信息安全管理體系ISMS審核實(shí)踐指南

1、附錄A （資料性附錄） ISMS審核實(shí)踐指南A.1 概述本附錄對(duì)聲稱符合 GB/T 22080的組織提供有關(guān)如何審核ISMS的通用指南。由于本指南旨在適用于所有ISMS審核，所以無論涉及的組織的是何規(guī)模或性質(zhì)，本指南均適用。本指南旨在供開展ISMS內(nèi)部或外部審核的審核員使用。注：GB/T 31496根據(jù)GB/T 22080給出了實(shí)施和操作ISMS的指南。A.2 總則A.2.1審核目標(biāo)、范圍、準(zhǔn)則和審核證據(jù)在審核活動(dòng)期間，宜通過適當(dāng)?shù)某闃臃绞将@得并驗(yàn)證與審核目標(biāo)、范圍和準(zhǔn)則有關(guān)的信息，包括職責(zé)，活動(dòng)和過程之間的接口相關(guān)的信息。只有能夠證實(shí)的信息才可作為審核證據(jù)。宜記錄導(dǎo)致審核發(fā)現(xiàn)的審核證據(jù)。獲取

2、信息的方法包括以下內(nèi)容：訪談；觀察；文件評(píng)審，包括記錄。A.2.2 ISMS審核策略GB/T 22080遵循ISO/IEC導(dǎo)則第1部分附錄JC和融合的JTC1補(bǔ)充部分中的頂層結(jié)構(gòu)、相同的章節(jié) 標(biāo)題、核心文本、通用術(shù)語與核心定義一 JTC1特定規(guī)程。GB/T 22080定義了一組相互依賴的要求，這 些要求作為一個(gè)整體發(fā)揮作用（通常被稱為系統(tǒng)方法”），并通過交叉引用予以部署。在審核時(shí)最好同時(shí)處理實(shí)踐中密切相關(guān)的GB/T 22080條款。相關(guān)示例請(qǐng)參見表A.2。例如 6.1.3 和 8.3 以及 6.2，5.1、5.2，5.3、7.1、7.4、7.5、9.1、9.3 和 10.2，同時(shí)審核這些條款及

3、 其關(guān)聯(lián)或相關(guān)條款才有意義。GB/T 220802016 7.5提出了有關(guān)文件化信息的要求。 如表A.2中A.4.5所述，每次審核員檢查一份 文件化信息時(shí)，都是確認(rèn)其是否符合 GB/T 22080 2016 7.5要求的機(jī)會(huì)。有關(guān)如何執(zhí)行上述內(nèi)容的指南 在表A.2的A.4.5中。對(duì)于表中每次出現(xiàn) 文件化信息”將不再重復(fù)對(duì)文件化信息的要求。A.2.3審核和文件化信息審核活動(dòng)涉及文件化信息，即：a）在GB/T 22080中文件化信息的要求條款可用作審核準(zhǔn)則；b）以下文件化信息可作為審核證據(jù)：1）GB/T 22080 2016 7.5.1 b ）中要求的文件化信息；2） 由組織確定的，GB/T 22

4、0802016 7.5.1 C）中要求的ISMS有效運(yùn)行所必需的文件化信息。除A.2.3 b）中所列的審核證據(jù)，審核員將通過訪談、觀察和文件評(píng)審（包括記錄）獲得其他審核證 據(jù)。有關(guān)GB/T 22080的文件化信息的詳細(xì)討論可在A.3中找到。A.3 GB/T 22080文件化信息要求指南A.3.1 基本原理審核員提出要求將文件化信息作為符合性證據(jù)時(shí)宜注意：a） 表A.1中所列的對(duì)文件化信息的16項(xiàng)明確要求，包括適用性聲明；b）其他要求：1）可從上述文件化信息中找出符合性證據(jù)；2）文件化信息未體現(xiàn)顯性或隱性要求。表A.1 GB/T 22080 中對(duì)文件化信息的要求有關(guān)的文件化信息要求參考 GB/T

5、 22080ISMS的范圍4.3信息安全策略5.2信息安全風(fēng)險(xiǎn)評(píng)估過程6.1.2信息安全風(fēng)險(xiǎn)處置過程6.1.3適用性聲明6.1.3 d )信息安全目標(biāo)6.2能力的證據(jù)7.2 d )由組織確定的有效實(shí)施ISMS所必須的文件化信息7.5.1 b )運(yùn)行規(guī)劃和控制8.1信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果8.2信息安全風(fēng)險(xiǎn)處置的結(jié)果8.3監(jiān)視和測量結(jié)果的證據(jù)9.1審核方案和審核結(jié)果的證據(jù)9.2 g )管理評(píng)審結(jié)果的證據(jù)9.3表明不符合的性質(zhì)以及后續(xù)措施的證據(jù)10.1 f )任何糾正措施結(jié)果的證據(jù)10.1 g )注：審核的定義表明它是一個(gè)文件化的過程，因此審核員可以認(rèn)為GB/T 220802016 9.2要求的結(jié)果

6、是一個(gè)文件化的審核過程。A.3.2對(duì)文件化信息有隱性要求的示例作為A.3.1 b）1）的一個(gè)示例，在 GB/T 220802016 6.1.2中要求組織 保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估 過程的文件化信息”。在這條之前的要求GB/T 22080 2016 6.1.2 a）至e）均涉及風(fēng)險(xiǎn)評(píng)估過程。 因此， 符合上述要求的證據(jù)存在于所要求的風(fēng)險(xiǎn)評(píng)估過程相關(guān)文件化信息中。A.3.3 文件化信息未體現(xiàn)顯性或隱性要求的示例作為A.3.1 b）2）的一個(gè)示例，考慮GB/T 220802016 4.1.1的要求。對(duì)外部和內(nèi)部事項(xiàng)相關(guān)的信息 未要求文件化。因此，審核員不宜要求看到相關(guān)文件化信息。然而，如果組織不能解

7、釋其已對(duì)這些問題 進(jìn)行決策，將構(gòu)成對(duì) GB/T 22080 2016 4.1.1條款的不符合。但是，組織有責(zé)任確定證明其符合要求的 方式。證明方式包括最高管理者的解釋（即有人知悉）；在會(huì)議中討論過該主題；在正式配置管理下的文件化信息中得到證明；也可以通過其他方式證明。實(shí)際上，證據(jù)很可能會(huì)分散在ISMS的文件化信息中。例如，GB/T 22080 2016 4.1.1的目的是幫助組織理解其ISMS環(huán)境。該環(huán)境貫穿于整個(gè)ISMS,尤其是在確定范圍、方針以及執(zhí)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程時(shí)。如果組織符合GB/T 220802016 4.1.1的要求，其外部和內(nèi)部事項(xiàng)的知識(shí)可能會(huì)應(yīng)用于ISMS的其他領(lǐng)域，這

