ISO∕IEC 27001-2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》“第9章 績(jī)效評(píng)價(jià)”解讀和應(yīng)用指導(dǎo)材料（雷澤佳編制2024）VIP

ISO/IEC27001:2022“第9章：績(jī)效評(píng)價(jià)”解讀和應(yīng)用指導(dǎo)材料ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)-信息安全管理體系-要求》“第9章：績(jī)效評(píng)價(jià)”解讀和應(yīng)用指導(dǎo)材料績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)過(guò)程監(jiān)視、測(cè)量、分析和評(píng)價(jià)（如圖“圖1：監(jiān)視、測(cè)量、分析和評(píng)估過(guò)程”所示）過(guò)程包括以下過(guò)程：識(shí)別信息需求：這一步驟涉及明確組織在信息安全方面需要哪些信息來(lái)支持決策和評(píng)估。建立和維護(hù)測(cè)度：在此階段，組織需要確定用于衡量信息安全績(jī)效和ISMS有效性的具體指標(biāo)或測(cè)度。建立規(guī)程：規(guī)程的建立是為了確保監(jiān)視、測(cè)量、分析和評(píng)價(jià)活動(dòng)能夠按照既定的方法和程序進(jìn)行。監(jiān)視和測(cè)量：這一步是實(shí)際執(zhí)行監(jiān)視和測(cè)量活動(dòng)的環(huán)節(jié)，通過(guò)收集數(shù)據(jù)來(lái)反映信息安全和ISMS的當(dāng)前狀態(tài)。分析結(jié)果：收集到的數(shù)據(jù)需要經(jīng)過(guò)分析，以揭示信息安全和ISMS的績(jī)效趨勢(shì)、問(wèn)題和改進(jìn)機(jī)會(huì)。評(píng)價(jià)信息安全實(shí)施和ISMS有效性：基于分析結(jié)果，對(duì)信息安全控制措施的實(shí)施情況和ISMS的整體有效性進(jìn)行評(píng)價(jià)。對(duì)上述過(guò)程進(jìn)行評(píng)審和改進(jìn)的ISMS管理過(guò)程：組織需要定期評(píng)審上述過(guò)程的執(zhí)行情況和結(jié)果，并根據(jù)需要進(jìn)行調(diào)整和改進(jìn)，以確保ISMS的持續(xù)有效性和適應(yīng)性。這一過(guò)程是ISMS管理循環(huán)的重要組成部分，旨在實(shí)現(xiàn)體系的持續(xù)優(yōu)化。圖1：監(jiān)視、測(cè)量、分析和評(píng)估過(guò)程監(jiān)視和測(cè)量信息安全監(jiān)視與測(cè)量的概念信息安全監(jiān)視：指對(duì)組織的信息安全管理體系（ISMS）及其相關(guān)過(guò)程進(jìn)行持續(xù)觀察，旨在檢測(cè)任何與信息安全策略、標(biāo)準(zhǔn)或預(yù)期績(jī)效的偏差。通過(guò)這種觀察，組織能夠及時(shí)發(fā)現(xiàn)潛在的信息安全威脅、漏洞或不合規(guī)行為，從而采取相應(yīng)的糾正措施；能被監(jiān)視的系統(tǒng)、過(guò)程和活動(dòng)包括但不限于：ISMS過(guò)程的實(shí)施：監(jiān)視ISMS各項(xiàng)過(guò)程的執(zhí)行情況，確保它們按照既定的計(jì)劃和策略進(jìn)行；事件管理：對(duì)信息安全事件進(jìn)行監(jiān)視，包括事件的檢測(cè)、記錄、分類、響應(yīng)和恢復(fù)等；脆弱性管理：監(jiān)視系統(tǒng)的脆弱性，包括定期進(jìn)行的脆弱性評(píng)估、修復(fù)和驗(yàn)證等活動(dòng)；配置管理：對(duì)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用的配置進(jìn)行監(jiān)視，確保它們符合安全標(biāo)準(zhǔn)和最佳實(shí)踐；安全意識(shí)和培訓(xùn)：監(jiān)視員工的安全意識(shí)和培訓(xùn)情況，包括培訓(xùn)計(jì)劃的執(zhí)行、員工對(duì)安全政策的了解程度等；訪問(wèn)控制、防火墻和其他事件日志：監(jiān)視訪問(wèn)控制機(jī)制、防火墻的運(yùn)行狀態(tài)以及生成的事件日志，以發(fā)現(xiàn)潛在的安全威脅；審核：對(duì)ISMS進(jìn)行定期審核，驗(yàn)證其有效性和符合性；風(fēng)險(xiǎn)評(píng)估過(guò)程：監(jiān)視風(fēng)險(xiǎn)評(píng)估的執(zhí)行情況，包括風(fēng)險(xiǎn)的識(shí)別、分析和評(píng)價(jià)；風(fēng)險(xiǎn)處置過(guò)程：監(jiān)視風(fēng)險(xiǎn)處置措施的實(shí)施情況，確保風(fēng)險(xiǎn)得到有效控制；第三方風(fēng)險(xiǎn)管理：監(jiān)