1内部审核准备
信息安全工作小组在内审前确定审核组长和审核员,经体系负责人批准后,组建审核组。
无论审核组长还是审核员必须符合下列条件:
1) 经培训,取得内审员资格或具有相关能力;
2) 具备相应的标准知识,具有责任心,较强的沟通和文字表达能力;
3) 熟悉审核程序,掌握审核方法;
4) 与被审查部门无直接责任和利害关系。
2内审实施计划
审核组组长编制《内部审核计划》,报体系负责人审批后,由信息安全工作小组提前下发受审部门。受审核部门做好准备工作,如对审核计划有异议,需在实施审核前向审核组长反馈,协商调整。内部审核计划应包括审核目的、审核范围、审核准则、审核重点、审核人员及分工、会议和日程安排等内容。
3审核组预备会议
审核组长组织召开审核组预备会议。内容包括:
1) 通报内部审核计划;
2) 明确审核员的分工;
3) 对审核员的工作提出具体要求;
4) 必要时对审核员进行培训。
4审核收集
内审员收集审核所需的文件和资料,如:如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。并根据分工,编制《内部审核检查表》交审核组长批准。
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 活动描述 3
4.1. 内部审核策划 3
4.1.1 内部审核周期及范围 3
4.1.2 内部审核准备 4
4.1.3 内审实施计划 4
4.1.4 审核组预备会议 4
4.1.5 审核收集 5
4.2. 内部审核实施 5
4.2.1 内审声明 5
4.2.2 现场审核 5
4.2.3 内审结果通告 6
4.3. 内审报告编制和分发 7
4.4. 纠正措施的实施、跟踪及验证 7
4.5. 检查监督 8
5. 审核记录归档 8
6. 相关记录 8
-/gbafcji/-
http://iso9001fsc.b2b168.com
