1.5 审核概论—审核分类
第一方审核--（通常）指的是组织内部的自我审查改进。 第二方审核--（通常）指的是供方（提供商）或客户对组织的审核。 第三方审核--（通常）指的是认证机构对组织的审核。
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度 按计划时间间隔； 一般至少每年应覆盖ISMS所涉及的部门、过程一次； 最初建立体系时频度可适当多一些； 特殊情况： 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化； 接受第二、三方审核前。
1.纠正措施计划是 否按规定限期完成 2.计划中各项措施 是否都已完成 3.完成后的效果如 何 4.实施情况是否可 查 5整体验证评价
2 审核策划与准备
明确审核决定 确定审核组 文件审核 编制审核计划 编制审核检查表 发布审核通知
2.1 明确审核决定
审核目的--确保信息安全管理体系建立、实施、运行、保持和 改进活动的有效性与符合性
不符合项：未满足审核准则要求发现项。 不符合项分类：
按性质上分： • 体系性不符合 • 实施性不符合 • 效果性不符合 按不符合程度分： • 观察项 • 一般不符合 • 严重不符合
3.5.1 不符合项判定
观察项：不会对安全造成有意义的影响，可能有潜在影响的 一种发现。
例如：某部门在资产识别过程中，发现刚购置一台新设备，但未验收使用， 所以识别时未将其列入资产清单中。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制； 按照业务流程的逆向顺序； 从现场记录查询到到文件要求，确保实施的和要求的一致。 优点 从结果找问题，针对性强，有利于发现问题。 缺点 问题复杂时不易理清，对审核的知识面要求较高。
3.3 审核方法--独立审核
3.4.4 审核证据—提问技巧
开放式：提问交流过程需要解释。主要用于获取全面信 息，例如：
贵公司（组织）有没有建立信息安全目标指标，如何管 理，实施结果，是否满足计划要求；
贵公司（组织）是否建立资产清单，如何评定重要资产， 如何管理维护等。
优点 可获取信息面较广。 缺点 被动，过程可能会出现等待证据提供时间。
注：以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织、过程、活动或领域 的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核经历及 能够一个人作为审核员被委派所需要证实的能力的组合 。
注1：审核组的一个或多个人通常是合格审核员，并且其中之一通常被任命为审核组长。审核 组可包括接受培训的审核员。在需要时可包括技术专家。
注2：观察员可以陪同审核组，但不作为成员。
审核员--被委派实施审核的人员。
注：对所考虑的特定审核，审核员通常要具有必要的资格。
1.2审核概论--有关审核术语与定义
时机 在现场审核前进行。注：信息安全管理体系管理制度、办法、
计划及指导书等可以在现场审核时进行。 结论 符合标准及法规要求； 部份不符合要求； 未覆盖标准及法规要求。 注意事项 过程中除审核文件外，还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做？ 扩展性问题--为什么这样做，依据？ 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样，有什么想法？ 重复性问题--得到明确答案？ 假设性问题--如果…则…？ 验证性问题--麻烦您拿出相应证据？
的逐级审核报告。
2 审核策划与准备—审核流程图
审核策略与审核 准备
审核实施
不符合项纠正及 效果跟踪
1.明确审核决定 2.确定审核组 3.熟悉审核文件 4.编制审核计划 5.编制审核检查表 6.发出审核通知
1.审核过程控制 2.首次会议 3.审核方法 4.审核证据 5.不合格项报告 6.汇总分析 7.末次会议 8.审核报告
审核范围--信息中心业务及物理边界本部8楼 审核时间--待定 审核方式--例如：建议采取集中式审核
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。
审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
审核组长—负责审核全过程及审核组管理工作。 审核员—在组长的审核安排下实施审核。
3.3 审核方法
顺向追踪取证 逆向追踪取证 独立审核（部门审核） 过程审核（按条款审核） 注：审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束； 按照业务流程的自然顺序； 从文件要求跟踪到执行记录，确保要求的和实施的一致。 优点 系统连贯性强，可确认系统衔接整体情况。 缺点 费时（审核单项花费时间较长）。
2.3 内部审核计划
2.3 内部审核计划
注：对以上审核日程及人员安排如有异议，请及时反馈。
拟制/日期：审核组长
批准/日期：信息安全领导小姐
组长
2.4 审核检查表的作用
明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研，可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制 首次会议 审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制 审核活动的控制 抽样合理（一到三个） 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛
2.5 编制审核检查表原则
对照标准和ISMS文件编制 部门与过程相对应 选择典型的信息安全问题，抽样应有代表性。 注意逻辑顺序，明确审核步骤。 按部门编写的检查表要考虑涉及条款，按条款编制要考虑所
涉及部门。
2.5 使用审核检查表原则
自己使用掌握，不须向受审方出示。 灵活使用，不需照本宣科。 不要属限于检查表项目，按实际现场审核时灵活查阅。
1.8 审核概论—审核依据
ISMS审核依据 IS0/IEC27001：2013 标准 信息安全管理体系手册 信息安全管理体系程序文件 信息安全策略和客户的信息安全管理体系要求 与信息安全相关的法律法规 其它与信息安全相关的文件
1.9 审核概论—审核方式及特点
ISMS审核方式 集中审核：定期全面性一次的铺开成内部审核。 分散审核：根据人员安排或现状，按阶段性按条款采取地毯式
3.4.3 审核证据—提问技巧
封闭式：主动简单的用“是与否”来询问。主要用于获 取专门信息，例如：
贵公司（组织）是否有信息安全管理手册； 贵公司（组织）是否有任命管理者代表； 贵公司（组织）是否有建立信息安全管理机构等。 优点 有主动权，省时，能把握重点，一针见血。 缺点 所获取的信息小。
合格审核员--已成功通过了一个审核ቤተ መጻሕፍቲ ባይዱ鉴定过程的人员。
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定？ 职责是否分配？ 程序是否得实施和保持？ 在实施所要求的结果方面，过程是否有效。
独立审核（部门审核） 以单个部门为中心，审核所涉及的相关职能业务； 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接，可能存在疏漏，审核准备时需充分考虑
相关因素，过程审核思路要清晰，审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核（部门审核） 以过程为中心； 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面，不易遗漏。 缺点 部门之间重复返往较多，费时、费事； 对审核知识要求较高。
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到，防火墙在每个星期五 早上都会定期失效，但查阅安全事件记录中却没有发现 这些事件的记录，网络管理员解释说他早就知道这个问 题了，所以没有必要再记录了。
请问以上回答能否作为审核证据？理由？
如果你是内审员你会怎么做？
3.5 不符合项报告
3.4.1 审核证据—证据获取原则
可作为证据原则
不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证 陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件，擅自涂改的记录等。
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
审核--为获得审核证据并对其进行客观的评价，以确定满足 经协商 的准则的程度所进行的系统的、独立的并形成文件的过程。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核
审核范围--审核的广度和界限。
注：范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
一 培训目的
了解体系审核的基本概念 掌握ISMS内部审核流程 掌握ISMS内部审核方法与技巧
二 培训内容
审核概论 审核策划与准备 审核实施 纠正及其跟踪 ISMS评价
1.1 审核概论--有关审核术语与定义