視與第三方相關(guān)的風(fēng)險(xiǎn)，包括供應(yīng)商、合作伙伴等的安全管理情況；業(yè)務(wù)連續(xù)性管理：監(jiān)視業(yè)務(wù)連續(xù)性計(jì)劃的制定和執(zhí)行情況，確保在面臨中斷時(shí)能夠迅速恢復(fù)業(yè)務(wù)；物理和環(huán)境安全管理：監(jiān)視物理環(huán)境的安全性，包括設(shè)施的物理訪問(wèn)控制、環(huán)境監(jiān)控等；系統(tǒng)監(jiān)視：對(duì)信息系統(tǒng)的整體運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)視，確保系統(tǒng)的穩(wěn)定性和安全性。信息安全測(cè)量：指通過(guò)量化方法評(píng)估組織的信息安全績(jī)效。測(cè)量過(guò)程涉及收集、分析和解釋與信息安全相關(guān)的數(shù)據(jù)，以提供客觀、可比較的績(jī)效指標(biāo)。這些指標(biāo)有助于組織了解其ISMS的實(shí)施效果，以及是否達(dá)到了既定的信息安全目標(biāo)。監(jiān)視和測(cè)量的目的：旨在幫助組織確定是否按計(jì)劃實(shí)現(xiàn)信息安全活動(dòng)（包括風(fēng)險(xiǎn)評(píng)價(jià)和處置）的預(yù)期結(jié)果。信息安全測(cè)量的類型在信息安全管理體系中，組織通常會(huì)考慮以下兩種類型的測(cè)量：信息安全績(jī)效測(cè)量：這種類型的測(cè)量關(guān)注ISMS各項(xiàng)活動(dòng)的直接結(jié)果。它通常通過(guò)量化指標(biāo)來(lái)反映信息安全控制的實(shí)施情況，例如安全事件的次數(shù)、安全漏洞的修復(fù)速度、安全培訓(xùn)的參與率等。這些指標(biāo)有助于組織評(píng)估其信息安全活動(dòng)的效率和有效性；信息安全有效性測(cè)量：與績(jī)效測(cè)量相比，有效性測(cè)量更注重評(píng)估ISMS對(duì)組織整體信息安全狀況的影響。它關(guān)注的是ISMS實(shí)施后組織信息安全水平的實(shí)際提升程度，以及這些提升是否與組織的信息安全戰(zhàn)略和目標(biāo)相一致。有效性測(cè)量能夠幫助組織識(shí)別ISMS中的關(guān)鍵成功因素和潛在改進(jìn)領(lǐng)域?？勺鳛闇y(cè)量對(duì)象的ISMS過(guò)程和活動(dòng)包括：規(guī)劃；領(lǐng)導(dǎo)；風(fēng)險(xiǎn)管理；方針管理；資源管理；溝通；管理評(píng)審；文件化；和審核。誰(shuí)應(yīng)監(jiān)視和測(cè)量：與測(cè)量相關(guān)的角色和職責(zé)：測(cè)量的客戶：要求或需要關(guān)于ISMS、控制措施或控制措施組的有效性相關(guān)的信息的管理層和其他利益相關(guān)方；測(cè)量策劃者：將可測(cè)量屬性關(guān)聯(lián)到特定信息需求并完成測(cè)量構(gòu)造的人或部門(mén)；測(cè)量評(píng)審者：確認(rèn)已制定的測(cè)量構(gòu)造是否適合于評(píng)價(jià)信息安全績(jī)效和ISMS、控制措施或控制措施組有效性的人或部門(mén)；信息所有者：擁有為測(cè)度提供輸入信息的人或部門(mén)。該人員負(fù)責(zé)提供數(shù)據(jù)，并常常（但并不一定）負(fù)責(zé)實(shí)施測(cè)量活動(dòng)；信息收集者：負(fù)責(zé)收集、記錄和存儲(chǔ)數(shù)據(jù)的人員或部門(mén)；信息分析者：負(fù)責(zé)分析數(shù)據(jù)的人員或部門(mén)；信息溝通者：負(fù)責(zé)傳達(dá)分析結(jié)果的人或部門(mén)。明確信息安全監(jiān)視與測(cè)量的信息需求；核心信息需求的界定：在構(gòu)建信息安全管理體系的監(jiān)視與測(cè)量機(jī)制時(shí)，首要任務(wù)是精準(zhǔn)界定“信息需求”。這些需求應(yīng)聚焦于那些能夠反映組織信息安全績(jī)效及ISMS有效性的關(guān)鍵信息安全問(wèn)題和指標(biāo)；目標(biāo)導(dǎo)向的監(jiān)視與測(cè)量：明確信息需求有助于組織有針對(duì)性地規(guī)劃監(jiān)視與測(cè)量活動(dòng)，確保所收集的數(shù)據(jù)和信息能夠有效支撐對(duì)信息安全實(shí)踐成果的評(píng)估。信息安全監(jiān)視與測(cè)量的詳細(xì)策劃與實(shí)施。確定監(jiān)視與測(cè)量的關(guān)鍵要素：組織必須明確哪些信息安全流程和控制點(diǎn)是需要重點(diǎn)監(jiān)視與測(cè)量的。