中华人民共和国国家标准代替信息技术安全技术信息安全管理体系审核指南在提交反馈意见时请将您知道的相关专利与支持性文件一并附上报批稿发布实施目次前言引言范围规范性引用文件术语和定义审核原则审核方案的管理总则确立审核方案的目标建立审核方案实施审核方案监视审核方案评审和改进审核方案实施审核总则审核的启动审核活动的准备审核活动的实施审核报告的编制和分发审核的完成审核后续活动的实施审核员的能力和评价总则确定满足审核方案需求的审核人员能力审核员评价准则的建立选择适当的审核员评价方法进行审核员评价保持并提高审核员能力附录资料性附录审核实践指南参考文献前言本标准按照标准化工作导则第部分标准的机构和编写给出的规则起草本标准代替信息安全技术信息安全管理体系审核指南本标准由全国信息安全标准化技术委员会提出并归口本标准与的主要差异如下重新组织了第章第章和第章的内容重新组织了附录的内容删除了原标准的五个附录增加了附录审核实践指南与附录保持一致本标准起草单位北京时代新威信息技术有限公司中国网络安全审查技术与认证中心中国电子技术标准化研究院全国组织机构统一社会信用代码数据服务中心本标准主要起草人王新杰王连强张剑上官晓丽孙镇赵捷郑玮陈剑博郭乐宇汪洋曹宇程瑜琦王姣孙泰李晟飞本标准所代替的历次版本发布情况为引言本标准提供了下列指南信息安全管理体系审核方案的管理遵循实施内部和外部审核审核员的能力和评价本标准宜与中包含的指南一起使用本标准遵循的结构审核所需的特定指南用字母进行标识开展审核时本标准新增的特定指南宜与配合使用用字母进行标识提供了关于审核方案管理管理体系内部或外部审核实施以及管理体系审核员能力和评价的指南本标准未声明组织规模要求可适用于所有用户包括中小型组织本标准中涉及的部分术语与定义与其他标准相关内容的关系说明如下国际标准中的在翻译为程序而在中翻译为规程因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采用其原标准中的定义国际标准中的在翻译为实施而在中翻译为实现因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采用其原标准中的定义国际标准中的在翻译为保持而在中翻译为维护因本标准同时引用了这两个标准的原文故本标准中出现该术语的地方均采用其原标准中的定义国际标准中的在翻译为文档化信息而在中翻译为文件化信息因本标准引用了的原文故本标准中出现该术语的地方均采用中的定义国际标准中的在翻译为语境而在中翻译为环境因本标准引用了的原文故本标准中出现该术语的地方均采用中的定义国际标准中的在翻译为持续性而在中翻译为连续性因本标准引用了的原文故本标准中出现该术语的地方均采用中的定义信息技术安全技术信息安全管理体系审核指南范围本标准在的基础上为信息安全管理体系以下简称审核方案管理和审核实施提供了指南并对审核员能力提供了评价指南本标准适用于需要理解或实施的内部或外部审核或需要管理审核方案的所有组织规范性引用文件下列文件对于本标准的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本标准凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件管理体系审核指南信息技术安全技术信息安全管理体系概述和词汇信息技术安全技术信息安全管理体系要求术语和定义和界定的术语和定义适用于本文件审核原则的第章中的原则适用审核方案的管理总则的中的指南适用并且以下特定的指南适用总则需要实施审核的组织宜建立审核方案并考虑规划时所确定的风险和机会确立审核方案的目标的中的指南适用并且以下特定的指南适用确立审核方案的目标确立审核方案目标时还宜考虑下列事项确定的信息安全要求的要求发生信息安全事态和事件时所反映出的受审核方的绩效水平以及的有效性规划时所确定的风险和机会相关方的信息安全风险例如受审核方和审核委托方特定审核方案的目标可包括相关法律合同要求其他要求及其安全影响的符合性验证获得并保持对受审核方在风险管理能力方面的信心评价应对信息安全风险和机会的措施的有效性建立审核方案审核方案管理人员的作用和职责的中的指南适用审核方案管理人员的能力的中的指南适用确定审核方案的范围和详略程度的中的指南适用并且以下特定的指南适用确定审核方案的范围和详略程度审核方案的范围和详略程度会有所不同并受下列因素影响规模包括在组织控制下开展工作的人员总数以及与有关的相关方和合同方信息系统的数量覆盖的场所数量的复杂程度包括过程和活动的数量和关键性并考虑范围内场所间的差异与业务有关的信息安全风险的重要性规划时所确定的风险和机会的重要性在范围内保持信息的保密性完整性和可用性的重要性待审核信息系统的复杂度包括所部署信息技术的复杂度相似办公场所的数量宜在审核方案中确定优先事项以便根据信息安全风险的重要性和范围内的业务要求开展更详细的审核识别和评估审核方案风险的中的指南适用并且以下特定的指南适用识别和评估审核方案风险审核方案风险还可能涉及保密要求相关的风险建立审核方案的程序的中的指南适用并且以下特定的指南适用建立审核方案的程序宜根据受审核方和其他相关方的要求确定信息安全和保密的保障措施其他方要求包括相关的法律和合同要求识别审核方案资源的中的指南适用并且以下特定的指南适用识别审核方案资源审核员尤其宜分配足够的时间针对适用于受审核方且与审核方案目标相关的所有重大风险评审应对信息安全风险以及相关风险和机会所采取措施的有效性实施审核方案总则的中的指南适用规定每次审核的目标