信息安全管理體系認證與審核作業指導書TOC\o"1-2"\h\u21677第1章前言 3239701.1目的與范圍 348371.2參考文獻 328136第2章信息安全管理體系概述 4273682.1信息安全管理體系定義 437092.2信息安全管理體系的構成 4179082.3信息安全管理體系的作用 48992第3章認證與審核基本概念 55983.1認證概念 5154103.2審核概念 553973.3認證與審核的關系 54157第4章信息安全管理體系認證流程 64444.1認證申請 6263734.1.1申請條件 686514.1.2申請材料 6106964.1.3申請受理 6164694.2認證評估 6109664.2.1文件審查 6296434.2.2現場審核 617144.2.3審核報告 7120544.3認證決定與頒發證書 7213284.3.1認證決定 731674.3.2頒發證書 7138724.3.3認證結果公告 710038第5章信息安全管理體系審核準備 71005.1審核計劃制定 7186965.1.1確定審核范圍與目標 7101855.1.2制定審核計劃 74945.1.3確定審核標準與依據 8284055.1.4分配審核任務 8228875.2審核資源準備 8229565.2.1審核員選拔與培訓 8239345.2.2準備審核工具和資料 8148055.2.3審核場所與設施準備 8195495.3審核前溝通 8167125.3.1與受審核部門溝通 8131685.3.2內部溝通 899695.3.3外部溝通 830834第6章信息安全管理體系現場審核 887276.1審核啟動會議 992486.1.1目的 9217046.1.2參與人員 9172676.1.3會議內容 9181066.2審核實施 970366.2.1文件審查 9235866.2.2現場查看 1034236.2.3訪談 10205556.3審核證據收集與分析 10130656.3.1審核證據收集 10148466.3.2審核證據分析 1017029第7章不符合項及其整改 1040797.1不符合項判定 10299917.1.1不符合項的識別 1055807.1.2不符合項的分類 11227587.2不符合項報告 1178507.2.1報告編制 11260057.2.2報告提交 11143007.3整改措施與跟蹤 11155847.3.1整改措施制定 11101047.3.2整改跟蹤 1129495第8章審核報告與結論 12174318.1審核報告編制 12289428.1.1審核報告內容 1260418.1.2審核報告格式 12141038.1.3審核報告撰寫要求 1233098.2審核結論判定 13259628.2.1審核結論判定依據 13105408.2.2審核結論判定標準 1393878.3審核報告分發與存檔 1347508.3.1審核報告分發 13188688.3.2審核報告存檔 1331743第9章認證維持與監督 1339269.1監督審核計劃 136059.1.1制定監督審核計劃的目的 13243449.1.2監督審核周期 14124549.1.3監督審核計劃內容 14105449.2監督審核實施 14191059.2.1審核準備 1433399.2.2審核執行 14147949.2.3審核報告 14243309.3認證維持要求 1557589.3.1獲證組織應持續保持ISM的有效性，保證管理體系符合認證標準要求。 15157349.3.2獲證組織應按照認證機構的要求，及時整改監督審核中發覺的不符合項。 15224689.3.3獲證組織應定期進行內部審核和管理評審，以提高ISM的運行水平。 15137419.3.4獲證組織應主動配合認證機構的監督審核工作，并提供真實、完整的審核資料。 