8、些應(yīng)用將保持一致，并可能會(huì)有這些其他相關(guān)領(lǐng)域的文件化信息的符合證據(jù)。A.4 適用性聲明適用性聲明（SOA）是另一個(gè)需要注意的領(lǐng)域。 SOA宜包含所有必要的控制，即組織已有的控制、 作為風(fēng)險(xiǎn)處置過程GB/T 220802016 6.1.3 c）結(jié)果的控制（為滿足風(fēng)險(xiǎn)接受準(zhǔn)則而對(duì)信息安全風(fēng)險(xiǎn)進(jìn) 行修改所需的控制）。所有必要的控制均為組織自身的要求。必要的控制可以是 GB/T 22080 2016附錄A中的控制（非強(qiáng)制要求），也可以來自其他標(biāo)準(zhǔn)（例如 ISO/IEC 27017）或其他來源，或者由組織進(jìn)行專門設(shè)計(jì)。在某些情況下，組織所使用的控制對(duì)附件A中的控制進(jìn)行了變更，刪減了原附錄A中的控制，刪減

9、的理由是它已被組織變更后的控制所代替。其實(shí)這種變更可以并入附錄A的控制中，不作為刪減。審核員宜基于組織的必要控制的規(guī)范來判定符合性，而無需依據(jù)附錄A給出的規(guī)范。如果組織的規(guī)范要求一個(gè)文件化規(guī)程，這會(huì)形成組織對(duì)GB/T 22080 2016.7.5.1b）的部分符合。如果未要求有文件化規(guī)程，那么審核員不宜要求見到該規(guī)程。但是，審核員宜關(guān)注GB/T 22080 2016.8.1 ）中的要求，組織宜“在必要的范圍內(nèi)保存文件化信息，以確保過程按計(jì)劃進(jìn)行”。鑒于8.1引用了 6.1的內(nèi)容，組織的風(fēng) 險(xiǎn)處置計(jì)劃及其必要的控制，都在文件化信息要求的范圍內(nèi)。在審核控制的選擇時(shí)，最好針對(duì)風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行審核如G

10、B/T 22080201661.3 e）中所述，而不只是審核適用性聲明中所列出的個(gè)別必要控制。風(fēng)險(xiǎn)處置計(jì)劃可能詳細(xì)說明了必要控制之間的相互作用，而僅使用適用性聲明則可能忽略這個(gè)因素。A.5其他文件化信息GB/T 22080的關(guān)注焦點(diǎn)是結(jié)果。在文件化信息的16個(gè)明確要求中（見表 A.1）,只有三個(gè)涉及的規(guī)程（信息安全風(fēng)險(xiǎn)評(píng)估過程，信息安全風(fēng)險(xiǎn)處置過程和審核方案）。但是，這并不妨礙組織擁有文件化的規(guī)程。此類支持文件屬于GB/T 22080 2016，7.5.1 b）的范圍（組織確定的文件化信息對(duì)其ISMS的有效性是必要的）。因此，這類文件作為組織的要求，宜包含在審核范圍內(nèi)。A.6 注釋所需信息可以

11、是網(wǎng)頁的一部分，也可以作為數(shù)據(jù)庫查詢的結(jié)果呈現(xiàn)給讀者。此外，除了適用性聲明以外，GB/T 22080未給出文件名稱。因此，有關(guān)信息安全策略的文件化信息可能不在名為“信息安全策”的文件或網(wǎng)頁中。 組織有權(quán)為信息安全策略定義其它稱呼。在確保ISMS符合（GB/T 22080 2016 5.3a）要求方面具備責(zé)任和權(quán)限的人員是相同的，都宜知悉GB/T 22080中強(qiáng)制要求的文件化信息與他們的文件化信息之間的關(guān)系。A.7 ISMS審核指南表格A.2列出了以下信息：第一行：相應(yīng)的 GB/T 22080條款的編號(hào)和名稱；第二行：相關(guān)條款（有關(guān)如何使用此行的信息，請(qǐng)參閱A.2.2）； 第三行：GB/T 22

12、080相應(yīng)的條款在 GB/T 29246中的相關(guān)定義；第四行：“審核證據(jù)”，可能來源于GB/T 22080的相應(yīng)條款；第五行：“審核實(shí)踐指南”，即審核的指南（參見 A.3）；第六行：“支持性文件”，針對(duì)相應(yīng)的GB/T 22080條款參考對(duì)審核有幫助的其他文件。表A.2 GB/T 22080 的審核指南A.1組織環(huán)境（4）A.1.1理解組織及其環(huán)境（4.1）GB/T 22080中相關(guān)條款6.1，9.3GB/T 29246中相關(guān)定義外部環(huán)境，信息安全，內(nèi)部環(huán)境，管理體系，組織審核證據(jù)審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：a）可能對(duì)ISMS產(chǎn)生積極或消極影響的重要事項(xiàng)；b）組織；c）組

13、織的目的；d）ISMS的預(yù)期結(jié)果。重要事項(xiàng)的可能來源包括：a）與氣候，污染，資源可用性和生物多樣性有關(guān)的環(huán)境特性或情況，以及這些情況可 能對(duì)組織實(shí)現(xiàn)其目標(biāo)的能力產(chǎn)生的影響；b）來自于國際、國內(nèi)、地區(qū)、當(dāng)?shù)氐母鞣N外部文化的、社會(huì)的、政治的、法律的、監(jiān) 管的、金融的、技術(shù)的、經(jīng)濟(jì)的、自然的和競爭的環(huán)境；c）組織的特征或條件，例如組織管理，信息流和決策過程；組織的政策、目標(biāo)和實(shí)現(xiàn)它們的戰(zhàn)略；組織的文化；組織采用的標(biāo)準(zhǔn)，準(zhǔn)則和模型；組織產(chǎn)品和服務(wù)的生命周期；信息系統(tǒng)，過程，科學(xué)和技術(shù)的潛在信息安全管理；d）審核和風(fēng)險(xiǎn)評(píng)估的趨勢。審核實(shí)踐指南審核員宜確認(rèn)該組織：a）有對(duì)可能積極或消極影響 ISMS的重要

14、問題有一個(gè)高層次（如戰(zhàn)略的）的理解；b） 了解與其目的相關(guān)的外部和內(nèi)部問題，以及影響其實(shí)現(xiàn)ISMS預(yù)期結(jié)果的能力的問 題。注：4.3中的要求是“考慮4.1中提到的外部和內(nèi)部事項(xiàng)”。組織可以考慮在輸岀中未必 會(huì)岀現(xiàn)的內(nèi)容。審核員還宜確認(rèn)通過應(yīng)用風(fēng)險(xiǎn)管理過程使風(fēng)險(xiǎn)得到充分管理，來保護(hù)信息的保密性， 完整性和可用性的預(yù)期結(jié)果。審核員還宜驗(yàn)證：包括組織重要主題、辯論和討論的問題以及變化的環(huán)境等相關(guān)事項(xiàng) 已經(jīng)被確認(rèn)其所獲得的知識(shí)已用于指導(dǎo)組織規(guī)劃、實(shí)現(xiàn)和運(yùn)行管理體系。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC1補(bǔ)充部分，附錄 JC, JC.9ISO 31000:2009, 5.3ISO