選擇測(cè)量指標(biāo)時(shí)應(yīng)慎重，避免過(guò)度或無(wú)效地測(cè)量，以節(jié)約資源并確保關(guān)鍵風(fēng)險(xiǎn)點(diǎn)不被遺漏；制定監(jiān)視與測(cè)量的時(shí)間計(jì)劃：合理安排監(jiān)視與測(cè)量的時(shí)間節(jié)點(diǎn)，以確保信息安全狀態(tài)的實(shí)時(shí)監(jiān)控和定期評(píng)估；分配監(jiān)視與測(cè)量的職責(zé)角色：為參與監(jiān)視與測(cè)量活動(dòng)的人員明確劃分職責(zé)與角色，如數(shù)據(jù)收集者、分析評(píng)估者、結(jié)果審核者等，確保各環(huán)節(jié)的有效執(zhí)行。選用適當(dāng)?shù)谋O(jiān)視與測(cè)量方法：選擇并應(yīng)用適合組織信息安全需求的監(jiān)視與測(cè)量技術(shù)和方法，以保證測(cè)量結(jié)果的準(zhǔn)確性、可比性和有效性，從而為信息安全決策提供可靠依據(jù)。信息安全監(jiān)視與測(cè)量的應(yīng)用案例明確信息需求與目標(biāo)XYZ公司首先識(shí)別了關(guān)鍵信息安全問(wèn)題，如數(shù)據(jù)泄露、惡意攻擊等，并確定了與之對(duì)應(yīng)的績(jī)效指標(biāo)，如安全事件響應(yīng)時(shí)間、漏洞修復(fù)率等。公司設(shè)定了明確的信息安全目標(biāo)，如“將安全事件響應(yīng)時(shí)間縮短至24小時(shí)內(nèi)”，并以此為導(dǎo)向規(guī)劃監(jiān)視與測(cè)量活動(dòng)。策劃與實(shí)施監(jiān)視與測(cè)量關(guān)鍵要素確定：XYZ公司選擇了幾個(gè)關(guān)鍵的信息安全流程和控制點(diǎn)進(jìn)行監(jiān)視，包括用戶身份驗(yàn)證、數(shù)據(jù)備份與恢復(fù)、網(wǎng)絡(luò)安全防護(hù)等。針對(duì)這些流程，公司制定了詳細(xì)的測(cè)量指標(biāo)，如身份驗(yàn)證失敗率、備份成功率等。時(shí)間計(jì)劃制定：為了確保實(shí)時(shí)監(jiān)控和定期評(píng)估，公司設(shè)定了每周、每月和每季度的監(jiān)視與測(cè)量時(shí)間節(jié)點(diǎn)，并制定了相應(yīng)的工作計(jì)劃。職責(zé)角色分配：公司成立了專門(mén)的信息安全團(tuán)隊(duì)，包括數(shù)據(jù)收集人員、分析評(píng)估人員和結(jié)果審核人員。每個(gè)角色都有明確的職責(zé)和權(quán)限，確保監(jiān)視與測(cè)量活動(dòng)的順利進(jìn)行。方法選擇與應(yīng)用：XYZ公司采用了多種監(jiān)視與測(cè)量方法，包括日志分析、漏洞掃描、滲透測(cè)試等。這些方法的應(yīng)用不僅保證了測(cè)量結(jié)果的準(zhǔn)確性和可比性，還為信息安全決策提供了可靠依據(jù)。監(jiān)視與測(cè)量的成果與改進(jìn)通過(guò)持續(xù)的監(jiān)視與測(cè)量，XYZ公司及時(shí)發(fā)現(xiàn)了多個(gè)潛在的信息安全威脅和漏洞，并采取了相應(yīng)的糾正措施，有效降低了安全風(fēng)險(xiǎn)。公司定期分析監(jiān)視與測(cè)量數(shù)據(jù)，評(píng)估ISMS的實(shí)施效果，并根據(jù)評(píng)估結(jié)果進(jìn)行必要的調(diào)整和優(yōu)化。例如，針對(duì)某次測(cè)量中發(fā)現(xiàn)的身份驗(yàn)證失敗率較高的問(wèn)題，公司加強(qiáng)了身份驗(yàn)證機(jī)制的安全性，并提高了用戶密碼的復(fù)雜度要求。通過(guò)與其他組織的比較和標(biāo)桿學(xué)習(xí)，XYZ公司不斷識(shí)別信息安全領(lǐng)域的最佳實(shí)踐，并將其融入自身的ISMS中，持續(xù)提升信息安全績(jī)效。分析和評(píng)價(jià)分析和評(píng)價(jià)在信息安全管理體系中的應(yīng)用分析的定義及應(yīng)用：在信息安全管理體系（ISMS）中，分析是對(duì)收集的數(shù)據(jù)進(jìn)行深入研究，以識(shí)別潛在的關(guān)系、模式和趨勢(shì)，進(jìn)而為信息安全決策提供依據(jù)。這種分析可能涉及復(fù)雜的統(tǒng)計(jì)運(yùn)算，以及借鑒其他組織的相關(guān)信息，以增強(qiáng)數(shù)據(jù)的解讀能力和結(jié)論的準(zhǔn)確性。分析與ISMS中的測(cè)量活動(dòng)緊密相連，共同構(gòu)成信息安全狀態(tài)評(píng)估的基礎(chǔ)；績(jī)效評(píng)價(jià)的作用：績(jī)效評(píng)價(jià)是評(píng)估ISMS在實(shí)現(xiàn)既定信息安全目標(biāo)方面的有效性、充分性和適宜性的關(guān)鍵活動(dòng)。它幫助組織了解當(dāng)前的信息安全狀況，識(shí)別需要改進(jìn)的領(lǐng)域，并驗(yàn)證所采取的安全控制措施是否有效。(2)信息安全管理體系中分析和評(píng)價(jià)的實(shí)施指南確定分析和評(píng)價(jià)的內(nèi)容：首要任務(wù)是明確“信息需求”，即確定哪些數(shù)據(jù)和信息對(duì)于評(píng)估ISMS的狀態(tài)和性能至關(guān)重要。