南适用。并且,以下ISMS特定的指南适用。4 GB/T 28450-2012 5.5. 1 IS 5.5审核方案的记录审核方案的记录还需考虑在保存、使用与传递过程中的保密性。5.6 审核方案的监视和评审GB/T 1901
16、1一2003的5.6中的指南适用。6 审核活动6. 1 总则GB/T 19011-2003的6.1中的指南适用。6.2 审核的启动6.2. 1 指定审核组长GB/T 19011-2003的6.2.1中的指南适用。同时参考附录E。6.2.2 确定审核目的、范围和准则GB/T 19011一2003的6.2.2中的指南适用。并且,以下ISMS特定的指南适用。6. 2. 2. 1 IS 6. 2. 2确定审核目的、范围和准则ISMS审核目的的确定还需考虑:a) 受审核方适用性声明的符合性zb) 受审核方控制措施的有效性。ISMS审核范围的确定还需考虑:a) 业务范围和边界;b) 组织的范围和边界;c)
17、 物理范围和边界;d) 资产范围和边界;e) 技术范围和边界。6.2.3 确定审核的可行性GB/T 19011-2003的6.2.3中的指南适用。6.2.4 选择审核组GB/T 19011-2003的6.2.4中的指南适用。同时参考附录E。6.2.5 与受审核方的初始接触GB/T 19011-2003的6.2.5中的指南适用。6.3 文件评审的实施GB/T 19011-2003的6.3中的指南适用。并且,以下ISMS特定的指南适用。5 GB/T 28450-2012 6.3. 1 IS 6.3文件评审的实施ISMS文件评审还需考虑:a) 适用性声明的完备性和合理性;b) 受审核方风险评估报告的
18、合理性zc) 受审核方风险处置计划的完备性。6.4 现场审核的准备6.4. 1 编制审核计划GB/T 19011-2003的6.4.1中的指南适用。并且,以下ISMS特定的指南适用。6. 4. 1. 1 IS 6. 4. 1编制审核计划编制ISMS审核计划需充分理解审核方案,计划还需考虑:a) 人员派遣要求;b) 组织资源保障程度;c) 需要的技术与工具准备;d) 前期抽样情况和本期抽样原则;e) 受审核方的业务性质和涉及的标准、法律法规资质的要求;f) 受审核方业务的复杂度分析;g) 本次审核的风险分析。注:在编制审核计划j过程中,可以参考附件B、附件C.6.4.2 审核组工作分配GB/T
19、19011-2003的6.4.2中的指南适用。6.4.3 准备工件文件GB/T 19011-2003的6.4.3中的指南适用。6.5 现场审核的实施注:在现场审核的实施过程中,可以参考附件B、附件C。6.5. 1 举行首次会议GB/T 19011-2003的6.5.1中的指南适用。6.5.2 审核中的沟通GB/T 19011-2003的6.5.2中的指南适用。6.5.3 向导和观察员的作用和职责GB/T 19011-2003的6.5. 3中的指南适用。6.5.4 信息的收集和验证GB/T 19011-2003的6.5.4中的指南适用。并且,以下ISMS特定的指南适用。6 G/T 28450-2
20、012 6. 5. 4. 1 IS 6. 5. 4信息的收集和验证ISMS审核中信息的收集和验证还需考虑:a) 受审核方控制措施的实施结果;b) 通过对控制措施的测试获得控制措施有效性的信息和证据。实用帮助一一信息收集注意事项信息来摞根据审核的范围和复杂程度而不同,在信息来源选择上应注意抽样要求,特别对部门和关键岗位需要覆盖,需考虑za) 了解信息系统及支撑环境;b) 了解业务流程;c) 分析风险评估的情况;d) 验证风险处理计划;e) 分析适用性声明;f) 检查控制措施。6.5.5 形成审核发现GB/T 19011-2003的6.5.5中的指南适用。并且,以下ISMS特定的指南适用。6. 5
