信息安全管理體系認(rèn)證與審核作業(yè)指導(dǎo)書(shū)

信息安全管理體系認(rèn)證與審核作業(yè)指導(dǎo)書(shū)TOC\o"1-2"\h\u21677第1章前言 3239701.1目的與范圍 348371.2參考文獻(xiàn) 328136第2章信息安全管理體系概述 4273682.1信息安全管理體系定義 437092.2信息安全管理體系的構(gòu)成 4179082.3信息安全管理體系的作用 48992第3章認(rèn)證與審核基本概念 55983.1認(rèn)證概念 5154103.2審核概念 553973.3認(rèn)證與審核的關(guān)系 54157第4章信息安全管理體系認(rèn)證流程 64444.1認(rèn)證申請(qǐng) 6263734.1.1申請(qǐng)條件 686514.1.2申請(qǐng)材料 6106964.1.3申請(qǐng)受理 6164694.2認(rèn)證評(píng)估 6109664.2.1文件審查 6296434.2.2現(xiàn)場(chǎng)審核 617144.2.3審核報(bào)告 7120544.3認(rèn)證決定與頒發(fā)證書(shū) 7213284.3.1認(rèn)證決定 731674.3.2頒發(fā)證書(shū) 7138724.3.3認(rèn)證結(jié)果公告 710038第5章信息安全管理體系審核準(zhǔn)備 71005.1審核計(jì)劃制定 7186965.1.1確定審核范圍與目標(biāo) 7101855.1.2制定審核計(jì)劃 74945.1.3確定審核標(biāo)準(zhǔn)與依據(jù) 8284055.1.4分配審核任務(wù) 8228875.2審核資源準(zhǔn)備 8229565.2.1審核員選拔與培訓(xùn) 8239345.2.2準(zhǔn)備審核工具和資料 8148055.2.3審核場(chǎng)所與設(shè)施準(zhǔn)備 8195495.3審核前溝通 8167125.3.1與受審核部門(mén)溝通 8131685.3.2內(nèi)部溝通 899695.3.3外部溝通 830834第6章信息安全管理體系現(xiàn)場(chǎng)審核 887276.1審核啟動(dòng)會(huì)議 992486.1.1目的 9217046.1.2參與人員 9172676.1.3會(huì)議內(nèi)容 9181066.2審核實(shí)施 970366.2.1文件審查 9235866.2.2現(xiàn)場(chǎng)查看 1034236.2.3訪談 10205556.3審核證據(jù)收集與分析 10130656.3.1審核證據(jù)收集 10148466.3.2審核證據(jù)分析 1017029第7章不符合項(xiàng)及其整改 1040797.1不符合項(xiàng)判定 10299917.1.1不符合項(xiàng)的識(shí)別 1055807.1.2不符合項(xiàng)的分類(lèi) 11227587.2不符合項(xiàng)報(bào)告 1178507.2.1報(bào)告編制 11260057.2.2報(bào)告提交 11143007.3整改措施與跟蹤 11155847.3.1整改措施制定 11101047.3.2整改跟蹤 1129495第8章審核報(bào)告與結(jié)論 12174318.1審核報(bào)告編制 12289428.1.1審核報(bào)告內(nèi)容 1260418.1.2審核報(bào)告格式 12141038.1.3審核報(bào)告撰寫(xiě)要求 1233098.2審核結(jié)論判定 13259628.2.1審核結(jié)論判定依據(jù) 13105408.2.2審核結(jié)論判定標(biāo)準(zhǔn) 1393878.3審核報(bào)告分發(fā)與存檔 1347508.3.1審核報(bào)告分發(fā) 13188688.3.2審核報(bào)告存檔 1331743第9章認(rèn)證維持與監(jiān)督 