5.3.4识别和评估审核方案风险

GB/T19011一2013的5.3.4中的指南适用。并且，以下ISMS特定的指南适用

灭火系统标准规范范本5.3.4.1IS5.3.4识别和评估审核方案风险

审核方案风险还可能涉及保密要求相关的风险。

5.3.5建立审核方案的程序

5.3.5.1IS5.3.5建立审核方案的程序

28450—2020/ISO/IEC2

/T28450—2020/IS0/IEC27007:2017

宜根据受审核方和其他相关方的要求确定信息安全和保密的保障措施。其他方要求包括相关的 和合同要求。

5.3.6识别审核方案资源

GB/T19011一2013的5.3.6中的指南适用

5.3.6.1IS5.3.6识别审核方案资源

相天的所有重大风 险，评审应对信息安全风险以

GB/T19011一2013的5.4.1中的指南适用

5.4.2规定每次审核的目标、范围和准则

GB/T19011一2013的5.4.2中的指南适用。并且，以下ISMS特定的指南适用。

GB/T19011一2013的5.4.2中的指南适用。并且.以下ISMS特定的指南

5.4.2.1IS5.4.2规定每次审核的目标、范围和

审核目标可包括以下内容： a）评价ISMS是否充分识别并解决信息安全要求； b）评价维护和有效改进ISMS的过程； c）确定信息安全控制对ISMS要求和规程的符合程度。 审核范围宜考虑到信息安全风险，以及相关方（即审核委托方和受审核方）对ISMS带来的风险和 机会。 如果ISMS处于审核范围内，那么审核组宜根据内部和外部事项以及相关方的需求和期望，确认受 审核方ISMS的范围和边界。审核组宜确认受审核方在ISMS范围内满足GB/T22080一2016的4.3 中规定的与审核范围有关的要求。 下列文件可作为审核准则，并用作确认符合性的参考： 受审核方采用的信息安全方针、信息安全目标、策略和规程； b） 法律和合同要求以及与受审核方相关的其他要求； c） 受审核方的信息安全风险准则、信息安全风险评估过程以及风险处置过程； d 适用性声明，特定部门或其他必要控制的识别以及对包含必要的控制及其选择的合理性说明 （无论该控制是否已实现），以及对GB/T22080一2016附录A控制删减的合理性说明； e） 可适当处置风险的控制的定义； f) 监视、测量、分析和评价信息安全绩效及ISMS有效性的方法和准则； g） 客户的信息安全要求； h） 供应商或外包商应用的信息安全要求

T28450—2020/IS0/IEC27007:2017

5.4.3选择审核方法

5.4.3.1IS5.4.3选择审核方法

5.4.4选择审核组成

GB/T19011一2013的5.4.4中的指南适用。并且，以下ISMS特定的指南适用。

GB/T19011一2013的5.4.4中的指南适用。并且，以下ISMS特定的指南适用。

5.4.4.1IS5.4.4选择审核组成员

整个审核组的能力宜包括充分认识和理解： a）信息安全风险管理知识，足以支撑其评价受审核方所使用的方法； b）信息安全及信息安全管理知识，足以支撑其评价控制的确定以及ISMS的规划、实现、维护和 有效性。

5.4.5为审核组长分配每次的审核职责

GB/T19011一2013的5.4.5中的指南适用

GB/T19011一2013的5.4.5中的指南适用

5.4.6管理审核方案结果

GB/T190112013的5.4.6中的指南适月

5.4.7管理和保持审核方案记录

5.6评审和改进审核方

GB/T190112013的6.1中的指南适用

6.2.2与受审核方建立初步联系

GB/T19011一2013的6.2.2中的指南适用。并且，以下ISMS特定的指南适用

6.2.2.1IS6.2.2与受审核方建立初步联系

6.2.3确定审核的可行性

28450—2020/ISO/IEC2

/T28450—2020/IS0/IEC27007:2017

GB/T19011一2013的6.2.3中的指南适用

6.2.3.1IS 6.2.3确定审核的可行性

在审核开始之前，审核员宜询问受审核方是否存在无法提供审核组评审的ISMS审核证据，例如， 因为证据中包含了个人身份信息或其他涉密/敏感信息。负责管理审核方案的人员宜确定在缺少这部 分审核证据的情况下是否仍可对ISMS进行充分审核。如果得出的结论为缺少对这部分审核证据的评 审将导致无法充分审核ISMS，负责管理审核方案的人员宜告知受审核方，在获得适当的准入安排或向 受审核方提出或实施审核的替代手段之前，审核将无法进行。如果审核继续进行，审核计划宜考虑到所 有访问限制。