21、. 5. 1 IS 6. 5. 5形成审核发现形成ISMS审核发现还需考虑:a) 适用性声明的完备性和合理性;b) 所实施的控制措施与适用性声明的符合性pc) 所实施的控制措施的有效性。6.5.6 准备审核结论GB/T 19011-2003的6.5. 6中的指南适用。6.5.7 举行末次会议GB/T 19011-2003的6.5.7中的指南适用。6.6 审核报告的编制、批准和分发6.6. 1 审核报告的编制GB/T 19011-2003的6.6.1中的指南适用。并且,以下ISMS特定的指南适用。6. 6. 1. 1 IS 6. 6. 1审核报告的编制ISMS审核报告的编制还应包括:a) 所引用
22、的适用性声明的版本;b) 对受审核方信息安全风险分析进行的认证审核的说明;c) 适用性声明中控制措施的合理性和有效性;d) 法律法规符合性。7 GB/T 28450-2012 6.6.2 审核报告的批准和分发GB/T 19011-2003的6.6.2中的指南适用。6. 7 审核的完成GB/T 19011-2003的6.7中的指南适用。6.8 审核后续活动的实施GB/T 19011-2003的6.8中的指南适用。7 审核员的能力与评价7. 1 总则GB/T 19011-2003的7.1中的指南适用。并且,以下ISMS特定的指南适用。7.1.1IS7.1总则审核员的能力主要由个人素质、教育和培训经
23、历、工作和审核经历、知识和技能等部分构成,具体情况参见图20ISMS特定及相关专业7.2 个人素质教育、工作经历、审核员培训|、审核经历(7.4) 个人素质7.2)图2能力的概念其他管理体系特定知识和技能GB/T 19011-2003的7.2中的指南适用。并且,以下ISMS特定的指南适用。7.2.1 IS7.2个人素质ISMS审核员还需具备如下个人素质:a) 保密意识z注意到ISMS的特殊性,保守受审核方的秘密zb) 风险意识:关注被审核方的风险处置原则和认证风险。8 7.3 知识和技能7.3. 1 审核员通用的知识和技能GB/T 19011-2003的7.3.1中的指南适用。7.3.2 审核
24、组长的通用知识和技能GB/T 19011-2003的7.3.2中的指南适用。7.3.3 ISMS特定及相关专业知识和技能7.3.3. 1 ISMS审核员基础知识和技能ISMS审核员需具有以下基础知识和技能:GB/T 28450-2012 a) ISMS审核原则、程序和技术:使审核员能恰当地将其应用于不同的审核并保证审核实施的一致性和系统性。审核员能够:1) 优先关注风险评估及控制措施;2) 有效地收集各类信息系统和安全设备的配置信息和日志信息;3) 理解审核抽样对信息技术依赖程度的适宜性;的维护受审核方的各类信息和审核记录的保密性;5) 必要时,通过工具收集信息。b) ISMS和引用文件:使审
25、核员能理解审核范围并运用审核准则。这方面的知识和技能包括:1) ISMS在不同规模和业务类型组织中的应用;2) 认识ISMS引用其他要求所制定的文件。c) 组织状况:使审核员能理解组织的运作情况。这方面的知识和技能包括:1) 组织的信息安全对业务的影响;2) 信息安全相关的术语;3) 受审核方的保密要求。d) 适用的法律、法规和相关领域的其他要求:使审核员能了解并在适用于受审核方的这些要求的范围内开展工作。这方面的知识和技能包括国家的、地方的和行业的信息安全法律、法规和规章。7.3.3.2 ISMS审核组长基础知识和技能审核组组长还需具有关于领导审核方面的知识和技能,以便审核能有效地和高效地进
26、行。审核组长能够za) 对审核过程的风险的控制;b) 对证据收集与客户保密要求的协调与控制。7.3.3.3 ISMS审核组信息技术相关知识组成ISMS审核组时,应综合考虑在信息技术方面,能够理解如下方面知识,以确保胜任所承担的审核工作:a) 通信技术基础(网络通信/传统通信技术hb) 计算机技术基础;c) 系统集成Ed) 软件工程;9 GB/T 28450-2012 e) 通用支撑平台(操作系统、数据库、中间件)典型大众化应用;f) 主流软件开发平台;g) IT服务管理;h) 典型大众化应用。7.3.3.4 ISMS审核组信息安全相关知识组成ISMS审核组时,应综合考虑在信息安全方面,能够理解
