ISMS【信息安全系列培訓(xùn)】【內(nèi)部審核】課件

信息安全系列培訓(xùn)

-

內(nèi)部審核主要內(nèi)容審核基本概念審核過(guò)程審核策劃審核實(shí)施審核報(bào)告審核跟蹤基本概念為什么進(jìn)行審核ISO/IEC27001:2005:組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實(shí)施和保持；按預(yù)期執(zhí)行。ISO9001:2008組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以確定質(zhì)量管理體系是否:符合策劃的安排(見(jiàn)7.1)、本標(biāo)準(zhǔn)的要求以及組織所確定的質(zhì)量管理體系的要求;得到有效實(shí)施與保持。AgreeDisagree為什么審核向管理層展示觀點(diǎn)向管理層強(qiáng)調(diào)風(fēng)險(xiǎn)驗(yàn)證業(yè)務(wù)有效性識(shí)別培訓(xùn)需求發(fā)現(xiàn)不符合進(jìn)行檢查推動(dòng)改進(jìn)的工具獲得證書(shū)使相關(guān)方滿(mǎn)意審核的定義為獲得審核證據(jù)，并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定滿(mǎn)足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。ISO19001Firstparty/internalaudit

第一方/內(nèi)部審核SecondParty/externalaudit

第二方/外部審核ThirdParty/externalaudit

第三方/外部審核什么是審核準(zhǔn)則Organisation’sprocessesandoperations組織的流程和運(yùn)營(yíng)Organisation’smanagementmanual組織的管理手冊(cè)Workinstructions工作指導(dǎo)Specifications規(guī)范Systemstandard系統(tǒng)標(biāo)準(zhǔn)Statutory/Legislativerequirements法律需求Codesofpractice

最佳實(shí)踐Procedures程序什么是審核證據(jù)通過(guò)觀察、測(cè)量或?qū)嶒?yàn)獲得的，并且能夠被驗(yàn)證的關(guān)于管理體系要素的實(shí)施和運(yùn)行的定性或定量的信息、記錄或陳述。特點(diǎn)：可陳述的事實(shí)；可驗(yàn)證的事實(shí)；不含有推測(cè)和猜想。審核發(fā)現(xiàn)將收集的審核證據(jù)與審核準(zhǔn)則進(jìn)行比較所得出得評(píng)價(jià)結(jié)果。審核發(fā)現(xiàn)使審核的評(píng)價(jià)結(jié)果，這種結(jié)果是依據(jù)審核準(zhǔn)則，在審核證據(jù)的基礎(chǔ)上做出的，審核發(fā)現(xiàn)是編制審核報(bào)告的基礎(chǔ)。審核發(fā)現(xiàn)分類(lèi)Noteworthyeffort值得嘉獎(jiǎng)項(xiàng)Observation觀察項(xiàng)Non-conformity不符合項(xiàng)什么是不符合？不符合是指不能滿(mǎn)足要求ArequirementAfailingEvidenceISO9000:2000,clause3.6.2什么是觀察項(xiàng)?潛在問(wèn)題風(fēng)險(xiǎn)無(wú)效率無(wú)效力錯(cuò)誤的應(yīng)用最佳實(shí)踐錯(cuò)誤理解缺少溝通什么是值得嘉獎(jiǎng)項(xiàng)？采用最佳實(shí)踐

證明持續(xù)改進(jìn)

