ISO27001-2013版全套內(nèi)審檢查表

1、IS027001: 2013*信息安全管理體系文件內(nèi)審核查表審核日期：2018年8月8日IS027001: 2013內(nèi)審核查表*被審核部門總經(jīng)理審核成員張三審核日期2018-8-8審核主題4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2核查要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符合項(xiàng)4.1理解組織及其 環(huán)境現(xiàn)在客戶越來越重視本單位的信息安全，要求服務(wù)提供商具備一定的信息安全管理水平；目前信息安 全威脅不斷增加，本組織的核心資產(chǎn)也要進(jìn)行安全防護(hù)，保證核心資產(chǎn)的安全性、保密性、可用性。4.2理解相關(guān)方的 需求和期望公司客戶對(duì)服務(wù)提供商

2、的信息安全提出了更高的要求，在公司給客戶提供服務(wù)的過程中，客戶要求保 證公司接觸到的客戶的信息資產(chǎn)的安全。在服務(wù)合同中都有相關(guān)安全條款。4.3確定信息安全 管理體系范圍在手冊(cè)的4.3章確定了信息安全的組織、業(yè)務(wù)、物理范圍。4.4信息安全管理 體系按ISO/IEC 27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，建立、實(shí)施、保持和持續(xù) 改進(jìn)信息安全管理體系。包含了4級(jí)文件：手冊(cè)、程序文件、管理制度、記錄。5.1領(lǐng)導(dǎo)力和承諾-領(lǐng)導(dǎo)層制定了信息安全方針、目標(biāo)和計(jì)劃；建立信息安全的角色和職責(zé)；向組織傳達(dá)滿足信息安全目 標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供充分的

3、資源，以建立、實(shí)施、運(yùn)作、 監(jiān)視、評(píng)審、保持并改進(jìn)，決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)；5.2方針信息安全管理方針為：數(shù)據(jù)保密、信息完整、 控制風(fēng)險(xiǎn)、 持續(xù)改進(jìn)、 全員參與、 提高績(jī)效、客戶滿意。5.3組織的角色，職 責(zé)和權(quán)限組織制定了信息安全職責(zé)劃分與標(biāo)準(zhǔn)條款對(duì)照表，明確了每個(gè)部門角色的職責(zé)6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī) 會(huì)的措施進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估，并針對(duì)高優(yōu)先級(jí)的風(fēng)險(xiǎn)制定了處置計(jì)劃。6.2信息安全目標(biāo) 和實(shí)現(xiàn)規(guī)劃公司在相關(guān)職能和層次上建立了與信息安全方針保持一致的信息安全目標(biāo)，并在全公司發(fā)布，參見信 息安全方針目標(biāo)文件9.3ISMS管理評(píng)審-有管理評(píng)審控制程序，管理評(píng)審計(jì)劃、管理評(píng)審報(bào)告等記錄被

4、審核部門總經(jīng)理審核成員張三審核日期2018-8-8審核主題414243445511A512A5.1.1信息安全方針文 件信息安全方針文件已由管理者批準(zhǔn)、發(fā)布并傳遞給所有員工和外部相關(guān)方。A5.1.2信息安全方針評(píng) 審已計(jì)劃了在管理評(píng)審時(shí)評(píng)審信息安全方針，以確保其持續(xù)適宜性、充分性和有效性。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5-7審核主題A615A621A622A9A10A12A13A14A17核查要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符合項(xiàng)A615項(xiàng)目管理中 的信息安全所有類型的項(xiàng)目，在項(xiàng)目的策劃和執(zhí)行過程中都考慮了信息安全因素。抽查了一個(gè)項(xiàng)目

5、，滿足要求。A621移動(dòng)設(shè)備策 略公司制定了策略和支持性安全措施以管理使用移動(dòng)設(shè)備時(shí)帶來的風(fēng)險(xiǎn)。A622遠(yuǎn)程工作遠(yuǎn)程服務(wù)記錄齊全，符合文件要求。A613信息安全職 責(zé)的分配公司在信息安全管理手冊(cè) 附錄：信息安全管理職責(zé)明細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全 管理者代表，全面負(fù)責(zé) ISMS的建立、實(shí)施與保持工作。A1211文件化的操作規(guī)程公司按照信息安全方針的要求，建立并實(shí)施文件化的作業(yè)程序，見信息安全管理體系文件一覽表（信息安全管理手冊(cè)附件）文件化的作業(yè)程序的控制執(zhí)行文件管理程序。A1212變更管理在變更實(shí)施前，由研發(fā)部填寫變更申請(qǐng)表，明確變更的原因、變更范圍、變更影響的分析及對(duì)策（包括

6、不成功變更的恢復(fù)措施），研發(fā)部負(fù)責(zé)人批準(zhǔn)后予以實(shí)施。目前尚無變更發(fā)生。A1213容量管理有容量管理規(guī)劃，對(duì)服務(wù)器存儲(chǔ)容量和網(wǎng)絡(luò)帶寬進(jìn)行了容量規(guī)劃。A1214開發(fā)、測(cè)試 和運(yùn)行設(shè)施開發(fā)方案測(cè)試報(bào)告及相應(yīng)設(shè)施齊備被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5-7審核主題A615A621A622A9A10A12A13A14A17的分離A.12.2.1控制惡意軟 件公司各部門員工都安裝殺毒軟件，并及時(shí)升級(jí)病毒庫。網(wǎng)管定期進(jìn)行監(jiān)督檢查。A.12.3.1信息備份公司對(duì)重要數(shù)據(jù)進(jìn)行了備份。包括源代碼等A.12.4.1事件日志公司建立并保存例外事件或其它安全相關(guān)事件的審核日志，以便對(duì)將來的調(diào)查和訪問控

