如何进行isms的内部审核.doc

如何执行内部ISMS审核
    信息安全的确保,已经被公认为一个重要的业务过程。一个组织如果不能正确地和有效地管理信息安全,那么其为顾客提供产品和服务的业务过程和能力就会受到质疑。信息安全的成功解决方法,是正确地建立、实施和维护一个如ISO/IEC 27001:2005标准所描述的信息安全管理体系(Information Security Management System,简称ISMS)。
    内部ISMS审核,有时也称第一方ISMS审核,或ISMS内审,是组织自我评估和检查其自己的ISMS的符合性。ISMS内审,在信息安全的维护和改进方面,起着核心的作用。
    然而,ISMS审核是一个新项目,对审核人员来说,是一种新的挑战。为了完成这个项目,审核人员不仅需要正确地与透彻地理解相关标准(包括ISO/IEC 27001:2005和ISO/IEC 17799:2005 等),而且也需要有丰富的综合知识、审核技能、沟通能力和组织能力,更需要有一丝不苟的认真负责的精神。
    本文结合ISO/IEC 27001:2005标准的要求和笔者的实际工作经验,论述执行ISMS内审的步骤、活动和必须引起注意的关键点等。

(1)执行标准对文件的规定
    ISO/IEC 27001:2005标准的第6章“内部ISMS审核”规定,组织要建立“内部ISMS审核程序”文件。因此这个“内部ISMS审核程序”文件应是标准要求的必须要有的强制性文件。
    ISO/IEC 27001:2005标准还规定“内部ISMS审核程序”文件要定义:ISMS审核计划与审核实施的职责和要求、审核结果报告与记录保持的职责和要求。“内部ISMS审核程序”文件也必须包含这些规定。
(2) 提供最有效的内审管理方法
    在实际工作中,最有效的内审管理方法是,利用“内部ISMS审核程序”文件,除了定义标准要求的规定外,还控制一系列内审活动及其顺序,包括(但不只限于):
1)  内审适宜时机的确定(包括正常时期的时间间隔和非正常时期的时间间隔等);
2)  内审的准备(包括组成审核组、制定审核方案/计划、查阅相关文件和编制检查表等);
3)  ISMS文件的评审;
4)  首次会议的召开;
5)  现场审核;
6)  末次会议的召开;
7)  不符合项的确定;
8)  内审报告》文件的编写;
9)  纠正措施的跟踪;
10) 记录的保存。
(3) 产生所需要的记录表格
   “内部ISMS审核程序”运行的结果产生内审所需要的预定义的和规范化的记录表格,包括(但不只限于):
1)  《内审计划》表
2)  《内审检查表》
3)  《内审首/末次会议记录表》
4)  《内审报告》表
5)  《纠正措施要求表(CAR)》
(4) 规范内审员的行动
    执行ISMS内审的人员称为内审员。“内部ISMS审核程序”定义本组织ISMS内审所要遵循的步骤和过程,是内审员执行内审工作的行动准则。

(1)组成审核组
    ISMS内审的成败关键在于内审员的素质和能力,包括:道德行为、公正表达、职业素养、独立性和基于证据的方法等。这些就是所谓的“审核原则”(参见ISO 19011: