2020年ISO27002013信息安全管理體系內(nèi)審資料

1、受控文件原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任2021年ISO27001-2021信息平安治理體系內(nèi)審資料原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任目錄1 .信息平安內(nèi)部審核報(bào)告2 .內(nèi)部信息平安治理體系審核方案3 .內(nèi)部信息平安審核方案4 .首末次會(huì)議記錄5 .內(nèi)部信息平安審核檢查表6 .內(nèi)部審核記錄表現(xiàn)場(chǎng)7 .內(nèi)部審核記錄表文件8 .內(nèi)部審核不符合項(xiàng)報(bào)告原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)公司內(nèi)部資料第1頁(yè)共33頁(yè)受控文件原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任 ISO27001:2021信息平安治理體系內(nèi)部審核報(bào)告審核目的：檢查公司信息平安治理體系是否符合ISO27001:2021的要求及有效運(yùn)行.審核依據(jù)：ISO2

2、7001:2021標(biāo)準(zhǔn)、信息平安手冊(cè)、程序文件、相關(guān)法律法規(guī)、 合同及適用性聲明等.審核范圍：ISO27001:2021手冊(cè)所要求的相關(guān)活動(dòng)及部門.審核時(shí)間：2021年1月6日1、現(xiàn)場(chǎng)審核情況概述本次審核按信息平安手冊(cè)及?內(nèi)部審核治理程序?要求,編制了內(nèi)審方案及實(shí)施方案并按方案進(jìn)行了實(shí)施.審核小組由4人組成,各分別按要求編制了?內(nèi)部審核檢查表?；內(nèi)審方案事先也送達(dá)受審核部門. 審核組在各部門配合下,按審核計(jì)劃,分別到部門、現(xiàn)場(chǎng),采用面談、現(xiàn)場(chǎng)觀察、抽查信息平安體系文件及信息平安體系運(yùn)行產(chǎn)生的記錄等方法,進(jìn)行了抽樣調(diào)查和認(rèn)真細(xì)致的檢查.審核組審核了包括治理層、各有關(guān)職能部等4個(gè)職能部門.公司內(nèi)部

3、資料第2頁(yè)共33頁(yè)受控文件原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任 審核員發(fā)現(xiàn)的不合格項(xiàng)已向受審部門有關(guān)人員指明,并由他們確認(rèn),審核員還就不合格項(xiàng)與受審部門商討了糾正舉措和方法.本次審核共提出不符合報(bào)告共4份,其中行政部3項(xiàng),研發(fā)部1項(xiàng).所涉及 的條款詳見(jiàn)?內(nèi)審不符合項(xiàng)NQ報(bào)告?2、體系綜合評(píng)價(jià)a最高治理者帶發(fā)動(dòng)工對(duì)滿足顧客和法律法規(guī)要求的重要性具有明 確的熟悉,能履行其承諾,治理責(zé)任明確,重視并參與對(duì)信息安 全治理體系的建立、保持和推動(dòng)持續(xù)改良活動(dòng).員工能準(zhǔn)確答出 公司信息平安方針和目標(biāo),表達(dá)了全員參與.但個(gè)別職能部門信 息平安活動(dòng)和人員中有責(zé)任不到位的情況.b建立的信息平安方針和信息平安目標(biāo)適合于

4、組織的特點(diǎn),在組織 內(nèi)得到溝通和理解,信息平安目標(biāo)根本有可測(cè)量性；但局部信息 平安分目標(biāo)的適宜性需進(jìn)一步修改,并應(yīng)對(duì)測(cè)算方法作進(jìn)一步改 善；3、審核發(fā)現(xiàn)信息平安治理體系文件的建立和實(shí)施經(jīng)現(xiàn)場(chǎng)審核時(shí),其適宜性、充分性和有效性根本滿足要求；各部門信息平安體系文件根本能適應(yīng)各自業(yè)務(wù)的需求.但在本次內(nèi)審中仍發(fā)現(xiàn)一些存在問(wèn)題：a.行政部：檢查行政部某電腦密碼設(shè)置過(guò)于簡(jiǎn)單,密碼長(zhǎng)度及復(fù)雜度不符合公司規(guī)定的要求.b.研發(fā)部：公司內(nèi)部資料第3頁(yè)共33頁(yè)受控文件原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任 抽查研發(fā)部某電腦,桌面存放太多文件,其中包含有密級(jí)敏感 的數(shù)據(jù),沒(méi)有執(zhí)行清空桌面策略.4、信息資產(chǎn)識(shí)別充分.重要信息資