7、制監(jiān)測(cè)提供幫助。 審核日志一般通過使用系統(tǒng)檢測(cè)工具按照事先的設(shè)置自動(dòng)生成。A.12.4.2日志信息的 保護(hù)按照信息系統(tǒng)監(jiān)控管理程序，對(duì)日志信息進(jìn)行了保護(hù)。A.12.4.3管理員和操 作員日志系統(tǒng)管理員和操作員的活動(dòng)也記入了日志，并規(guī)定系統(tǒng)管理員不允許刪除或關(guān)閉其自身活動(dòng)的日志。A.12.4.4時(shí)鐘同步經(jīng)過檢查：公司所有服務(wù)器設(shè)備和終端、個(gè)人計(jì)算機(jī)均與網(wǎng)絡(luò)時(shí)鐘保持了同步。A.12.5.1運(yùn)行系統(tǒng)中 軟件的安全軟件管理程序、個(gè)人計(jì)算機(jī)管理程序規(guī)定了對(duì)系統(tǒng)中軟件的升級(jí)、控制措施。A.12.6.1技術(shù)脆弱性管理技術(shù)脆弱性管理程序規(guī)定了對(duì)技術(shù)脆弱性的管理，目前尚未發(fā)現(xiàn)技術(shù)脆弱性。A.12.6.2軟件安裝

8、限 制軟件管理程序、個(gè)人計(jì)算機(jī)管理程序規(guī)定了對(duì)系統(tǒng)中軟件的控制，制定了允許安裝的軟件清單。A.14.1.1安全要求分 析和說明信息系統(tǒng)開發(fā)建設(shè)管理程序中規(guī)定了安全要求分析及說明信息安全風(fēng)險(xiǎn)評(píng)價(jià)程序評(píng)估風(fēng)險(xiǎn)A.14.2.1安全開發(fā)策 略信息系統(tǒng)開發(fā)建設(shè)管理程序中規(guī)定了軟件開發(fā)生命周期的安全開發(fā)策略。A.14.2.2系統(tǒng)變更控 制程序信息系統(tǒng)開發(fā)建設(shè)管理程序中規(guī)定了系統(tǒng)變更的控制程序，當(dāng)前無變更。A.14.2.3操作系統(tǒng)變 更后應(yīng)用的 技術(shù)評(píng)審信息系統(tǒng)開發(fā)建設(shè)管理程序 中規(guī)定了當(dāng)操作系統(tǒng)發(fā)生更改時(shí)，操作系統(tǒng)更改對(duì)應(yīng)用系統(tǒng)的影響應(yīng)由系統(tǒng)主管部門進(jìn)行評(píng)審，確保對(duì)作業(yè)或安全措施無不利影響。目前無操作系統(tǒng)

9、變更。A.14.2.4軟件包變更 的限制信息系統(tǒng)開發(fā)建設(shè)管理程序 中規(guī)定了軟件包的變更限制策略： 公司不鼓勵(lì)修改軟件包，如果有必要確 需進(jìn)行更改，更改提出部門應(yīng)在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評(píng)估， 確定必須的控制措施，保留原始軟件， 并在完全一被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5-7審核主題A615A621A622A9A10A12A13A14A17樣的復(fù)制軟件上進(jìn)行更改，更改實(shí)施前應(yīng)得到公司領(lǐng)導(dǎo)的授權(quán)。A.14.2.5安全系統(tǒng)工 程原則信息系統(tǒng)開發(fā)建設(shè)管理程序中規(guī)定了安全系統(tǒng)工程原則：在平衡信息安全需求和訪問需求的基礎(chǔ)上， 組織所有架構(gòu)層（業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)）宜考慮安全設(shè)計(jì)。宜分析新技

10、術(shù)的安全風(fēng)險(xiǎn)，并根據(jù)已知的 攻擊模式評(píng)審其設(shè)計(jì)。A.14.2.6安全開發(fā)環(huán) 境路由器都兼?zhèn)浞阑饓δ?，具備殺毒軟件和口令設(shè)置、訪問權(quán)限A.1428系統(tǒng)安全測(cè) 試有系統(tǒng)安全測(cè)試報(bào)告，滿足要求A.14.2.9系統(tǒng)驗(yàn)收測(cè) 試有系統(tǒng)驗(yàn)收測(cè)試報(bào)告，滿足要求。A.14.3.1保護(hù)測(cè)試數(shù) 據(jù)測(cè)試數(shù)據(jù)均統(tǒng)一備份測(cè)試服務(wù)器，有口令權(quán)限設(shè)置。A.17.1.1策劃信息安 全連續(xù)性有業(yè)務(wù)連續(xù)性影響分析報(bào)告、業(yè)務(wù)連續(xù)性管理戰(zhàn)略計(jì)劃：為達(dá)到公司業(yè)務(wù)的持續(xù)性目標(biāo)，研發(fā)部組 織有關(guān)部門在適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，進(jìn)行災(zāi)難及系統(tǒng)中斷影響分析， 識(shí)別出造成關(guān)鍵業(yè)務(wù)中斷的主要事件及其影響。A.17.1.2實(shí)施信息安 全連續(xù)性公司建立

11、并實(shí)施信息業(yè)務(wù)連續(xù)性管理程序，在發(fā)生災(zāi)難或安全故障時(shí)，實(shí)施持續(xù)性管理計(jì)劃，確保關(guān)鍵業(yè)務(wù)及時(shí)得到恢復(fù)。有業(yè)務(wù)連續(xù)性計(jì)劃實(shí)施方案和業(yè)務(wù)連續(xù)性計(jì)劃實(shí)施方案測(cè)試報(bào)告。A.17.1.3驗(yàn)證、評(píng)審 和評(píng)價(jià)信息 安全連續(xù)性有業(yè)務(wù)連續(xù)性實(shí)施評(píng)價(jià)報(bào)告，每年公司組織有關(guān)部門米取適宜的測(cè)試方法對(duì)業(yè)務(wù)連續(xù)性管理計(jì)劃 進(jìn)行測(cè)試。A.17.2.1信息處理設(shè) 施的可用性研發(fā)部負(fù)責(zé)識(shí)別信息系統(tǒng)可用性的業(yè)務(wù)要求。當(dāng)使用現(xiàn)有系統(tǒng)架構(gòu)不能保證可用性時(shí)，則考慮冗余組件或架構(gòu)。目前可用性情況滿足要求。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/9.

12、1/9.2/10.1/10.2/A6.1/A7/A8/A9/A10/A13/A11/A12.7.1/A13.2.4/A15/A16/A18核查 要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符 合項(xiàng)7.1資源公司確定并提供了建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需資源，包括人、財(cái)、工具設(shè)備等7.2能力公司相關(guān)部門組織制定并實(shí)施人力資源管理程序文件。規(guī)定了各崗位角色的能力要求。7.3意識(shí)公司內(nèi)部作了信息安全意識(shí)的培訓(xùn)，有培訓(xùn)記錄。7.4溝通在內(nèi)審、管理評(píng)審等時(shí)機(jī)、公司內(nèi)部人員及外部相關(guān)方進(jìn)行了溝通，有溝通記錄。7.5文件化信息有手冊(cè)、有30個(gè)程序、1個(gè)SOA聲明、一份信息安全方針目標(biāo)。 提供

13、了記錄清單，內(nèi)有序號(hào)，記錄編號(hào)、記錄名稱、保存期限。8.1運(yùn)行規(guī)劃和 控制有各種信息安全運(yùn)行記錄。詳見記錄清單。8.2信息安全風(fēng) 險(xiǎn)評(píng)估有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。8.3信息安全風(fēng) 險(xiǎn)處置有信息安全風(fēng)險(xiǎn)評(píng)處置計(jì)劃，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。9.1監(jiān)視、測(cè)量、 分析和評(píng)價(jià)通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施 并報(bào)告結(jié)果。9.2內(nèi)部審核審核員參與制訂了審核計(jì)劃，風(fēng)險(xiǎn)評(píng)估人員識(shí)別了資產(chǎn)、脆弱性、威脅和影響，評(píng)估了風(fēng)險(xiǎn)，針對(duì)高風(fēng)險(xiǎn) 制定了風(fēng)險(xiǎn)處置計(jì)劃。提供：內(nèi)審

14、計(jì)劃。10.1不符合和糾正措施有預(yù)防措施實(shí)施記錄。10.2持續(xù)改進(jìn)組織建立了持續(xù)改進(jìn)機(jī)制。定期識(shí)別需改進(jìn)的地方。A.6.1.1信息安全角公司在信息安全管理職責(zé)明細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18色和職責(zé)的建立、實(shí)施與保持工作A.6.1.2責(zé)任分割在職責(zé)分配時(shí)，分割了沖突的責(zé)任和職責(zé)范圍，以降低未授權(quán)或無意的修改或者 不當(dāng)使用 組織資產(chǎn)的機(jī)會(huì)。A.6.1.3與政府部門

15、的聯(lián)系與相關(guān)部門保持聯(lián)系。A.6.1.4與特定相關(guān)方的聯(lián)系公司建立信息安全顧問，必要時(shí)聘請(qǐng)了外部專家。A.7.1.1審查規(guī)定錄用前查人員的個(gè)人相關(guān)背景、資歷和相關(guān)檢查，對(duì)于不符合安全要求的不得錄用。A.7.1.2任用條款和 條件查聘用人選由綜合部上報(bào)公司相關(guān)人員審批，由最后的審批結(jié)果向聘用人員發(fā)放聘用通知書，并簽訂了勞動(dòng)合同和保密協(xié)議A.7.2.1管理職責(zé)根據(jù)公司業(yè)務(wù)要求，明確關(guān)鍵工作崗位及任職要求并依據(jù)建立的方針和程序來應(yīng)用安全。A.7.2.2信息安全意 識(shí)、教育和 培訓(xùn)綜合部負(fù)責(zé)制定的公司員工年度培訓(xùn)計(jì)劃，公司的所有員工，適當(dāng)時(shí)還包括合作方和第三方用戶，發(fā)現(xiàn)已接受適當(dāng)?shù)囊庾R(shí)培訓(xùn)并定期向它們

16、傳達(dá)組織更新的方針和程序，以及工作任務(wù)方面的新情況。A.7.2.3紀(jì)律處理過 程公司未有安全違規(guī)的雇員。A.7.3.1任用終止或 職責(zé)變更查看相關(guān)文件，發(fā)現(xiàn)第三方用戶完成服務(wù)時(shí)，進(jìn)行明確終止責(zé)任的溝通。A.8.1.1資產(chǎn)清單保存有信息安全資產(chǎn)清單和重要信息資產(chǎn)清單，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)施、人員、相關(guān)方。A.8.1.2資產(chǎn)責(zé)任人有信息資產(chǎn)清單、重要信息資產(chǎn)清單都定義了責(zé)任部門或責(zé)任人A.8.1.3資產(chǎn)的允許 使用提供用戶授權(quán)申請(qǐng)表，滿足要求。A.814資產(chǎn)的歸還有程序文件規(guī)定：在員工離職前應(yīng)收回保密文件， 退還身份證件和使用組織的所有資產(chǎn)， 并執(zhí)行財(cái)務(wù)清款， 法律事務(wù)清查