評(píng)價(jià)過(guò)程應(yīng)涵蓋兩個(gè)方面：評(píng)價(jià)ISMS的有效性：以驗(yàn)證組織的信息安全策略、目標(biāo)和控制措施是否得當(dāng)，并確定信息安全目標(biāo)的實(shí)現(xiàn)程度；評(píng)價(jià)信息安全績(jī)效：以檢查組織在實(shí)際操作中是否遵循了既定的信息安全標(biāo)準(zhǔn)和程序，包括ISMS過(guò)程與規(guī)范的符合程度。類別評(píng)價(jià)項(xiàng)目評(píng)價(jià)方式或要點(diǎn)評(píng)價(jià)輸出結(jié)果評(píng)價(jià)ISMS的有效性策略與目標(biāo)信息安全策略的合理性與適用性評(píng)估策略是否覆蓋所有關(guān)鍵信息安全領(lǐng)域，是否與實(shí)際業(yè)務(wù)環(huán)境相匹配策略的有效性與修訂建議信息安全目標(biāo)的設(shè)定與達(dá)成情況對(duì)比實(shí)際績(jī)效與目標(biāo)，分析差距及原因目標(biāo)的達(dá)成度與改進(jìn)方向控制措施控制措施的設(shè)計(jì)與實(shí)施情況檢查控制措施是否完善、合理，并得到有效實(shí)施控制措施的適當(dāng)性與優(yōu)化建議控制措施的效果評(píng)估通過(guò)安全事件、漏洞等數(shù)據(jù)分析控制措施的實(shí)際效果控制措施的效果及調(diào)整建議評(píng)價(jià)信息安全績(jī)效標(biāo)準(zhǔn)與程序遵循信息安全標(biāo)準(zhǔn)和程序的遵循情況核查實(shí)際操作中是否嚴(yán)格遵守既定的信息安全標(biāo)準(zhǔn)和程序遵循程度與違規(guī)情況記錄ISMS過(guò)程與規(guī)范ISMS過(guò)程的執(zhí)行情況評(píng)估ISMS各項(xiàng)過(guò)程的執(zhí)行是否符合規(guī)范要求過(guò)程執(zhí)行的符合度與改進(jìn)建議信息安全事件的響應(yīng)與處理分析安全事件的響應(yīng)速度、處理效果及后續(xù)改進(jìn)措施事件響應(yīng)與處理效果評(píng)價(jià)績(jī)效指標(biāo)關(guān)鍵績(jī)效指標(biāo)（KPI）的達(dá)成情況對(duì)比實(shí)際績(jī)效指標(biāo)與預(yù)定目標(biāo)，分析差距及原因KPI達(dá)成度與提升策略在進(jìn)行分析和評(píng)價(jià)時(shí)，需要權(quán)衡成本效益，避免過(guò)度投入而掩蓋或遺漏關(guān)鍵問(wèn)題。安排分析和評(píng)價(jià)的時(shí)間：組織應(yīng)制定明確的時(shí)間表，規(guī)定何時(shí)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)。這有助于確保分析的及時(shí)性和有效性，以便在必要時(shí)采取糾正措施；分配分析和評(píng)價(jià)的責(zé)任：組織應(yīng)識(shí)別和分配參與分析和評(píng)價(jià)活動(dòng)的具體角色和責(zé)任。這些角色可能包括數(shù)據(jù)收集者、分析師、結(jié)果解釋者和報(bào)告編制者等。通過(guò)明確各自的職責(zé)和權(quán)限，可以確保分析和評(píng)價(jià)過(guò)程的順利進(jìn)行，并提高結(jié)果的準(zhǔn)確性和可靠性。同時(shí)，由于這些角色需要不同的專業(yè)知識(shí)和技能，因此應(yīng)根據(jù)人員的實(shí)際能力進(jìn)行合理分配。保留成文信息保留監(jiān)視、測(cè)量、分析和評(píng)價(jià)績(jī)效結(jié)果的成文信息；組織在執(zhí)行監(jiān)視、測(cè)量、分析和評(píng)價(jià)活動(dòng)后，應(yīng)確保保留適當(dāng)?shù)某晌男畔?；監(jiān)視和測(cè)量的結(jié)果：日常檢查記錄：包括對(duì)ISMS控制目標(biāo)和檢查內(nèi)容的定期檢查結(jié)果。審計(jì)監(jiān)控系統(tǒng)回顧報(bào)告：涵蓋對(duì)各種日志系統(tǒng)、審計(jì)系統(tǒng)、監(jiān)控系統(tǒng)等的抽樣檢查或定期回顧結(jié)果，特別關(guān)注告警信息和錯(cuò)誤日志。信息安全事件統(tǒng)計(jì)報(bào)告：記錄并分析發(fā)生的信息安全事件，包括事件類型、原因、影響及處理情況。分析和評(píng)價(jià)的輸出：信息安全目標(biāo)測(cè)量信息一覽表：展示信息安全目標(biāo)的達(dá)成情況，衡量ISMS的績(jī)效；有效性測(cè)量記錄表：定期記錄信息安全有效性測(cè)量的結(jié)果，以評(píng)估ISMS是否持續(xù)改進(jìn)并達(dá)到預(yù)期效果；績(jī)效分析報(bào)告：根據(jù)收集的數(shù)據(jù)和信息，分析信息安全績(jī)效，識(shí)別趨勢(shì)和問(wèn)題，提出改進(jìn)建議。