15、/IEC 27003:2017, 4.1A.1.2理解相關(guān)方的需求和期望（4.2）GB/T 22080中相關(guān)條款4.1，4.3GB/T 29246中相關(guān)定義相關(guān)方審核證據(jù)審核證據(jù)可以通過下列文件化信息或其他信息獲得：a ）相關(guān)方；b）適用于ISMS和GB/T 22080的相關(guān)方的需求和期望。注2 :潛在的相關(guān)方可能包括：a ）法律和監(jiān)管機(jī)構(gòu)（當(dāng)?shù)?，地區(qū)，自治區(qū)/省，國家或國際）；b）上級(jí)組織；c）客戶；d）貿(mào)易和專業(yè)協(xié)會(huì)；e）社區(qū)團(tuán)體；f）非政府組織；g）供應(yīng)商；h）鄰居；i）組織成員和代表組織工作的其他人；j）信息安全專家。注3:相關(guān)方要求可能包括：a）法律；b）許可，執(zhí)照或其他形式的授權(quán)；

16、c）監(jiān)管機(jī)構(gòu)發(fā)布的決議；d）法院或行政法庭的判決；e）條約，公約和議定書；f）相關(guān)行業(yè)規(guī)范和標(biāo)準(zhǔn)；g）已簽訂的合同；h）與社區(qū)團(tuán)體或非政府組織達(dá)成的協(xié)議；i）與公共機(jī)構(gòu)和客戶的協(xié)議；j）組織要求；k）自愿性原則或行為守則；l）自愿性標(biāo)簽或環(huán)境承諾；m）根據(jù)與該組織的合同安排產(chǎn)生的義務(wù)；n）信息和通信交換。注4:相關(guān)方可以有不同的利益， 這些利益可以完全一致，部分一致或與組織的經(jīng)營目 標(biāo)相對(duì)立。與組織的經(jīng)營目標(biāo)相對(duì)立的相關(guān)方示例為黑客。黑客需要組織的安全性較 弱。組織宜重視這類完全對(duì)立的相關(guān)方需求，即加強(qiáng)安全性。審核員宜意識(shí)到ISMS考慮了所有內(nèi)部和外部風(fēng)險(xiǎn)源。因此，組織對(duì)相對(duì)立的相關(guān)方和 其需

17、求的理解具有高度相關(guān)性。審核實(shí)踐指南審核員宜確認(rèn)組織對(duì)適用于ISMS和GB/I 22080的相關(guān)方的需求和期望有一個(gè)高層次（如戰(zhàn)略 性）的理解。審核員宜核實(shí)該組織是否已識(shí)別岀相關(guān)方的需求，包括自愿采納或簽訂的協(xié)議、合同，或因 納入法律、法規(guī)、許可、政府授權(quán)或法庭訴訟中，導(dǎo)致這些需求和期望是強(qiáng)制的。值得注意 的是，并非所有相關(guān)方要求都是組織的要求，有些要求不適用于組織或與ISMS不相關(guān)。一些相關(guān)方的需求（例如黑客的需求）與ISMS的目的相反，組織宜通過適當(dāng)?shù)男畔踩刂苼泶_保這些需求和期望不會(huì)被滿足。審核員還可以確認(rèn)是否有相關(guān)方意識(shí)到他們會(huì)受到ISMS的影響，如果是的話，他們需讓組織知道這些情況

18、。審核員還可以驗(yàn)證組織是否使用所獲得的知識(shí)來指導(dǎo)其計(jì)劃，實(shí)現(xiàn)和運(yùn)行ISMS的工作。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JC JC.9ISO 31000:2009, 5.3ISO/IEC 27003:2017 4.2A.1.3 確定 ISMS范圍（4.3）GB/T 22080中相關(guān)條款4.1，4.2GB/T 29246中相關(guān)定義外包審核證據(jù)審核證據(jù)可以通過以下文件化信息或其他信息獲得組織管理體系的范圍（4.3中定義）；適用時(shí)，組織的認(rèn)證范圍；適用性聲明。注5:組織認(rèn)證的范圍不一定與其ISMS的范圍相同。通常情況下，認(rèn)證范圍僅限于ISMS組織。審核實(shí)踐指南審核

19、員宜確認(rèn)組織根據(jù)自己的意愿確定應(yīng)用ISMS的物理、信息、法律和組織邊界，并選擇在整個(gè)組織內(nèi)還是在組織內(nèi)的特定部門或特殊功能實(shí)現(xiàn)GB/T 22080。審核員宜核實(shí)組織對(duì)其環(huán)境（4.1）、相關(guān)方（4.2）的要求以及組織執(zhí)行的活動(dòng)和其他組織執(zhí) 行的活動(dòng)之間的接口和依賴性（4.3 C）的理解，并在確定ISMS勺范圍時(shí)予以充分考慮。審核員宜進(jìn)一步確認(rèn)組織的信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置恰當(dāng)?shù)胤从沉似浠顒?dòng)，并延伸到ISMS范圍內(nèi)定義的活動(dòng)邊界，再延伸到適用的審核范圍。審核員宜核實(shí)每一個(gè)審核范圍內(nèi)至少有一個(gè)適用性聲明，并且在適用性聲明中包含了風(fēng)險(xiǎn)管理過程中確定的所有控制。這些控制是指GB/T 22080 6.1

20、.3 b）所述的必要控制，不必是 GB/T 220802016附錄A中所述的控制。 這些控制可以包括適用于特定行業(yè)的控制，以及組織自行設(shè)計(jì)的或從其他來源識(shí)別的控制。審核員還宜確認(rèn)不完全在ISMS范圍內(nèi)的服務(wù)或活動(dòng)的接口在ISMS中得到解決，并包含在組織 的信息安全風(fēng)險(xiǎn)評(píng)估中。這種情況可用與其他組織共享設(shè)施（例如IT系統(tǒng)、數(shù)據(jù)庫、遠(yuǎn)程通信系統(tǒng)或業(yè)務(wù)功能的外包）舉例。宜確認(rèn)已建立范圍的文檔，并根據(jù)文件化信息（7.5）的要求進(jìn)行控制。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JC JC.9ISO 31000:2009, 5.3ISO/IEC 27003:2017, 4

21、.3ISO/IEC 27006:2015, 8.2，9.1.3.5 IS 9.1.3 認(rèn)證范圍GB/T 27021.12017，8.2.2A.1.4信息安全管理體系（4.4）GB/T 22080中相關(guān)條款6.1.1，6.1.2，6.1.3，8.1，8.2，8.3GB/T 29246中相關(guān)定義持續(xù)改進(jìn)，信息安全，管理體系審核證據(jù)審核證據(jù)可以通過GB/T 22080要求建立的過程中的文件化信息或獲得，包括：a）管理體系的過程（GB/T 220802016，4.4）;b） 作業(yè)計(jì)劃和控制規(guī)程，包括外包過程（8.1）;C）規(guī)劃ISMS時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的過程，包括信息安全風(fēng)險(xiǎn)評(píng)估過程（6.1.2和 /或