15179579.3.5獲證組織在以下情況下，應及時向認證機構報告： 15174309.3.6認證機構應根據監督審核結果，對獲證組織的認證狀態進行評估，必要時進行調整。 1529290第10章持續改進與風險管理 15317110.1體系運行監控 151415110.1.1監控目的 152179410.1.2監控方法 151770510.1.3監控頻次 152680910.2內部審核與管理評審 152913510.2.1內部審核 152027110.2.2管理評審 16443710.3風險評估與應對措施 161216210.3.1風險評估方法 16328010.3.2風險應對措施 162363410.4持續改進策略與實踐 161913210.4.1改進目標 162844710.4.2改進策略 162450810.4.3改進實踐 16第1章前言1.1目的與范圍本文檔旨在為信息安全管理體系（InformationSecurityManagementSystem，簡稱ISMS）認證與審核作業提供指導，保證組織在建立、實施、維護和持續改進信息安全管理體系過程中，能夠遵循相關標準要求，提高信息安全管理水平，降低信息安全風險。本文檔主要適用于以下范圍：（1）組織內部從事信息安全管理體系建設和運維的員工；（2）信息安全管理體系認證機構及其審核員；（3）信息安全管理體系咨詢和服務機構；（4）對信息安全管理體系認證與審核感興趣的其他人員。1.2參考文獻為保證本文檔內容的科學性和嚴謹性，以下列出參考文獻：[1]ISO/IEC27001：2013，信息安全管理體系要求。[2]ISO/IEC27002：2013，信息安全管理體系實踐指南。[3]ISO/IEC27005：2011，信息安全風險管理。[4]GB/T220802016，信息安全管理體系要求。[5]GB/T220812016，信息技術安全技術信息安全管理體系實施指南。[6]GB/T292462012，信息安全管理體系審核指南。[7]其他相關法規、標準和規范。第2章信息安全管理體系概述2.1信息安全管理體系定義信息安全管理體系（InformationSecurityManagementSystem，簡稱ISMS）是指在一個組織內，通過建立、實施、運行、監控、審查和持續改進一系列方針、程序和規范，以保護組織的信息資產，保證信息的保密性、完整性和可用性，降低信息安全風險，從而支持組織業務目標的實現。2.2信息安全管理體系的構成信息安全管理體系主要由以下幾部分構成：（1）方針：明確組織對信息安全的承諾和目標，為制定具體的信息安全措施提供指導。（2）組織結構：明確各管理層級和部門的職責與權限，保證信息安全管理體系的實施與運行。（3）規劃與風險管理：識別組織的信息資產，評估信息安全風險，制定相應的風險應對措施。（4）控制目標與措施：根據風險評估結果，制定具體的控制目標和措施，保證信息資產的安全。（5）實施與運行：按照控制目標和措施，將信息安全管理體系融入到組織的日常運營中。（6）監控與審查：對信息安全管理體系的運行情況進行監控，定期進行審查和評估，以保證體系的有效性。（7）持續改進：根據監控、審查和評估的結果，對信息安全管理體系進行持續改進，以適應組織內外部環境的變化。2.3信息安全管理體系的作用信息安全管理體系具有以下作用：（1）提高組織的信息安全意識：通過體系的建立和實施，使組織員工充分認識到信息安全的重要性，提高信息安全意識。（2）降低信息安全風險：通過風險評估和風險應對措施，降低組織面臨的信息安全風險。（3）保障信息資產的保密性、完整性和可用性：保證組織的信息資產在受到威脅時，能夠保持其原有的狀態，避免遭受損害。（4）提高組織運營效率：通過優化組織的信息安全管理流程，提高組織運營效率。（5）提升組織信譽和競爭力：建立完善的信息安全管理體系，有助于提升組織在客戶、合作伙伴及社會各界心中的信譽和形象。（6）滿足法律法規和合規要求：保證組織在信息安全管理方面符合國家法律法規及相關標準的要求，避免法律責任。