1339269.1監(jiān)督審核計(jì)劃 136059.1.1制定監(jiān)督審核計(jì)劃的目的 13243449.1.2監(jiān)督審核周期 14124549.1.3監(jiān)督審核計(jì)劃內(nèi)容 14105449.2監(jiān)督審核實(shí)施 14191059.2.1審核準(zhǔn)備 1433399.2.2審核執(zhí)行 14147949.2.3審核報(bào)告 14243309.3認(rèn)證維持要求 1557589.3.1獲證組織應(yīng)持續(xù)保持ISM的有效性，保證管理體系符合認(rèn)證標(biāo)準(zhǔn)要求。 15157349.3.2獲證組織應(yīng)按照認(rèn)證機(jī)構(gòu)的要求，及時(shí)整改監(jiān)督審核中發(fā)覺(jué)的不符合項(xiàng)。 15224689.3.3獲證組織應(yīng)定期進(jìn)行內(nèi)部審核和管理評(píng)審，以提高ISM的運(yùn)行水平。 15137419.3.4獲證組織應(yīng)主動(dòng)配合認(rèn)證機(jī)構(gòu)的監(jiān)督審核工作，并提供真實(shí)、完整的審核資料。 15179579.3.5獲證組織在以下情況下，應(yīng)及時(shí)向認(rèn)證機(jī)構(gòu)報(bào)告： 15174309.3.6認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)監(jiān)督審核結(jié)果，對(duì)獲證組織的認(rèn)證狀態(tài)進(jìn)行評(píng)估，必要時(shí)進(jìn)行調(diào)整。 1529290第10章持續(xù)改進(jìn)與風(fēng)險(xiǎn)管理 15317110.1體系運(yùn)行監(jiān)控 151415110.1.1監(jiān)控目的 152179410.1.2監(jiān)控方法 151770510.1.3監(jiān)控頻次 152680910.2內(nèi)部審核與管理評(píng)審 152913510.2.1內(nèi)部審核 152027110.2.2管理評(píng)審 16443710.3風(fēng)險(xiǎn)評(píng)估與應(yīng)對(duì)措施 161216210.3.1風(fēng)險(xiǎn)評(píng)估方法 16328010.3.2風(fēng)險(xiǎn)應(yīng)對(duì)措施 162363410.4持續(xù)改進(jìn)策略與實(shí)踐 161913210.4.1改進(jìn)目標(biāo) 162844710.4.2改進(jìn)策略 162450810.4.3改進(jìn)實(shí)踐 16第1章前言1.1目的與范圍本文檔旨在為信息安全管理體系（InformationSecurityManagementSystem，簡(jiǎn)稱ISMS）認(rèn)證與審核作業(yè)提供指導(dǎo)，保證組織在建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系過(guò)程中，能夠遵循相關(guān)標(biāo)準(zhǔn)要求，提高信息安全管理水平，降低信息安全風(fēng)險(xiǎn)。本文檔主要適用于以下范圍：（1）組織內(nèi)部從事信息安全管理體系建設(shè)和運(yùn)維的員工；（2）信息安全管理體系認(rèn)證機(jī)構(gòu)及其審核員；（3）信息安全管理體系咨詢和服務(wù)機(jī)構(gòu)；（4）對(duì)信息安全管理體系認(rèn)證與審核感興趣的其他人員。1.2參考文獻(xiàn)為保證本文檔內(nèi)容的科學(xué)性和嚴(yán)謹(jǐn)性，以下列出參考文獻(xiàn)：[1]ISO/IEC27001：2013，信息安全管理體系要求。[2]ISO/IEC27002：2013，信息安全管理體系實(shí)踐指南。[3]ISO/IEC27005：2011，信息安全風(fēng)險(xiǎn)管理。