27、如下方面知识,以确保信任所承担的审核工作:a) 信息安全风险评估;b) 信息安全风险处置;c) 脆弱性管理;d) 业务连续性管理1e) 备份与恢复;。区域安全;g) 支持性设施与设备安全;h) 边界防护;主机安全;防范恶意和移动代码zk) 用户访问控制;1) 移动计算和远程工作;m)软件(含应用、操作系统、工具)安全开发;n) 软件安全测试(检测、评估); 0) 软件获取与分发管理;p) 软件安全审计;q) 密码原理、密钥管理;r) PKIC公钥体系); 信息技术产品安全性(含安全配置h信息安全工程;u) 信息安全产品。7.3.3.5 ISMS审核组应用领域的知识a) 组成ISMS审核组时,应
28、综合考虑在组织的业务方面,能够理解审核范围内的IT应用技术内容。这方面的知识和技能应当包括:1) 行业特定的术语;2) 典型的关键业务流程;3) 主要信息资产;的典型的信息安全特性及控制措施(如SCADA:数据采集与监视控制系CSupervisory Control And Data Acquisition) ; PDM:产品数据管理CProductData Management)等); 5) 相应的法律法规和客户的要求;的行业的惯例。b) 组成ISMS审核组时,应综合考虑在与组织的业务密切相关的关键信息系统方面,能够充分理解对应行业领域分类中的特定信息系统,正确把握这些关键信息系统常用的信息
29、安全技术控制措施。这些系统包括但不仅限于附录A。10 7.4 教育、工作经历、审核员培训和审核经历7.4.1 ISMS审核员初始资格条件a) 教育ISMS审核员应:1) 具有大学本科以上学历;2) 满足审核员管理机构对ISMS审核员的专业要求;3) 参考认可机构对认证机构的人员能力管理要求。b) 工作经历ISMS审核员应:1) 具有一定的信息技术领域的工作经历;2) 具有一定的信息安全技术领域的工作经历zD 具有一定的与应用领域相关的工作经历。c) 培训ISMS审核员应:1) 参加正式的ISMS审核员课程培训11; 2) 满足审核员管理机构对ISMS审核员的参加培训时间的要求;3) 参加ISM
30、S审核员知识考试,且成绩合格。d) 审核经历ISMS审核员应:GB/T 28450-2012 1) 在独立审核前,以实习身份(或观察员身份)参加ISMS审核实习工作,以满足认证机构认可时要求;2) 全面参与实习工作,如参与文件评审、风险分析的评审、现场审核和审核报告等。7.4.2 审核组长GB/T 19011-2003的7.4.2中的指南适用。7.5 能力的保持和提高7.5. 1 持续的专业发展GB/T 19011-2003的7.5.1中的指南适用。7.5.2 审核能力的保持GB/T 19011-2003的7.5.2中的指南适用。7.6 审核员的评价7.6. 1 总则GB/T 19011-20
31、03的7.6.1中的指南适用。7.6.2 评价过程GB/T 19011-2003的7.6.2中的指南适用。11 GB/T 28450-2012 附录A(资料性附录)各应用领域的典型应用系统示例能够充分理解行业领域分类及各领域的风险级别,正确把握各领域的主要关键信息系统及其常用的信息安全技术控制措施是实施有针对性审核,提高审核有效性的关键。本附录列举的是目前典型的应用系统示例,仅供参考,且审核员应不断关注这些系统的发展及新系统的出现。表A.1典型IT应用系统举例大类中类风险级别内容典型系统01. 01 I 国家机构电子投票、电子签章、庭审监控01 01. 02 I 税务机关网上报税、税务监管政务