支持性證據(jù)：相關(guān)會(huì)議紀(jì)要：記錄關(guān)于信息安全績(jī)效和ISMS有效性討論的會(huì)議內(nèi)容、決策和行動(dòng)計(jì)劃；培訓(xùn)和意識(shí)活動(dòng)記錄：包括信息安全培訓(xùn)、調(diào)查問(wèn)卷、考試等活動(dòng)的參與情況和結(jié)果；糾正和預(yù)防措施記錄：針對(duì)識(shí)別出的問(wèn)題或潛在問(wèn)題所采取的糾正和預(yù)防措施的記錄。管理評(píng)審輸出（管理評(píng)審報(bào)告）：定期評(píng)審信息安全管理體系，包括績(jī)效、目標(biāo)實(shí)現(xiàn)、資源分配等方面的內(nèi)容，以及評(píng)審后的決策和行動(dòng)計(jì)劃；外部審核和認(rèn)證機(jī)構(gòu)的報(bào)告（如適用）：外部審核報(bào)告：由外部審核機(jī)構(gòu)進(jìn)行的ISMS審核結(jié)果報(bào)告，包括符合性、有效性和改進(jìn)建議；認(rèn)證證書(shū)和審核記錄：證明組織ISMS符合ISO/IEC27001等標(biāo)準(zhǔn)的證書(shū)和相關(guān)審核活動(dòng)的記錄。這些成文信息是作為上述活動(dòng)結(jié)果的直接證據(jù)，有助于驗(yàn)證信息安全管理體系（ISMS）的績(jī)效和有效性；成文信息的保留對(duì)于后續(xù)的審核、持續(xù)改進(jìn)以及必要時(shí)的追溯至關(guān)重要。記錄測(cè)量設(shè)備的維護(hù)、校準(zhǔn)或驗(yàn)證的成文信息；組織應(yīng)對(duì)用于監(jiān)視和測(cè)量的設(shè)備進(jìn)行適當(dāng)?shù)木S護(hù)，并定期進(jìn)行校準(zhǔn)或驗(yàn)證，以確保其準(zhǔn)確性和可靠性；所有關(guān)于測(cè)量設(shè)備維護(hù)、校準(zhǔn)或驗(yàn)證的活動(dòng)都應(yīng)被詳細(xì)記錄并保留為成文信息；這些記錄對(duì)于確保測(cè)量結(jié)果的準(zhǔn)確性、設(shè)備的正確使用以及符合相關(guān)標(biāo)準(zhǔn)和法規(guī)要求至關(guān)重要；同時(shí)，它們也為設(shè)備的維護(hù)和管理提供了有價(jià)值的參考信息。內(nèi)部審核總則審核頻率：組織應(yīng)按照預(yù)先策劃的時(shí)間間隔進(jìn)行內(nèi)部審核。審核目的與范圍：內(nèi)部審核旨在提供有關(guān)ISMS的以下關(guān)鍵信息：符合性評(píng)價(jià)：組織自身的ISMS要求，包括：信息安全方針；規(guī)程的具體要求；因設(shè)定信息安全目標(biāo)框架而產(chǎn)生的要求（如風(fēng)險(xiǎn)處置過(guò)程的結(jié)果）；特定的法律和合同要求；以及對(duì)成文信息的規(guī)定；評(píng)價(jià)ISMS是否得到了有效實(shí)施和保持。本標(biāo)準(zhǔn)的要求：評(píng)估ISMS是否符合ISO/IEC27001:2022標(biāo)準(zhǔn)的要求。實(shí)施與保持的有效性：審核應(yīng)檢查ISMS是否在實(shí)際操作中得到了有效實(shí)施和持續(xù)保持。向最高管理者提供保證：通過(guò)內(nèi)部審核，向組織的最高管理層提供ISMS當(dāng)前狀態(tài)的可靠保證。審核原則：進(jìn)行審核時(shí)應(yīng)遵循以下原則，以確保審核的質(zhì)量和公正性（參考ISO19011）：完整性：審核應(yīng)全面覆蓋ISMS的所有相關(guān)方面；公正表達(dá)：審核發(fā)現(xiàn)和結(jié)論應(yīng)客觀、公正地反映實(shí)際情況；職業(yè)素養(yǎng)：審核員應(yīng)具備必要的專業(yè)知識(shí)和技能，并以專業(yè)態(tài)度執(zhí)行審核任務(wù)；保密性：審核過(guò)程中獲得的所有信息都應(yīng)受到保護(hù)，并且只用于預(yù)定的目的；獨(dú)立性：審核員應(yīng)保持獨(dú)立性，避免任何可能影響其判斷公正性的利益沖突；基于證據(jù)的方法：所有審核發(fā)現(xiàn)和結(jié)論都應(yīng)基于可驗(yàn)證的證據(jù)。內(nèi)部審核方案概述審核方案的策劃與制定：組織應(yīng)根據(jù)自身需求，策劃并制定一個(gè)或多個(gè)內(nèi)部審核方案。這些方案應(yīng)明確審核的頻率、采用的方法、相關(guān)人員的職責(zé)、具體的策劃要求以及如何進(jìn)行報(bào)告；方案制定時(shí)的考慮因素：在制定內(nèi)部審核方案時(shí)，組織應(yīng)特別注意相關(guān)過(guò)程的重要性和以往審核的結(jié)果，以便更加精準(zhǔn)地確定審核的重點(diǎn)和范圍。