信息安全管理体系审核指南(2)

GB/T ××××—××××

在采用GB/T 19011-2003/ISO19011:2002的第5章5.1的基础上，补充如下。

审核方案的权限 (5.1) 审核方案的制定 （5.2 5.3） ——目标和内容 ——职责 ——资源 ——程序 策划 审核方案的实施 处置 审核方案的改进 (5.6) （5.4， 5.5） 审核员能力和 评价（7） ——安排审核日程 ——评价审核员 ——选择审核组 ——指导审核活动 ——保持记录 审核活动（6） 实施 审核方案的监视和评审 （5.6） ——监视和评审 ——识别纠正和预防措施的需求 ——识别改进的机会 检查 图1—审核方案管理流程示图

注1：图1说明了策划—实施—检查—处置（PDCA）方法在本条准的应用。 注2：图中及下文图表中的数字指的是本标准的相关条款。

5

GB/T ××××—××××

实用帮助——审核方案的示例

审核方案的例子包括：

a） 覆盖组织信息安全管理管理体系的当年的一系列的内部审核;

b）在六个月内对存在信息安全高风险的潜在供方的信息安全管理管理体系进行的第二方审核。

c) 在认证机构和委托方之间合同规定的时间周期内，由第三方认证/注册机构对组织的信息安全管理体系进行的认证/注册和监督审核。

审核方案还包括为实施审核方案中的审核进行适当的策划、提供资源和制定程序。 5.1.1 IS 5.1 总则

针对信息安全管理体系的审核需要考虑组织的基于业务的信息安全风险和该类组织的审核风险级别（参见附件：业务范围风险级别表）。

5.2 审核方案的目的和内容 5.2.1 审核方案的目的

在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.1的基础上，补充如下。

5.2.1.1 IS 5.2.1 审核方案的目的

针对信息安全管理体系审核方案的目的还需要特别考虑： a） 信息安全的要求；

(a） 来自组织业务风险评估结果的要求； (b） 来自法律法规和合同的要求； (c) 来自新技术、新措施的应用的要求； b） 信息安全测量；

c） 信息安全的监视与评审； d） 以往的审核结果；

e） 组织的确定的方针、策略和过程。 5.2.2 审核方案的内容

在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.2的基础上，补充如下。

5.2.2.1 IS 5.2.2 审核方案的内容

针对信息安全管理体系审核方案的内容还需要特别考虑： a） 信息安全风险管理的要求；

(a） 风险处理的优先秩序； (b） 风险的潜在原因；

b） 信息安全相关法律、法规的特殊要求；

6

GB/T ××××—××××

(a） 密码管理的要求； (b） 保密管理的要求； (c) 等级保护的要求； (d) 知识产权保护的要求； (e) 行业管理的特殊要求。

c） 组织信息安全管理体系认证的风险级别。 5.3 审核方案的职责、资源和程序 5.3.1 审核方案的职责

在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.1的基础上，补充如下。

5.3.1.1 IS 5.3.1 审核方案的职责

针对信息安全管理体系审核方案的职责还需要特别考虑管理审核方案人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。 a） 考虑组织的业务连续性要求； b） 注意组织对保密方面的要求； 5.3.2 审核方案的资源

在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.2的基础上，补充如下。

5.3.2.1 IS 5.3.2 审核方案的资源

针对信息安全管理体系审核方案的资源还需要特别考虑审核人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解，即审核员可以信任审核专家工作。

a） 必要的信息安全审核专用工具的准备；

b） 被审核组织的信息安全要求带来的相关对审核人员能力要求； 5.3.3 审核方案的程序

在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.3的基础上，补充如下。

5.3.3.1 IS 5.3.3 审核方案的程序

针对信息安全管理体系审核方案的程序还需要特别考虑审核员和审核组长应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。 a） 审核组成员的选择需要充分考虑其专业领域的背景情况； b） 实施审核要充分注意被审核方的业务特性； 5.4 审核方案的实施

在采用GB/T 19011-2003/ISO19011:2002的第5章5.4的基础上，补充如下。

5.4. 1 IS 5.4 审核方案的实施

针对信息安全管理体系审核方案的实施还需要特别考虑在审核方案的维护过程中应考虑信息安全风险评估的变化。

7

GB/T ××××—×××× 5.5 审核方案的记录

直接采用GB/T 19011-2003/ISO19011：2002的第5章的5.5节。 5.6 审核方案的监视和评审

直接采用GB/T 19011-2003/ISO19011：2002的第5章的5.6节。 6. 审核活动 6.1 总则

在采用GB/T 19011-2003/ISO19011:2002的第6章6.1的基础上，补充如下。

6.1.1 IS 6.1 总则

针对信息安全管理体系审核活动的总则还需要特别考虑被审核组织的业务流程和连续性要求。

8

GB/T ××××—×××× 6.2 审核的启动 6.2.1 指定审核组长

在采用GB/T 19011-2003/ISO19011:2002的第6章6.2.1的基础上，补充如下。

6.2.1.1 IS 6.2.1 指定审核组长

针对信息安全管理体系审核活动的中指定审核组长需要特别提出制定的审核组长需要有相应的能力，特别是对新的应用领域，其应该是该领域有经验的审核员。

6.2.2 确定审核目的、范围和准则

在采用GB/T 19011-2003/ISO19011:2002的第6章6.2.2的基础上，补充如下。

6.2.2.1 IS 6.2.2 确定审核目的、范围和准则

针对信息安全管理体系审核活动的中确定审核目的需要特别注意： a） 确定受审核方依据其适用性声明落实控制措施的有效性； b） 确定受审核方风险处理计划是否按计划完全落实。

针对信息安全管理体系审核活动的中确定审核范围需要特别注意：

a) 确定物理范围时需要注意注册地址和经营地址不同，需要特别关注的地方有机房、

电源放置处、监控室、测试室、开发场所等；

b） 确定业务范围时需要注意申请范围应在经营许可范围之内，对于特许经营业务

要确定是否有经营权；

c) 一个组织部分申请信息安全管理体系认证的需要注意主营业务必须包含，人事保障、财务保障必须包含。 6.2.3 确定审核的可行性

直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.3节。 6.2.4 选择审核组

直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.4节。 6.2.5 下达审核任务

直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.5节。 6.2.6 与受审核方的初始接触

直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.6节。

6.3 文件评审

在采用GB/T 19011-2003/ISO19011:2002的第6章6.3的基础上，补充如下。 6.3. 1 IS 6.3.1 文件评审

针对信息安全管理体系审核活动的中的文件评审的需要特别注意： a） 文件体系的完整性；

b） 风险评估程序与风险评估报告的一致性；

9