6.3.1审核准备阶段的文件评审

GB/T19011一2013的6.3.1中的指南适用

6.3.2编制审核计划

11一2013的6.3.2中的指南适用。并且，以下IS

6.3.2.1IS6.3.2编制审核计划

审核组长宜意识到审核组成员在现场可能对受审核方造成的风险。审核组在现场可能会影响受审 该方的信息安全，产生额外的风险源，例如涉密或敏感记录或系统基础设施（例如意外删除、未授权信息 世露、无意的信息变更）

6.3.3审核组工作分配

GB/T19011一2013的6.3.3中的指南适用

6.3.4准备工作文件

6.3.4.1IS6.3.4准备工作文件

GB/T19011一2013的6.4.1中的指南适用。

6.4.2举行首次会议

GB/T19011一2013的6.4.2中的指南适用

T28450—2020/IS0/IEC27007:2017

2020/ISO/IEC27007

6.4.3审核实施阶段的文件评审

6.4.3.1IS6.4.3审核实施阶段的文件评审

ISMS审核员宜验证审核准则所要求的且与审核范围相 天的文件化信息是否存在，开付合审核准 则要求。 ISMS审核员宜确认审核范围内所确定的控制与风险评估和风险处置结果相关，并可追溯到信息 安全方针和目标。 注：附录A为ISMS审核实践提供指南，包括如何使用相关文件化信息审核ISMS

6.4.4审核中的沟通

GB/T19011一2013的6.4.4中的指南适用

6.4.5向导和观察员的作用和责任

GB/T19011—2013的6.4.5中的指南

/T19011一2013的6.4.5中的指南适用

6.4.6信息的收集和验证

6.4.6.1IS6.4.6信息的收集和验证

在审核过程中收集相关信息的方法可包括： 核查记录（包括计算机日志和配置数据）； b 访问信息处理设备； c） 观察ISMS过程以及已实现的相关控制； d 使用自动审核工具。 注1：附录A提供了关于如何审核ISMS过程的指南， 注2：GB/Z32916提供了如何评价信息安全控制的额外指南。 ISMS审核组成员宜根据审核委托方、审核组和受审核方之间的协议，确保从受审核方获取的所有 信息得到适当处理

6.4.7形成审核发现

GB/T19011一2013的6.4.7中的指南适用

6.4.8准备审核结论

GB/T19011一2013的6.4.8中的指南适

6.4.9举行末次会议

GB/T19011一2013的6.4.9中的指南适用。

6.5审核报告的编制和分发

6.5审核报告的编制和分发

5.5.1审核报告的编制

GB/T19011一2013的6.5.1中的指南适用。并且，以下ISMS特定的指南适用

6.5.1.1IS6.5.1审核报告的编制

28450—2020/ISO/IEC2

/T28450—2020/IS0/IEC27007:2017

如果审核组在审核过程中由于信息级别或敏感原因无法获得审核证据，则审核组长宜判断其影 该发现和结论可信度的程度，并在审核报告中予以反映，不能因证据敏感性导致其不可用而进 办。

6.5.2审核报告的分发

11一2013的6.5.2中的指南适用。并且，以下IS

6.5.2.1审核报告的分发

在分发审核报告时，宜采取适当措施确保报告的保密性。 主：当使用电子方式进行分发时，可适当加密审核报告

GB/T19011一2013的6.6中的指南适用。

6.7审核后续活动的实施

GB/T19011=2013的7.1中的指南适用

7.2确定满足审核方案需求的审核人员能

确定满足审核方案需求的审核人员能力

7.2.1.2 IS 7.2.1 总则

在确定ISMS审核员的适当知识和技能时，宜考虑以下内容： a）ISMS的复杂度（例如ISMS内信息系统的重要性，ISMS的风险评估结果）； D 在ISMS范围内开展的业务类型； C 实现ISMS各组成部分（例如实现的控制、文件化信息和/或过程控制、涉及的技术平台和解决 方案等）所使用技术的范围和多样性； d） 之前已证实的ISMS的绩效； e) ISMS范围内所用的外部方以及外包程度； f 与审核方案相关的标准、法律要求和其他要求