32、01. 03 I 海关电子报关与通关、海关税务关联退税01. 04 E 其他02.01 I 通信与广播电视播报监控、用户管理与计费、通讯网络监管、客户关系管理02.03 I 新闻出版(含互联网)电子出版、新闻发布管理、门户网站、社区论坛、博客、电子游戏02.05 E 科研02 02.06 E 社会保障与医疗保障社会保障、医疗保障公共02.07 E 医疗服务医院综合管理(含电子病历02.08 E 教育网上教育、学籍管理02.09 皿其他I 金融银行核心业务、银行服务前端、证券交易、网上银行、银联清03.01 算、个人经信、企业经信、客户关系管理03.02 I 电子商务电子商务、网上支付、支付清算
33、、客户服务03 03.03 E 咨询中介商务03.04 E 物流物流管理03.05 E 旅游、宾馆、饭店宾馆、饭店管理、信息上报03.06 E 其他04.01 I 电力电力实时监控与调度、电费管理04.02 I 铁路与民航铁路实时监控与调度、铁路售票系统、民航机场综合管理、机场迸出港管理、民航电子客票管理04 04.03 I 化工化工生产过程控制产品04.04 I 航空航天的生产04.05 E 交通运输04.06 E 信息与通信技术04.07 E 冶金生产过程控制04.08 E 采矿作业安全监控12 GB/T 28450-2012 表A.1(续)大类中类风险级别内容典型系统04.09 E 水利
34、汛情监控04 04. 10 E 食品、药品、烟草食品安全跟踪产品的生产04.11 E 农、林、牧、副、渔业04. 12 E 其他、13 GB/T 28450-2012 附录B(资料性附录)ISMS的过程审核示例本附录中给出了建立、实施、运行、监视、评审、保持和改进ISMS的典型过程的审核示例。包括体系文件建立、发布与宣贯过程审核(如表B.1所示)、风险评估与处理过程审核(如表B.2所示)、业务连续性的信息安全方面管理过程审核(如表B.3所示)、法律法规符合性判定过程审核(如表B.4所示)。表B.1体系文件建立、发布与宣贯过程审核示例审核过程名称体系文件建立、发布与宣贯过程一一组织是否建立了文件
35、化的体系;一一组织体系建立是否充分;审核目的一一组织体系建立是否适宜;一一组织体系发布是否规范;-一一组织体系宣贯是否到位审核步骤审核内容备注a) 3层或4层文件;1.文件化检查b) 体系要求的文件完整性;c) 记录控制执行2.方针检查a) 方针;b) 策略a) 范围定义;3.范围检查b) 范围定义与主营业务;c) 物理范围a) 采纳/删除;4.适用性声明检查b) 采纳的措施文件化;c) 增加其他措施针对每项审核内容要a) 安全职责定义;合理抽样审5.安全职责检查b) 安全角色定义;核对象,记c) 安全职责分配;录合格的审d) 安全职责与业务职责关联核证据,做a) 文件控制程序;出准确判断b)
36、 文件版本控制;6.文件规范检查c) 文件要素;d) 文件定义职责与安全职责定义一致性;e) 记录规范,特别是列表、表单记录完整性,文件型记录控制a) 文件发布可视化承诺;b) 文件发布管理与控制,与文件形式一致性;7.文件发布检查c) 文件发布控制清单完整性,并与实际发布情况一致性;d) 文件分发控制,控制合理性(应该获得的容易得到,不应获得的不能得到he) 文件分发记录;f) 文件清晰标识14 , GB/T 28450-2012 表B.1 (续)审核过程名称体系文件建立、发布与宣贯过程审核步骤审核内容备注针对每项a) 文件宣贯记录;审核内容要8.文件宣贯检查b) 个人自身的安全职责合理抽样
37、审核对象,记a) 内审控制程序的执行;录合格的审9.关键文件检查b) 管理评审控制程序执行;核证据,做c) 预防与纠正控制程序执行出准确判断表B.2凤险评估与处理过程审核示例审核过程名称风险评估与处理过程一一组织风险评估是否依据体系要求的流程进行;组织风险评估方法是否是组织确定并符合标准要求;组织风险评估报告是否与组织确定的方法一致;组织信息资产的收集是否完整;组织信息资产的重要度识别是否与组织体系认证范围的业务密切相关;一一组织信息资产脆弱性识别是否完整;一一组织信息资产面临的威胁识别是否完整;审核目的组织的风险接受准则是否明确;组织所确定的风险接受准则是否与组织的认证风险相适应s一一组织是