審核的具體要求：每次審核前，都應(yīng)明確規(guī)定審核的準(zhǔn)則和范圍，確保審核的目標(biāo)清晰、明確；組織應(yīng)選擇具備相應(yīng)資質(zhì)的審核員來(lái)實(shí)施審核，并采取措施確保整個(gè)審核過(guò)程的客觀性和公正性，防止任何可能的偏見(jiàn)或利益沖突；審核完成后，必須確保將審核結(jié)果及時(shí)、準(zhǔn)確地報(bào)告給相關(guān)的管理者，以便他們能夠根據(jù)這些信息做出適當(dāng)?shù)臎Q策和改進(jìn)措施。參考標(biāo)準(zhǔn)：組織在策劃和實(shí)施內(nèi)部審核時(shí)，可以參考ISO19011標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)為管理體系的審核提供了通用的指南和建議，有助于組織提高內(nèi)部審核的效率和有效性。內(nèi)部審核的范圍與內(nèi)容內(nèi)部審核的范圍：這不僅涵蓋了組織的信息安全管理體系（ISMS）的各個(gè)組成部分，還可能涉及組織的特定業(yè)務(wù)流程、系統(tǒng)、數(shù)據(jù)等。范圍的確定是為了確保審核的全面性和針對(duì)性；內(nèi)部審核的頻次：即組織進(jìn)行內(nèi)部審核的頻率，它并非固定不變，而是根據(jù)組織的實(shí)際情況和需求來(lái)設(shè)定。頻次的合理性對(duì)于及時(shí)發(fā)現(xiàn)和糾正問(wèn)題至關(guān)重要。影響范圍和頻次的因素：組織的規(guī)模和性質(zhì)：大型、復(fù)雜的組織可能需要更頻繁、更廣泛的內(nèi)部審核來(lái)確保其ISMS的有效性；而小型、簡(jiǎn)單的組織則可能相對(duì)減少頻次和縮小范圍；ISMS的性質(zhì)、功能、復(fù)雜性和成熟度：一個(gè)高度復(fù)雜、功能多樣且成熟度較高的ISMS，往往需要更細(xì)致、更深入地審核來(lái)驗(yàn)證其各個(gè)部分是否協(xié)同工作、是否達(dá)到了預(yù)期的安全效果。相反，一個(gè)新建或正在轉(zhuǎn)型的ISMS，可能更側(cè)重于關(guān)鍵領(lǐng)域和潛在風(fēng)險(xiǎn)的審核。審核方案的制定與要求審核方案的定義與目的：審核方案是為特定時(shí)間范圍和特定目標(biāo)設(shè)定的一組審核的總體框架；它與審核計(jì)劃有所區(qū)別，主要描述特定審核的具體活動(dòng)和安排；審核準(zhǔn)則是進(jìn)行審核時(shí)比對(duì)的一組方針、規(guī)程或要求，是判斷審核證據(jù)的依據(jù)。審核方案的策劃與實(shí)施責(zé)任：審核方案明確了策劃、實(shí)施、報(bào)告和跟進(jìn)審核活動(dòng)的結(jié)構(gòu)和相關(guān)責(zé)任；應(yīng)確保所開(kāi)展的審核活動(dòng)適宜且范圍正確，對(duì)組織運(yùn)營(yíng)的影響應(yīng)最小化，同時(shí)保持必要的審核質(zhì)量；審核方案的考慮因素：在制定審核方案時(shí)，還應(yīng)考慮已經(jīng)運(yùn)行了一段時(shí)間的過(guò)程和控制，以便能夠?qū)m當(dāng)?shù)淖C據(jù)進(jìn)行評(píng)價(jià)。審核方案應(yīng)包含的成文信息：審核方案應(yīng)包括審核準(zhǔn)則、審核方法、審核組的選擇等成文信息；此外，還應(yīng)包含保密處理流程、信息安全規(guī)定、審核員的健康和安全規(guī)定等其他相關(guān)事項(xiàng)。審核過(guò)程與實(shí)施內(nèi)部審核的核心目的；內(nèi)部審核的主要目的是識(shí)別不符合項(xiàng)、風(fēng)險(xiǎn)以及機(jī)會(huì)；對(duì)于識(shí)別出的不符合項(xiàng)，應(yīng)按照10.1的要求進(jìn)行管理；按照4.1和6.1的要求，對(duì)識(shí)別出的風(fēng)險(xiǎn)和機(jī)會(huì)進(jìn)行相應(yīng)管理。審核范圍與控制的有效性檢查；在內(nèi)部審核的范圍內(nèi)，應(yīng)對(duì)已實(shí)施的控制措施的有效性進(jìn)行檢查；在設(shè)計(jì)審核方案時(shí)，應(yīng)確保覆蓋所有必要的控制措施，并評(píng)估這些控制措施隨時(shí)間的有效性。審核員的選擇與能力要求；組織應(yīng)明確審核員的能力要求，并選擇具備相應(yīng)能力的內(nèi)部或外部審核員；需要制定適當(dāng)?shù)倪^(guò)程來(lái)監(jiān)視審核員和審核組的績(jī)效；審核組中應(yīng)有人員具備特定的行業(yè)知識(shí)和信息安全知識(shí)；在選擇審核員時(shí)，應(yīng)考慮其能力、獨(dú)立性和接受的培訓(xùn)情況；對(duì)于小公司而言，如果內(nèi)部沒(méi)有必要的資源和能力，可以考慮指派外部審核員。當(dāng)使用外部審核員時(shí)，應(yīng)確保他們充分了解組織的環(huán)境；在建立審核組時(shí)，應(yīng)綜合考慮內(nèi)部和外部審核員的特點(diǎn)和可能存在的缺陷。