高層承諾動(dòng)機(jī)體系優(yōu)化審核案例（1）理賠部的Robin收到了一個(gè)從admin@來(lái)的email。這個(gè)email有一個(gè)免費(fèi)下載一個(gè)搜索工具。Robin點(diǎn)擊這個(gè)連接，他的計(jì)算機(jī)被毀壞了。立刻填了一個(gè)事故報(bào)告表并發(fā)給了Paul–系統(tǒng)管理員要求解釋和快速解決方案。Paul否認(rèn)曾送過(guò)那個(gè)email，但是幫助Robin格式化了他的計(jì)算機(jī)系統(tǒng)的硬盤(pán)并根據(jù)《保險(xiǎn)備份恢復(fù)程序》的要求恢復(fù)了他的數(shù)據(jù)有沒(méi)有不符合事項(xiàng)？審核案例（2）一個(gè)星期之后，Robin又收到了一個(gè)發(fā)自admin@郵件，這一次要求他的郵件口令字。Robin很生氣，與Paul發(fā)生了爭(zhēng)吵并要求對(duì)此類(lèi)問(wèn)題有個(gè)解決方案。他發(fā)出一個(gè)事故報(bào)告給Paul并轉(zhuǎn)發(fā)這個(gè)郵件給他，要求措施。Paul回答說(shuō)“對(duì)不起”并保證調(diào)查這個(gè)問(wèn)題Paul于是刪除了郵件，因?yàn)榇祟?lèi)郵件問(wèn)題好像經(jīng)常發(fā)生Isthisanonconformity?這是不符合事項(xiàng)嗎？審核案例（3）審核員在審核數(shù)據(jù)庫(kù)控制的時(shí)候發(fā)現(xiàn)某些在工作時(shí)間所進(jìn)行的變更需要通過(guò)一系列的處理過(guò)程，而在非工作時(shí)間進(jìn)行的變更卻只需要進(jìn)行很少的幾個(gè)步驟。審核案例（4）在物品接收檢驗(yàn)部門(mén)，稽核員注意到檢驗(yàn)員正在供貨商出貨計(jì)算機(jī)系統(tǒng)上輸入其員工代號(hào)，以作為物品接收檢驗(yàn)已滿(mǎn)意完成的證據(jù)。但是該員工的代號(hào)卻能在內(nèi)部的電話號(hào)碼表中輕易得知。審核案例（5）審核日期2001年11月14日。當(dāng)審查組織的管理階層審查會(huì)議紀(jì)錄時(shí)，稽核員注意到最后的會(huì)議紀(jì)錄日期是2001年5月15日?，F(xiàn)行的管制性公司程序復(fù)本AP.01第3版發(fā)行給稽核員，該程序上要求每三個(gè)月舉行管理階層審查會(huì)議。信息安全經(jīng)理說(shuō)明是因?yàn)楣芾硖庨L(zhǎng)在上個(gè)月已經(jīng)出國(guó)，而他們想要在稽核完成后立即舉行一次管理階層審查會(huì)議。系統(tǒng)方法將相互關(guān)聯(lián)的過(guò)程作為體系來(lái)看待、理解和管理，有助于組織提高實(shí)現(xiàn)目標(biāo)的有效性和效率。鏈條效應(yīng)審核的獨(dú)立性ISO9001:2008條款8.2.2組織應(yīng)策劃審核方案，策劃時(shí)應(yīng)考慮擬審核的過(guò)程和區(qū)域的狀況和重要性以及以往審核的結(jié)果。應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。ISO/IEC27001:2005條款6應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。應(yīng)確定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。審核的原則與審核員有關(guān)的原則道德行為公正表達(dá)職業(yè)素養(yǎng)與審核活動(dòng)有關(guān)的原則獨(dú)立性基于證據(jù)的方法審核員在體系審核中，審核員的“質(zhì)量”將直接影響到管理體系的審核質(zhì)量，進(jìn)而影響到審核機(jī)構(gòu)的信譽(yù)。審核的一致性，是體系審核活動(dòng)的最基本的要求。它是指不同的審核員在相同的條件下，其審核結(jié)果應(yīng)該是基本相同的。為了達(dá)到這一目的，應(yīng)該對(duì)審核員提出相應(yīng)的要求，以確保審核工作的質(zhì)量。概要審核員審核組長(zhǎng)全面負(fù)責(zé)各階段的審核工作；協(xié)助選擇審核組的成員；制定審核計(jì)劃、起草工作文件、給審核組成員布置工作；代表審核組與受審核方領(lǐng)導(dǎo)接觸；及時(shí)向受審核方報(bào)告關(guān)鍵性的不合格（不符合）情況；報(bào)告審核過(guò)程中遇到的重大障礙；審核組長(zhǎng)有權(quán)對(duì)審核工作的開(kāi)展和審核觀察結(jié)果作出最后的決定；清晰、明確地報(bào)告審核結(jié)果。組長(zhǎng)職責(zé)審核員在確定的審核范圍內(nèi)進(jìn)行工作；收集和分析與受審核的管理體系有關(guān)并足以對(duì)其下結(jié)論的證據(jù)；將觀察結(jié)果整理成書(shū)面資料；報(bào)告審核結(jié)果；驗(yàn)證由審核結(jié)果導(dǎo)致的糾正措施的有效性（當(dāng)委托方提出要求時(shí)）；收存、保管和呈送與審核有關(guān)的文件；配合和支持審核組長(zhǎng)的工作。組員職責(zé)審核過(guò)程審核過(guò)程PLANCONDUCTREPORTFOLLOW-UP審核過(guò)程–策劃審核計(jì)劃審核計(jì)劃包括年度審核計(jì)劃和審核活動(dòng)計(jì)劃（審核大綱）。年度審核計(jì)劃是審核策劃的始端也是總綱，審核活動(dòng)計(jì)劃則是按照年度審核計(jì)劃安排具體實(shí)施。審核計(jì)劃的內(nèi)容可包括：審核目的、范圍、審核準(zhǔn)則、審核組成員及分工、主要審核活動(dòng)的時(shí)間安排、首末次會(huì)議時(shí)間等。組織年度審核計(jì)劃應(yīng)以文件形式頒發(fā)，審核活動(dòng)計(jì)劃應(yīng)有審核組長(zhǎng)簽名和主管領(lǐng)導(dǎo)的批準(zhǔn)。年度審核計(jì)劃審核活動(dòng)計(jì)劃跟蹤審核計(jì)劃臨時(shí)性審核計(jì)劃成立審核小組根據(jù)審核活動(dòng)目的、范圍、部門(mén)、過(guò)程以及審核日程安排，選定審核組長(zhǎng)和成員，建立審核小組。小組成立后，應(yīng)明確各成員分工和要求，這是審核組長(zhǎng)的責(zé)任。審核組長(zhǎng)應(yīng)注意“審核員不能審核自己的工作”的原則。審核員按分配任務(wù)做好各項(xiàng)準(zhǔn)備工作。主要有：熟悉必要的文件和程序；根據(jù)要求編制檢查表；考慮前次審核結(jié)果應(yīng)跟蹤的項(xiàng)目。小組成立后通常應(yīng)舉行審核組會(huì)議，以確保審核前準(zhǔn)備工作全部完成，每個(gè)審核員對(duì)審核任務(wù)完全了解。審核計(jì)劃表COMPANY:LOCATION:LOCATION:AUDITCRITERIA:SCOPE:AUDITDATES:2nd-5thDecember2005AUDITTEAMFSmith LeadAuditorAanotherTimeAuditorActivity10:15OpeningMeetingwithSeniorManagementtoexplainthescopeoftheauditandthemethodofreporting.…..…..…….審核檢查表ACTIVITY:REFERENCES:DATE:DATE:ItemRequirement/questionResp/Ref.Findings/