[4]GB/T220802016，信息安全管理體系要求。[5]GB/T220812016，信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南。[6]GB/T292462012，信息安全管理體系審核指南。[7]其他相關(guān)法規(guī)、標(biāo)準(zhǔn)和規(guī)范。第2章信息安全管理體系概述2.1信息安全管理體系定義信息安全管理體系（InformationSecurityManagementSystem，簡(jiǎn)稱ISMS）是指在一個(gè)組織內(nèi)，通過(guò)建立、實(shí)施、運(yùn)行、監(jiān)控、審查和持續(xù)改進(jìn)一系列方針、程序和規(guī)范，以保護(hù)組織的信息資產(chǎn)，保證信息的保密性、完整性和可用性，降低信息安全風(fēng)險(xiǎn)，從而支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。2.2信息安全管理體系的構(gòu)成信息安全管理體系主要由以下幾部分構(gòu)成：（1）方針：明確組織對(duì)信息安全的承諾和目標(biāo)，為制定具體的信息安全措施提供指導(dǎo)。（2）組織結(jié)構(gòu)：明確各管理層級(jí)和部門(mén)的職責(zé)與權(quán)限，保證信息安全管理體系的實(shí)施與運(yùn)行。（3）規(guī)劃與風(fēng)險(xiǎn)管理：識(shí)別組織的信息資產(chǎn)，評(píng)估信息安全風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施。（4）控制目標(biāo)與措施：根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定具體的控制目標(biāo)和措施，保證信息資產(chǎn)的安全。（5）實(shí)施與運(yùn)行：按照控制目標(biāo)和措施，將信息安全管理體系融入到組織的日常運(yùn)營(yíng)中。（6）監(jiān)控與審查：對(duì)信息安全管理體系的運(yùn)行情況進(jìn)行監(jiān)控，定期進(jìn)行審查和評(píng)估，以保證體系的有效性。（7）持續(xù)改進(jìn)：根據(jù)監(jiān)控、審查和評(píng)估的結(jié)果，對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)，以適應(yīng)組織內(nèi)外部環(huán)境的變化。2.3信息安全管理體系的作用信息安全管理體系具有以下作用：（1）提高組織的信息安全意識(shí)：通過(guò)體系的建立和實(shí)施，使組織員工充分認(rèn)識(shí)到信息安全的重要性，提高信息安全意識(shí)。（2）降低信息安全風(fēng)險(xiǎn)：通過(guò)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)措施，降低組織面臨的信息安全風(fēng)險(xiǎn)。（3）保障信息資產(chǎn)的保密性、完整性和可用性：保證組織的信息資產(chǎn)在受到威脅時(shí)，能夠保持其原有的狀態(tài)，避免遭受損害。（4）提高組織運(yùn)營(yíng)效率：通過(guò)優(yōu)化組織的信息安全管理流程，提高組織運(yùn)營(yíng)效率。（5）提升組織信譽(yù)和競(jìng)爭(zhēng)力：建立完善的信息安全管理體系，有助于提升組織在客戶、合作伙伴及社會(huì)各界心中的信譽(yù)和形象。（6）滿足法律法規(guī)和合規(guī)要求：保證組織在信息安全管理方面符合國(guó)家法律法規(guī)及相關(guān)標(biāo)準(zhǔn)的要求，避免法律責(zé)任。