17、。第三方用戶完成合冋時(shí)，應(yīng)按相關(guān)方信息安全管理程序辦理 完所負(fù)責(zé)的所有資產(chǎn)歸還 手續(xù)J被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A.8.2.1信息分類信息資產(chǎn)分為：數(shù)據(jù)、軟件、服務(wù)、硬件、文檔、設(shè)施、相關(guān)方、人員信息的密級(jí)分為3類：企業(yè)秘密事項(xiàng)（秘密）、內(nèi)部信息事項(xiàng)（受控）和公開事項(xiàng)。A.8.2.2信息標(biāo)識(shí)現(xiàn)場(chǎng)查：信息都按程序要求進(jìn)行了識(shí)別和標(biāo)記；A.8.2.3資產(chǎn)處理有商業(yè)秘密管理程序，規(guī)定了建立處理和儲(chǔ)存信息的程序來保護(hù)這些信息免于未經(jīng)授

18、權(quán)的泄露、誤用、盜用或丟失。A.8.3.1可移動(dòng)介質(zhì) 的管理有移動(dòng)介質(zhì)授權(quán)使用記錄，對(duì)U盤、移動(dòng)硬盤等移動(dòng)介質(zhì)的使用情況進(jìn)行了記錄。A.8.3.2介質(zhì)的處置有介質(zhì)管理程序，規(guī)定含有敏感信息或重要信息的介質(zhì)在不需要或再使用時(shí)，處置部門應(yīng)按照要求米 取安全可靠處置的方法將其信息清除。A.8.3.3物理介質(zhì)傳 輸為避免被傳送的介質(zhì)在傳送（運(yùn)輸）過程中發(fā)生丟失、未經(jīng)授權(quán)的訪問或毀壞，造成信息的泄露、不完整 或不可用，公司規(guī)定在將信息資產(chǎn)帶出公司時(shí)，應(yīng)對(duì)包含信息的介質(zhì)進(jìn)行保護(hù)。A.9.1.1訪問控制策 略公司在用戶訪問管理程序 中建立了訪問控制策略。 本公司內(nèi)部可公開的信息， 允許所有服務(wù)用戶訪問。 本

19、公司內(nèi)部部分公開的信息，經(jīng)訪問授權(quán)部門認(rèn)可， 訪問授權(quán)實(shí)施部門實(shí)施后用戶可訪問。用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。各系統(tǒng)訪問授權(quán)部門應(yīng)編制系統(tǒng)用戶訪問權(quán)限說明書， 明確規(guī)定訪問規(guī)則，對(duì)幾人共用的賬號(hào)應(yīng)明確責(zé)任人。A.9.1.2使用網(wǎng)絡(luò)服 務(wù)的策略公司在用戶訪問管理程序中建立了網(wǎng)絡(luò)服務(wù)安全策略，以確保網(wǎng)絡(luò)服務(wù)安全與服務(wù)質(zhì)量。A.9.2.1用戶注冊(cè)有用戶授權(quán)申請(qǐng)表，符合要求。A.9.2.2用戶訪問提 供訪問系統(tǒng)的用戶具設(shè)置了用戶名和口令。A.9.2.3特殊權(quán)限管 理對(duì)各系統(tǒng)的系統(tǒng)管理員均進(jìn)行了授權(quán)，有授權(quán)申請(qǐng)和批準(zhǔn)的記錄。A.9.2.4用戶安全鑒 別信息的管 理系統(tǒng)管理員按照

20、用戶訪問管理程序?qū)Ρ皇跈?quán)訪問該系統(tǒng)的用戶口令進(jìn)行分配。A.9.2.5用戶訪問權(quán) 的復(fù)查有用戶訪冋權(quán)審查記錄，每個(gè)月審查一次。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A926撤銷或調(diào)整 訪問權(quán)限相關(guān)方信息安全管理程序、用戶訪問管理程序規(guī)定了 解除、變化調(diào)整訪問權(quán)限的內(nèi)容。當(dāng)前無員工離職。A.9.3.1安全鑒別信 息的使用公司在用戶訪問管理程序 和相應(yīng)的應(yīng)用管理中明確規(guī)定了口令安全選擇與使用要求，所有用戶應(yīng)嚴(yán)格遵守。實(shí)施口令定期變更策略（一般用

21、戶每半年，特權(quán)用戶口令每季度）。A.941信息訪問限 制用戶訪問管理程序 規(guī)定本公司內(nèi)部可公開的信息不作特別限定，允許所有用戶訪問。 本公司內(nèi)部部分公開信息，經(jīng)訪問授權(quán)部門認(rèn)可，訪問授權(quán)實(shí)施部門實(shí)施后用戶方可訪問。A.942安全登錄規(guī) 程用戶訪問管理程序規(guī)定用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。A.943口令管理系 統(tǒng)所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：所有活動(dòng)帳號(hào)都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必 須更改,用戶定期變更口令等，查員工劉軍敏電腦口令只有5位。A944特權(quán)使用程 序的使用用戶訪問管理程序規(guī)定了對(duì)實(shí)用系統(tǒng)的訪問控制，有系統(tǒng)實(shí)用工具清單。A945對(duì)程序源