22、8.1.2）和信息安全風(fēng)險(xiǎn)處置（6.1.3和/或8.1.3）;d）實(shí)現(xiàn)信息安全目標(biāo)的過程。審核實(shí)踐指南審核員宜核實(shí)組織創(chuàng)建了必要且充分”的一組過程和控制，這些過程和控制共同構(gòu)成了符合GB/T 22080的有效的管理體系，并建立了由相互關(guān)聯(lián)或相互作用的要素構(gòu)成的ISMS審核員還宜確認(rèn)，該組織在目前的能力范圍內(nèi)保持了決定如何滿足ISMS要求的權(quán)力、義務(wù)和自主權(quán)，包括詳略程度及將ISMS要求納入其業(yè)務(wù)的程度。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JG JC.9ISO 31000:2009, 5.3ISO/IEC 27003:2017, 4.4A.2領(lǐng)導(dǎo)（5）A.2

23、.1領(lǐng)導(dǎo)和承諾（5.1 ）GB/T 22080中相關(guān)條款4.1，4.2，4.4，5.2，5.3，6.1.1，6.2，7.1，7.4，8.1，9.3，10.2GB/T 29246中相關(guān)定義信息安全，最高管理者審核證據(jù)審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：a）信息安全方針GB/T 220802016，5.1 a）；b）信息安全目標(biāo)5.1 a）；c）組織的過程；d）管理評(píng)審的結(jié)果5.1 c）， e） and g）；e）評(píng)估資源需求；f） 有效的信息安全管理的重要性和遵守ISMS要求的溝通。還可以通過與最高管理者的訪談獲得證據(jù)。管理評(píng)審的結(jié)果還可以提供除5.1 c），e）和g）以外的子條

24、款的審核證據(jù)。審核實(shí)踐指南審核員宜確認(rèn)組織最高管理者的強(qiáng)力支持、參與和承諾，這對(duì)成功實(shí)現(xiàn)GB/T 22080非常重要。審核員還宜審核：a）已定義的最高管理者的職責(zé)；b）最高管理者對(duì)分配給組織的活動(dòng)的圓滿完成仍然負(fù)責(zé)；c）最高管理者確保建立信息安全方針和目標(biāo)，并與組織戰(zhàn)略方向一致；d） 最高管理者傳達(dá)有效的信息安全管理和符合ISMS要求的重要性；e） 最高管理者通過支持所有信息安全管理過程的實(shí)現(xiàn)，特別是通過要求和評(píng)審有關(guān)ISMS犬態(tài) 和有效性的報(bào)告見5.3 b），確保ISMS達(dá)到其預(yù)期結(jié)果；f） 最高管理者指導(dǎo)并支持組織中直接參與信息安全和ISMS的人員；g）最高管理者確保將ISMS要求整合到組

25、織過程中；h）最高管理者確保ISMS所需資源可用；i）最高管理者在管理評(píng)審時(shí)評(píng)估資源需求，并設(shè)定持續(xù)改進(jìn)和監(jiān)視計(jì)劃活動(dòng)有效性的目標(biāo)；j） 最高管理者創(chuàng)建文化和環(huán)境氛圍，鼓勵(lì)員工積極努力實(shí)現(xiàn)ISMS要求，并爭取實(shí)現(xiàn)信息安 全目標(biāo)。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JG JC.9ISO 31000:2009, 4.2ISO/IEC 27003:2017, 5.1A.2.2 方針（5.2）GB/T 22080中相關(guān)條款6.2，7.4GB/T 29246中相關(guān)定義信息安全，方針審核證據(jù)審核證據(jù)可以通過以下文件化信息或其他信息獲得：a）信息安全方針（5.1）；b）

26、信息安全目標(biāo)5.2 b） and 6.21。審核實(shí)踐指南審核員宜確認(rèn)：a）信息安全方針說明了 GB/T 22080要求的高層次的組織承諾，并考慮了組織的目標(biāo)；b）信息安全方針用于構(gòu)建或建立組織為自己設(shè)定的信息安全目標(biāo)，或明確說明為信息安全 策略的一部分；c） 信息安全方針的文件化信息是根據(jù)文件化信息（7.5 ）的要求建立和控制的；d） 信息安全方針按照溝通條款（7.4）的要求在內(nèi)部得到溝通；e）信息安全方針適當(dāng)時(shí)對(duì)其他相關(guān)方可用；由于信息安全方針包含了滿足適用要求的承諾，特別是相關(guān)法律法規(guī)要求。因此，只要對(duì)導(dǎo) 致不符合的系統(tǒng)缺陷及時(shí)發(fā)現(xiàn)并采取糾正措施，即不宜視為不符合。支持性文件ISO/IEC

27、導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JG JC.9ISO 31000:2009, 4.3.2ISO/IEG 27003:2017, 5.2A.2.3組織的角色、責(zé)任和權(quán)限（5.3）GB/T 22080中相關(guān)條款7.4，9.2，9.3GB/T 29246中相關(guān)定義信息安全，組織，最高管理者審核證據(jù)參考GB/T 220802016, 7.5.1 b），審核證據(jù)可以通過以卜方面的文件化信息或其他信息獲得：a）組織的角色；b）在信息安全控制下工作并對(duì)組織的信息安全績效產(chǎn)生影響的人員的崗位說明書；c）執(zhí)行內(nèi)部審核方案及審核結(jié)果；d）ISMS勺范圍與組織結(jié)構(gòu)。此外，還可以通過管理評(píng)審結(jié)果的文

28、件化信息或其他信息來開展進(jìn)一步的審核。審核實(shí)踐指南審核員宜通過審核文件化信息和 /或訪談確認(rèn)：a）執(zhí)行ISMS要求的職責(zé)和權(quán)限被分配給組織內(nèi)的相關(guān)角色；b）最高管理者負(fù)責(zé)這些職責(zé)和權(quán)限被分配并傳達(dá)給執(zhí)行這些角色的人員；c）按照溝通條款（7.4）的要求溝通職責(zé)和權(quán)限；d）按照內(nèi)部審核（9.2）的要求管理，證明符合 GB/T 22080的要求；e）按照管理評(píng)審（9.3 ）的要求管理績效報(bào)告。審核員宜驗(yàn)證有責(zé)任的人員是否有足夠的權(quán)限與最高管理者聯(lián)系，以便其了解ISMS勺狀態(tài)和績效。注6:確保管理體系符合GB/T 22080要求的角色可以分配到個(gè)人、由多個(gè)人共同承擔(dān)或分配給 團(tuán)隊(duì)。支持性文件ISO/I

29、EC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JC JC.9ISO 31000:2009, 4.3.3ISO/IEC 27003:2017, 5.3A.3規(guī)劃 （6）A.3.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施（6.1）A.3.1.1 總則（6.1.1）GB/T 22080中相關(guān)條款4.1, 4.2, 8.1 , 9, 10.2GB/T 29246中相關(guān)定義信息安全，風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理審核證據(jù)審核證據(jù)可以通過以下文件化信息或其他信息獲得：a）ISMS勺規(guī)劃GB/T 22080 2016, 6.1.1, 7.5.1 b和 8.1；b） 信息安全風(fēng)險(xiǎn)評(píng)估過程（6.1.2 ）；c） 信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果（8.