第3章認證與審核基本概念3.1認證概念認證，是指依據相關標準、規范，由認證機構對某一對象的管理體系、產品或服務進行系統的評價，確認其滿足規定要求，并頒發認證證書的活動。在信息安全領域，認證活動旨在保證組織的信息安全管理體系（ISMS）達到國內外公認的規范性要求，提高組織的信息安全防護能力。3.2審核概念審核，是指審核員依據審核準則，對被審核對象的某一管理體系、過程、產品或服務進行系統的、獨立的評價，以確定其是否符合相關要求和標準。審核的主要目的是發覺潛在的不符合項，促進被審核對象的持續改進，保證其管理體系的有效性和適應性。3.3認證與審核的關系認證與審核之間存在密切的關系。審核是認證過程中的一個關鍵環節，認證機構通過對被認證對象的審核，以評估其管理體系是否符合相關標準要求。認證是對審核結果的正式確認，即當被審核對象的管理體系滿足規定要求時，認證機構將頒發認證證書。認證與審核在目標、方法和過程方面具有一定的相似性，但二者也存在區別。認證關注的是對管理體系整體符合性的評價，而審核關注的是對管理體系、過程、產品或服務的具體實施情況。同時認證通常具有周期性，需要定期進行監督審核和再認證，以保證被認證對象持續符合標準要求。而審核則可以是臨時性的，也可以是定期進行的，其目的在于發覺不符合項并推動改進。第4章信息安全管理體系認證流程4.1認證申請4.1.1申請條件申請單位應滿足以下條件：（1）具備獨立的法人資格；（2）建立了符合GB/T220802016/ISO/IEC27001:2013標準要求的信息安全管理體系；（3）按照GB/T270012016/ISO/IEC27001:2013標準要求進行了內部審核和管理層評審；（4）提交的申請資料真實、完整、準確。4.1.2申請材料申請單位需提交以下材料：（1）認證申請表；（2）組織機構代碼證、營業執照副本復印件；（3）信息安全管理體系文件；（4）內部審核和管理層評審報告；（5）其他相關證明材料。4.1.3申請受理認證機構收到申請材料后，對申請材料進行審查，確認申請單位是否符合認證條件，并在5個工作日內答復申請單位。4.2認證評估4.2.1文件審查認證機構對申請單位的信息安全管理體系文件進行審查，確認其符合GB/T220802016/ISO/IEC27001:2013標準要求。4.2.2現場審核文件審查合格后，認證機構安排審核員對申請單位進行現場審核，審核內容包括：（1）信息安全管理體系實施情況；（2）體系文件與實際操作的一致性；（3）管理體系運行的有效性；（4）不符合項的整改情況。4.2.3審核報告審核員根據現場審核情況，編寫審核報告，包括審核發覺、不符合項、整改建議等內容。4.3認證決定與頒發證書4.3.1認證決定認證機構根據審核報告和不符合項的整改情況，作出認證決定。認證決定分為：（1）通過認證；（2）暫緩認證；（3）不通過認證。4.3.2頒發證書認證通過的申請單位，認證機構將頒發信息安全管理體系認證證書，并在有效期內進行監督審核和再認證。4.3.3認證結果公告認證機構將認證結果在官方網站上進行公告，以保證認證的透明度和公正性。第5章信息安全管理體系審核準備5.1審核計劃制定5.1.1確定審核范圍與目標根據組織的信息安全管理體系范圍和復雜程度，明確審核的具體范圍和目標。保證審核計劃涵蓋關鍵業務過程、重要信息系統和資產。5.1.2制定審核計劃結合組織實際情況，制定詳細的審核計劃，包括審核時間、地點、參與人員、審核方法等。保證審核計劃具有可操作性和靈活性，以便根據實際情況進行調整。5.1.3確定審核標準與依據明確本次審核所采用的標準和依據，如GB/T220802016/ISO/IEC27001:2013等信息安全管理體系標準，以及相關法律法規和內部政策。5.1.4分配審核任務根據審核計劃，合理分配審核任務，保證每個審核員明確自己的職責和審核內容。