22、代 碼的訪問控 制用戶訪問管理程序規(guī)定不允許任何人以任何方式訪問程序源代碼。A1011使用密碼控 制的策略使用密碼控制措施來保護(hù)信息，使用密碼時(shí)，應(yīng)基于風(fēng)險(xiǎn)評(píng)估，確定需要的保護(hù)級(jí)別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量，并符合信息安全合規(guī)性管理程序的要求。各電子數(shù)據(jù)文件的形成部門應(yīng)識(shí) 別重要數(shù)據(jù)的加密要求，對(duì)需要加密的信息，制定加密方案，經(jīng)公司總經(jīng)理批準(zhǔn)后嚴(yán)格執(zhí)行。A1012密鑰管理目前尚未發(fā)生使用密鑰管理的情況A1111物理安全邊 界公司安全區(qū)域分類：特別安全區(qū)域、一般區(qū)域，本部門為特別安全區(qū)域。A1112物理入口控制公司規(guī)定：公司人員上下班出入刷卡， 外來人員必須進(jìn)行外來人員登記后等待接

23、待，若需進(jìn)入公司辦公區(qū)域，由接待人員陪同方可進(jìn)入。有外來人員登記表。A1113辦公室、房 間和設(shè)施的查辦公室、房間和設(shè)備，都進(jìn)行了安全防護(hù)。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18安全保護(hù)A.11.1.4外部和環(huán)境威脅的安全防護(hù)公司規(guī)定：外來人員來本公司參觀或?qū)Υ髽沁M(jìn)行拍攝，須報(bào)請(qǐng)綜合部批準(zhǔn)，安全周界的大門下班后應(yīng)關(guān)緊，綜合部負(fù)責(zé)管理。應(yīng)將備用設(shè)備、備品備件和備份存儲(chǔ)介質(zhì)放置在一定安全距離以外，以免主場(chǎng)所發(fā)生的災(zāi)難性事故對(duì)其造成破壞。A.1

24、1.1.5在安全區(qū)域工作公司明確規(guī)定員工、第三方人員在有關(guān)安全區(qū)域工作的基本安全要求（如避免在第三方人員未被監(jiān)督的情況下在安全區(qū)域內(nèi)進(jìn)行工作 ，未經(jīng)冋意不允許使用攝影、錄像、錄音或其它音像記錄設(shè)備等），并要求員工、第三方人員嚴(yán)格遵守。A.11.1.6交接區(qū)公司設(shè)有接待前臺(tái)，供接待臨時(shí)訪冋人員。A.11.2.1設(shè)備安置和保護(hù)按文件規(guī)定執(zhí)行，由研發(fā)部負(fù)責(zé)筆記本電腦、臺(tái)式機(jī)、服務(wù)器、打印機(jī)的安置和保護(hù)。 提供個(gè)人計(jì)算機(jī)配備一覽表、計(jì)算機(jī)配置說明書。A.11.2.2支持性設(shè)施有空調(diào)等保護(hù)設(shè)備， 設(shè)置了自動(dòng)噴淋頭， 規(guī)定不允許在辦公環(huán)境吸煙。大廈配備有雙回路變電備用線路，確保不間斷供電。A.11.2.3

25、布纜安全現(xiàn)場(chǎng)查看網(wǎng)線和電源線情況，符合要求。A.11.2.4設(shè)備維護(hù)自體系文件實(shí)施以來，設(shè)備未出現(xiàn)故障，但備有設(shè)備維護(hù)記錄表格。A.11.2.5資產(chǎn)的移動(dòng)筆記本均有筆記本電腦授權(quán)表A.11.2.6組織場(chǎng)所外 的設(shè)備安全使用筆記本電腦離開辦公場(chǎng)所應(yīng)經(jīng)授權(quán)，見個(gè)人計(jì)算機(jī)管理程序。離開辦公場(chǎng)所的設(shè)備應(yīng)考慮損壞、盜竊和截取的風(fēng)險(xiǎn)并加以保護(hù)。一一提供筆記本使用授權(quán)書。A.11.2.7設(shè)備的安全 處置或再利 用信息處理設(shè)施管理程序規(guī)定：信息處理設(shè)施實(shí)施大修、升級(jí)、停用或報(bào)廢前由使用部門和個(gè)人對(duì)包含儲(chǔ)存媒體的設(shè)備的所有項(xiàng)目進(jìn)行檢查，并填寫敏感信息清除記錄 報(bào)市場(chǎng)部存檔，確保在處置之前所有敏感數(shù)據(jù)和許可軟件都

26、被清除或者覆蓋掉。一一公司目前無設(shè)備停用和再利用的情況。A.11.2.8無人值守的 用戶設(shè)備現(xiàn)場(chǎng)查編號(hào)：YJ-028的PC機(jī)時(shí)，有設(shè)置屏保。A.11.2.9清空桌面和 屏幕策略現(xiàn)場(chǎng)查編號(hào)：YJ-028的PC機(jī)時(shí)，桌面保持干凈被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A12.7.1信息系統(tǒng)審 計(jì)的控制正式審核之前，審核組明了確技術(shù)性審核的項(xiàng)目與要求，防止審核活動(dòng)本身造成不必要的安全風(fēng)險(xiǎn)。A.13.1.1網(wǎng)絡(luò)控制對(duì)防火墻、路由器等進(jìn)行了安全配置，

27、并定期檢查網(wǎng)絡(luò)設(shè)備。A.13.1.2網(wǎng)絡(luò)服務(wù)的 安全和網(wǎng)絡(luò)服務(wù)提供商（電信）有簽訂網(wǎng)絡(luò)服務(wù)協(xié)議。A.13.1.3網(wǎng)絡(luò)隔離編制了網(wǎng)絡(luò)拓?fù)鋱D，描述網(wǎng)絡(luò)結(jié)構(gòu)并表示網(wǎng)絡(luò)的各組成部分之間在邏輯上和物理上的相互連接。實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。A.13.2.1信息交換策 略和程序制定了信息交換程序，規(guī)定：在使用電子通信設(shè)施進(jìn)行信息交換時(shí)，防止交換的信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳輸?shù)碾娮有畔?；公司互?lián)網(wǎng)的計(jì)算機(jī)，不得含有涉密的電子數(shù)據(jù)信息。A.13.2.2信息交換協(xié) 議公司建立了信息交換管理程序。目前尚無需要簽署信息交換協(xié)議的情況。A.13.2.3電子消息發(fā) 送公司建立了信息交換管理程序包括電子