30、2）；d） 信息安全風(fēng)險(xiǎn)處置過程（6.1.3 ）；e） 信息安全風(fēng)險(xiǎn)處置結(jié)果（8.3）；f）監(jiān)視和測量結(jié)果（9.1）；g） 內(nèi)部審核方案和內(nèi)部審核結(jié)果（9.2）；h）管理評(píng)審（9.3）；i）組織環(huán)境（4）;j）信息安全目標(biāo)（6.2）。審核實(shí)踐指南審核員宜確認(rèn)規(guī)劃：a）在適當(dāng)?shù)乃缴辖SMS;b） 考慮（4.1）中確定的組織環(huán)境相關(guān)的問題以及（4.3）中確定組織的適用要求，以解決GB/T220802016, 6.1.1 a）到c）有關(guān)的任何負(fù)面或正面的后果c）預(yù)防或減少不良影響；d）處置組織確定的預(yù)期結(jié)果6.1.1 a，包括通過應(yīng)用風(fēng)險(xiǎn)管理過程保護(hù)信息的保密性、完整 性和可用性；e） 通過目

31、標(biāo)設(shè)定（6.2）、運(yùn)行控制（8.1）或GB/T 22080的其他具體條款（如資源規(guī)定（7.1）、 能力（7.2）、信息安全風(fēng)險(xiǎn)評(píng)估（8.2）、信息安全風(fēng)險(xiǎn)處置（8.3），確定如何將必要或 有益的行動(dòng)納入到ISMS中;f）確定評(píng)估所采取措施有效性的機(jī)制，包括監(jiān)視、測量技術(shù)（9.1）、內(nèi)部審核（9.2）或管理評(píng)審（9.3）。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC1#充部分，附錄JC, JC.9ISO 31000:2009, 5.3 to 5.7ISO/IEC 27003:2017, 6.1.1A.3.1.2信息安全風(fēng)險(xiǎn)評(píng)估（6.1.2 ）GB/T 22080中相關(guān)條款8.2G

32、B/T 29246中相關(guān)定義可用性，保密性，信息安全，完整性，風(fēng)險(xiǎn)接受，風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)準(zhǔn)則，風(fēng)險(xiǎn)識(shí) 別審核證據(jù)審核證據(jù)可以通過以下方面的文件信息或其他信息獲得：a）規(guī)劃 ISMS GB/T 22080-2016，6.1.1，7.5.1 b）和 8.1）；b） 信息安全風(fēng)險(xiǎn)評(píng)估過程（6.1.2）和信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果（8.2）。審核實(shí)踐指南審核員宜確認(rèn)信息安全風(fēng)險(xiǎn)評(píng)估：a）確定與ISMS相關(guān)的安全信息風(fēng)險(xiǎn)；b）包括風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估過程。風(fēng)險(xiǎn)標(biāo)準(zhǔn)GB/T 22080 2016，6.1.2 a)審核員宜確認(rèn)組織已建立并持續(xù)維護(hù)風(fēng)險(xiǎn)接受準(zhǔn)則以及執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則。 雖然組

33、織可以自行考慮與風(fēng)險(xiǎn)準(zhǔn)則相關(guān)的任何因素，包括風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行信息安全風(fēng) 險(xiǎn)評(píng)估的準(zhǔn)則，但審核員宜評(píng)估組織是否基于已形成的決策建立了風(fēng)險(xiǎn)準(zhǔn)則，包括風(fēng)險(xiǎn)接 受準(zhǔn)則和執(zhí)行風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則。比較合理的是，組織的風(fēng)險(xiǎn)準(zhǔn)則包含在風(fēng)險(xiǎn)評(píng)估過程的文件化信息中。如果沒有，組織宜 能夠向?qū)徍藛T解釋它們是什么。至少，它們宜包括組織的風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行風(fēng)險(xiǎn)評(píng)估的 準(zhǔn)則。注7: GB/T 220802016，8.2要求組織在計(jì)劃的時(shí)間間隔內(nèi)、重大變更提出或發(fā)生時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估?？梢詫?duì)所有 ISMS或部分ISMS進(jìn)行風(fēng)險(xiǎn)評(píng)估（最后一個(gè)案例可以顯示重大 變化何時(shí)對(duì)ISMS的部分產(chǎn)生影響，然后需要進(jìn)行新的部分風(fēng)險(xiǎn)評(píng)估）

34、。表A.2 （繼續(xù)）結(jié)果的一致性、有效性和可比較性GB/T 22080 2016, 6.1.2 b）審核員宜確認(rèn)信息安全風(fēng)險(xiǎn)評(píng)估產(chǎn)生一致旳、有效旳和可比較旳結(jié)果?？梢酝ㄟ^以下方式執(zhí) 行：1）詢問組織為何其自身的信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果為一致的、有效的和可比較的；2）對(duì)有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息進(jìn)行抽樣檢查。 為了評(píng)估一致性和可重復(fù)性，審核員可以驗(yàn)證：1）以同樣方式評(píng)估類似情況下的類似風(fēng)險(xiǎn)；2）所評(píng)估風(fēng)險(xiǎn)的差異具有合理的理由；3）整體評(píng)估結(jié)果可以準(zhǔn)確理解。 為了評(píng)估可比較性，審核員可以驗(yàn)證：1）在以前的風(fēng)險(xiǎn)評(píng)估中如何評(píng)估相同的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)已經(jīng)發(fā)生變化，是否可以解釋；2）如果一個(gè)風(fēng)險(xiǎn)高于或

35、低于其他風(fēng)險(xiǎn)是可清晰進(jìn)行解釋的。風(fēng)險(xiǎn)識(shí)別GB/T 22080 2016，6.1.2 c)審核員宜確認(rèn)組織已識(shí)別出ISMS范圍內(nèi)與信息保密性、完整性和可用性喪失相關(guān)的信息安全 風(fēng)險(xiǎn)。注8： GB/T 22080不要求僅通過資產(chǎn)、威脅和脆弱性來識(shí)別風(fēng)險(xiǎn)。其他風(fēng)險(xiǎn)識(shí)別方法也可以接 受，例如通過考慮事態(tài)和后果來識(shí)別風(fēng)險(xiǎn)。可在組織有關(guān)風(fēng)險(xiǎn)評(píng)估的文件化信息中找到風(fēng)險(xiǎn)識(shí)別過程的描述（見下文）。組織在制定風(fēng)險(xiǎn)識(shí)別方法時(shí)可以考慮（非必須）的因素包括：a）如何發(fā)現(xiàn)、識(shí)別和描述風(fēng)險(xiǎn)；b）考慮的風(fēng)險(xiǎn)來源。組織可以考慮（非必須）的其他因素包括：a）風(fēng)險(xiǎn)如何產(chǎn)生、增強(qiáng)、預(yù)防、降低、加速或延遲組織實(shí)現(xiàn)其信息安全目標(biāo)；而非追

