服务项目

信息安全认证：“信息的收集和验证”理解要点

文章录入：华道众合文章来源：华道众合添加时间：2021-3-2

信息的收集和验证

在审核中，应通过适当的抽样收集并验证与审核目标、范围和准则有关的信息，包括与职能、活动和过程间接口有关的信息。只有能够验证的信息方可作为审核证据。导致信息安全审核发现的审核证据应予以记录。在收集证据的过程中，审核组如果发现了新的、变化的情况或风险，应予以关注。

图 6-3 给出了从收集信息到得出审核结论的过程概述，收集信息的方法包括∶

——面谈;

——观察;

——文件（包括记录）评审。

ISMS 审核中信息的收集和验证还需考虑∶

a）受审核方控制措施的实施结果;

b）通过对控制措施的测试获得控制措施有效性的信息和证据

实用帮助——信息收集注意事项

信息来源根据审核的范围和复杂程度而不同，在信息来源选择上应注意抽样要求，特别对部门和关键岗位需要覆盖，需考虑：

a）了解信息系统及支撑环境;

b）了解业务流程;

c）分析风险评估的情况;

d）验证风险处理计划;

e）分析适用性声明;

f）检查控制措施

【理解要点】

（1）信息的收集和验证

信息的收集和验证是具体实施审核的过程，是针对信息源用适当的方法抽取样本，获得审核证据的过程。

信息源一定和审核准则相对应，只有在符合要求的信息源中抽取的样本，才能成为审核证据。

1）审核方式

按部门审核，按过程审核，顺向追踪，逆向追溯。

——按部门审核∶一个部门往往承担若干个职能，审核时对该部门归口管理的过程（即主要的职能）要进行重点审核，不能遗漏，相关过程可以依据相关程序进行抽样审核，所以按部门审核的优点是以部门主要职能为主线审核，效率比较高，不重复到一个部门去。其缺点是审核内容分散，过程接口易遗漏。所以应加强对内容的综合，组与组之间的协调。

——按过程审核∶一个过程往往涉及多个职能部门，审核一个过程要到不同的部门去才能掌握和了解该过程的实施情况，所以按过程审核的优点是目标集中，能体现出过程的符合性、接口清楚，其缺点是对一个部门往往要去多次查不同的过程，效率比较低，要求策划时把审核路线要做合理安排，避免小组之间的撞车。

————顺向追踪∶ 是指按管理体系运作的顺序进行审核。如从策划查到结果，从源头查到结果，从文件查到实施，从第一道工序查到最后一道工序，顺序的查下去。这种方式其优点是可系统的解决管理体系运行的整个情况，接口和协调情况易于掌握，其缺点是费时、费工。

——逆向追溯∶ 是指按管理体系运作顺序反方向进行审核。如从结果向上查到策划，从实施情况查到文件内容，从最后一道工序查到第一道工序，从服务查到合同、订单，这种方式的优点是有强烈的针对性，问题集中，切实具体。其缺点是当问题复杂时，由于审核时间的限制，不易达到预期的结果。

——事实上这四种方式都不是独立使用的，往往是两两结合起来使用的，根据不同的审核对象，变换审核方式的组合是审核员应掌握的基本技巧。

2）收集信息的方法

询问，查阅，观察，记录，验证。

——善于提问∶审核员通常都是按检查表内容提问的，应当做到自然、和蔼、耐心、礼貌，切忌态度生硬死板，增加被提问者的心理压力。

——注意倾听∶倾听时要专注，要善于肯定，适当借助"身体语言"予以响应，切记粗暴地打断对方的谈话。

——认真查阅∶审查文件、记录，注意文件是否是有效版本、文件的内容是否齐全、完整，各文件之间是否协调一致。当发现问题时要进行深入检查以确定客观证据。

———仔细观察∶特别是对制造、设备、标识、贮存、现场环境、操作等过程一定要到现场去观察，获取真实地信息。

——真实记录∶审核员必须"口问手写""边查边记"，对审核到的信息、证据作好记录，记录应包括时间、地点、人物、主题事件、涉及的文件、各种标识、凭证材料、主要过程和活动实施概要、管理体系运行的有效性信息，记录应能为其后的管理体系有效性评价提供依据;不符合事实更要记录清楚发生的时间、地点、人物、主要情节或具体参数，为开出不符合项提供依据。