第3章認(rèn)證與審核基本概念3.1認(rèn)證概念認(rèn)證，是指依據(jù)相關(guān)標(biāo)準(zhǔn)、規(guī)范，由認(rèn)證機(jī)構(gòu)對(duì)某一對(duì)象的管理體系、產(chǎn)品或服務(wù)進(jìn)行系統(tǒng)的評(píng)價(jià)，確認(rèn)其滿足規(guī)定要求，并頒發(fā)認(rèn)證證書(shū)的活動(dòng)。在信息安全領(lǐng)域，認(rèn)證活動(dòng)旨在保證組織的信息安全管理體系（ISMS）達(dá)到國(guó)內(nèi)外公認(rèn)的規(guī)范性要求，提高組織的信息安全防護(hù)能力。3.2審核概念審核，是指審核員依據(jù)審核準(zhǔn)則，對(duì)被審核對(duì)象的某一管理體系、過(guò)程、產(chǎn)品或服務(wù)進(jìn)行系統(tǒng)的、獨(dú)立的評(píng)價(jià)，以確定其是否符合相關(guān)要求和標(biāo)準(zhǔn)。審核的主要目的是發(fā)覺(jué)潛在的不符合項(xiàng)，促進(jìn)被審核對(duì)象的持續(xù)改進(jìn)，保證其管理體系的有效性和適應(yīng)性。3.3認(rèn)證與審核的關(guān)系認(rèn)證與審核之間存在密切的關(guān)系。審核是認(rèn)證過(guò)程中的一個(gè)關(guān)鍵環(huán)節(jié)，認(rèn)證機(jī)構(gòu)通過(guò)對(duì)被認(rèn)證對(duì)象的審核，以評(píng)估其管理體系是否符合相關(guān)標(biāo)準(zhǔn)要求。認(rèn)證是對(duì)審核結(jié)果的正式確認(rèn)，即當(dāng)被審核對(duì)象的管理體系滿足規(guī)定要求時(shí)，認(rèn)證機(jī)構(gòu)將頒發(fā)認(rèn)證證書(shū)。認(rèn)證與審核在目標(biāo)、方法和過(guò)程方面具有一定的相似性，但二者也存在區(qū)別。認(rèn)證關(guān)注的是對(duì)管理體系整體符合性的評(píng)價(jià)，而審核關(guān)注的是對(duì)管理體系、過(guò)程、產(chǎn)品或服務(wù)的具體實(shí)施情況。同時(shí)認(rèn)證通常具有周期性，需要定期進(jìn)行監(jiān)督審核和再認(rèn)證，以保證被認(rèn)證對(duì)象持續(xù)符合標(biāo)準(zhǔn)要求。而審核則可以是臨時(shí)性的，也可以是定期進(jìn)行的，其目的在于發(fā)覺(jué)不符合項(xiàng)并推動(dòng)改進(jìn)。第4章信息安全管理體系認(rèn)證流程4.1認(rèn)證申請(qǐng)4.1.1申請(qǐng)條件申請(qǐng)單位應(yīng)滿足以下條件：（1）具備獨(dú)立的法人資格；（2）建立了符合GB/T220802016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的信息安全管理體系；（3）按照GB/T270012016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求進(jìn)行了內(nèi)部審核和管理層評(píng)審；（4）提交的申請(qǐng)資料真實(shí)、完整、準(zhǔn)確。4.1.2申請(qǐng)材料申請(qǐng)單位需提交以下材料：（1）認(rèn)證申請(qǐng)表；（2）組織機(jī)構(gòu)代碼證、營(yíng)業(yè)執(zhí)照副本復(fù)印件；（3）信息安全管理體系文件；（4）內(nèi)部審核和管理層評(píng)審報(bào)告；（5）其他相關(guān)證明材料。4.1.3申請(qǐng)受理認(rèn)證機(jī)構(gòu)收到申請(qǐng)材料后，對(duì)申請(qǐng)材料進(jìn)行審查，確認(rèn)申請(qǐng)單位是否符合認(rèn)證條件，并在5個(gè)工作日內(nèi)答復(fù)申請(qǐng)單位。