1.为什么要审计以及什么是审计?
审计的意义;
什么是审计及审计的输出;
审计流程;
谁参与内部审计及其职责
为什么审计重要?
审计(ISO19011,3,1条款):
是一个系统的独立的文档化的获得审计证据并客观评价这些证据,以确定审计标准是否被
覆盖的过程
实施ISMS体系内部审计的基本原因:
1.
确认要求的符合性,即确认必须发生的事情是按照要求的那样每时每刻都在发生;
2.
确定ISMS的有效性,即是期望达成的结果完成的好坏;
3.
检测和纠正不符合项;
4.
确认记录是否足够和完整地得到维护,以便证明符合性和系统的有效性;
5.
确定培训需求;
6.
为管理层提供没有偏见的事实(所有的审计结果均由审计证据支持);
7.
发现强处和弱点;
8.
确定改进的区域.
ISO27001内部审计要求
审计频率:条款4.2.3内部审计需要按计划的频率实施
条款6内部审计要求:
1.
验证标准的符合情况;
2.
验证相关法规的符合情况;
3.
验证确定的信息安全需求的符合情况;
4.
评审信息安全管理体系实施和维护的有效性;
5.
评审信息安全管理体系的绩效与期望的差距。
需要开发合适的审计流程
对审计流程来说,下面是必须有的要求:
1.
定义审核准则,范围,审计频率和方法
2.
维护审计的客观性。
需要为审计的计划,实施和报告结果等活动建立和维护文档化流程
针对不符合事项需要及时采取管理措施
跟踪活动以验证报告提出纠正措施
内部审计的结果是管理评审的一个重要输入
条款8.1 强调内部审计对信息安全管理体系持续改进过程的重要角色
审计以维护和改进信息安全管理体系
审计报告ISMS实施的有效性
内部审计作为管理评审的重要输入,对评审ISMS的运营和持续适宜性至关重要
审计帮助评审ISMS是否符合标准的要求,法律要求和识别安全需求。
审计的类型
第一方审计:
组织在他们关注的流程的风险区域进行审计
第二方审计:
组织审计合同或供应商相关的风险区域
第三方审计:
由独立机构进行的审计(以风险管理为基础)
审计准则
一套方针,流程和要求
ISO19011:2002 3.2
审计证据
记录和事实的说明或其他信息,这些是同审计准则相关并可以验证的 ISO19011:2002 3.3
审计发现
依据审计准则对收集的审计证据评估的结果 ISO19011:2002 3.4
审计发现必须与审计目标相关,DNV建议的发现分为三类:
1.
不符合;
2.
观察项;
3.
值得关注努力;
审计确认
ISO19011建议不符合事项需要进行评审并得到相关确认,必要解决对不符合项的分歧,不能解决的分歧需要记录下来,必须作出努力消除分歧
相关的管理方面必要签署或认可不符合项
如果不符合项针对要求,缺点和证据的陈述很清楚,获得确认是不成问题的。本末次会议之前获得不符合项的确认是一个很好的实践。
将确认留在末次会议再进行可能会造成会议延期。末次会议不是辩论不符合项接受或是否正确的最好场所。如果在会议前这些不符合项得到一致意见,会议上的讨论,不同意见和争吵会减少;因而可以减少审计员的压力。
审计结论
审计结果是审计团队依据审计目标和审计发现经过深思熟虑提供的。
审计原则
审计员的原则
道德行为:基本的职业要求
审计员期望在审计时遵守基本的原则:信任,诚信,保密和有判断力
审计员在执行审计时,必须经过专业的审计训练
审计原则
审计必须依据基本的公正和客观原则进行。一个基本的要求是审计员不能审计自己的工作;
审计必须基于客观证据,使用系统的审计流程和达到可靠及可重复产生审计结论。
审计准则的意义
审计准则被用来作为审计证据比较的参照
审计准则是审计发现符合或不符合唯一参照的基础
最终的审计结论,最终产生于考虑了所有的审计发现
审计准则因此非常重要
审计准则包括信息安全管理方针(策略)支持方针策略的程序和基于信息安全风险评估的信息安全要求
审计准则的举例
管理层需要授权ISMS的实施
管理层需要测量安全控制措施的有效性以验证安全要求是否得到满足.
管理层需要定期依据正式的流程评审用户的访问权限
不符合事项
不符合事项时实施和维护过程中,一项或多项信息安全管理体系要求要素的缺失或失效,或一种依据客观证据对信息安全管理体系达成组织的安全方针和目标的能力有显著怀疑的状态.
不符合: 没有履行一个要求
对不符合缺失存在相关的要素: 要求,失误和证据
失误:
需要澄清一定有失误否则就没有问题
证据:
必须获得”客观证据”
客观证据可以通过观察,测量,测试或其他方式获得
要求可以来自不同的出处:
1.
组织的流程和运营
2.
组织的管理手册
3.
程序
4.
作业指导书
5.
规范说明
6.
法律法规需求
7.
实践规则
8.
系统标准
这里很重要的一点是要求不仅是审计员的”期望”.要求必须是确实的不是审计员自己施加的影响
观察项
1.
潜在的问题
2.
风险
3.
无效率
4.
无效
5.
应用最佳失效
6.
错误理解
值得努力
值得努力的例子:
1.
采用最佳实践
2.
证明改善
3.
高层的承诺
4.
鼓舞
5.
系统优化
审计计划
审计周期: 指审计组织内所有部门所需要的时间
审计计划:在指定的时间内,针对特定目标的一个或多个审计计划的集合
审计计划流程
初始
研究
准备计划 沟通
审计所需的初始信息:
名称
位置 规模
审计目的(一二三方评审)
审计范围(程度和边界)
审计准则(审计所依据的方针(策略),程序或要求)
审计计划
审计目标和范围
审计标准
关注/风险区域
被审计的组织或职能部门
流程的结构,顺序和关系
需要会见的关键人员
关注或高优先级(风险区域)
参考文件(程序,许可等)
开发工作文档
审计组成员
计划审计流程的符合性和有效性
存在的文档化的流程
输入,输出,工具和技术的定义,及验证输入和输出的标准
审计的内容
文档,记录,活动
选择会见的人员
审计线索顺序基于组织的方针(策略),职能及级别
被审计部门的选择基于审计周期,整体计划,影响组织目标的重要部门及以前的审计报告
