安全合规ISO--4--ISO 27000体系内部审核员技能总结.pdf

安全合规/ISO--4--ISO 27000体系内部审核员技能总结 一、你的保护机制有哪些？ 第一道防线–业务现场 识别和管理风险的最初责任 管理人员设置适当的控制措施并监视其有效性 不同职能之间的角色、职责和关系应清晰地说明。 第二道防线–监督（风险与符合性） 高层管理者设置组织的风险策略和方针 第2道防线一般是法律、财务、人力资源等 通过风险管理框架对业务提供支持 第三道防线–独立保障 内审员提供对模型、系统和控制措施的独立的保障。他们直接向管理层报告 1 二、审核概论 审核 为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、 独立的并形成文件的过程 内部审核: 有时称第一方审核，用于内部目的，由组织自己或以组织的名义进行，可作为组织自 我合格声明的基础。 外部审核: 第二方审核由组织的相关方(如顾客)或由其他人员以相关方的名义进行。 第三方审核由外部独立的组织进行。这类组织提供符合要求的认证或注册。 当信息安全和质量管理、环境管理体系被一起审核时，这种情况称为“一体化审核”。 当两个或两个以上审核机构合作，共同审核同一个受审核方时，这种情况称为“联合 审核” 审核的分类 审核对象： 管理体系审核、过程审核、产品审核 审核方： 第一方审核（内部审核）、第二方审核（外部审核）、第三方审核（外部审核） 审核的目的 第一方审核 目的： 为顺利通过第二、第三方审核做好准备 保持、持续改进质量管理体系 机构(组织) 自己对自己的审核： 评审员主要来自企业内部（内部认可的） 第一方审核主要用于自我诊断和改进工作，为有效的管理评审以及纠正和预防措施提 供信息 2 第二方审核 目的： 选择、评价、认可供应商（此处的供应商指的就是我们） 促进供应商改进信息安全管理体系 客户(需方)对供方的审核（客户对我们进行审核） 评审员主要来自客户(需方) 内部（评审员主要来自客户） 第二方审核主要用于: 1、供需双方在签订合同之前需方对供方信息安全保证能力的调查评估; 2、在合同实施过程中需方对供方信息安全管理体系的监控; 3、也适用于供方对其分承包方(分供方)信息安全管理体系的评估及监控。 第二方审核的目的是提供对供方(分供方)的信任。 第三方审核 目的： 得到符合ISO 27001标准的注册。 减少重复审核和不必要的开支。 提高企业的信誉和市场竞争力。 促进企业信息安全管理目标的实现。 独立于供需双方的机构的审核： 评审员通常需具有规定资格并经注册 第三方审核主要用于: 1、使被审核机构的信息安全管理体系登记注册，由第三方认证机构进行; 2、调查被审核机构的信息安全管理体系是否满足法规的要求，由法定管理机构进行。 第三方审核为许多潜在的客户提供信任。 第一方、第二方、第三方审核比较 审核方式 审核依据 提建议能力 权力 审核时间 第一方审核（内部） 体系文件 提出 表面上很小 几星期 合同 标准 3 审核方式 审核依据 提建议能力 权力 审核时间 第二方审核（外部） 合同 取决于客户 取决于合同的 几天 标准 的方针 大小 体系文件 第三方审核（外部） 标准 一般不提出 表面上很大 几天 体系文件 合同 识别审核方 第一方审核：自己对自己 第二方审核：合作方对自己 第三方审核：认证机构对自己 信息安全管理体系审核范围 审核范围： 在规定时间内，对信息安全管理