36、求機(jī)會(huì) 的相關(guān)風(fēng)險(xiǎn)；b）風(fēng)險(xiǎn)來源是否在組織的控制下，即使風(fēng)險(xiǎn)來源或原因可能不明顯；c）檢查特定后果的連鎖效應(yīng)，包括級(jí)聯(lián)效應(yīng)和累積效應(yīng)；d）考慮各種后果，即使風(fēng)險(xiǎn)來源或產(chǎn)生原因不明顯；e）考慮可能的原因和情景，以顯示可能發(fā)生的后果；f）考慮所有重大原因和后果；g）如何建立全面的風(fēng)險(xiǎn)列表。表A.2 （繼續(xù)）注9：發(fā)現(xiàn)無意中遺漏了大量必要的控制可能表明風(fēng)險(xiǎn)識(shí)別過程較弱。 宜通過抽樣確認(rèn)ISMS范圍內(nèi)的所有重要信息都包含在風(fēng)險(xiǎn)評(píng)估中。審核員宜驗(yàn)證在風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息中已識(shí)別岀ISMS范圍內(nèi)與信息保密性、完整性和可用性喪失相關(guān)的風(fēng)險(xiǎn)。組織的信息安全目標(biāo)可幫助審核員識(shí)別信息安全風(fēng)險(xiǎn)。審核員還宜確認(rèn)：

37、a）對(duì)于每種風(fēng)險(xiǎn)，已確定風(fēng)險(xiǎn)責(zé)任人；b）每個(gè)風(fēng)險(xiǎn)責(zé)任人都有責(zé)任和權(quán)力來管理他們已識(shí)別的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析GB/T 22080 2016，6.1.2 d)審核員宜確認(rèn)：a）組織宜理解所識(shí)別風(fēng)險(xiǎn)的性質(zhì)，確定風(fēng)險(xiǎn)的級(jí)別，作為信息安全風(fēng)險(xiǎn)評(píng)估過程中風(fēng)險(xiǎn)分析 的依據(jù)；b） 風(fēng)險(xiǎn)分析為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置提供決策，以及最適當(dāng)?shù)娘L(fēng)險(xiǎn)處置戰(zhàn)略和方法提供了輸入。審核員還宜確認(rèn)組織已評(píng)估了其根據(jù)GB/T 22080-2016，6.1.2 c）所確定風(fēng)險(xiǎn)的潛在后果和可能性，從而確定風(fēng)險(xiǎn)級(jí)別?？稍陉P(guān)于風(fēng)險(xiǎn)評(píng)估過程的文件化信息中找到組織風(fēng)險(xiǎn)分析方法的描述，結(jié)果將岀現(xiàn)在關(guān)于風(fēng) 險(xiǎn)評(píng)估結(jié)果的文件化信息中（見下文）。審核員宜參考組

38、織的風(fēng)險(xiǎn)管理策略、戰(zhàn)略和方法。風(fēng)險(xiǎn)分析可以是：a）根據(jù)風(fēng)險(xiǎn)、分析目的以及可用的信息、數(shù)據(jù)和資源，以不同詳略程度開展；b）定性、半定量、定量或這些方法的組合，依環(huán)境而定。風(fēng)險(xiǎn)評(píng)價(jià)GB/T 22080 2016，6.1.2 e)審核員宜確認(rèn)組織已將其風(fēng)險(xiǎn)分析結(jié)果與信息安全風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行比較，以確定已識(shí)別風(fēng) 險(xiǎn)的可接受性。審核員還宜確認(rèn)在風(fēng)險(xiǎn)評(píng)估結(jié)果中，可表明風(fēng)險(xiǎn)接受準(zhǔn)則已得到適當(dāng)應(yīng)用，且所識(shí)別和分析 的風(fēng)險(xiǎn)已被優(yōu)先處置。其他細(xì)節(jié)，審核員宜評(píng)審風(fēng)險(xiǎn)評(píng)估：a）根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，協(xié)助制定風(fēng)險(xiǎn)需要處置的方式和處置實(shí)施的優(yōu)先順序；b）涉及將分析過程中發(fā)現(xiàn)的風(fēng)險(xiǎn)水平與考慮背景時(shí)建立的信息安全風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比

39、較。 審核員還宜評(píng)估決定：a）考慮更廣泛的風(fēng)險(xiǎn)背景；b）考慮相關(guān)利益方的要求，包括法律，監(jiān)管和其他要求。文件化信息GB/T 22080 2016, 6.1.2和8.2審核員宜確認(rèn)存在關(guān)于風(fēng)險(xiǎn)評(píng)估過程的文件化信息。關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估過程的文件化信息包括：a）風(fēng)險(xiǎn)準(zhǔn)則的定義，包括風(fēng)險(xiǎn)接受準(zhǔn)則和執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；b）結(jié)果的一致性、有效性和可比較性的基本原理；c）風(fēng)險(xiǎn)識(shí)別過程的描述（包括風(fēng)險(xiǎn)責(zé)任人的識(shí)別）；d） 分析信息安全風(fēng)險(xiǎn)過程的描述（包括評(píng)估潛在后果，現(xiàn)實(shí)可能性及由此建立的風(fēng)險(xiǎn)水平）；e）結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較的描述，以及風(fēng)險(xiǎn)處置優(yōu)先級(jí)的描述。注10：上述各項(xiàng)均符合GB/T 2208

40、0要求，這就是為什么可在關(guān)于風(fēng)險(xiǎn)評(píng)估過程的文件化信息 中找到相關(guān)信息的原因。支持性文件ISO 31000:2009, 5.3，5.4，5.7ISO/IEC 27003:2017, 6.1.2，8.2A.3.1.3信息安全風(fēng)險(xiǎn)處置（6.1.3）GB/T 22080中相關(guān)條款8.3，附錄A.GB/T 29246中相關(guān)定義控制，控制目標(biāo)，記錄信息，信息安全，殘余風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)準(zhǔn)則，風(fēng)險(xiǎn)責(zé)任人，風(fēng) 險(xiǎn)處置審核證據(jù)審核證據(jù)可以通過以下方面的文件化信息或其他渠道獲得：a）ISMS規(guī)劃；b）信息安全風(fēng)險(xiǎn)處置過程；c）信息安全風(fēng)險(xiǎn)處置結(jié)果；d）適用性聲明。審核實(shí)踐指南信息安全風(fēng)險(xiǎn)處置（GB/T 2208