4.2認(rèn)證評(píng)估4.2.1文件審查認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)單位的信息安全管理體系文件進(jìn)行審查，確認(rèn)其符合GB/T220802016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求。4.2.2現(xiàn)場(chǎng)審核文件審查合格后，認(rèn)證機(jī)構(gòu)安排審核員對(duì)申請(qǐng)單位進(jìn)行現(xiàn)場(chǎng)審核，審核內(nèi)容包括：（1）信息安全管理體系實(shí)施情況；（2）體系文件與實(shí)際操作的一致性；（3）管理體系運(yùn)行的有效性；（4）不符合項(xiàng)的整改情況。4.2.3審核報(bào)告審核員根據(jù)現(xiàn)場(chǎng)審核情況，編寫(xiě)審核報(bào)告，包括審核發(fā)覺(jué)、不符合項(xiàng)、整改建議等內(nèi)容。4.3認(rèn)證決定與頒發(fā)證書(shū)4.3.1認(rèn)證決定認(rèn)證機(jī)構(gòu)根據(jù)審核報(bào)告和不符合項(xiàng)的整改情況，作出認(rèn)證決定。認(rèn)證決定分為：（1）通過(guò)認(rèn)證；（2）暫緩認(rèn)證；（3）不通過(guò)認(rèn)證。4.3.2頒發(fā)證書(shū)認(rèn)證通過(guò)的申請(qǐng)單位，認(rèn)證機(jī)構(gòu)將頒發(fā)信息安全管理體系認(rèn)證證書(shū)，并在有效期內(nèi)進(jìn)行監(jiān)督審核和再認(rèn)證。4.3.3認(rèn)證結(jié)果公告認(rèn)證機(jī)構(gòu)將認(rèn)證結(jié)果在官方網(wǎng)站上進(jìn)行公告，以保證認(rèn)證的透明度和公正性。第5章信息安全管理體系審核準(zhǔn)備5.1審核計(jì)劃制定5.1.1確定審核范圍與目標(biāo)根據(jù)組織的信息安全管理體系范圍和復(fù)雜程度，明確審核的具體范圍和目標(biāo)。保證審核計(jì)劃涵蓋關(guān)鍵業(yè)務(wù)過(guò)程、重要信息系統(tǒng)和資產(chǎn)。5.1.2制定審核計(jì)劃結(jié)合組織實(shí)際情況，制定詳細(xì)的審核計(jì)劃，包括審核時(shí)間、地點(diǎn)、參與人員、審核方法等。保證審核計(jì)劃具有可操作性和靈活性，以便根據(jù)實(shí)際情況進(jìn)行調(diào)整。5.1.3確定審核標(biāo)準(zhǔn)與依據(jù)明確本次審核所采用的標(biāo)準(zhǔn)和依據(jù)，如GB/T220802016/ISO/IEC27001:2013等信息安全管理體系標(biāo)準(zhǔn)，以及相關(guān)法律法規(guī)和內(nèi)部政策。5.1.4分配審核任務(wù)根據(jù)審核計(jì)劃，合理分配審核任務(wù)，保證每個(gè)審核員明確自己的職責(zé)和審核內(nèi)容。5.2審核資源準(zhǔn)備5.2.1審核員選拔與培訓(xùn)選拔具備相應(yīng)專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)的審核員，進(jìn)行專業(yè)培訓(xùn)，保證審核員具備以下能力：（1）熟悉信息安全管理體系標(biāo)準(zhǔn)和相關(guān)法律法規(guī)；（2）掌握審核方法和技巧；（3）具備良好的溝通和協(xié)調(diào)能力。5.2.2準(zhǔn)備審核工具和資料為審核員提供必要的審核工具和資料，如審核表格、檢查表、指導(dǎo)書(shū)等，保證審核過(guò)程的順利進(jìn)行。5.2.3審核場(chǎng)所與設(shè)施準(zhǔn)備保證審核場(chǎng)所具備適宜的環(huán)境和設(shè)施，以滿足審核需求。5.3審核前溝通5.3.1與受審核部門(mén)溝通提前與受審核部門(mén)進(jìn)行溝通，說(shuō)明審核的目的、意義、范圍和計(jì)劃，以便受審核部門(mén)做好準(zhǔn)備工作。