《认证公司初审审核记录(行政 人力 财务 营销) 附机电项目复工审核意见(人员 行政).docx》由会员分享,可在线阅读,更多相关《认证公司初审审核记录(行政 人力 财务 营销) 附机电项目复工审核意见(人员 行政).docx(24页珍藏版)》请在第一文库网上搜索。
1、审核记录受审核部门:经营管理部、人事行政部、财务部、营销部审核员:审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录不符合与公司体系管理有关的活动;文件、记录的管理、人力资源管理、内部审核、财务管理等;涉及条款:ISMS: 4.4、5.3、6.1、7.2、7.3、7.4、7. 5.2. 7. 5. 3、8、A7、A8、A9 AIK A12、A13、A14.1、A15、A16 A17 A185.3经营管理部主要负责与公司体系管理有关的活动,包括文件控制、记录控制、内部审核的组织、管理评
2、审的组织和体系的改进等。人事行政部主要负责人员安全管理,包括人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理等。财务部主要负责财务管理。经询问,三部门人员基本清楚信息安全要求。4. 4/6/8/A. 8公司于年月依据ISO/IEC 27001:2013的要求,结合公司的实际情况,在公司内部建立并运行信息安全的管理体系,文件架构包括手册、程序文件、三级文件和记录。ISMS-A-01信息安全管理体系手册VI. 0, 2018.04. 10发布、运行ISMS-A-02信息安全管理适用性声明VI. 0, 2018.04. 10发布、运行ISMS-B-XX 程序文件 VI. 0, 201
3、8. 04. 10 发布、运行公司统一进行了风险评估进行了信息资产分类:数据、硬件、软件、人员、服务等;建立了风险评估的方法和接受风险的准则,公司进行风险识别、分析和评价,对风险处理选择的措施进行了识别和评价,选择了风险的控制目标和控制措施,总经理对残余风险进行了确认,1SMS的实施和运行获得了陈福军的授权,编制了适用性声明。各部门参与进行了资产识别,查见资产识别与风险评估资料:提供:“ISMS-B-09-01D资产清单及重要资产清单”、“风险清单”等:数据资产包括:财务数据、申请资料、招聘需求表、代码、数据库备份等;硬件资产包括:服务器、台式机、笔记本电脑、打印机、防火墙等;软件资产包括:操
4、作系统软件、应用软件、财务软件、监控、杀毒软件等;人员:部门主管、项目经理、项目工程师、软件工程师等;审核记录受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录服务:业务服务、网络服务、保障服务等。信息资产总数量:260;重要资产数量:164。公司建立了风险评估的方法和接受风险的准则,资产分为文件和数据、硬件、软件、人员、服务;进行了资产的CIA赋值,有CIA赋值依据表;资产均有责任人,资产责任人均落实到部门和个人;公司进行了公司资产的威胁,、脆弱性识别,提供了信息资产脆弱性和威胁表,实际是
5、对各类资产的威胁、脆弱性汇总;通过资产威胁与脆弱性识别形成资产的风险;提供有信息资产风险评估表,对公司的重要信息资产进行了资产风险识别评估,按风险进行了风险的可能性、影响赋值,均能提供可能性及影响赋值依据,程序文件中规定了风险接受准则,明确了重要资产判定标准,对重要资产实施有效控制。公司各类资质申报材料和硬件设备等信息资产为经营管理部的重要信息资产;经过风险评估:公司风险总数:71项,低级风险数:63项,中级风险数:8项,高级风险数:。项。经营管理部、人事行政部、财务部存在4项中级风险;风险处理计划:05. 20完成,主要控制措施是建立管理制度,实施具体技术及管理措施;查见信息安全风险处理计划
6、检查记录,进行了二次评估,通过风险处理后,重新评估,形成残余风险值,高中风险已有所减少,均降为低风险;召开了残余风险确认会,由信息安全小组报告,信息安全管理办公室审批,确认不再进行进一步降低,目前可接受;出示05. 20残余风险评估报告,编制:信息安全管理小组,审核:闫永利,批准:陈福军;结论:经评估认为,全部信息安全风险均已降低为低风险。除了风险处置外,部门负责人参加了体系标准的培训,并进行了相关实施培训;公司的电脑、网络设备等,已进行编号和密级标识;资产识别基本充分。公司面积1200多平方米,租赁,配备网络设备、会议室、工作人员、必要的办公设备、监控装置、档案柜、保险柜等,资源基本满足。A
7、. 8. 3介质处置1)公司编制有1SMSB18介质及信息交换管理程序,介质由使用部门指定专人管理。2)查服务器资料备份,由IT部机房负责人保管。3)自体系运行以来未发生介质的报废或维修情况。6.1应对风险和机会的措施1)公司当前主要从事与电力监控配电自动化远程终端、集抄系统、电能计量仪表的设计、计算机应用软件开发和计算机系统集成相关的信息安全管理(不含分支机构),基于公司长期发展的自身需要及招投标需要,建立了信息安全管理体系;2)制定了ISMS-B-09信息资产管理程序、USMS-B-10风险评估管理程序,规定风险评估的流程及资产管理要求,并要求每年进行一次风险评估;公司于年4月10日至年5
8、月20日实施了本年度的风险评估,针对与IT硬件及软件的运行维护服务相关的信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录本次风险评估各部门首先识别本部门内信息资产,根据保密性、完整性和可用性赋值确定重要等级;编制风险评估表对识别出的所有资产项目进行脆弱威胁性评估,对其所面临的风险进行识别,规定在实施现有控制措施后风险值为36及以上的为不可接受风险,需进行处置以降低风险等级;编制风险处置计划对不可接受风险制定了风险处置计划,明
9、确了责任人,并拟定了重新评估时间表;查见残余风险评估报告,对不可接受风险处置后,进行了重新评估,均已降低为风险值36以下可接受风险。7.2/7.3Z7.4 A7 A13.2.4制定了ISMS-B-12人力资源管理程序,USMS-B-06能力、意识和培训控制程序。查看到年度培训计划,共10期(编制;批准:);综合管理体系培训含GB/T22080-2016/ISO/IEC27001:2013标准、体系文件宣贯培训;(07.11) , 1天,各部门相关员工参加,评价效果:有效。按人力资源管理程序规定了招聘、背景调查、聘用、培训等内容,签订劳动合同和员工保密协议等。1、任职要求、能力的确认企业招聘主要
10、通过网络、校招等方式进行人员招聘;入职前会进行背景调查;达到录用条件后会对新入职人员进行公司管理制度以及信息安全管理体系的入职培训;入职后签订劳动合同及保密协议,通过试用期后进行转正考核,考核通过后正式录用。提供有:个人基本信息、工作经验、教育经历等信息。另外提供有身份证、学历证等复印件等。2、任职前招聘用人需求部门向人事行政部负责人发申请,由人力资源招聘经理在OA上发起流程,相关部门领导同意后,方可完成招聘。FI前按照项目实际需求和年度计划进行招聘,主要在网络招聘等途径发布信息。背景调查主要通过证件、证书等进行调查;对学历的调查,是在学信网上进行。3)劳动合同、保密协议查本年度公司新入职员工
11、合同,抽查从年8月27日入职,与公司签署了劳动合同和员工保密协议书;查签署的保密协议,有具体保密内容和违约责任,保密期限要求乙方在职期间及离职后的任何时候对本协议所述的秘密信息均有保密义务,直至保密信息依法进入公众领域为公众所知悉。4)入职培训对入职员工培训内容包括公司制度,业务流程等,其中包括遵守公司信息安全的规定,如个人计算机使用的要求等。3、任职中受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录公司的信息安全管理制度大致分成2大部分:一部分是与业务有关的规定;例如:开发人员或者项目实
12、施人员在现场要遵循甲方或本公司的安全要求;另一部分是公司办公区域内的,例如个人计算机登陆口令必须是8位以上(数字+字符+符号)、屏保时间不大于5分钟等。在职教育、培训:查看到年度培训计划,共10期(编制:吴燕玲;批准:秦晓菲);综合管理体系培训含GB/T22080-2016/ISO/IEC27001:2013标准、体系文件宣贯培训;(07.11) , 1天,各部门相关员工参加,评价效果:有效。4、离职1)离职流程员工提出离职申请,经部门领导和人事批准后,先在本部门办理交接工作、然后财务办理未结款项,最后删除公司邮箱、0A账户、门禁权限、收回员工卡。2)撤销访问权限的处理查离职员工,离职时间年7
13、月19日,在公司0A上有财务、法务、人事批准同意和交接的记录。有相关部门经办人签字。有交接人、接收人签字确认。现场查公司邮箱账户已经被管理员删除;0A账户已经删除;门禁卡权限已收回。7. 5存档信息1)目前公司文件分类如下:信息安全管理体系手册、程序文件、管理规范、记录表单,共4级文件,并制定信息安全目标;2)公司制定有信息安全管理体系文件,有标识和描述。查信息安全管理体系手册,文件编号:ISMS-A-01, 2018.04. 10发布、运行,版本:VI.0,生效口期:2018. 04.10,编写:信息安全管理小组,审核:闫永利,批准:陈福军,手册包括信息安全方针和目标;信息安全管理适用性声明
14、,文件TSMS-A-02,版本:VI. 0,生效口期:2018. 04. 10,编写:信息安全管理小组,审核:闫永利,批准:陈福军,适用性申明删减:删减A. 14. 1.3、A. 14.2.7;公司的信息不涉及应用服务交易、外包开发控制,删减合理;3)查见制定信息安全管理程序文件21份:风险评估记录、内审、管审、业务连续性和法律法规符合性相关记录;4)公司信息安全管理体系文件采用电子档格式于公司0A办公系统发布。5)公司于年度管理评审时有对信息安全管理体系文件的适用性和充分性进行评,查2018.08.25管理评审报告,公司目前体系运行正常,文件是适用和充分的。存档信息的管理:1)查见公司编制了
15、ISMS-B-01文件控制程序,规定经营管理部负责文件的归口管理,信息安全管理体系手册和适用性声明由总经理批准发布,经营管理部负责外来文件(法律法规、行业法规、客户要求等)的管理;2)查见文件发放清单,对文件的发放范围进行了界定;并有接收部门接收人签收栏位,对一级方针、二级程序、三级管理规范文件进行发放,各部门主管进行签收、有签收人签字记录和接收口期;受审核部门:经营管理部、人事行政部、财务部接受审核人员及职务: 、经营管理部经理 人事行政部经理 财务部助理陪同人员:审核人员:审核组长:检查表及审核记录3)查见公司识别的外来文件主要为法律法规文件;并提供USMS-B-08法律法规清单,识别相关法律法规45个,均有合规性评价记录;4)文件修改:在文件实施过程中,各职能部门应及时收集不适宜之处,及时上报主编单位,由原文件审批人决定是否进行更改。5)文件作废:文件作废时,由发文单位到持有文件的各部门、各
免费区 