28、郵件安全使用的策略，并將該策略傳達(dá)到所有員工予以執(zhí)行。A.13.2.4保密或不泄露協(xié)議查員工有簽署員工保密協(xié)議。查公司與外部相關(guān)方有簽暑相關(guān)方保密協(xié)議。A.15.1.1供應(yīng)商關(guān)系 的信息安全 策略有相關(guān)方信息安全管理程序，規(guī)定相關(guān)部門應(yīng)協(xié)冋綜合部識(shí)別供應(yīng)商對(duì)信息資產(chǎn)和信息處理設(shè)施造成 的風(fēng)險(xiǎn)，并在批準(zhǔn)供應(yīng)商訪問信息資產(chǎn)和信息處理設(shè)施前實(shí)施適當(dāng)?shù)目刂啤.15.1.2在供應(yīng)商協(xié) 議中解決安 全查有相關(guān)方服務(wù)保密協(xié)議，所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都應(yīng)在協(xié)議中反映。A.15.1.3信息與通信技術(shù)供應(yīng)鏈查相關(guān)方服務(wù)保密協(xié)議，包括信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)處理要

29、求。A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評(píng)有相關(guān)方服務(wù)評(píng)審報(bào)告。評(píng)價(jià)供應(yīng)商在服務(wù)過程中的安全情況。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18審A.15.2.2供應(yīng)商服務(wù)的變更管理目前供應(yīng)商服務(wù)無變更。A.10.4.1對(duì)惡意代碼 的控制措施現(xiàn)場(chǎng)測(cè)試掃描，沒有發(fā)現(xiàn)病毒。A.16.1.1職責(zé)和規(guī)程信息安全事件管理程序 規(guī)定：綜合部在接到報(bào)告后應(yīng)迅速做出響應(yīng)，各相關(guān)部門應(yīng)即使按要求米取處置措施與意見，將信息安全事件所造成的影響降低到最低限度。A.16.

30、1.2報(bào)告信息安全事態(tài)信息安全事件管理程序規(guī)定：安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、責(zé)任者應(yīng)立即向綜合部 報(bào)告，綜合部應(yīng)及時(shí)對(duì)事情、事故進(jìn)行反應(yīng)處理。所有員工有報(bào)告安全事故、事情的義務(wù)。目前尚無相關(guān)報(bào)告。A.16.1.3報(bào)告信息安全弱點(diǎn)信息安全事件管理程序 規(guī)定：各部門及全體員工應(yīng)按照要求及時(shí)識(shí)別安全弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)按技術(shù)薄弱點(diǎn)管理程序及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。目前尚無相關(guān)報(bào)告。A.16.1.4信息安全事態(tài)的評(píng)估和決策信息安全事件管理程序 規(guī)定：事件責(zé)任部門使用商定的信息安全事態(tài)和事件分級(jí)尺度評(píng)估每個(gè)信息

31、安 全事態(tài)，并決定該事態(tài)是否該歸于信息安全事件。事件的分級(jí)和優(yōu)先級(jí)有助于標(biāo)識(shí)事件的影響和程度。 目前尚未發(fā)生。A.16.1.5信息安全事件的響應(yīng)信息安全事件管理程序規(guī)定：事件響應(yīng)的首要目標(biāo)是重新回到“正常的安全水平”，然后啟動(dòng)必要的恢復(fù)。事件責(zé)任部門負(fù)責(zé)對(duì)信息安全事件予以響應(yīng)。目前尚未發(fā)生。A.16.1.6從信息安全事件中學(xué)習(xí)信息安全事件管理程序規(guī)定：事故發(fā)生以后，主管部門應(yīng)對(duì)事故發(fā)生的原因、類型、損失進(jìn)行鑒定， 并提出防止此類事故再次發(fā)生的措施和建議，形成事故調(diào)查分析及處理報(bào)告，責(zé)成責(zé)任部門實(shí)施糾正措施。目前尚未發(fā)生。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2017- 5- 7審核主題7.1

32、727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A.16.1.7證據(jù)的收集信息安全事件管理程序規(guī)定：事件責(zé)任部門應(yīng)對(duì)事件原因進(jìn)行分析，必要時(shí)，采取糾正措施，事件原 因及采取措施糾正結(jié)果要予以記錄。目前尚未發(fā)生。A.18.1.1可用的法律 和合冋要求 的識(shí)別查看相關(guān)法律法規(guī)，發(fā)現(xiàn)已獲取相關(guān)的國家及地方最新信息安全法律法規(guī)及其他要求，并通過相關(guān)渠道進(jìn)行補(bǔ)充。A.18.1.2知識(shí)產(chǎn)權(quán)查看相關(guān)法律法規(guī)，符合相關(guān)法律法規(guī)，尊重知識(shí)產(chǎn)權(quán)按法律、法規(guī)和合冋約定保護(hù)知識(shí)產(chǎn)權(quán)。A.18.1.3記錄的保護(hù)現(xiàn)場(chǎng)查看記錄，記錄根據(jù)不冋類型進(jìn)行妥