5.3.2內(nèi)部溝通組織內(nèi)部溝通，保證審核計(jì)劃、任務(wù)分配和審核要求等信息傳達(dá)至相關(guān)人員。5.3.3外部溝通與外部利益相關(guān)方（如客戶、供應(yīng)商等）進(jìn)行溝通，保證審核過(guò)程順利進(jìn)行。注意：本章末尾不包含總結(jié)性話語(yǔ)。請(qǐng)保證在后續(xù)章節(jié)中繼續(xù)遵循語(yǔ)言嚴(yán)謹(jǐn)、避免痕跡的要求。第6章信息安全管理體系現(xiàn)場(chǎng)審核6.1審核啟動(dòng)會(huì)議6.1.1目的在信息安全管理體系現(xiàn)場(chǎng)審核開(kāi)始前，組織一場(chǎng)審核啟動(dòng)會(huì)議，旨在明確審核目標(biāo)、范圍、方法、日程安排以及參與人員，保證被審核方對(duì)審核過(guò)程的理解和支持。6.1.2參與人員審核啟動(dòng)會(huì)議應(yīng)邀請(qǐng)以下人員參加：（1）審核組長(zhǎng)；（2）被審核組織的負(fù)責(zé)人或其代表；（3）被審核部門(mén)的相關(guān)人員；（4）其他相關(guān)人員。6.1.3會(huì)議內(nèi)容（1）審核組長(zhǎng)介紹審核團(tuán)隊(duì)、審核目標(biāo)、范圍和方法；（2）被審核組織負(fù)責(zé)人介紹組織的基本情況、信息安全管理體系的建設(shè)和運(yùn)行情況；（3）明確審核日程安排，包括訪談、現(xiàn)場(chǎng)查看、文件審查等環(huán)節(jié)；（4）確認(rèn)被審核組織提供的資料和人員支持；（5）雙方就審核過(guò)程中可能存在的問(wèn)題和需求進(jìn)行溝通和協(xié)商。6.2審核實(shí)施6.2.1文件審查依據(jù)信息安全管理體系的要求，對(duì)被審核組織的相關(guān)文件進(jìn)行審查，包括但不限于：（1）信息安全政策；（2）信息安全目標(biāo)；（3）信息安全組織架構(gòu)；（4）信息安全風(fēng)險(xiǎn)評(píng)估和處置措施；（5）信息安全措施的實(shí)施和運(yùn)行；（6）內(nèi)部審核和管理評(píng)審；（7）持續(xù)改進(jìn)。6.2.2現(xiàn)場(chǎng)查看對(duì)被審核組織的辦公環(huán)境、關(guān)鍵設(shè)施、信息系統(tǒng)等進(jìn)行現(xiàn)場(chǎng)查看，以證實(shí)信息安全管理體系的要求在實(shí)際工作中的落實(shí)情況。6.2.3訪談與被審核組織的相關(guān)人員進(jìn)行面對(duì)面訪談，了解他們?cè)谛畔踩芾眢w系運(yùn)行中的職責(zé)、工作流程、風(fēng)險(xiǎn)識(shí)別和控制等情況。6.3審核證據(jù)收集與分析6.3.1審核證據(jù)收集通過(guò)文件審查、現(xiàn)場(chǎng)查看和訪談等環(huán)節(jié)，收集被審核組織在信息安全管理體系建設(shè)和運(yùn)行方面的證據(jù)，包括：（1）文件和記錄；（2）現(xiàn)場(chǎng)觀察；（3）訪談?dòng)涗?；?）其他相關(guān)證據(jù)。6.3.2審核證據(jù)分析對(duì)收集到的審核證據(jù)進(jìn)行分析，評(píng)估被審核組織的信息安全管理體系在以下方面的符合性和有效性：（1）符合信息安全管理體系標(biāo)準(zhǔn)要求；（2）識(shí)別和評(píng)估信息安全風(fēng)險(xiǎn)；（3）制定和實(shí)施相應(yīng)的信息安全措施；（4）監(jiān)測(cè)和改進(jìn)信息安全管理體系；（5）保證信息安全管理體系在組織內(nèi)的有效運(yùn)行。