《ISO27001信息安全管理体系内审检查表(含记录).docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系内审检查表(含记录).docx(25页珍藏版)》请在第一文库网上搜索。
1、IS027001信息安全管理体系内审检查表被审核部门管理层审核成员:陪同人员:*审核日期2021年3月10日审核主题4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.1、6.2、7.1、9.3、10. K 10.2、A. 5. 1、A.6.1、A. 12.2检查要素/条款检查事项检查记录符合项观察项不符合项4.14.24.34.4组织环境总经理详细介绍了公司总体情况,包括公司建立的理念,愿景,描述了客户、政府机关、相关协会、团体、法律法规等相关方对公司的期望与要求。具体见信息安全管理手册企业概况。-总经理明确了公司信息安全管理体系覆盖的物理范围与业务范围。物理范围为:深圳市*,业务范
2、围为:计算机应用软件的研发及运行维护QV5.15.2领导和承诺方针-信息安全方针,信息安全目标和计划得以实施;信息安全的角色和职责均已明确;向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;提供充分的资源,以建立、实施、运作、监视、评审、保持并改进,决定接受风险的准则和风险的可接受等级;V被审核部门管理层审核成员:*陪同人员:*审核日期2021年3月10日审核主题4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.1、6.2、7.1、9.3、10. K 10.2、A. 5. 1、A.6.1、A. 12. 2检查要素/条款检查事项检查记录符合项观察项符项不合5
3、.3组织角色、职责和权限建立信息安全的角色和职责一一提供信息安全管理手册总经理定义与分配了公司各个部门的不同岗位人员的日常职责与在各管理体系中负担的职责,职责划分基本能够满足要求。总经理有向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。V7. 1资源的提供主持管理评审,授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。一一总经理为管理体系顺畅进行提供资源支持,包括设备相应的增加计戈IJ,人员增加计戈IJ,财务支出支出、培训支持等等。V9.3ISMS管理评审本次是制定体系实施以来的第一次管理评审计划。VA5.1信息安全方针文件信息安全方针
4、包含在信息安全管理手册中,由总经理批准、发布并传递给所有相关方。VIS027001信息安全管理体系内审检查表被审核部门综合管理部审核成员:*陪同人员:*审核日期2021年3月10日审核主题6 1、7. 2、7. 3、7. 4、7. 5、8. 1、8. 2、8, 3、9.1、9. 2、A. 6. 1. 1、A. 6. 1. 2、A. 7、A. 8、A. 9、A. 11、A. 12、A. 13、A. 15. A. 16、A. 17、A. 18核查要素/条款核查事项核查记录符合项观察项符项不合6. 18. 18.2应对风险和机会的措施运行的规划和控制信息安全风险评估前期策略了风险评估准则、风险评估规
5、范根据风险评估方法进行了风险评估O6.28.3信息安全目标和规划实现信息安全风险处置制定了信息安全目标:确保每年重大信息安全事件(事故)发生次数为零。目标通过一年来的运行和保持,得到完成。信息安全不可接受风险处理计划,提供“不可接受风险处理检查表V7.27.37.4能力意识沟通人力行政部通过制定培训计划、招聘新员工、聘请外部专家指导等方式确保组织人员有胜任信息安全职责的能力。人力行政部通过培训、会议、标语宣贯等方式培养员工的信息安全意识。人力行政部负责与组织内外部各相关方的沟通,沟通方包括客户、政府机关、内部员工等,沟通方式包括公函、会议、电子邮件、电话等等。被审核部门综合管理部审核成员:*陪
6、同人员:*审核日期2021年3月10日审核主题6. 1、7. 2、7. 3、7. 4、7. 5、8. 1、8. 2、8. 3、9. 1、9. 2、A. 6. 1. 1、A. 6. 1. 2、A.7、A. 8、A. 9、A. 11、A. 12、A. 13、A. 15. A. 16、A. 17、A. 18核查要素/条款核查事项核查记录符合项观察项不符合项7.5文件记录信息公司编制管理手册、SOA适用性声明1套,35个程序文件,信息安全记录96个;a)明确了方针和目标b)管理手册、适用性声明;c)形成35个程序d)信息安全管理体系运行所必须的程序文件。)所需提供的记录96个,包括信息安全风险评估报告
