ISMS-4032-內(nèi)審檢查表-Checklist-管理層

1、有限公司2012年度內(nèi)審檢查受審部門總經(jīng)理、公司管理層、isms管理者代表內(nèi)審員印峰審核日期2012年12h 20 h審核依據(jù)is0/iec 27001:2005 iso/iec 27002:2005信息安全管理體系文件、適用性聲明覆蓋條款4.1, 42 5,6, 7, 8；a5.a6.1, a10.7.3；序號審核項目及過程標(biāo)準(zhǔn)條款審核事實記錄審核結(jié)論合格/不合格1請總經(jīng)理談?wù)剬w系建立的看法？4.1總經(jīng)理回答符合在倍息爆炸介 雜,實施管夏 業(yè)，對軟件血 安全保密意刃 息安全管理, 核心信息的衣 標(biāo)準(zhǔn)?？偨?jīng)理1）在現(xiàn)冇么2）提供支衛(wèi) 培訓(xùn)、電3）制定風(fēng)w 告），4）確保內(nèi)甘5）就體系交打弋,

2、信息成為一個公司的重要資產(chǎn)，信息的形式多樣，存在方式復(fù) i!手段對信息的控制迫在尼睫。對于一個以軟件開發(fā)為核心業(yè)務(wù)的企 e果的保護(hù)是頭等大申,整個社會信息安全處在一個威脅多變，員工 1淡薄的現(xiàn)狀，為了提升客戶對我公司信息安全的信任，規(guī)范內(nèi)部信 加強(qiáng)員工保密意識，公司決定在內(nèi)部營造-種針對影響業(yè)務(wù)運(yùn)行的e制氛圍，因此經(jīng)過管理層商議，在公司內(nèi)部建立iso/iec 27001的 艮主要職責(zé)：、司經(jīng)營環(huán)境下制定和審批本公司的信息安全方針和目標(biāo)崔體系運(yùn)行所需要的資源，包括：資金，硬件、軟件、人員、時間、$詢等；的可接受準(zhǔn)則（在風(fēng)險評估報告isms-4025信息安全風(fēng)險評估報 對殘余風(fēng)險的接受。孑和管理評

3、審的實施。行的改進(jìn)意見進(jìn)行收集評審。f理手冊；現(xiàn)場驗證信息安全乍2總經(jīng)理談?wù)剬拘畔踩贫ǖ姆结槨標(biāo)的認(rèn)識，以及目標(biāo)的實現(xiàn)情況如何？如何表現(xiàn)持續(xù)改進(jìn)？5.1a5公司為了建立信息安全管理體系，成立了專門的工作小組，任命魏良成為管理者 代表全面負(fù)責(zé)體系建設(shè)；根據(jù)標(biāo)準(zhǔn)要求，總經(jīng)理為公司制定并批準(zhǔn)了信息安全方 針，方針內(nèi)容為：信息安全，人人有責(zé)；遵守法規(guī)，持續(xù)改進(jìn)。該方針的制定體現(xiàn)了風(fēng)險管理的成木和效益的平衡原則，考慮到法律、合同屮對 信息安全的要求以及公司現(xiàn)有面臨的信息安全風(fēng)險，給出公司建立信息安全工作 的總方向，方針在每年的管理評審中討論是否需要修訂。按照方針的總原則，總經(jīng)理制定了本公司20

4、10年度的信息安全目標(biāo)：可用性目 標(biāo)，完整性目標(biāo)，保密性目標(biāo)在于-冊中有詳細(xì)的描述，對目標(biāo)的實現(xiàn)程度的度最為 每年統(tǒng)計以確定是否達(dá)成，根據(jù)此目標(biāo)制定有關(guān)規(guī)程，在日常工作中對發(fā)現(xiàn)的違 規(guī)、不符合操作予以糾正，確保完善體系，持續(xù)改進(jìn)；符合力針、目標(biāo)發(fā)布在公司対內(nèi)web公告上或者張貼于公司宣傳欄；3請總經(jīng)理談?wù)剬芾碓u審的理解，包插評審的時機(jī)， 周期，方式，參與人主持人以及輸入輸出內(nèi)容？7為了保證信息安全管理的適宜性、充分性、有效性和持續(xù)改進(jìn)，要求公司每年召 開一次管理評審會議，管理者代表編制isms-4043管理評審計劃方案，要求 各個職能部門的領(lǐng)導(dǎo)參加匯報從體系建立到內(nèi)審結(jié)束的有關(guān)信息，木次管理