38、否对需要进行风险处置的风险制定了可行的风险处置计划;一一组织的风险处置计划是否得到执行;一一组织的风险处置是否得到监视;一一组织的实际残余风险是否进行了评估;一一组织所评估的残余风险是否与组织确定的方法一致1一-组织的实际参与风险是否符合组织的风险接受准则审核步骤审核内容备注a) 风险管理程序完整性;b) 风险评估方法的可用性;1.程序检查c) 风险接受准则的准确性与组织认证风险的适应程度;d) 风险评估报告的发布与控制;针对每项e) 风险处理计划的完整性审核内容要a) 体系覆盖的主营业务流程;合理抽样审b) 主要涉及的信息系统;核对象,记2.业务梳理c) 主要涉及的支撑环境;录合格的审d)
39、所涉及的关键人员或岗位核证据,做出准确判断a) 资产收集的完整性;3.资产收集b) 资产是否落实责任人;c) 资产属性描述是否合适;d) 资产重要度评定依据与业务的关联;15 GB/T 28450-2012 表B.2(续)审核过程名称风险评估与处理过程审核步骤审核内容备注3.资产收集e) 资产重要度评定;f) 重要资产清单a) 报告完整性;b) 风险评定与方法描述一致性;c) 脆弱性评定手段;4.风险评估报告检查d) 威胁评定手段;针对每项e) 损失评定原则;审核内容要lf) 风险分析情况;合理抽样审g) 风险评价情况;h) 风险定级情况录合格的审核证据,做a) 风险处理计划落实到人;出准确判
40、断b) 风险处理资源落实;c) 风险处理计划落实记录;5.风险处理计划检查d) 风险处理计划完成情况;。风险处理计划效果检测与评估;f) 风险处理计划中的残余风险;g) 残余风险验证表B.3业务连续性的信息安全管理方面过程审核示例审核过程名称业务连续性的信息安全管理方面过程一一组织是否进行了关键业务分析;一一组织是否分析了关键业务对信息资产的依赖程度;一一组织是否建立了业务连续性框架;一一组织确定的业务连续性信息安全管理方面的管理流程是否完整;一一组织是否针对关键业务分别制定了业务连续性计划;一-一组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息安全业务连续性计划;一一组织是否针
41、对业务连续性计划制定了演练计划;审核目的组织是否针对信息安全业务连续性计划制定了演练计划;一一组织是否组织了业务连续性演练;一一组织是否组织了信息安全业务连续性演练;一一组织进行的信息安全业务连续性演练是否满足三年全覆盖要求;一一组织是否进行了业务连续性演练分析;组织是否进行了信息安全业务连续性分析;一组织是否依据信息安全业务连续性分附呆,对信息安全业务连续性演练计划、信息安|全业务连续性计划、业务连续性信息安全管理方面的管理流程进行适当的调整p-一一组织是杏出现过引起关键业务中断的信息安全事件;如出现,是否依据信息安全业务连续性计划实现了关键业务的恢复目标,特别是有没有关联信息资产影响恢复目
42、标实现16 GB/T 28450-2012 表B.3(续)审核过程名称业务连续性的信息安全管理方面过程审核步骤审核内容备注1.程序检查a) 业务连续性管理程序完整性;b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制a) 关键业务进行了分析;b) 关键业务对信息与信息系统的依赖程度分析;2.报告检查c) 信息安全对关键业务的连续性影响因素分析:d) 对所有影响因素制定了可操作的具体业务连续性保证计划;针对每项e) 各种演练记录完整性;审核内容要f) 各种演练分析报告完整性合理抽样审a) 演练计划;核对象,记b) 演练方式;录合格的审3.演练检查c) 演练内容;核证据,做d