審核的實(shí)施與評(píng)審過(guò)程。在實(shí)施審核時(shí)，審核組長(zhǎng)應(yīng)考慮以往的審核結(jié)果，并跟蹤以往報(bào)告中提到的不符合項(xiàng)和不可接受的風(fēng)險(xiǎn)，以此為基礎(chǔ)制定審核計(jì)劃；審核組應(yīng)對(duì)過(guò)程和所確定的控制的充分性和有效性進(jìn)行評(píng)審，包括信息安全目標(biāo)的實(shí)現(xiàn)情況、與ISO/IEC27001-2016定義的要求的符合性、組織自身信息安全要求的符合性、適用性聲明與信息安全風(fēng)險(xiǎn)處置過(guò)程結(jié)果的一致性，以及管理評(píng)審的輸入和輸出的相關(guān)性等。審核結(jié)果的處理與跟進(jìn)審核結(jié)果對(duì)控制有效性的影響：當(dāng)測(cè)量方法被證實(shí)有效時(shí)，信息安全管理體系（ISMS）對(duì)控制有效性的監(jiān)視范圍和可靠性，能夠成為審核員評(píng)估工作的有力支持，從而減少其個(gè)人的評(píng)估工作量。這意味著，一個(gè)健全且運(yùn)行良好的ISMS能夠?yàn)閷徍诉^(guò)程提供準(zhǔn)確的數(shù)據(jù)和證據(jù)，幫助審核員更高效地評(píng)估控制的有效性；審核結(jié)果中不符合項(xiàng)的處理；如果在審核過(guò)程中發(fā)現(xiàn)了不符合項(xiàng)，受審方應(yīng)當(dāng)針對(duì)每一個(gè)不符合項(xiàng)制定相應(yīng)的糾正措施計(jì)劃，并與審核組長(zhǎng)就這些計(jì)劃達(dá)成一致。這確保了受審方能夠明確了解并承擔(dān)起糾正不符合項(xiàng)的責(zé)任；包含審核結(jié)果的審核報(bào)告應(yīng)當(dāng)發(fā)送給組織的最高管理者，以便其全面了解審核情況，包括發(fā)現(xiàn)的不符合項(xiàng)以及相應(yīng)的糾正措施計(jì)劃。這有助于確保組織高層對(duì)ISMS的有效性和符合性保持關(guān)注，并提供必要的支持和資源。審核方案的調(diào)整與優(yōu)化：組織應(yīng)當(dāng)對(duì)之前的審核結(jié)果進(jìn)行評(píng)審，并根據(jù)評(píng)審結(jié)果調(diào)整審核方案。這樣做的目的是更好地管理那些因不符合項(xiàng)而面臨更高風(fēng)險(xiǎn)的區(qū)域。通過(guò)調(diào)整審核方案，組織可以確保將更多的資源和關(guān)注投入到關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域，從而提高ISMS的整體有效性和符合性。這種持續(xù)的改進(jìn)和優(yōu)化是ISO/IEC27001標(biāo)準(zhǔn)所倡導(dǎo)的重要原則之一。保留成文信息組織應(yīng)保留成文信息，作為實(shí)施審核方案以及審核結(jié)果的證據(jù)，包括：審核計(jì)劃：包括審核的目的、范圍、時(shí)間表和資源分配；審核檢查表：詳細(xì)列出要審核的具體項(xiàng)目或問(wèn)題，以及對(duì)應(yīng)的審核標(biāo)準(zhǔn)或要求；審核記錄：記錄審核過(guò)程中的所有發(fā)現(xiàn)，包括符合和不符合審核標(biāo)準(zhǔn)的觀察結(jié)果，以及相關(guān)的證據(jù)和詳細(xì)信息；不符合項(xiàng)報(bào)告：詳細(xì)描述發(fā)現(xiàn)的不符合項(xiàng)，包括其性質(zhì)、原因、位置和可能的后果，以及建議的糾正措施和完成糾正措施的期限；審核結(jié)論報(bào)告：總結(jié)審核的主要發(fā)現(xiàn)，包括整體的符合性情況、主要的不符合項(xiàng)和改進(jìn)建議，以及任何需要組織管理層關(guān)注的特定問(wèn)題；糾正措施跟蹤記錄：記錄針對(duì)不符合項(xiàng)所采取的糾正措施，以及驗(yàn)證糾正措施有效性的結(jié)果；審核員資格和培訓(xùn)記錄：證明審核員具備進(jìn)行審核所需的資格和培訓(xùn)，包括審核員的資格證明、培訓(xùn)證書(shū)和培訓(xùn)記錄。管理評(píng)審總則管理評(píng)審目的最高管理者需要按照預(yù)先策劃的時(shí)間間隔，對(duì)組織的信息安全管理體系（ISMS）進(jìn)行全面的評(píng)審。這種評(píng)審的核心目的是確保ISMS的持續(xù)適宜性和充分性。適宜性：要求ISMS能夠與組織的目標(biāo)保持持續(xù)的一致性。ISMS應(yīng)當(dāng)適應(yīng)組織的業(yè)務(wù)需求、戰(zhàn)略方向和外部環(huán)境的變化，確保信息安全管理與組織的整體目標(biāo)不脫節(jié)；充分性：指ISMS應(yīng)當(dāng)被合理設(shè)計(jì)，并且能夠完全融入組織的日常運(yùn)營(yíng)中。這要求ISMS不僅覆蓋所有關(guān)鍵的信息安全領(lǐng)域，還要確保其實(shí)施過(guò)程中能夠有效地驅(qū)動(dòng)相關(guān)的過(guò)程和控制措施，從而形成一個(gè)完整、高效的管理體系。