33、善保存，重要文檔應(yīng)得到相應(yīng)的保存措施，以滿足法律發(fā)規(guī)、合同和業(yè)務(wù)的要求。A.18.1.4個(gè)人可識(shí)別信息的隱私和保護(hù)信息處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門已按照有關(guān)規(guī)定，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)A.18.1.5密碼控制措 施的規(guī)則根據(jù)保護(hù)公司機(jī)密數(shù)據(jù)的要求，已正確應(yīng)用加密技術(shù)A.18.2.1信息安全的獨(dú)立評(píng)審綜合部負(fù)責(zé)組織和策劃內(nèi)部審核，根據(jù)策劃的時(shí)間間隔， 或者有特殊情況時(shí)，對(duì)組織管理信息安全的方法及其實(shí)施情況進(jìn)行獨(dú)立評(píng)審。A.18.2.2符合安全策 略和標(biāo)準(zhǔn)查看內(nèi)部審核記錄，發(fā)現(xiàn)審核的范圍覆蓋與信息安全管理體系有關(guān)的所有部門與安全區(qū)域，確保職責(zé) 范圍內(nèi)的所有安全程序正確完成，依從安全方針和標(biāo)

34、準(zhǔn)。A.18.2.3技術(shù)符合性 評(píng)審查看電腦，發(fā)現(xiàn)利用漏洞掃描等工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行技術(shù)性檢查，技術(shù)性審核在被監(jiān)督的情況下進(jìn)行，每次審核的范圍覆蓋與信息安全管理體系有關(guān)的所有部門與安全區(qū)域，確保職責(zé)范圍內(nèi)的所有安全程序正確完成，依從安全方針和標(biāo)準(zhǔn)。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符合項(xiàng)8.2信息安全風(fēng)險(xiǎn)評(píng)估有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間

35、、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。8.3信息安全風(fēng)險(xiǎn)處置有信息安全風(fēng)險(xiǎn)評(píng)處置計(jì)劃，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。A.6.1.1信息安全角色和職責(zé)公司在信息安全管理職責(zé)明細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS的建立、實(shí)施與保持工作。A.8.1.1資產(chǎn)清單有信息安全資產(chǎn)清單和重要信息資產(chǎn)清單，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)施、人員、相關(guān)方。A.8.1.2資產(chǎn)責(zé)任主體有信息資產(chǎn)清單、重要信息資產(chǎn)清單都定義了責(zé)任部門或責(zé)任人。A925用戶訪問權(quán)限的復(fù)查有用戶訪冋權(quán)審查記錄。A943口令管理系統(tǒng)所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循

36、以下原則：所有活動(dòng)帳號(hào)都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必 須更改,用戶定期變更口令等。A.1111物理安全邊界公司安全區(qū)域分類：特別安全區(qū)域、一般區(qū)域，本部門為特別安全區(qū)域。A.1112物理入口控制公司規(guī)定：公司人員上下班出入刷卡， 外來人員必須進(jìn)行外來人員登記后等待接待，若需進(jìn)入公司辦公區(qū)域，由接待人員陪同方可進(jìn)入。被審核部門行政財(cái)務(wù)部審核成員張三審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A.11.2.9清空桌面和屏幕策略現(xiàn)場(chǎng)查P

37、C機(jī)，桌面保持干凈A.12.3.1信息備份公司對(duì)重要數(shù)據(jù)進(jìn)行了備份。A.1244時(shí)鐘同步經(jīng)查：個(gè)人計(jì)算機(jī)均與網(wǎng)絡(luò)時(shí)鐘保持了同步。A.12.6.2軟件安裝限制軟件管理程序、個(gè)人計(jì)算機(jī)管理程序規(guī)定了對(duì)系統(tǒng)中軟件的控制，制定了允許安裝的軟件清單。A.16.1.2報(bào)告信息安全事態(tài)信息安全事件管理程序規(guī)定：安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、責(zé)任者應(yīng)立即向綜合部 報(bào)告，綜合部應(yīng)及時(shí)對(duì)事情、事故進(jìn)行反應(yīng)處理。所有員工有報(bào)告安全事故、事情的義務(wù)。目前尚無相關(guān)報(bào)告。A.16.1.3報(bào)告信息安全弱點(diǎn)信息安全事件管理程序 規(guī)定：各部門及全體員工應(yīng)按照要求及時(shí)識(shí)別安全弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)按技術(shù)薄弱

38、點(diǎn)管理程序及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。目前尚無相關(guān)報(bào)告。A.18.1.1可用的法律 和合冋要求 的識(shí)別查看相關(guān)法律法規(guī)，發(fā)現(xiàn)已獲取相關(guān)的國家及地方最新信息安全法律法規(guī)及其他要求，并通過相關(guān)渠道進(jìn)行補(bǔ)充。A.18.1.2知識(shí)產(chǎn)權(quán)查看相關(guān)法律法規(guī)，符合相關(guān)法律法規(guī)，尊重知識(shí)產(chǎn)權(quán)按法律、法規(guī)和合冋約定保護(hù)知識(shí)產(chǎn)權(quán)。A.18.1.3記錄的保護(hù)現(xiàn)場(chǎng)查看記錄，記錄根據(jù)不冋類型進(jìn)行妥善保存，重要文檔應(yīng)得到相應(yīng)的保存措施，以滿足法律發(fā)規(guī)、合同和業(yè)務(wù)的要求。A.18.1.4個(gè)人可識(shí)別信息的隱私和保護(hù)信息處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門已按照有關(guān)規(guī)定