5、評審 的內(nèi)容包括:1）方針和目標(biāo)的評審2）客戶、供應(yīng)方等相關(guān)方對公司信息安全管理的意見、建議反饋3）糾正預(yù)防措施的狀況4）第一次風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅5）有效性測量結(jié)果6）可能影響到體系的變更（6種）7）所有搜集到的建議項所有管理評審匯報和決定都形成記錄管理評審輸入報告匯總、管理評審報 告：符合請管理打代表談?wù)務(wù)麄€信息安金建立的框架流程。4整個過程中所需哪些資源.如何保證資源的獲得?4.2a5a6.1流程：確定范圍一確定方針（兩個框架：目標(biāo)框架和風(fēng)險管理框架；兩個要求： 法律法規(guī)要求和顧客要求；1個準(zhǔn)測：建立風(fēng)險評估的準(zhǔn)則）t確定風(fēng)險評佔方 法識別風(fēng)險t分析并評價風(fēng)險t采取識別評價

6、風(fēng)險的描施t選擇控制對象和控 制措施實施和運(yùn)行isms：風(fēng)險處置領(lǐng)導(dǎo)審批-適用性聲明。資源：投入一定的資金、花費(fèi)一定的時i'可培訓(xùn)人員，確保所有相關(guān)人員認(rèn)識到他 們信息安全活動的相關(guān)性和匝要性，明白自己的職責(zé)，確保被賦予isms職責(zé)的 人員具有能夠勝任要求任務(wù)的能力；投入資金購買設(shè)備，安裝設(shè)施，提供適宜的 場地，建立一個安全的丁作環(huán)境；加強(qiáng)過程控制和監(jiān)督，確保信息安全體系的冇效運(yùn)行。資源獲得：管理者通過淸晰的說明、可證實的承諾（手冊）、明確信息安全職貴 分配及確認(rèn)來支持組織內(nèi)的安全；所有的信息安全職責(zé)應(yīng)予以淸晰的定義（崗位 職責(zé)）；為新的信息處理設(shè)施定義和實施一個管理授權(quán)過程；與員工簽

7、訂保密協(xié) 議；按時間間隔進(jìn)行內(nèi)w和管理評發(fā)現(xiàn)問題及時處理；識別與外部各方（顧客、 供應(yīng)商、有利益的群體）相關(guān)的風(fēng)險。產(chǎn)生的記錄：信息女全管理委員會會議紀(jì)要第一次會議紀(jì)要內(nèi)容、信息資產(chǎn) 識別評價表、信息安全內(nèi)部專家名單、信息安全外部顧問名單、信息安全符合權(quán)威機(jī)構(gòu)聯(lián)系單現(xiàn)場驗證對流程描述清晰、完整，在相關(guān)部門獲得列舉記錄；管代回答內(nèi)審實施：按信息安全手冊8條款及內(nèi)部審核程序要求，編制了內(nèi)審計劃及請管理者代表談?wù)劚竟镜男畔踩珒?nèi)審工作是如56何實施的？包含哪些活動？實施計劃并按計劃進(jìn)行了實施?；顒佑校撼闪徍诵〖~t按要求編制內(nèi)部審核檢查表一 按審核計劃女排到部門.現(xiàn)場，采川血談.現(xiàn)場觀察、抽查信息

8、女全體系文件及信息女全體系運(yùn)行產(chǎn) 牛的記錄等方法，進(jìn)行了抽樣調(diào)查和認(rèn)真細(xì)致的檢查發(fā)現(xiàn)不合格項向受審部門有關(guān)人員指明，并山他們確認(rèn)-審核人員就不合格項與受審部門商討了糾正措施 和方法t限定時間關(guān)閉不合格項t檢查、監(jiān)督不合格項的關(guān)閉。產(chǎn)生的記錄：內(nèi)部審核實施計劃、內(nèi)審結(jié)論報告、內(nèi)審不符合項報告現(xiàn)場驗證內(nèi)審丁作覆蓋標(biāo)準(zhǔn)所有要求，查相關(guān)記錄、現(xiàn)場檢查表明內(nèi)審不符合己關(guān)閉，糾 匸措施驗證有效;6公司怎么在內(nèi)部建立對信息安全的持續(xù)改進(jìn)意識？8首先是日常的培訓(xùn)、文件的學(xué)習(xí)、內(nèi)審和管理評審的耍求和重耍性的宣傳等。符合7公司的信息是否區(qū)分了保密等級？ 各類信息的保密等級是否冇一對照農(nóng)？ 使用涉密信息有什么耍求？a7.2區(qū)分了保密等級，有各類信息的保密等級對照表。使用涉密信息必須得到授權(quán)并 在授