43、) 演练记录;出准确判断e) 演练分析a) 事件记录;4.事件检查b) 事件处理方式;c) 事件影响分析;d) 业务连续性恢复记录表B.4法律法规符合性判定过程审核示倒审核过程名称法律法规符合性判定过程一-组织进行法律法规符合性判定是否遵循了体系文件的要求;组织是否对适用的法律法规进行了全面识别;一组织识别的法律法规是否到具体条款;一一组织是否判定了法律法规的实际执行情况z审核目的组织是否超范围经营;-一一组织的保密规程是否得到遵循(包括审核过程); 一一组织是否识别了组织需要保护的知识产权;一一组织是否对需要保护的知识产权落实了保护措施;组织是否识别了组织的正版化状态;一组织是否落实了正版化
44、策略审核步骤审核内容备注1.程序检查a) 法律法规程序完整性针对每项a) 工商执照;审核内容要2.资格审核b) 特许经营;合理抽样审c) 体系范围再确认核对象,记录合格的审3.法律法规符合性a) 法律法规清单;核证据,做检查b) 清单的形成过程出准确判断17 GB/T 28450-2012 表B.4(续)审核过程名称法律法规符合性判定过程审核步骤审核内容备注a) 保密规程;针对每项4.保密检查b) 标识;审核内容要c) 控制合理抽样审a) 管理规程;核对象,记b) 自主产权保护;录合格的审5.版权检查涉及版权要求;核证据,做c) d) 使用正版记录出准确判断18 GB/T 28450-2012
45、 附录C(资料性附录)控制措施的审核示例本附录选取了GB/T22080-2008附录A中3个控制措施作为审核示例,包括A.6. 1. 4信息处理设施的授权过程(如表C.l所示)、A.6.2.3处理第三方协议中的安全问题(如表C.2所示)和A.7. 2. 2 信息的标记与处理(如表C.3所示)。表C.1信息处理设施的授权过程审核示例关键控制措施名称A. 6. 1. 4 信息处理设施的授权过程组织是否建立新的信息处理设施的授权过程;一一组织新添设施是否有授权过程要求的授权记录;一一组织新建立体系所有设施是否有授权过程要求的授权记录;审核目的一一组织临时添加的设施(如个人设施临时使用)是否有授权过程
46、要求的授权记录;一一组织对这些设施的授权是否考虑了兼容性;一一组织对这些设施的授权是否分析了设施应用环境对其提出的安全要求;一一组织对这些设施的授权是否分析了设施引人对其应用环境的安全影响审核步骤审核内容备注1.程序检查a) 信息安全处理设施管理规范完整性;针对每项b) 记录完整性审核内容要a) 资产清单中的新设施;合理抽样审b) 新设施责任人;核对象,记2.授权检查c) 新设施使用控制方式;录合格的审d) 新设施兼容性;核证据,做e) 临时设施使用记录与控制出准确判断表C.2处理第三方协议中的安全问题审核示例关键控制措施名称A. 6. 2. 3 处理第三方协议中的安全问题一一组织是否与第三方
47、签订了相关协议;一一组织与第三方签订的协议是否满足组织的安全要求;审核目的一一组织与第三方签订的协议是否会增加组织的信息安全风险z一一组织与第三方签订的协议是否明确和落实安全责任要求;一一组织与第三方签订的协议是否得到落实审核步骤审核内容备注a) 与组织相关第三方;针对每项1.第三方识别检查b) 第三方安全责任分析;审核内容要c) 第三方带来风险分析合理抽样审核对象,记a) 第三方风险控制;录合格的审2.安全控制检查b) 第三方协议签订;核证据,做。第三方协议落实出准确判断19 GB/T 28450-2012 表C.3信息的标记与处理审核示例关键控制措施名称A. 7. 2. 2 信息的标记与处理一一组织是否制定了信息的标记与处理相关规程;审核目的-一一组织所制定的规定是否涵盖了组织现有和认证周期内要使用的信息类型;一一组织是否按规程要求实施了信息的标记;组织是否按规程要求处理了信息的各个阶段,并留有记录审核步骤审核内容备注a) 信息标记与处理程序完整性;1.