5、產(chǎn)評(píng)價(jià)正確5、信息平安威脅辨識(shí)充分,根據(jù)威脅對(duì)重要信息資產(chǎn)的風(fēng)險(xiǎn)理解清晰,限制舉措得當(dāng),檢驗(yàn)方式科學(xué)合理.6、內(nèi)審的籌劃、間隔和實(shí)施范圍、深度及驗(yàn)證是適宜的；7、糾正、預(yù)防舉措對(duì)預(yù)防不合格再發(fā)生根本滿足要求.8、內(nèi)審的籌劃、間隔和實(shí)施范圍、深度及驗(yàn)證是適宜的；9、公司能過(guò)對(duì)信息資產(chǎn)、過(guò)程的監(jiān)視和測(cè)量,不合格品限制,內(nèi)審、 治理評(píng)審,糾正、預(yù)防舉措,數(shù)據(jù)分析等有系統(tǒng)的獲得與信息平安有 直接關(guān)系的信息,進(jìn)行分析并用于持續(xù)改良信息平安治理體系的有效 性.但各部門存在沒(méi)有按規(guī)定的方法付諸實(shí)施的需要改良現(xiàn)象.10、對(duì)于體系運(yùn)行有效性及符合性作如下總結(jié)：a公司建立并持續(xù)正常運(yùn)行信息平安治理體系根本滿足 I

6、SO27001:2021標(biāo)準(zhǔn)的要求,有水平證實(shí)自身的信息平安治理, 能向顧客證實(shí)治理是有效的.b公司文件化信息平安體系根本得到實(shí)施,開(kāi)展趨勢(shì)總的來(lái)說(shuō)是好 的,但開(kāi)展仍不平衡,特別是在適用性聲明中明確治理的過(guò)程控 制中仍有差距,各部門程序文件或作業(yè)文件還存在某些描述與實(shí) 際運(yùn)行不符的情況.c公司信息平安方針和信息平安目標(biāo)根本得到實(shí)現(xiàn),現(xiàn)有信息平安體系是有效的.公司內(nèi)部資料第4頁(yè)共33頁(yè)受控文件原創(chuàng) 李柏倫翻版盜賣者必追究責(zé)任 d初步具備了自我發(fā)現(xiàn)自我改良的水平,但建立的持續(xù)改良實(shí)施的 還不充分.e通過(guò)本次內(nèi)審,我們審核組認(rèn)為公司的信息平安治理體系根本符 合ISO27001:2021標(biāo)準(zhǔn)要求,信息

7、平安手冊(cè)、程序文件、適用性 聲明文件,能夠得以有效的實(shí)施,可以看出,體系的運(yùn)行是根本 符合的、有效的,能滿足信息平安籌劃的要求.今后將根據(jù)實(shí)際 需要重新規(guī)劃和調(diào)整局部體系文件,使得更能符合公司實(shí)際所需 的信息平安活動(dòng)的開(kāi)展.11、跟蹤驗(yàn)證方式請(qǐng)存在不合格項(xiàng)的受審部門制定糾正舉措, 并將實(shí)施效果及證實(shí) 資料,于1月10日前提交審核組進(jìn)行書面驗(yàn)證.12、其他事項(xiàng)：a體系運(yùn)行以體系文件為依據(jù),建議各部門對(duì)本部門員工要經(jīng)常宣 講體系文件,使各項(xiàng)信息平安活動(dòng)都能按體系文件的要求執(zhí)行, 納入標(biāo)準(zhǔn)的軌道,保證體系運(yùn)行的持續(xù)有效.各部門要根據(jù)不合 格報(bào)告舉一反三,把存在問(wèn)題擺出來(lái),責(zé)任到人,考核到人,限 期完成.而不僅僅是在紙面上進(jìn)行整改.真正把慣標(biāo)工作落在實(shí) 處,提升組織的治理水平.b信息平安文件和記錄是體系運(yùn)行的