收藏
下载资源 加入VIP,免费下载

ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx

上传人:lao****ou 文档编号:59517 上传时间:2022-12-27 格式:DOCX 页数:31 大小:49.71KB
下载 相关 举报
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx_第1页
第1页 / 共31页
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx_第2页
第2页 / 共31页
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx_第3页
第3页 / 共31页
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx_第4页
第4页 / 共31页
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx_第5页
第5页 / 共31页
亲,该文档总共31页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx(31页珍藏版)》请在第一文库网上搜索。

1、2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编编制:XXX审核:XXX批准:XXXXXX网络科技有限公司2020年5月目录信息安全管理体系内审年度计划2内部审核实施计划 2关于开展管理体系内部审核通知4内审员委派通知书5内部审核首次会议记录6首次会议签到表7内部审核检查表8不符合报告12内部审核末次会议记录 13末次会议签到表14内审报告15不符合工作及纠正措施跟踪表16第2页信息安全管理体系内审年度计划编号:JLWJ-NS-O评审日期 2020年5月11日 时间 08:30-17:00 地点综合办公室审核目的:对公司进行内部审核,以验证各部门信息安全管理体系运行的符

2、合性、有效性和适应性,查找信息安全管理体系运行中的不符合项,提出整改意见,制定纠正措施,是管理层改进和完善管理体系的有效手段,为管理评审和外部审核作准备。审核依据:L管理体系文件(包括管理手册、程序文件、管理制度、操作规程和记录表格等);2 .国家或行业的有关法律、法规或标准;3 . GB/T 22080-2016/IS0/IEC 27001: 2013信息技术 安全技术 信息安全管理体系要求审核人员:审核组长:XXX 组员:XXX、XX、XXX、XXX受审核部门和涉及的要求、内容:此次内部审核涉及本公司所覆盖的全部信息安全管理体系要素,各部门和全部工作人员要做到全力配合。审核过程中,涉及到相

3、关问题的部门和个人,要在现场做积极有效的配合工作。审核日程安排:L 2020年4月10日制定内审计划,并上报给总经理审核批准。2.2020年4月20日由管理者代表委任内审组成员。3. 2020年4月20日综合部主任通知各部门开展内部审核,并要求各部门做好准备。4.2020年5月11日8:30进行初次会议。5.2020年5月11日9:00进行现场评审。6.2020年5月11日16:00进行末次会议。7. 2020年5月11日16:50发布内审报告审核报告的分发范围:此次内审工作报告的分发范围为:公司所有部门审核方法:L集中审核2 现场审核审核项目:GB/T22080-2016/IS0/IEC 2

4、7001: 2013信息技术 安全技术 信息安全管理体系 要求覆盖的所有要素。总经理批示:批准实施批准人:XXXXX 日 期:2020年4月10日编制:综合部2020年4月10日编号:JLWJ2020-NS-02内审实施计划日期实施时间项目工作内容2020 年 5月n日8:309:00首次会议介绍内审组成员、内审目的、内审分组、内审流程9:0012:00集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核13:0015:30集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核15:30-16:00出具不符合报告2组人员对检查记录进行汇总,对审核中出现的不符合项出具不符合报告

5、16:00-17:00末次会议发布内审中检查出的不符合项目,针对不符合项目进行讨论,提出整改内容责任化和整改意见,限定整改期限。发布内审报告。编制:综合部第3页XXX网络科技有限公司文件XX 发2020 14 号关于开展管理体系内部审核通知公司各部门:为确保本公司建立的信息安全管理体系能够持续有效的运行,经公司会议研究,总经理批准,公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动,以便及时查找出在信息安全管理体系运行中的不符合工作情况。请各部门接到通知后做好准备工作,确保通过内部审核的检查工作,争取取得良好的效果。XXX网络科技有限公司2020年4月20日内审员委派通

6、知书根据公司本年度的内部审核计划,现委派XXX为内审组组长,成员 XX、XXX、XXX、XX o 内审组按照 GB/T 22080-2016/IS0/IEC27001:2013信息技术 安全技术 信息安全管理体系 要求中要素要求对公司信息安全管理体系进行审核。内审时间:2020年5月11日管理者代表:XX2020年4月20日第5页编号:JLWJ2020-NS-03内部审核首次会议记录主持人XXX受审部门公司所有部门时间2020. 5. 11 8:30参会人见签到表内审组成员组长:XXXX成员:XXXX会议记录:1 .会议内容:2020年度管理体系例行内部审核首次会议2 ,确定联系人:各部门在接

7、受审核时,分别指定2名陪同人员协助。3 .内审组分工内审组分为2组,1组成员主要负责对体系文件(管理手册、程序文件、操作规程、记录表格等)进行检查。2组成员主要负责对现场(业务流程等)进行检查。4 .内部审核目的、依据和范围:内部审核目的:对公司进行内部审核,以验证公司各部门管理体系运行的符合性、有效性和适应性,查找管理体系运行中的不符合项,提出整改意见,制定纠正措施,是管理层改进和完善管理体系的有效手段,为管理评审和外部审核作准备。内部审核依据:依据GB/T 22080-2016/IS0/IEC 27001:2013信息技术 安全技术信息安全管理体系要求、相关法律法规、相关标准和公司管理体系