管理評(píng)審的實(shí)施方式與責(zé)任分配管理評(píng)審是一個(gè)涉及組織內(nèi)不同層級(jí)的過(guò)程，其實(shí)施方式多樣，可以是通過(guò)組織日常的部門(mén)會(huì)議進(jìn)行，也可以是定期的報(bào)告討論。這種靈活性允許組織根據(jù)自身的情況和需求來(lái)定制管理評(píng)審的具體形式；組織的各個(gè)層級(jí)都需要為管理評(píng)審提供必要的輸入，確保評(píng)審的全面性和有效性；管理評(píng)審的責(zé)任落在最高管理者的肩上，他們應(yīng)對(duì)整個(gè)評(píng)審過(guò)程及其結(jié)果負(fù)最終責(zé)任，確保評(píng)審的權(quán)威性和執(zhí)行力。管理評(píng)審的定期性與頻次管理層應(yīng)當(dāng)定期，至少每年一次，在管理會(huì)議上安排專門(mén)的日程和議題，對(duì)信息安全管理體系（ISMS）的所有方面進(jìn)行全面的評(píng)審。這樣做的目的是確保ISMS的持續(xù)有效性、適宜性和與業(yè)務(wù)目標(biāo)的對(duì)齊；對(duì)于新建的或尚未成熟的ISMS，管理層應(yīng)當(dāng)增加評(píng)審的頻次。這是因?yàn)樵谛陆ɑ虺跗谶\(yùn)行階段，ISMS可能面臨更多的挑戰(zhàn)和變化，需要更頻繁的監(jiān)測(cè)和調(diào)整以確保其有效性和性能的持續(xù)提升。通過(guò)增加評(píng)審頻次，管理層可以及時(shí)發(fā)現(xiàn)問(wèn)題，采取必要的改進(jìn)措施，從而加速I(mǎi)SMS的成熟和穩(wěn)定。管理評(píng)審輸入管理評(píng)審輸入項(xiàng)目管理評(píng)審輸子項(xiàng)目輸入項(xiàng)目涵義輸入信息來(lái)源(a)以往管理評(píng)審所采取措施的情況考慮歷次管理評(píng)審后制定的改進(jìn)措施、實(shí)施情況及其效果。以往管理評(píng)審的記錄、改進(jìn)措施跟蹤報(bào)告(b)內(nèi)外部因素變化評(píng)估外部和內(nèi)部環(huán)境的變化對(duì)ISMS的影響。外部環(huán)境分析報(bào)告、內(nèi)部變更記錄(c)相關(guān)方需求和期望的變化識(shí)別相關(guān)方對(duì)信息安全的需求和期望的變化。相關(guān)方溝通記錄、市場(chǎng)調(diào)研報(bào)告(d)信息安全績(jī)效的反饋及其趨勢(shì)(d.1)不符合和糾正措施收集有關(guān)不符合項(xiàng)及其糾正措施的信息。不符合項(xiàng)報(bào)告、糾正措施跟蹤記錄(d.2)監(jiān)視和測(cè)量結(jié)果分析信息安全監(jiān)視和測(cè)量的結(jié)果和趨勢(shì)。監(jiān)視和測(cè)量記錄、性能分析報(bào)告(d.3)審核結(jié)果評(píng)估內(nèi)部和外部審核的結(jié)果及其對(duì)ISMS的影響。審核報(bào)告、審核發(fā)現(xiàn)和改進(jìn)建議(d.4)信息安全目標(biāo)的實(shí)現(xiàn)程度衡量信息安全目標(biāo)的實(shí)現(xiàn)情況，包括關(guān)鍵績(jī)效指標(biāo)。信息安全目標(biāo)報(bào)告、KPI分析(e)相關(guān)方反饋獲取和處理來(lái)自相關(guān)方的反饋。相關(guān)方反饋記錄、投訴處理記錄(f)風(fēng)險(xiǎn)評(píng)估及處置匯報(bào)風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的執(zhí)行情況和效果。風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃和監(jiān)控記錄(g)持續(xù)改進(jìn)的機(jī)會(huì)識(shí)別和分析ISMS中存在的改進(jìn)機(jī)會(huì)。改進(jìn)建議報(bào)告、創(chuàng)新提案、行業(yè)最佳實(shí)踐管理評(píng)審輸出管理評(píng)審的輸出是評(píng)審過(guò)程的重要結(jié)果，它涵蓋了與信息安全管理體系（ISMS）相關(guān)的各項(xiàng)決議和改進(jìn)措施。持續(xù)改進(jìn)機(jī)會(huì)的決定：管理評(píng)審的輸出首先包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定。這些決定是基于對(duì)ISMS的全面審查和分析，旨在識(shí)別并抓住那些能夠提升信息安全水平、增強(qiáng)體系有效性的改進(jìn)點(diǎn)。ISMS變更需求：除了改進(jìn)機(jī)會(huì)，輸出還應(yīng)包含任何有關(guān)變更信息安全管理體系的需求。這些需求可能源于外部法規(guī)或標(biāo)準(zhǔn)的更新、內(nèi)部業(yè)務(wù)流程的