范围和准则的中的指南适用并且以下特定的指南适用规定每次审核的目标范围和准则审核目标可包括以下内容评价是否充分识别并解决信息安全要求评价维护和有效改进的过程确定信息安全控制对要求和规程的符合程度审核范围宜考虑到信息安全风险以及相关方即审核委托方和受审核方对带来的风险和机会如果处于审核范围内那么审核组宜根据内部和外部事项以及相关方的需求和期望确认受审核方的范围和边界审核组宜确认受审核方在范围内满足中规定的与审核范围有关的要求下列文件可作为审核准则并用作确认符合性的参考受审核方采用的信息安全方针信息安全目标策略和规程法律和合同要求以及与受审核方相关的其他要求受审核方的信息安全风险准则信息安全风险评估过程以及风险处置过程适用性声明特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明无论该控制是否已实现以及对附录控制删减的合理性说明可适当处置风险的控制的定义监视测量分析和评价信息安全绩效及有效性的方法和准则客户的信息安全要求供应商或外包商应用的信息安全要求选择审核方法的中的指南适用并且以下特定的指南适用选择审核方法如果进行联合审核则宜特别关注相关方之间的信息泄露问题在开始审核之前宜与所有相关方达成协议选择审核组成员的中的指南适用并且以下特定的指南适用选择审核组成员整个审核组的能力宜包括充分具备和理解信息安全风险管理知识足以支撑其评价受审核方所使用的方法信息安全及信息安全管理知识足以支撑其评价控制的确定以及的规划实现维护和有效性为审核组长分配每次的审核职责的中的指南适用管理审核方案结果的中的指南适用管理和保持审核方案记录的中的指南适用监视审核方案的中的指南适用评审和改进审核方案的中的指南适用实施审核总则的中的指南适用审核的启动总则的中的指南适用与受审核方建立初步联系的中的指南适用并且以下特定的指南适用与受审核方建立初步联系必要时宜确保审核员获得使用文件化信息或审核活动所需其他信息包括但不限于涉密或敏感信息的必要安全许可确定审核的可行性的中的指南适用并且以下特定的指南适用确定审核的可行性在审核开始之前审核员宜询问受审核方是否存在无法提供审核组评审的审核证据例如因为证据中包含了个人身份信息或其他涉密敏感信息负责管理审核方案的人员宜确定在缺少这部分审核证据的情况下是否仍可对进行充分审核如果得出的结论为缺少对这部分审核证据的评审将导致无法充分审核负责管理审核方案的人员宜告知受审核方在获得适当的准入安排或向受审核方提出或实施审核的替代手段之前审核将无法进行如果审核继续进行审核计划宜考虑到所有访问限制审核活动的准备审核准备阶段的文件评审的中的指南适用编制审核计划的中的指南适用并且以下特定的指南适用编制审核计划审核组长宜意识到审核组成员在现场可能对受审核方造成的风险审核组在现场可能会影响受审核方的信息安全产生额外的风险源例如针对涉密或敏感记录或系统基础设施的意外删除未授权信息泄露无意的信息变更等审核组工作分配的中的指南适用准备工作文件的中的指南适用并且以下特定的指南适用准备工作文件审核组长宜确保所有审核工作文件得以适当分类和处理审核活动的实施总则的中的指南适用举行首次会议的中的指南适用审核实施阶段的文件评审的中的指南适用并且以下特定的指南适用审核实施阶段的文件评审审核员宜验证审核准则所要求的且与审核范围相关的文件化信息是否存在并符合审核准则要求审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关并可追溯到信息安全方针和目标注附录为审核实践提供指南包括如何使用相关文件化信息审核审核中的沟通的中的指南适用向导和观察员的作用和责任的中的指南适用信息的收集和验证的中的指南适用并且以下特定的指南适用信息的收集和验证在审核过程中收集相关信息的方法可包括核查记录包括计算机日志和配置数据访问信息处理设备观察过程以及已实现的相关控制使用自动审核工具注附录提供了关于如何审核过程的指南注提供了如何评价信息安全控制的额外指南审核组成员宜根据审核委托方审核组和受审核方之间的协议确保从受审核方获取的所有信息得到适当处理形成审核发现的中的指南适用准备审核结论的中的指南适用举行末次会议的中的指南适用审核报告的编制和分发审核报告的编制的中的指南适用并且以下特定的指南适用审核报告的编制如果审核组在审核过程中由于信息级别或敏感原因无法获得审核证据则审核组长宜判断其影响审核发现和结论可信度的程度并在审核报告中予以反映不能因证据敏感性导致其不可用而进行妥协审核报告的分发的中的指南适用并且以下特定的指南适用审核报告的分发在分发审核报告时宜采取适当措施确保报告的保密性注当使用电子方式进行分发时可适当加密审核报告审核的完成的中的指南适用审核后续活动的实施的中的指南适用审核员的能力和评价总则的中的指南适用确定满足审核方案需求的审核人员能力总则总则的中的指南适用并且以下特定的指南适用总则在确定审核员的适当知识和技能时宜考虑以下内容的复杂度例如内信息系统的重要性的风险评估结果在范围内开展的业务类型实现各组成部分例如实现的控制文件化信息和或过程控制涉及的技术平台和解决方案等所使用技术的范围和多样性之前已证实的的绩效范围内所用的外部方以及外包程度与审核方案相关的标准法律要求和其他要求个人行为的中的指南适用知识和技能总则的中的指南适用管理体系审核员的通用知识和技能的中的指南适用管理体系审核员的特定领域与专业的知识和技能的中的指南适用并且中的指南也适用审核组长的通用知识和技能的中的指南适用多领域管理体系审核的知识和技能的中的指南