39、，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)被審核部門營銷部審核成員李四審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符合項(xiàng)8.2信息安全風(fēng)險(xiǎn)評(píng)估有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。8.3信息安全風(fēng)險(xiǎn)處置有信息安全風(fēng)險(xiǎn)評(píng)處置計(jì)劃，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。A.6.1.1信息安全角色和職責(zé)公司在信息安全管理職責(zé)明細(xì)表里明確了信息安全

40、職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS的建立、實(shí)施與保持工作。A.8.1.1資產(chǎn)清單有信息安全資產(chǎn)清單和重要信息資產(chǎn)清單，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)施、人員、相關(guān)方。A.8.1.2資產(chǎn)責(zé)任主體有信息資產(chǎn)清單、重要信息資產(chǎn)清單都定義了責(zé)任部門或責(zé)任人。A.9.2.5用戶訪問權(quán)限的復(fù)查有用戶訪冋權(quán)審查記錄。A943口令管理系統(tǒng)所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：所有活動(dòng)帳號(hào)都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必 須更改,用戶定期變更口令等。A.11.1.1物理安全邊界公司安全區(qū)域分類：特別安全區(qū)域、一般區(qū)域，本部門為特別安全區(qū)域。被審核部門營銷部審核成員李四審

41、核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A.11.1.2物理入口控制公司規(guī)定：公司人員上下班出入刷卡， 外來人員必須進(jìn)行外來人員登記后等待接待，若需進(jìn)入公司辦公區(qū)域，由接待人員陪同方可進(jìn)入。A.11.2.9清空桌面和屏幕策略現(xiàn)場(chǎng)查PC機(jī)，桌面保持干凈A.12.3.1信息備份公司對(duì)重要數(shù)據(jù)進(jìn)行了備份。A.12.4.4時(shí)鐘同步經(jīng)查：個(gè)人計(jì)算機(jī)均與網(wǎng)絡(luò)時(shí)鐘保持了同步。A.12.6.2軟件安裝限制軟件管理程序、個(gè)人計(jì)算機(jī)管理程序規(guī)定了對(duì)系統(tǒng)中軟件

42、的控制，制定了允許安裝的軟件清單。A.16.1.2報(bào)告信息安全事態(tài)信息安全事件管理程序規(guī)定：安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、責(zé)任者應(yīng)立即向綜合部 報(bào)告，綜合部應(yīng)及時(shí)對(duì)事情、事故進(jìn)行反應(yīng)處理。所有員工有報(bào)告安全事故、事情的義務(wù)。目前尚無相關(guān)報(bào)告。A.16.1.3報(bào)告信息安全弱點(diǎn)信息安全事件管理程序 規(guī)定：各部門及全體員工應(yīng)按照要求及時(shí)識(shí)別安全弱點(diǎn)及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)按技術(shù)薄弱點(diǎn)管理程序及時(shí)向有關(guān)人員或部門報(bào)告并記錄，主管部門或安全管理負(fù)責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。目前尚無相關(guān)報(bào)告。A.18.1.1可用的法律和合冋要求的識(shí)別查看相關(guān)法律法規(guī)，發(fā)現(xiàn)已獲取相關(guān)的國家及地

43、方最新信息安全法律法規(guī)及其他要求，并通過相關(guān)渠道進(jìn)行補(bǔ)充。A.18.1.2知識(shí)產(chǎn)權(quán)查看相關(guān)法律法規(guī)，符合相關(guān)法律法規(guī)，尊重知識(shí)產(chǎn)權(quán)按法律、法規(guī)和合冋約定保護(hù)知識(shí)產(chǎn)權(quán)。A.18.1.3記錄的保護(hù)現(xiàn)場(chǎng)查看記錄，記錄根據(jù)不冋類型進(jìn)行妥善保存，重要文檔應(yīng)得到相應(yīng)的保存措施，以滿足法律發(fā)規(guī)、合同和業(yè)務(wù)的要求。A.18.1.4個(gè)人可識(shí)別信息處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門已按照有關(guān)規(guī)定，對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)被審核部門營銷部審核成員李四審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A181

44、1A1812A1813A1814信息的隱私和保護(hù)被審核部門技術(shù)支持部、開發(fā)部審核成員李四審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/條款核查事項(xiàng)核查記錄符合 項(xiàng)觀察 項(xiàng)不符合項(xiàng)82信息安全風(fēng)險(xiǎn)評(píng)估有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。83信息安全風(fēng)險(xiǎn)處置有信息安全風(fēng)險(xiǎn)評(píng)處置計(jì)劃，記錄了風(fēng)險(xiǎn)評(píng)估的時(shí)間、人員、資產(chǎn)數(shù)量、風(fēng)險(xiǎn)數(shù)量、優(yōu)先級(jí)等。A611信息安全角色和職責(zé)公司在信息安全管理職責(zé)明

45、細(xì)表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負(fù)責(zé)ISMS的建立、實(shí)施與保持工作。A811資產(chǎn)清單有信息安全資產(chǎn)清單和重要信息資產(chǎn)清單，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)施、人員、相關(guān)方。A812資產(chǎn)責(zé)任主體有信息資產(chǎn)清單、重要信息資產(chǎn)清單都定義了責(zé)任部門或責(zé)任人。A925用戶訪問權(quán)限的復(fù)查有用戶訪冋權(quán)審查記錄。被審核部門技術(shù)支持部、開發(fā)部審核成貝李四審核日期2018-8-8審核主題8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A943口令管理系統(tǒng)所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：所有活動(dòng)帳號(hào)都必須有口令保護(hù)，所有系統(tǒng)初始默認(rèn)口令必 須更改,用戶定期變更口令等。A.11.1.1物理安全邊界公司安全區(qū)域分類：特別安全區(qū)域、一般區(qū)域，本部門為特別安全區(qū)域。A.1112物理入口控制公