Helpswithpreparation幫助準(zhǔn)備Focusestheauditor審核員關(guān)注Ensuresissuesarenotforgotten確問(wèn)題不被忘記Timecontrol時(shí)間控制Assistswithreporting報(bào)告AidsConsistency目標(biāo)堅(jiān)持不要思路狹窄,管理審核并不是檢查表審核檢查表的目的檢查表參考(1)類(lèi)別序號(hào)審核條目不符合項(xiàng)發(fā)現(xiàn)個(gè)人使用設(shè)備1檢查是否安裝了未授權(quán)軟件？對(duì)照《授權(quán)軟件清單》進(jìn)行檢查。

2檢查病毒軟件版本、病毒庫(kù)是否最新？應(yīng)小于3天。

3檢查操作系統(tǒng)補(bǔ)丁是否最新？小于1個(gè)月。

4檢查本地用戶(hù)口令是否設(shè)置,強(qiáng)度是否符合公司管理規(guī)定？8位，大小寫(xiě)。

5檢查屏保時(shí)間間隔是否<=5分鐘，并設(shè)置了口令恢復(fù)保護(hù)？

6檢查下班是否關(guān)機(jī)？

7檢查下班后桌面是否無(wú)“機(jī)密”及其它敏感資料？

8檢查下班后文件柜是否鎖閉？

9檢查是否刪除了共享（默認(rèn)及非默認(rèn)）？機(jī)器上有無(wú)共享目錄？

檢查表參考(2)類(lèi)別序號(hào)審查條目不符合項(xiàng)發(fā)現(xiàn)備注人事管理1詢(xún)問(wèn)人力資源管理流程

2查看重要崗位是否做背景調(diào)查

3查看重要崗位背景調(diào)查

重要崗位背景調(diào)查表4查看例行背景調(diào)查表

例行背景調(diào)查表5查看新員工錄用流程流轉(zhuǎn)單，權(quán)限的申請(qǐng)?jiān)O(shè)置

錄用批準(zhǔn)書(shū)6查看人員離職流轉(zhuǎn)單，權(quán)限的取消設(shè)置

員工離職申請(qǐng)書(shū)7查看幾個(gè)最新離職人員名單，并記錄

8入社時(shí)公司對(duì)長(zhǎng)期客戶(hù)員工交代過(guò)哪些必須注意事項(xiàng)