7、、信息安全风险处置计划f)目前适用性声明9.2内部审核内审情况:2018年7月12日实施了内审检查活动,相关的记录完整。VA. 6. 1. 1信息安全的角色和职责人力行政部:(1)负责管理体系的建立、实施、保持、测量和改进。(2)负责文件控制、记录控制、内部审核的组织、管理评审的组织实施和体系的改进。(3)负责本公司保密工作的管理。(4)负责安全区域的保卫管理部门,负责安全区域的管理。(5)负责部门的资产登记及评价、风险评估。V被审核部门综合管理部审核成员:*陪同人员:*审核日期2021年3月10日审核主题6. 1、7.2、7.3、7.4、7.5、8. 1、8.2、8.3、9. 1、9.2、A
8、. 6. 1. A. 6. L 2、A. 7、A. 8、A. 9、A. 11、A. 12、A. 13、A. 15.A. 16、A. 17、A. 18核查要素/条款核查事项核查记录符合项观察项不符合项(6)负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。(7)对信息安全日常工作实施动态考核,将信息安全管理作为企业管理的重要工作内容。(8)负责协调各部门的定岗定编工作;提出相关岗位人员配置的建议。(9)制定员工培训与开发计划,建立培训与开发体系包括人员聘用管理、任职培训、保密协议签署、员工的能力、专业技能培训、学历教育培训、综合素质培训等,并制订相应管理制度。(10)建立和完善薪酬体系;制
9、订员工福利政策;员工绩效管理;协助行政管理部制订员工绩效管理的相关制度,并组织实施。(11)负责员工各项保险和住房公积金帐户的申报和管理;负责员工考勤、休假管理。(12)负责员工劳动合同管理、员工离职管理、员工人事档案管理。(13)本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。A. 6. 1. 2信息安全职责的分配信息安全管理手册,公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作。V被审核部门综合管理部审核成员:*陪同人员:*审核日期2021年3月10日审核主题6. 1、7.2、7.3、7.4、7.5、8.
10、1、8.2、8.3、9. 1、9.2、A.6. 1. 1、A.6. 1.2、A.7、A.8、A. 9、A. 11、A. 12、A. 13、A. 15. A. 16A. 17、A. 18核查要素/条款核查事项核查记录A7. 1. 1A7. 1.2A7. 2.A7. 2.A7. 2.A7. 3.欢迎下载Word可编辑文件观察不符合项A. 8. 1A. 8. 1A. 8. 1A. 8. 1A. 8. 3. 1A. 8. 3. 2A. 8. 3. 3介质的处置物理介质传输有甲南部门、甲情人、部门甲核人、甲梢7n贾突里丁甲1育便兀r数量、甲梢便 j用时间、行政审核人、行政批示、经办人。被审核部门综合管理
11、部审核成员:*陪同人员:审核日期2021年3月10日审核主题6. 1、7. 2、7. 3、7. 4、7. 5、8. 1、8. 2、8. 3、9. 1、9. 2、A. 6. 1. k A. 6. 1. 2、A. 7、A. 8、A. 9、A. 11、A. 12、A. 13、A. 15. A. 16.A. 17、A. 18核查要素/条款核查事项核查记录符合项符项不合目前无介质处置。A. 9. 1. 1A. 9. 1.2欢迎下载Word可编辑文件A. 9. 2. 1A. 9. 2. 2A. 9. 2. 3A. 9. 2. 4A. 9. 2. 5A. 9. 2. 6A. 9. 3. 1A. 9. 4.
12、1A. 9. 4. 2A. 9. 4. 3口令管理系统 |密码3次,均无去IT陆T被审核部门综合管理部审核成员:*陪同人员:*审核日期2021年3月10日审核主题6. 1、7. 2、7. 3、7. 4、7. 5、8. 1、8. 2、8. 3、9. 1、9. 2、A. 6. 1. 1、A. 6. 1. 2、A.7、A. 8、A. 9、A. 11、A. 12、A. 13、A. 15. A. 16、A. 17、A. 18核查要素/条款核查事项核查记录符合项观察项不符合项A. 9. 4. 4A. 9. 4. 5特殊权限实用工具软件的使用对程序源代码的访问控制所有计算机用户在使用口令时应遵循以下原则:所
13、有活动帐号都必须有口令保护,所有系统初始默认口令必须更改等。没有安装实用工具。公司没有软件开发,只有网站服务采用托管形式,由第三方公司负责运营。提供网站维护协议,合同有效日期从2014年4月30日至2015年4月29日,条款一,规定服务方所应承担的业务与遵守的规定;条款五,规定了双方的法律责任与处理办法A. 10. 1. 1A. 10. 1.2使用密码控制的策略密钥管理公司的密码控制是由银行提供的加密机由银行专员到公司内导入密钥。A. 11. 1. 1A. 11. 1.2A. 11. 1.3A. 11. 1.4A. 11. 1.5A. 11. 1.6物理安全周边物理入口控制办公室、房间和设施的安全保护外部环境威胁的安全防护在安全区域工作交接区安全现场查公司大门设有接待处现场查外来人员来访登记表,登记信息包含:来访人员姓名,时间,单位,身份证,事由,被访人