第7章不符合項(xiàng)及其整改7.1不符合項(xiàng)判定7.1.1不符合項(xiàng)的識(shí)別在信息安全管理體系認(rèn)證與審核過(guò)程中，應(yīng)對(duì)以下情況予以關(guān)注，以識(shí)別不符合項(xiàng)：a)違反相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求；b)未按照管理體系文件執(zhí)行；c)管理體系文件不符合實(shí)際操作；d)安全事件或隱患未得到及時(shí)處理；e)資源配備不足，影響信息安全目標(biāo)的實(shí)現(xiàn)；f)其他可能導(dǎo)致信息安全的因素。7.1.2不符合項(xiàng)的分類(lèi)不符合項(xiàng)可分為以下兩類(lèi)：a)重大不符合項(xiàng)：對(duì)信息安全管理體系運(yùn)行產(chǎn)生嚴(yán)重影響，可能導(dǎo)致信息安全的不符合項(xiàng)；b)一般不符合項(xiàng)：對(duì)信息安全管理體系運(yùn)行產(chǎn)生一定影響，但不會(huì)導(dǎo)致信息安全的不符合項(xiàng)。7.2不符合項(xiàng)報(bào)告7.2.1報(bào)告編制審核員在發(fā)覺(jué)不符合項(xiàng)后，應(yīng)編制不符合項(xiàng)報(bào)告，報(bào)告內(nèi)容包括：a)不符合項(xiàng)描述，包括具體位置、現(xiàn)象及影響；b)不符合項(xiàng)分類(lèi)；c)不符合項(xiàng)原因分析；d)審核員建議的整改措施。7.2.2報(bào)告提交不符合項(xiàng)報(bào)告經(jīng)審核組長(zhǎng)審核確認(rèn)后，提交給被審核單位。7.3整改措施與跟蹤7.3.1整改措施制定被審核單位在收到不符合項(xiàng)報(bào)告后，應(yīng)針對(duì)不符合項(xiàng)制定具體的整改措施，包括：a)責(zé)任部門(mén)及責(zé)任人；b)整改目標(biāo)及期限；c)整改措施的具體內(nèi)容；d)整改效果的驗(yàn)證方法。7.3.2整改跟蹤審核組應(yīng)對(duì)被審核單位的整改措施進(jìn)行跟蹤，保證不符合項(xiàng)得到有效整改，包括：a)定期收集被審核單位整改情況的報(bào)告；b)對(duì)整改效果進(jìn)行驗(yàn)證；c)對(duì)整改不力的，提出進(jìn)一步整改要求；d)保證不符合項(xiàng)整改到位，避免同類(lèi)問(wèn)題再次發(fā)生。第8章審核報(bào)告與結(jié)論8.1審核報(bào)告編制8.1.1審核報(bào)告內(nèi)容審核報(bào)告應(yīng)包括以下內(nèi)容：（1）報(bào)告封面：注明報(bào)告名稱、報(bào)告日期、審核組織名稱等信息；（2）報(bào)告a.審核背景與目的；b.審核范圍與依據(jù)；c.審核組成員；d.審核過(guò)程概述；e.審核發(fā)覺(jué)的問(wèn)題及不符合項(xiàng)；f.整改措施與建議；g.其他需要報(bào)告的事項(xiàng)。8.1.2審核報(bào)告格式審核報(bào)告應(yīng)以書(shū)面形式編寫(xiě)，格式要求如下：（1）字體加粗，居中排列；（2）采用宋體字，字號(hào)小四，首行縮進(jìn)2字符；（3）段落：段落之間空一行；（4）附件：如有附件，應(yīng)在報(bào)告中注明。8.1.3審核報(bào)告撰寫(xiě)要求（1）語(yǔ)言簡(jiǎn)練、明確，避免使用模糊詞語(yǔ)；（2）客觀、公正、真實(shí)地反映審核情況；（3）注重證據(jù)，對(duì)發(fā)覺(jué)的問(wèn)題要有充分的證據(jù)支持；（4）提出整改措施與建議時(shí)，要具有針對(duì)性和可操作性。8.2審核結(jié)論判定8.2.1審核結(jié)論判定依據(jù)審核結(jié)論的判定依據(jù)主要包括：（1）審核發(fā)覺(jué)的問(wèn)題及不符合項(xiàng)；（2）被審核單位整改措施的可行性；（3）被審核單位信息安全管理體系建設(shè)的整體情況。