8、文件作为本次审核依据。内部审核范围:GB/T 22080-2016/IS0/IEC 27001 :2013信息技术 安全技术信息安全管理体系要求相关要素。5 .内部审核的方法和程序:采取听取汇报、现场查看、提问、查阅资料等方式对各部门的管理体系和业务操作规范性进行全面考核。审核程序按公司程序文件内部审核控制程序进行。6 .确定内审的日程安排:日程安排依照内审实施计划进行,公司对日程安排无异议。7 .本次审核重点:管理体系的符合性、有效性和适应性,生产工作是否按照体系运行。记录人:XXXX时间:2020年5月11日第9页首次会议签到表会议地点会议室会议时间2020年5月11日参会人员签名序号姓名

9、序号姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546备注内部审核检查表审核人员XXX、 XX时间2020年5月11日标准条款审核内容审核记录评价4. 1理解组织及其背景1.是否确定与其目标和战略方向相关并影响其实现信息安全管理体系预期结果的各种外部和内部因素?1.确定了内部和外部因素,见内部外部因素分析表符合4.2理解相关方的需求和期望1 .是否确定信息安全体系相关方?2 .是否确定了相关方的要求?1 .有确定信息安全体系相关方,见相关方需求和期望登记表2 .确定了相关方的

10、要求,见相关方需求和期望登记表符合4.3确定信息安全管理体系的范围1 .检查信息安全管理管理体系手册是否有明确范围?是否批准发布?2 .确定以上内容时,是否考虑了内外部因素、相关方要求?3 .检查适用性声明,是否针对实际情况做了合理的删减?1 .查了管理手册,有明确范围,管理手册是经审核发布了的。2 .管理体系范围考虑了内外部因素、相关方要求。3 .检查了适用性声明,做了合理的删减。符合4.4信息安全管理体系1.公司是否建立了信息安全管理体系?1.建立了信息安全管理体系。符合5. 1领导和承诺1 .管理层是否制定了信息安全方针和目标?2 .信息安全方针和目标是否和公司战略方向一致?3 .公司现

11、有资源是否满足信息安全管理体系?4 .是否沟通有效的信息安全管理及符合信息安全管理体系要求的重要性?5 .管理层是否履行自己的职责,保证信息安全达到预期结果,是否做出了承诺?6 .是否指导并支持相关人员为信息安全管理体系的有效性做出贡献?7 .是否发布公司管理人员、部门的职责和权限?管理人员和部门是否履行其职责?1 .制定了信息安全方针和目标,见管理手册0.5方针、目标2 .信息安全方针和目标与公司战略方向一致。3 .公司现有资源满足公司信息安全管理体系。4 .通过宣传、培训教育、会议等方式进行沟通信息安全管理的重要性,有相关会议记录、培训记录。5 .管理层做出了承诺,见承诺书,管理层履行了相

12、关职能。6 .对为信息安全管理体系做出贡献的人员做出奖励,制定了奖罚制度。7 .在管理手册、员工手册发布了相关职责和权限,相关人员履行了相应职能。符合5. 2方针1 .是否由最高管理者制定了信息安全方针并发布?2 .信息安全方针是否符合标准要1.信息安全方针是由最高管理者制定并发布,见管理手册0.5方针、目标。符合审核人员XXX、 XX时间2020年5月11日标准条款审核内容审核记录评价求?3 .信息安全方针是否形成文件?4 .信息安全方针是否在组织内得到沟通?2.信息安全方针符合ISO 27001的要求。3.形成了文件,见管理手册0.5方针、目标5.3组织的角色,责任和权限1 .是否发布公司

13、管理人员、部门的职责和权限?2 .是否建立了组织机构图和职能分配表?3 .部门负责人是否在管理评审时报告信息安全管理体系绩效?1 .发布了相关职责和权限,见管理手册和员工手册和上墙职责。2 .建立了组织机构图和职能分配表,见管理手册附录。3 .部门负责人在管理评审时报告了信息安全管理体系绩效,见部门的管理体系运行报告。符合6. 1. 1应对风险和机会的措施一总则1 .是否建立了应对风险和机遇控制程序程序文件?2 .是否制定应对风险和机遇的措施?1 .建立了程序文件。2 .制定了应对风险和机遇的措施。符合6. 1.2信息安全风险评估1 .公司是否建立信息风险评估程序文件?2 .公司是否进行了风险评估并保留了风险评估过程?3 .抽查2份信息安全风险评估报告,是否识别了风险等级和风险责任人?1 .建立了程序文件。2 .公司进行了风险评估并保留了记录,见风险评估记录、风险评估报告。3 .抽查了信息安全评估报告,有识别风险等级和风险责任人。符合6. 1. 3信息安全风险处置1 .公司是否建立了信息风险处理程序文件?2 .是否制定了信息安全风险处理

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 应用文档 > 汇报材料

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服