5.2審核資源準備5.2.1審核員選拔與培訓選拔具備相應專業知識和實踐經驗的審核員，進行專業培訓，保證審核員具備以下能力：（1）熟悉信息安全管理體系標準和相關法律法規；（2）掌握審核方法和技巧；（3）具備良好的溝通和協調能力。5.2.2準備審核工具和資料為審核員提供必要的審核工具和資料，如審核表格、檢查表、指導書等，保證審核過程的順利進行。5.2.3審核場所與設施準備保證審核場所具備適宜的環境和設施，以滿足審核需求。5.3審核前溝通5.3.1與受審核部門溝通提前與受審核部門進行溝通，說明審核的目的、意義、范圍和計劃，以便受審核部門做好準備工作。5.3.2內部溝通組織內部溝通，保證審核計劃、任務分配和審核要求等信息傳達至相關人員。5.3.3外部溝通與外部利益相關方（如客戶、供應商等）進行溝通，保證審核過程順利進行。注意：本章末尾不包含總結性話語。請保證在后續章節中繼續遵循語言嚴謹、避免痕跡的要求。第6章信息安全管理體系現場審核6.1審核啟動會議6.1.1目的在信息安全管理體系現場審核開始前，組織一場審核啟動會議，旨在明確審核目標、范圍、方法、日程安排以及參與人員，保證被審核方對審核過程的理解和支持。6.1.2參與人員審核啟動會議應邀請以下人員參加：（1）審核組長；（2）被審核組織的負責人或其代表；（3）被審核部門的相關人員；（4）其他相關人員。6.1.3會議內容（1）審核組長介紹審核團隊、審核目標、范圍和方法；（2）被審核組織負責人介紹組織的基本情況、信息安全管理體系的建設和運行情況；（3）明確審核日程安排，包括訪談、現場查看、文件審查等環節；（4）確認被審核組織提供的資料和人員支持；（5）雙方就審核過程中可能存在的問題和需求進行溝通和協商。6.2審核實施6.2.1文件審查依據信息安全管理體系的要求，對被審核組織的相關文件進行審查，包括但不限于：（1）信息安全政策；（2）信息安全目標；（3）信息安全組織架構；（4）信息安全風險評估和處置措施；（5）信息安全措施的實施和運行；（6）內部審核和管理評審；（7）持續改進。6.2.2現場查看對被審核組織的辦公環境、關鍵設施、信息系統等進行現場查看，以證實信息安全管理體系的要求在實際工作中的落實情況。6.2.3訪談與被審核組織的相關人員進行面對面訪談，了解他們在信息安全管理體系運行中的職責、工作流程、風險識別和控制等情況。6.3審核證據收集與分析6.3.1審核證據收集通過文件審查、現場查看和訪談等環節，收集被審核組織在信息安全管理體系建設和運行方面的證據，包括：（1）文件和記錄；（2）現場觀察；（3）訪談記錄；（4）其他相關證據。6.3.2審核證據分析對收集到的審核證據進行分析，評估被審核組織的信息安全管理體系在以下方面的符合性和有效性：（1）符合信息安全管理體系標準要求；（2）識別和評估信息安全風險；（3）制定和實施相應的信息安全措施；（4）監測和改進信息安全管理體系；（5）保證信息安全管理體系在組織內的有效運行。第7章不符合項及其整改7.1不符合項判定7.1.1不符合項的識別在信息安全管理體系認證與審核過程中，應對以下情況予以關注，以識別不符合項：a)違反相關法律法規及標準要求；b)未按照管理體系文件執行；c)管理體系文件不符合實際操作；d)安全事件或隱患未得到及時處理；e)資源配備不足，影響信息安全目標的實現；f)其他可能導致信息安全的因素。7.1.2不符合項的分類不符合項可分為以下兩類：a)重大不符合項：對信息安全管理體系運行產生嚴重影響，可能導致信息安全的不符合項；b)一般不符合項：對信息安全管理體系運行產生一定影響，但不會導致信息安全的不符合項。7.2不符合項報告7.2.1報告編制審核員在發覺不符合項后，應編制不符合項報告，報告內容包括：a)不符合項描述，包括具體位置、現象及影響；b)不符合項分類；c)不符合項原因分析；d)審核員建議的整改措施。7.2.2報告提交不符合項報告經審核組長審核確認后，提交給被審核單位。