isms4034內(nèi)審結(jié)論報(bào)告

1、優(yōu)化科技（蘇州）有限公司2012年信息安全內(nèi)審結(jié)論報(bào)告編號：isms-4034狀態(tài)： 受控編制人： 日期： 2012年12月24日 審批人： 日期： 2012年12月24日 審核目的檢查公司信息安全管理體系是否符合iso27001：2005的要求及有效運(yùn)行。 審核依據(jù)iso27001:2005標(biāo)準(zhǔn)、信息安全手冊、程序文件、相關(guān)法律法規(guī)、合同及適用性聲明等。 審核范圍iso27001:2005手冊所要求的相關(guān)活動(dòng)及部門。 審核時(shí)間2012年12月20日 2012年12月22日1、現(xiàn)場審核情況概述本次審核按信息安全手冊及內(nèi)部審核管理程序要求，編制了內(nèi)審計(jì)劃及實(shí)施計(jì)劃并按計(jì)劃進(jìn)行了實(shí)施。審核小組由2

2、人組成，各分別按要求編制了內(nèi)部審核檢查表；內(nèi)審計(jì)劃事先也送達(dá)受審核部門。審核組在各部門配合下，按審核計(jì)劃，分別到部門、現(xiàn)場，采用面談、現(xiàn)場觀察、抽查信息安全體系文件及信息安全體系運(yùn)行產(chǎn)生的記錄等方法，進(jìn)行了抽樣調(diào)查和認(rèn)真細(xì)致的檢查。審核組審核了包括管理層、各有關(guān)職能部等4個(gè)職能部門。 n?li 審核員發(fā)現(xiàn)的不合格項(xiàng)已向受審部門有關(guān)人員指明，并由他們確認(rèn)，審核員還就不合格項(xiàng)與受審部門商討了糾正措施和方法。本次審核共提出不符合報(bào)告共2份，其中行政部1項(xiàng)，研發(fā)部1項(xiàng)。所涉及的條款詳見isms-4033內(nèi)審不符合項(xiàng)（nc）報(bào)告2、體系綜合評價(jià)a) 最高管理者帶動(dòng)員工對滿足顧客和法律法規(guī)要求的重要性具有

3、明確的認(rèn)識，能履行其承諾，管理職責(zé)明確，重視并參與對信息安全管理體系的建立、保持和推動(dòng)持續(xù)改進(jìn)活動(dòng)。員工能準(zhǔn)確答出公司信息安全方針和目標(biāo)，體現(xiàn)了全員參與。但個(gè)別職能部門信息安全活動(dòng)和人員中有責(zé)任不到位的情況。b) 建立的信息安全方針和信息安全目標(biāo)適合于組織的特點(diǎn)，在組織內(nèi)得到溝通和理解，信息安全目標(biāo)基本有可測量性；但部分信息安全分目標(biāo)的適宜性需進(jìn)一步修改，并應(yīng)對測算方法作進(jìn)一步改善；3、審核發(fā)現(xiàn)信息安全管理體系文件的建立和實(shí)施經(jīng)現(xiàn)場審核時(shí)，其適宜性、充分性和有效性基本滿足要求；各部門信息安全體系文件基本能適應(yīng)各自業(yè)務(wù)的需求。但在本次內(nèi)審中仍發(fā)現(xiàn)一些存在問題：a. 行政部：l 檢查行政部某電腦

4、密碼設(shè)置過于簡單，密碼長度及復(fù)雜度不符合公司規(guī)定的要求。b. 研發(fā)部：l 抽查研發(fā)部某電腦，桌面存放太多文件，其中包含有密級敏感的數(shù)據(jù)，沒有執(zhí)行清空桌面策略。4、信息資產(chǎn)識別充分。重要信息資產(chǎn)評價(jià)正確5、信息安全威脅辨識充分，根據(jù)威脅對重要信息資產(chǎn)的風(fēng)險(xiǎn)理解清晰，控制措施得當(dāng)，檢驗(yàn)方式科學(xué)合理。6、內(nèi)審的策劃、間隔和實(shí)施范圍、深度及驗(yàn)證是適宜的；7、糾正、預(yù)防措施對防止不合格再發(fā)生基本滿足要求。8、內(nèi)審的策劃、間隔和實(shí)施范圍、深度及驗(yàn)證是適宜的；9、公司能過對信息資產(chǎn)、過程的監(jiān)視和測量，不合格品控制，內(nèi)審、管理評審，糾正、預(yù)防措施，數(shù)據(jù)分析等有系統(tǒng)的獲得與信息安全有直接關(guān)系的信息，進(jìn)行分析并用