41、0 2016，6.1.3）審核員宜確認(rèn)組織將信息安全風(fēng)險(xiǎn)修改作為了信息安全風(fēng)險(xiǎn)處置過程。 審核員還宜評(píng)審信息安全風(fēng)險(xiǎn)處置是否涉及：a）選擇一個(gè)或多個(gè)選項(xiàng)來修改信息安全風(fēng)險(xiǎn)，并實(shí)現(xiàn)這些規(guī)定或修改控制的選項(xiàng)；b）評(píng)估該措施的有效性和周期性。選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)GB/T 220802016，6.1.3 a審核員宜確認(rèn)有關(guān)風(fēng)險(xiǎn)處置過程的文件化信息，包含組織用于選擇適當(dāng)信息安全風(fēng)險(xiǎn)處置選 項(xiàng)的方法的描述。審核員還宜確認(rèn)此描述與組織實(shí)際執(zhí)行的內(nèi)容相對(duì)應(yīng)。請(qǐng)注意，GB/T 292462017，2.79，注1列舉了七種風(fēng)險(xiǎn)處置選項(xiàng)，并且在GB/T 220802016:6.1.3中引用了 ISO 31

42、000的注釋。審核員宜驗(yàn)證風(fēng)險(xiǎn)準(zhǔn)則與風(fēng)險(xiǎn)處置計(jì)劃之間的一致性。組織宜能夠解釋它在風(fēng)險(xiǎn)處置選項(xiàng)方 面做岀的決策，即使它們沒有被記錄。審核員宜審核組織選定的風(fēng)險(xiǎn)處置選項(xiàng)。審核員還宜評(píng)審所選風(fēng)險(xiǎn)處置選項(xiàng)的適當(dāng)性。 審核員宜驗(yàn)證最近的變更（例如新的IT系統(tǒng)或業(yè)務(wù)過程）是否已適當(dāng)納入風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置 決策。確定所有必要的控制 GB/T 22080 2016，6.1.3 b審核員宜確認(rèn)有關(guān)風(fēng)險(xiǎn)處置過程的文件化信息，包含組織用于確定必要信息安全控制的方法 的描述。審核員還宜確認(rèn)此描述符合組織實(shí)際執(zhí)行的操作。GB/T 220802016, 6.1.3 d）要求適用性聲明包含必要的控制以及附錄A中包含但不必要

43、的控制。它們可能是特定部門的控制（如行業(yè)特定標(biāo)準(zhǔn)，如ISO/IEC 27011 ISO/IEC 27017。 他們也可能是 定制化控制”，因?yàn)榻M織可自己設(shè)計(jì)或從任何來源識(shí)別見GB/T 220802016,6.1.3b）。確定實(shí)現(xiàn)風(fēng)險(xiǎn)處置選項(xiàng)的所有控制都宜包含在適用性聲明中。此外，任何定制化控制宜在要求和實(shí)現(xiàn)中明確定義。與附錄 A GB/T 22080 2016, 6.1.3 c)進(jìn)行比較通過評(píng)審適用性聲明來證明符合此要求。制定適用性聲明GB/T 22080 2016 , 6.1.3 d)審核員宜驗(yàn)證適用性聲明是否包含：a）應(yīng)用GB/T 220802016過程所確定的必要控制 6.1.3 b ）

44、和c）；b）包含它們的理由（例如，參考使用它的風(fēng)險(xiǎn)處置選項(xiàng)）；c）是否實(shí)現(xiàn)了必要的控制；d）所有被刪減的附錄 A的控制的理由，例如：1）控制適用于組織不涉及的活動(dòng)；2） 組織使用定制化控制，不需要附錄A的控制；3） 組織使用定制化控制，其作用與附錄A控制相同（更多信息見 GB/T 31496）;e）相關(guān)的行業(yè)特定控制，這些控制將被指定為必要的控制，或以附錄A刪減的控制相同的方式進(jìn)行處置。因此，審核員宜確認(rèn)實(shí)現(xiàn)選定風(fēng)險(xiǎn)處置選項(xiàng)所需的控制與適用性聲明之間的一致性。制定風(fēng)險(xiǎn)處置計(jì)劃GB/T 220802016，6.1.3 e審核員宜確認(rèn)有關(guān)風(fēng)險(xiǎn)處置過程的文件化信息,包含組織用于制定風(fēng)險(xiǎn)處置計(jì)劃的方法

45、描述。審核員還宜確認(rèn)風(fēng)險(xiǎn)處置計(jì)劃是根據(jù)GB/T 220802016，6.1.3 a）至c）制定的。審核員宜進(jìn)一步確認(rèn)處置計(jì)劃中提供的信息包括：a）計(jì)劃所涉及的風(fēng)險(xiǎn)；b）必要的控制；c）如何采取必要的控制來修改風(fēng)險(xiǎn)以便于滿足風(fēng)險(xiǎn)接受準(zhǔn)則；d）風(fēng)險(xiǎn)責(zé)任人；注11:風(fēng)險(xiǎn)責(zé)任人負(fù)責(zé)批準(zhǔn)風(fēng)險(xiǎn)處置計(jì)劃并接受殘余風(fēng)險(xiǎn)。e）選定的風(fēng)險(xiǎn)處置選項(xiàng)；f）必要控制的實(shí)現(xiàn)狀態(tài)；g）選擇處置選項(xiàng)的原因，包括可獲得的預(yù)期收益；h）處置計(jì)劃包括的責(zé)任人、時(shí)間表和進(jìn)度；i）包括意外事件在內(nèi)的資源需求；j）績效考核和約束；k）報(bào)告和監(jiān)視。審核員宜評(píng)審風(fēng)險(xiǎn)處置計(jì)劃是否考慮了組織的目標(biāo)設(shè)定和管理過程，并與相關(guān)利益方進(jìn)行了 討論。獲得

46、風(fēng)險(xiǎn)責(zé)任人批準(zhǔn) GB/T 22080 2016，6.1.3 f）審核員宜確認(rèn)組織：a）確定了風(fēng)險(xiǎn)責(zé)任人；b）記錄了殘余風(fēng)險(xiǎn)；c）獲得風(fēng)險(xiǎn)責(zé)任人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃的批準(zhǔn)和對(duì)殘余風(fēng)險(xiǎn)的接受。文件化信息審核員宜確認(rèn)有關(guān)風(fēng)險(xiǎn)處置的文件化信息真實(shí)存在。確保有關(guān)信息的文件化信息是合理的， 安全風(fēng)險(xiǎn)處置過程含以下描述：a）選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)的方法；b）確定必要控制的方法；c）GB/T 220802016附錄A如何用于確定無意中忽略的必要控制；支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC補(bǔ)充部分，附錄JC, JC.9ISO/IEC 27003:2017，6.2A.4支持（7）A

47、.4.1 資源（7.1 ）GB/T 22080中相關(guān)條款5.1，6.2，7.2GB/T 29246中相關(guān)定義持續(xù)改進(jìn)，管理制度審核證據(jù)審核證據(jù)可以通過文件化信息或組織需要的資源獲得：a）建立并實(shí)施ISMS （包括其運(yùn)營和控制）；b）持續(xù)改進(jìn)ISMS。資源包括：a） 確定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力；b） 確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c）基礎(chǔ)設(shè)施（例如建筑物，通信線路等）；d）技術(shù)；e）信息以及與信息和信息處置相關(guān)的其他資產(chǎn)設(shè)備；f）資金（例如現(xiàn)金，流動(dòng)證券和信貸額度）。審核實(shí)踐指南審核員宜確認(rèn)組織計(jì)劃、確定和分配了建立和實(shí)施ISMS

