如果您无法下载资料,请参考说明:
1、部分资料下载需要金币,请确保您的账户上有足够的金币
2、已购买过的文档,再次下载不重复扣费
3、资料包下载后请先用软件解压,在使用对应软件打开
2V信息安全管理体系审核指南标准要求的强制性ISMS文件强制性ISMS文件说明(1)ISMS方针文件,包括ISMS的范围根据标准“4.3.1”a)和b)的要求。(2)风险评估程序根据“4.3.1”d)和e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生《风险评估报告》。(3)风险处理程序根据标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。因此,可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。(4)文件控制程序根据标准的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。(5)记录控制程序根据标准的“4.3.3记录控制”的要求,要有形成文件的“记录控制程序”。(6)内部审核程序根据标准的“6内部ISMS审核”的要求,要有形成文件的“内部审核程序”。(7)纠正措施与预防措施程序根据标准的“8.2纠正措施”的要求,要有形成文件的“纠正措施程序”。根据“8.3预防措施”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8)控制措施有效性的测量程序根据标准的“4.3.1g)”的要求,要有形成文件的“控制措施有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。(9)适用性声明根据标准的“4.3.1i)”的要求,要有形成文件的适用性声明。审核重点第二阶段审核:检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:定义风险评估方法(参见4.2.1c)识别安全风险(参见4.2.1d))分析和评价安全风险(参见4.2.1e)识别和评价风险处理选择措施(参见的4.2.1f)选择风险处理所需的控制目标和控制措施(参见4.2.1g))确保管理者正式批准所有残余风险(参见4.2.1h)确保在ISMS实施和运行之前,获得管理者授权(参见的4.2.1i))准备适用性声明(参见4.2.1j)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)控制措施有效性的测量(依照4.3.1g)内部ISMS审核(依照第6章“内部ISMS审核”)管理评审(依照第7章“ISMS的管理评审”)ISMS改进(依照第8章“ISMS改进”)。检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位),依照条款包括:4.2.3监视与评审ISMS第7章“ISMS的管理评审”。检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),依照条款包括:4.2.3监视与评审ISMS5管理职责7ISMS的管理评审检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。监督审核:上次审核发现的纠正/预防措施分析与执行情况;内审与管理评审的实施情况;管理体系的变更情况;信息资产的变更与相应的风险评估和处理情况;信息安全事故的处理和记录等。再认证审核:检验组织的ISMS是否持续地全面地符合ISO/IEC27001:2005的要求。评审在这个认证周期中ISMS的实施与继续维护的情况,包括:检查ISMS是否按照ISO/IEC27001:2005的要求加以实施、维护和改进;评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;检查ISMS如何应对组织的业务与运行的变化;检验管理者对维护ISMS有效性的承诺情况。编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:4信息安全管理体系4.1总要求4.2建立和管理ISMS4.2.1建立ISMS标准的要求审核内容审核记录注释与指南a)组织要定义ISMS的范围组织是否有一个定义ISMS范围的过程?对“定义ISMS的范围”要求的符合性审核,要确保ISMS的定义不仅要包括范围,也要包括边界。对任何范围的删减,必须有详细说明和正当性理由。是否有对任何范围的删减?b)组织要定义ISMS方针组织是否有一个ISMS方针文件?要求明确规定ISMS方针的5个基本点,即ISMS方针要:1)包括信息安全的目标框架、信息安全工作的总方向和原则;2)考虑业务要求、法律法规的要求和合同要求;3)与组织开发与维护ISMS的战略性风险管理,结合一起或保持一致;4)建立风险评价准则;5)获得管理者批准。在对这个要求的符合性审核时,要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。组织的ISMS方针文件是否满足ISO/IEC27001
Ta的资源
2024年亳州市期货从业资格考试题库及完整答案【全优】
2024年云南省昆明市富民县理财规划师之二级理财规划师考试题库含答案(基础题)
2024年日照市五莲县设备监理师之设备监理合同考试题库及完整答案1套
2024年梅州市五华县设备监理师之设备监理合同考试题库附参考答案【综合卷】
2024年梅州市五华县企业人力资源管理师考试题库附参考答案【黄金题型】
2024年江安县企业人力资源管理师考试题库含完整答案【必刷】
2024年日照市五莲县设备监理师之设备监理合同考试题库附答案(巩固)
2024年云南省怒江傈僳族自治州泸水县设备监理师之设备监理合同考试题库附参考答案【满分必刷】
2024年拉萨市当雄县理财规划师之二级理财规划师考试题库及参考答案(基础题)
2024年丽江地区期货从业资格考试题库带答案(名师推荐)
英哲****公主
实名认证
内容提供者
相关资源
最近下载
最新上传
2025届安徽省六安市三校九年级化学上学期期末调研试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末调研模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末联考试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末联考模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末考试试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末考试模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末综合测试试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末综合测试模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末统考试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末统考模拟试题含解析.docx