在确定ISMS审核员的适当知识和技能时，宜考虑以下内容： a）ISMS的复杂度（例如ISMS内信息系统的重要性，ISMS的风险评估结果）； b 在ISMS范围内开展的业务类型； C 实现ISMS各组成部分（例如实现的控制、文件化信息和/或过程控制、涉及的技术平台和解决 方案等所使用技术的范围和多样性； d) 之前已证实的ISMS的绩效； e ISMS范围内所用的外部方以及外包程度； f) 与审核方案相关的标准、法律要求和其他要求

GB/T19011一2013的7.2.2中的指南适用

T28450—2020/IS0/IEC27007:2017

GB/T19011一2013的7.2.3.1中的指南适用

7.2.3.2管理体系审核员的通用知识和技能

7.2.3.3管理体系审核员的特定领域与专业的知识和技能

7.2.3.5多领域管理体系审核的知识和技能

7.2.4审核员能力的获得

7.2.4.2IS7.2.4审核员能力的获得

13的7.2.4中的指南适用。并且，以下ISMS特负

ISMS审核员宜具备信息技术和信息安全方面的知识和技能，如通过相关认证（例如基于 GB/T27024认可的认证）。ISMS审核员也宜理解相关业务需求。ISMS审核员的个人工作经验宜对 也们在ISMS领域的知识和技能有所帮助， 注：有关ISMS审核员认证的更多信息可在GB/T25067一2020中找到

GB/T19011一2013的7.2.5中的指南适用

7.3审核员评价准则的建立

7.4选择适当的审核员评价方法

7.6保持并提高审核员能力

/T28450—2020/ISO/IEC27007:2017

502020/ISO/IEC2700

A.2.1审核目标、范围、准则和审核证掘

在审核活动期间，宜通过适当的抽样方式获得并验证与审核目标、范围和准则有关的信息，包括职 责，活动和过程之间的接口相关信息。只有可证实的信息才可作为审核证据。宜记录导致审核发现的 审核证据。 获取信息的方法包括以下内容： 访谈； 观察； 文件评审，包括记录

A.2.2ISMS审核策略

GB/T22080一2016遵循ISO/IEC导则第1部分附录JC和融合的JTC1补充部分中的顶层结构、 相同的章条标题、核心文本、通用术语与核心定义—一JTC1特定规程。GB/T22080一2016定义了— 组相互依赖的要求，这些要求作为一个整体发挥作用（通常被称为“体系方法”），并通过交叉引用予以 部署。 在审核时最好同时处理实践中密切相关的GB/T22080一2016章条。相关示例见表A.2 例如GB/T22080—2016中6.1.3和8.3以及6.2、5.1、5.2、5.3、7.1、7.4、7.5、9.1、9.3和10.2，同时审 核这些章条及其关联或相关章条才有意义。 GB/T22080一2016中7.5提出了有关文件化信息的要求。如表A.2中A.4.5所述，每次审核员检 查一份文件化信息时，都是确认其是否符合GB/T22080一2016中7.5要求的机会。有关如何执行上 述内容的指南在表A.2的A.4.5中。表中每次出现“文件化信息”时.将不再重复对文件化信息的要求。

A.2.3审核和文件化信息

审核活动涉及文件化信息，即： a）在GB/T22080一2016中文件化信息的要求章条可用作审核准则； 以下文件化信息可作为审核证据： 1）GB/T22080—2016的7.5.1a）中要求的文件化信息； 2） 由组织确定的，GB/T22080一2016的7.5.1b)中要求的ISMS有效运行所必需的文件化 信息。 除A.2.3b)中所列的审核证据，审核员将通过访谈、观察和文件评审（包括记录）获得其他审核

