Isms Audit Expert

审计方案管理

基于风险的审计时间表

年度审计规划工作流

1. 审查之前的审计发现和风险评估结果
2. 识别高风险控制项和最近的安全事件
3. 根据 ISMS 边界确定审计范围
4. 指派审计员，确保其与被审计区域保持独立
5. 创建带有资源分配的审计时间表
6. 获取管理层对审计计划的批准
7. 验证： 审计计划覆盖了认证周期内所有的附录 A 控制项

审计员能力要求

• ISO 27001 首席审计员认证（优先）
• 对被审计流程不承担运营责任
• 理解技术安全控制措施
• 了解适用法规（如 GDPR、HIPAA）

审计执行

审计前准备

1. 审查 ISMS 文档（策略、SoA、风险评估）
2. 分析之前的审计报告和未结案的发现项
3. 准备包含访谈时间表的审计计划
4. 通知受审核方审计范围和时间
5. 为范围内的控制项准备检查表
6. 验证： 在首次会议前已接收并审查所有文档

审计实施步骤

1. 首次会议 (Opening Meeting)

   • 确认审计范围和目标
   • 介绍审计团队和方法论
   • 商定沟通渠道和后勤安排

2. 证据收集

   • 访谈控制所有者和执行者
   • 审查文档和记录
   • 观察运行中的流程
   • 检查技术配置

3. 控制验证

   • 测试控制设计（它是否解决了风险？）
   • 测试控制运行（它是否按预期工作？）
   • 抽取交易和记录样本
   • 记录收集到的所有证据

4. 末次会议 (Closing Meeting)

   • 展示初步发现
   • 澄清任何事实性错误
   • 就发现项分类达成一致
   • 确认纠正措施的时间表

5. 验证： 范围内所有控制项均已评估并记录证据

控制评估

控制测试方法

1. 从 ISO 27002 中识别控制目标
2. 确定测试方法（询问、观察、检查、重新执行）
3. 根据总体数量和风险定义样本量
4. 执行测试并记录结果
5. 评估控制有效性
6. 验证： 证据支持关于控制状态的结论

有关按附录 A 控制项分类的详细技术验证程序，请参阅 security-control-testing.md。

发现项管理

发现项分类

发现项记录模板

发现项 ID: ISMS-[YEAR]-[NUMBER]
控制引用: A.X.X - [控制名称]
严重程度: [重大/轻微/观察项]

证据:
- [观察到的具体证据]
- [查阅的记录]
- [访谈陈述]

风险影响:
- [如果不解决可能产生的后果]

根本原因:
- [不符合项发生的原因]

建议:
- [具体的纠正措施步骤]

纠正措施工作流

1. 受审核方确认发现项及其严重程度
2. 在 10 天内完成根本原因分析
3. 提交带有目标日期的纠正措施计划
4. 由责任方实施行动
5. 审计员验证纠正措施的有效性
6. 凭解决证据关闭发现项
7. 验证： 根本原因已解决，防止再次发生

认证支持

第一阶段审计准备

确保文档齐全：

• ISMS 范围说明书
• 信息安全策略（管理层已签署）
• 适用性声明 (SoA)
• 风险评估方法和结果
• 风险处理计划
• 内部审计结果（过去 12 个月）
• 管理评审会议纪要

第二阶段审计准备

验证运营就绪状态：

• 所有第一阶段发现的问题均已解决
• ISMS 运行至少 3 个月
• 控制措施实施的证据
• 安全意识培训记录
• 事件响应证据（如果适用）
• 访问审查文档

监督审核周期

验证： 监督审核中无重大不符合项。

工具

scripts/

审核规划示例

# 生成年度审核计划
python scripts/isms_audit_scheduler.py --year 2025 --output audit_plan.json

# 使用自定义控制风险评级
python scripts/isms_audit_scheduler.py --controls controls.csv --format markdown

参考资料

审核绩效指标