5、于持續(xù)改進(jìn)信息安全管理體系的有效性。但各部門存在沒有按規(guī)定的方法付諸實(shí)施的需要改進(jìn)現(xiàn)象。 10、對于體系運(yùn)行有效性及符合性作如下總結(jié)：a) 公司建立并已正常運(yùn)行了3個(gè)月的信息安全管理體系基本滿足iso 27001:2005標(biāo)準(zhǔn)的要求，有能力證明自身的信息安全管理，能向顧客證明管理是有效的。b) 公司文件化信息安全體系基本得到實(shí)施，發(fā)展趨勢總的來說是好的，但發(fā)展仍不平衡，特別是在適用性聲明中明確管理的過程控制中仍有差距，各部門程序文件或作業(yè)文件還存在某些描述與實(shí)際運(yùn)行不符的情況。c) 公司信息安全方針和信息安全目標(biāo)基本得到實(shí)現(xiàn)，現(xiàn)有信息安全體系是有效的。 d) 初步具備了自我發(fā)現(xiàn)自我改進(jìn)的能力，

6、但建立的持續(xù)改進(jìn)實(shí)施的還不充分。 e) 通過本次內(nèi)審，我們審核組認(rèn)為公司的信息安全管理體系基本符合iso27001：2005標(biāo)準(zhǔn)要求，信息安全手冊、程序文件、適用性聲明文件，能夠得以有效的實(shí)施，可以看出，體系的運(yùn)行是基本符合的、有效的，能滿足信息安全策劃的要求。今后將根據(jù)實(shí)際需要重新規(guī)劃和調(diào)整部分體系文件，使得更能符合公司實(shí)際所需的信息安全活動(dòng)的開展。 11、跟蹤驗(yàn)證方式請存在不合格項(xiàng)的受審部門制定糾正措施，并將實(shí)施效果及證實(shí)資料，于 12月25日前提交審核組進(jìn)行書面驗(yàn)證。12、其他事項(xiàng)：a) 體系運(yùn)行以體系文件為依據(jù)，建議各部門對本部門員工要經(jīng)常宣講體系文件，使各項(xiàng)信息安全活動(dòng)都能按體系文件

7、的要求執(zhí)行，納入標(biāo)準(zhǔn)的軌道，保證體系運(yùn)行的持續(xù)有效。各部門要根據(jù)不合格報(bào)告舉一反三，把存在問題擺出來，責(zé)任到人，考核到人，限期完成。而不僅僅是在紙面上進(jìn)行整改。真正把慣標(biāo)工作落在實(shí)處，提高組織的管理水平。 b) 信息安全文件和記錄是體系運(yùn)行的重要依據(jù)，各部門都要重視。建議各部門把程序文件所列的信息安全記錄的表式逐一整理，在實(shí)際運(yùn)行中逐項(xiàng)落實(shí)，糾正原來不符合要求的表式，對所發(fā)的文件和所收到的文件按程序規(guī)定，進(jìn)行簽發(fā)、收錄登記，使文件和記錄盡快趨于完善。 c) 對控制目標(biāo)的測量雖有良好的評價(jià)結(jié)果，但測量深度有待進(jìn)一步加強(qiáng)，各分管職能人員要經(jīng)常深入檢查控制措施的落實(shí)情況，以形成良好的習(xí)慣，促使管理工作上臺階。 d) 進(jìn)一步建立和健全自我教育、自我評審、自我改進(jìn)、自我完善的機(jī)制，經(jīng)常對照體系文件與已有關(guān)的條款，查錯(cuò)堵漏。內(nèi)部審核是抽樣的，不是所有不合格項(xiàng)都能被觀察到，各部門對不合格項(xiàng)糾正時(shí)要做到舉一反三，對已發(fā)現(xiàn)的不合格項(xiàng)，要抓緊制定糾正措施。 e) 在貫徹落實(shí)標(biāo)準(zhǔn)方面，各部門還有待進(jìn)一步加強(qiáng)培訓(xùn)力度。f) 各部門與信息安全體系有關(guān)的各個(gè)環(huán)節(jié)的管理人員和操作人員，都要針對性地學(xué)習(xí)與已有有關(guān)的文件內(nèi)容，找出目前工作與信息