T28450—2020/IS0/IEC27007:2017

证据。 有关GB/T22080一2016的文件化信息的详细讨论可在A.3中找到

A.3GB/T220802016文件化信息要求

GB/T22080—2016文件化信息要求指南

审核员提出要求将文件化信息作为符合性证据时宜注意： a）表A.1中所列的对文件化信息的16项明确要求，包括适用性声明； b）其他要求： 1）可从a)中所述文件化信息中找出符合性证据； 2）文件化信息未体现显性或隐性要求

表A.1GB/T22080—2016中对文件化信息的要

核的定义表明它是一个文件化的过程，因此审核员可认为GB/T22080一2016的9.2要求的结果是一个文件 的审核过程

A.3.2对文件化信息有隐性要求的示例

作为A.3.1b)1)的一个示例，在GB/T22080一2016的6.1.2中要求组织"保留有关信息安全风险 平估过程的文件化信息”。在这条之前的要求[GB/T22080一2016的6.1.2a)～e)］均涉及风险评估过 星。因此，符合上述要求的证据存在于所要求的风险评估过程相关文件化信息中

A.3.3文件化信息未体现显性或隐性要求的示例

作为A.3.1b)2)的一个示例，考虑GB/T22080一2016的4.1要求。对外部和内部事项相关的信

/T28450—2020/IS0/IEC27007:2017

未要求文件化。因此，审核员不宜要求看到相关文件化信息。然而，如果组织不能解释其已对这些问题 进行决策，将构成对GB/T22080一2016的4.1的不符合。但是，组织有责任确定证明其符合要求的方 式。证明方式包括最高管理者的解释（即有人知悉）；在会议中讨论过该主题；在正式配置管理下的文件 化信息中得到证明；也可通过其他方式证明。实际上，证据很可能会分散在ISMS的文件化信息中。例 如，GB/T22080一2016的4.1的目的是帮助组织理解其ISMS环境。该环境贯穿于整个ISMS，尤其是 在确定范围、方针以及执行风险评估和风险处置过程时。如果组织符合GB/T22080一2016中4.1的 要求，其外部和内部事项的知识可能会应用于ISMS的其他领域，这些应用将保持一致，并可能会有这 些领域文件化信息的符合证据

所需信息可能是网页的一部分，或作为数据库查询的结果呈现给阅读人员。此外，除了适用性声明 以外，GB/T22080一2016未给出文件名称。因此，有关信息安全策略的文件化信息可能不在名为“信 息安全策略”的文件或网页中。组织有权为信息安全策略定义其他名称。在确保ISMS符合 GB/T22080一2016的5.3a)要求方面具备责任和权限的人员是相同的，都宜知悉GB/T22080一2016 中强制要求的文件化信息与他们的文件化信息之间的关系，

T28450—2020/IS0/IEC27007:2017

A.7ISMS审核指南

表A.2列出了以下信息： 相应的GB/T22080一2016章条编号和名称； 相关章条（有关如何使用此行的信息，请参阅A.2.2）； GB/T220802016相应的章条在GB/T29246中的相关定义； “审核证据”，可能来源于GB/T22080一2016的相应章条； “审核实践指南”，即审核的指南（参见A.3)； “支持性文件”，针对相应的GB/T22080一2016章条参考对审核有帮助的其他文件

输电线路标准规范范本表A.2GB/T22080一2016的审核指南

表A.2GB/T22080一2016的审核指南

/T28450—2020/ISO/IEC27007:2017

石油天然气标准规范范本502020/ISO/1EC2700

T28450—2020/ISO/IEC27007:2017

申核员宜确认组纱 个高层次（如战略性）的理解 审核员宜核实该组织是否已识别出相关方的需求，包括自愿采纳或签订的协议、合同， 或因纳人法律、法规、许可、政府授权或法庭诉讼中所导致的强制性需求和期望。值得 注意的是，并非所有相关方要求都是组织的要求，有些要求不适用于组织或与ISMS不 相关。一些相关方的需求（例如黑客的需求）与ISMS的目的相反，组织宜通过适当的 信息安全控制来确保这些需求和期望不会被满足 审核员还可确认是否有相关方意识到他们会受到ISMS的影响，如果是的话，他们需让 组织知道这些情况。 松高远可检证组如具