——追踪验证∶审核员必须善于通过比较，跟踪不同来源所获取的同一问题的信息，从其中的差别来判别管理体系的运行情况;必须善于追踪记录与文件、记录与现状的符合情况，并做出结论。必须善于追踪管理体系某一组成部分的来龙去脉，发现问题，获取客观证据。如∶ 在文件中和记录中怀疑存有问题，则通过现场观察去验证文件的适用性和记录的真实性，不能仅看某方面有问题的线索，轻信口头答复，而不通过事实去验证，这就容易发生错误判断。

3）提问技巧

开放式提问，封闭式提问，澄清式提问。

善于提问就是审核员能灵活地运用各种提问技巧准确地提出询问的问题，使被提问者能轻松地回答出来∶

——封闭式提问可能用"是"或"否"，"有"或"没有"就能简明扼要的回答出来。

——开放式提问回答者就需要对问题给予说明和解释，可引导出比"是"或"否"更多地回答，因而也需要更多的时间来回答问题。

———澄清式提问是带有导向性的提问。

（1）审核过程的控制

（2）1）审核计划的控制

——审核计划是审核策划的结果，通常情况审核是按计划进行的。若遇到特殊情况，可对审核计划做适当的调整，任何调整都要保证得到双方的一致同意。

2）审核活动的控制

样本策划，关键过程，主要因素，客观性控制，相关影响，气氛控制。

——审核员亲自选样，并应随机抽样。

——样本策划要合理，样本量要适宜∶一般抽取 3～12 个样本。具体的抽样数量应考虑调查对象的基数和调查项目的重要程度和复杂程度，以保证观察结果的置信程度。

——应分层选取具有典型性的样本，即选取最能反映问题实质的样本。

——应均衡抽取具有代表性的样本，即样本应反映不同时间、地点、产品、活动、人员对某一质量活动的实施情况，确保样本能反映活动的全貌。

——初审时对产品类别、体系过程、部门、场所不能抽样。

——审核员应该准确地辩识影响产品质量和体系运行的关键过程，把主要精力集中在对关键过程的审核上。

——过程质量控制的对象是影响加工结果的主导因素。审核员应该抓住主导因素是否是处于受控状态进行审核，把有限的时间尽可能地用在对关键工序、特殊工序进行审核。

——重视客观性的控制。每一个行业都有其体现自身特点的有效管理方式，审核员不要把其他行业或者自己认为不错的管理形式和方法作为判别的依据，而对受审核方具有特定的管理方式做出不切实际的判定。任何一种管理形式和方法是否适当、有效，要根据这种管理形式和方法所导致的结果进行是否满足管理体系标准要求来进行客观的评定。

——注意相关影响。体系的各项活动不是孤立的，而是相互关联和制约的。审核员在判定某个过程时，应从体系的整体上去分析、从诸多过程的相互关联和相互影响等方面对过程的有效性做出完整和客观的评价。

——创造良好的审核气氛，是确保审核达到预期目的的重要条件。审核气氛融洽、坦诚、务实，受审核方才能主动、积极、全面、真实地向审核员提供管理体系的实际情况。审核员应该保持耐心、礼貌、诚恳、谦逊、实事求是、不介入受审核方内部争论，确保公正、客观，以达到审核目的。

3）审核结果的控制

——符合或不符合要以可追溯的客观事实为基础;

——不符合事实要得到受审核方确认;

——道听途说不能作为证据;

——审核组内相互沟通，尽可能统一意见。

审核员经过艰苦、紧张的工作，对受审核方的管理体系作了全面了解，发现了若干不符合项。对审核结果要采取慎重态度，注意对审核结果进行控制∶

——符合或不符合均应以事实为基础，无论是对部门或对过程的审核结果，不能搀杂任何个人的感情色彩;

——审核员出具的不符合报告应当得到受审核方确认并加以签字;

——任何外部信息，不管是陪同人员自愿提供，还是其他人员通过电话、写信或来访提供的信息，均属道听途说，不能作为证据;

——审核组内部交流，是审核中非常主要的因素，要加强审核结果的交流，达成一致意见，防止和避免收集信息的偏见性;

——审核组内部交流时，如意见不能统一时，依组长意见为准，不同意见的审核员可持保留态度。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】