8.2.2審核結(jié)論判定標(biāo)準(zhǔn)根據(jù)以下標(biāo)準(zhǔn)判定審核結(jié)論：（1）符合：被審核單位信息安全管理體系運(yùn)行良好，未發(fā)覺(jué)重大問(wèn)題；（2）基本符合：被審核單位信息安全管理體系存在一些問(wèn)題，但不影響整體運(yùn)行，需進(jìn)行整改；（3）不符合：被審核單位信息安全管理體系存在嚴(yán)重問(wèn)題，需立即整改。8.3審核報(bào)告分發(fā)與存檔8.3.1審核報(bào)告分發(fā)審核報(bào)告完成后，應(yīng)及時(shí)分發(fā)給以下相關(guān)人員或單位：（1）被審核單位；（2）審核組成員；（3）相關(guān)管理部門(mén)；（4）其他需要報(bào)告的單位或個(gè)人。8.3.2審核報(bào)告存檔審核報(bào)告應(yīng)按照以下要求進(jìn)行存檔：（1）由被審核單位負(fù)責(zé)存檔；（2）存檔時(shí)間不少于5年；（3）存檔形式可以是紙質(zhì)或電子版；（4）保證存檔的安全性，防止未經(jīng)授權(quán)的訪問(wèn)或泄露。第9章認(rèn)證維持與監(jiān)督9.1監(jiān)督審核計(jì)劃9.1.1制定監(jiān)督審核計(jì)劃的目的為保證信息安全管理體系（ISM）持續(xù)符合相關(guān)標(biāo)準(zhǔn)要求，認(rèn)證機(jī)構(gòu)應(yīng)制定監(jiān)督審核計(jì)劃，對(duì)獲證組織進(jìn)行定期監(jiān)督審核。9.1.2監(jiān)督審核周期認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)認(rèn)證風(fēng)險(xiǎn)等級(jí)和獲證組織的ISM運(yùn)行情況，確定適宜的監(jiān)督審核周期。9.1.3監(jiān)督審核計(jì)劃內(nèi)容監(jiān)督審核計(jì)劃應(yīng)包括以下內(nèi)容：（1）審核目的與范圍；（2）審核時(shí)間與地點(diǎn)；（3）審核員資質(zhì)要求；（4）審核方法與程序；（5）審核依據(jù)；（6）獲證組織應(yīng)提供的資料和配合事項(xiàng)。9.2監(jiān)督審核實(shí)施9.2.1審核準(zhǔn)備審核員應(yīng)根據(jù)監(jiān)督審核計(jì)劃，進(jìn)行以下準(zhǔn)備工作：（1）熟悉獲證組織的ISM文件和相關(guān)信息；（2）確認(rèn)審核方法和程序；（3）通知獲證組織并提供必要的審核資料；（4）編制審核檢查表。9.2.2審核執(zhí)行審核員在實(shí)施監(jiān)督審核時(shí)，應(yīng)遵循以下要求：（1）依據(jù)相關(guān)標(biāo)準(zhǔn)、法規(guī)和認(rèn)證要求進(jìn)行審核；（2）保持公正、客觀、嚴(yán)謹(jǐn)?shù)膽B(tài)度；（3）保證審核過(guò)程符合規(guī)定程序；（4）及時(shí)記錄審核發(fā)覺(jué)的問(wèn)題，并給予明確、詳細(xì)的描述。9.2.3審核報(bào)告審核結(jié)束后，審核員應(yīng)編制審核報(bào)告，內(nèi)容包括：（1）審核概況；（2）審核發(fā)覺(jué)；（3）不符合項(xiàng)及其整改要求；（4）審核結(jié)論。9.3認(rèn)證維持要求9.3.1獲證組織應(yīng)持續(xù)保持ISM的有效性，保證管理體系符合認(rèn)證標(biāo)準(zhǔn)要求。9.3.2獲證組織應(yīng)按照認(rèn)證機(jī)構(gòu)的要求，及時(shí)整改監(jiān)督審核中發(fā)覺(jué)的不符合項(xiàng)。9.3.3獲證組織應(yīng)定期進(jìn)行內(nèi)部審核和管理評(píng)審，以提高ISM的運(yùn)行水平。9.3.4獲證組織應(yīng)主動(dòng)配合認(rèn)證機(jī)構(gòu)的監(jiān)督審核工作，并提供真