7.3整改措施與跟蹤7.3.1整改措施制定被審核單位在收到不符合項報告后，應針對不符合項制定具體的整改措施，包括：a)責任部門及責任人；b)整改目標及期限；c)整改措施的具體內容；d)整改效果的驗證方法。7.3.2整改跟蹤審核組應對被審核單位的整改措施進行跟蹤，保證不符合項得到有效整改，包括：a)定期收集被審核單位整改情況的報告；b)對整改效果進行驗證；c)對整改不力的，提出進一步整改要求；d)保證不符合項整改到位，避免同類問題再次發生。第8章審核報告與結論8.1審核報告編制8.1.1審核報告內容審核報告應包括以下內容：（1）報告封面：注明報告名稱、報告日期、審核組織名稱等信息；（2）報告a.審核背景與目的；b.審核范圍與依據；c.審核組成員；d.審核過程概述；e.審核發覺的問題及不符合項；f.整改措施與建議；g.其他需要報告的事項。8.1.2審核報告格式審核報告應以書面形式編寫，格式要求如下：（1）字體加粗，居中排列；（2）采用宋體字，字號小四，首行縮進2字符；（3）段落：段落之間空一行；（4）附件：如有附件，應在報告中注明。8.1.3審核報告撰寫要求（1）語言簡練、明確，避免使用模糊詞語；（2）客觀、公正、真實地反映審核情況；（3）注重證據，對發覺的問題要有充分的證據支持；（4）提出整改措施與建議時，要具有針對性和可操作性。8.2審核結論判定8.2.1審核結論判定依據審核結論的判定依據主要包括：（1）審核發覺的問題及不符合項；（2）被審核單位整改措施的可行性；（3）被審核單位信息安全管理體系建設的整體情況。8.2.2審核結論判定標準根據以下標準判定審核結論：（1）符合：被審核單位信息安全管理體系運行良好，未發覺重大問題；（2）基本符合：被審核單位信息安全管理體系存在一些問題，但不影響整體運行，需進行整改；（3）不符合：被審核單位信息安全管理體系存在嚴重問題，需立即整改。8.3審核報告分發與存檔8.3.1審核報告分發審核報告完成后，應及時分發給以下相關人員或單位：（1）被審核單位；（2）審核組成員；（3）相關管理部門；（4）其他需要報告的單位或個人。8.3.2審核報告存檔審核報告應按照以下要求進行存檔：（1）由被審核單位負責存檔；（2）存檔時間不少于5年；（3）存檔形式可以是紙質或電子版；（4）保證存檔的安全性，防止未經授權的訪問或泄露。第9章認證維持與監督9.1監督審核計劃9.1.1制定監督審核計劃的目的為保證信息安全管理體系（ISM）持續符合相關標準要求，認證機構應制定監督審核計劃，對獲證組織進行定期監督審核。9.1.2監督審核周期認證機構應根據認證風險等級和獲證組織的ISM運行情況，確定適宜的監督審核周期。9.1.3監督審核計劃內容監督審核計劃應包括以下內容：（1）審核目的與范圍；（2）審核時間與地點；（3）審核員資質要求；（4）審核方法與程序；（5）審核依據；（6）獲證組織應提供的資料和配合事項。9.2監督審核實施9.2.1審核準備審核員應根據監督審核計劃，進行以下準備工作：（1）熟悉獲證組織的ISM文件和相關信息；（2）確認審核方法和程序；（3）通知獲證組織并提供必要的審核資料；（4）編制審核檢查表。9.2.2審核執行審核員在實施監督審核時，應遵循以下要求：（1）依據相關標準、法規和認證要求進行審核；（2）保持公正、客觀、嚴謹的態度；（3）保證審核過程符合規定程序；（4）及時記錄審核發覺的問題，并給予明確、詳細的描述。9.2.3審核報告審核結束后，審核員應編制審核報告，內容包括：（1）審核概況；（2）審核發覺；（3）不符合項及其整改要求；（4）審核結論。9.3認證維持要求9.3.1獲證組織應持續保持ISM的有效性，保證管理體系符合認證標準要求。9.3.2獲證組織應按照認證機構的要求，及時整改監督審核中發覺的不符合項。9.3.3獲證組織應定期進行內部審核和管理評審，以提高ISM的運行水平。9.3.4獲證組織應主動配合認證機構的監督審核工作，并提供真