48、所需的資源（包括其運(yùn)營和控制），以及維護(hù)和持續(xù)改進(jìn)所需的資源。支持性文件ISO/IEC導(dǎo)則第1部分2017年融合的JTC1補(bǔ)充部分，附錄JC, JC.9ISO 31000:2009，4.3.5A.4.2 能力（7.2）GB/T 22080中相關(guān)條款5.3，7.1，7.5.1 注，9.1 d）和 e），9.2 e）GB/T 29246中相關(guān)定義能力，有效性審核證據(jù)審核證據(jù)可通過書面信息或其他相關(guān)信息獲得：a）組織的角色，責(zé)任和權(quán)限；b）崗位描述；c）所需的能力；d）教育記錄；e）培訓(xùn)計(jì)劃，課程和教育活動(dòng)；f） 保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)；g）評(píng)估其有效性。GB/T 22080 2016，

49、7.2將能力范圍擴(kuò)至非組織成員。該要求規(guī)定他們?cè)诮M織的控制下工作”。例如包括分包商和志愿者。第三方要求的審核證據(jù)宜限于證明為ISMS組織執(zhí)行的職能和活動(dòng)審核實(shí)踐指南審核員宜確認(rèn)該組織：a）確定：1） 組織控制下從事會(huì)影響組織信息安全績效的工作人員；2）人員獲得預(yù)期結(jié)果的知識(shí)和技能；3）人員運(yùn)用知識(shí)和技能達(dá)到預(yù)期結(jié)果的能力；b） 確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；c） 適用時(shí)，采取措施以獲得必要的能力，并評(píng)估所采取措施的有效性。支持性文件ISO/IEC導(dǎo)則第1部分一2017年融合的JTC1補(bǔ)充部分，附錄JC, JC.9 GB/T 314962015, 7.2ISO/IE

50、C 27021: 一、附錄 AA.4.3 意識(shí)(7.3)GB/T 22080中相關(guān)條款5.1 d )，5.2，9.1，9.2，10.1，10.2GB/T 29246中相關(guān)定義符合性，有效性，績效，策略審核證據(jù)審核證據(jù)可以通過以下方面的文件化信息或其他信息獲得：a）信息安全方針；b）信息安全目標(biāo)；c）信息安全績效；d）不合格的糾正措施；e）組織的角色，責(zé)任和權(quán)限；f）崗位描述；g）適用的學(xué)習(xí)計(jì)劃和培訓(xùn)材料。審核實(shí)踐指南審核員宜確認(rèn)在組織的控制下，工作人員能夠意識(shí)到：a）信息安全方針；b） 其對(duì)ISMS有效性的貢獻(xiàn)，包括改進(jìn)信息安全績效帶來的益處；c）不符合ISMS要求帶來的影響。審核員宜訪談適當(dāng)

51、數(shù)量的人員作為抽樣，以確認(rèn)他們了解這些信息。對(duì)方針的認(rèn)識(shí)不宜被視為需要記住方針；相反，人們宜認(rèn)識(shí)到關(guān)鍵的方針承諾及其在實(shí)現(xiàn) 這些承諾方面的作用。審核員還可在非專門用于信息安全的意識(shí)和培訓(xùn)計(jì)劃中找到信息安全意識(shí)證據(jù)。這些活動(dòng) 可與最高管理者的溝通活動(dòng)密切相關(guān)。GB/T 22080-2016, 5.1 d）和7.4。支持性文件ISO/IEC導(dǎo)則第1部分2017年融合的JTC1補(bǔ)充部分，附錄JC, JC.QISO/IEC 27003:2017, 7.3A.4.4 溝通(7.4)GB/T 22080中相關(guān)條款5.1, 5.2 , 5.3, 6.2 , 9.2GB/T 29246中相關(guān)定義方針審核證據(jù)審

52、核證據(jù)可以通過書面信息或其他信息獲得a）信息安全方針；b）組織的角色，責(zé)任和權(quán)限；c）信息安全風(fēng)險(xiǎn)評(píng)估過程d）信息安全風(fēng)險(xiǎn)處置過程e）信息安全目標(biāo)；f）過程已按計(jì)劃執(zhí)行的信息；g）信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果；h）信息安全風(fēng)險(xiǎn)處置的結(jié)果；i）ISMS的績效；j）審核結(jié)果；k）管理評(píng)審結(jié)果。審核實(shí)踐指南審核員宜確認(rèn)組織的溝通需求已根據(jù)GB/T 22080的溝通要求得到有效的識(shí)別、實(shí)現(xiàn)和維護(hù)。證據(jù)的例子可包括：a）會(huì)議記錄中的信息b）一個(gè)正式的溝通計(jì)劃、文件化過程和結(jié)果C）與分配到特定角色的人員進(jìn)行面談，以證明他們知道與其角色相關(guān)的溝通要求，溝通什么，何時(shí)溝通，與誰溝通，誰來溝通以及影響溝通的過程。這些

53、證據(jù)可以補(bǔ)充：a）下列溝通信息：1） 有效信息安全管理的重要性以及 ISMS要求的符合性；2）方針；3）責(zé)任和權(quán)限；4）ISMS的績效；5）目標(biāo)；6） 對(duì)ISMS有效性的貢獻(xiàn)，包括改進(jìn)信息安全績效帶來的益處；7）不符合ISMS要求帶來的影響；8）審核結(jié)果；b）正式的溝通計(jì)劃，文件化的規(guī)程和結(jié)果。審核員宜驗(yàn)證組織是否已確定其與ISMS相關(guān)的溝通需求，例如，這些需求可包括透明度、適當(dāng)性、可信度、回應(yīng)性、清晰度以及保護(hù)。溝通可以是口頭或書面、單向或雙向、內(nèi)部或外部的。支持性文件ISO/IEC導(dǎo)則第1部分2017年融合的JTC1補(bǔ)充部分，附錄 JC, JC.9ISO 31000:2009，4.3.6，4.3.7ISO/IEC 27003:2017，7.4A.4.5文件化信息（7.5 ）A.4.5.1 總則 （7.5.1）GB/T 22080中相關(guān)條款4.3，5.2 e），6.1.2，6.1.3，6.2，7.2 d），8.1，8.2，8.3，9.1，9.2 g），9.3，和 10.1GB/T 29246中相關(guān)定義文件化信息審核證據(jù)審核證據(jù)可以通過ISMS中的文件化信息或其他信息進(jìn)行創(chuàng)建、控制或維護(hù)，包括：a）管理體系的范圍；b）方針；c）目標(biāo)；d）能力的證據(jù)；e）管理體系運(yùn)行規(guī)劃和控制所需的外部信息；f）信息安全風(fēng)險(xiǎn)評(píng)估過程；g）信息安全風(fēng)險(xiǎn)處置過程；h）適用性聲明