長(zhǎng)期客戶(hù)員工須知9長(zhǎng)期客戶(hù)員工入社時(shí)作過(guò)何種形式的承諾

入社承諾書(shū)10入社時(shí)公司對(duì)外借人員交代過(guò)哪些必須注意事項(xiàng)

外借人員實(shí)習(xí)生員工須知11外借人員入社時(shí)作過(guò)何種形式的承諾

入社承諾書(shū)12查看崗位變更申請(qǐng)書(shū)

崗位變更申請(qǐng)書(shū)13查看長(zhǎng)期出差申請(qǐng)書(shū)

長(zhǎng)期出差申請(qǐng)書(shū)14查看長(zhǎng)期請(qǐng)假申請(qǐng)書(shū)

長(zhǎng)期請(qǐng)假申請(qǐng)書(shū)15查看有無(wú)工資變更申請(qǐng)

工資變更確認(rèn)表16保潔擔(dān)當(dāng)有沒(méi)有按照要求簽署勞動(dòng)合同

勞動(dòng)合同中保密條款17抽查員工的1-3份勞動(dòng)合同

勞動(dòng)合同中保密條款18查看信息安全年度培訓(xùn)計(jì)劃

信息安全全年度培訓(xùn)計(jì)劃表19查看對(duì)新員工培訓(xùn)計(jì)劃

20查看培訓(xùn)記錄/（簽到表，一覽表）

是否有被培訓(xùn)人的簽字卻確認(rèn)21查看已經(jīng)發(fā)生的信息安全獎(jiǎng)懲記錄

審核過(guò)程–實(shí)施審核審核的兩大階段文件審核現(xiàn)場(chǎng)審核首次會(huì)議審核活動(dòng)審核報(bào)告末次會(huì)議首次會(huì)議首次會(huì)議應(yīng)該是正式的，并保存出席人員的紀(jì)錄。會(huì)議應(yīng)該有審核組長(zhǎng)主持。適當(dāng)時(shí)，首次會(huì)議應(yīng)該包括以下內(nèi)容：介紹與會(huì)者，包括概述其職責(zé)；確認(rèn)審核目的、范圍和準(zhǔn)則；與受審核方確認(rèn)審核日程以及相關(guān)的其他安排，例如：末此會(huì)議的日期和時(shí)間，審核組和受審放管理層之間的臨時(shí)會(huì)議以及任何新的變動(dòng)；實(shí)施符合所用的方法和程序，包括告知審核方證據(jù)只是給可獲得信息的樣本，因此在審核中存在不確定的因素；確認(rèn)審核組和受審核方之間的正式溝通渠道；確認(rèn)審核所用的語(yǔ)言；確認(rèn)在審核中將及時(shí)向受審核方通報(bào)審核進(jìn)展情況；確認(rèn)已具備審核組所需的資源和設(shè)施；確認(rèn)有關(guān)保密事宜；確認(rèn)審核工作時(shí)的安全事項(xiàng)、應(yīng)急和安全程序；確認(rèn)向?qū)У陌才?、作用和身份；?bào)告的方法，包括不符合的分級(jí)；有關(guān)審核可能被終止的條件的信息；關(guān)于審核的實(shí)施或結(jié)論的申訴系統(tǒng)的信息。審核活動(dòng)信息的收集方法面談對(duì)活動(dòng)的觀察文件評(píng)審審核的方式抽樣審核過(guò)程-報(bào)告編寫(xiě)你的審核發(fā)現(xiàn)根據(jù)風(fēng)險(xiǎn)和公司目標(biāo)排序發(fā)現(xiàn)決定公布那些不符合項(xiàng)/觀察項(xiàng)/值得努力項(xiàng)獨(dú)立完成報(bào)告編寫(xiě)（應(yīng)包括要求、不滿(mǎn)足、證據(jù)）審核報(bào)告格式

INTERNALAUDIT–FINDINGREPORTDate:Company/Department: RefNumber:Areaunderreview: Focus/RiskArea:Category:Non-conformity/Observation/Noteworthyeffort(deleteasneeded)Finding:Action: CloseDate:Auditor:審核報(bào)告分析（1）財(cái)務(wù)系統(tǒng)-新中大訪問(wèn)權(quán)限和密碼-應(yīng)明確系統(tǒng)的訪問(wèn)權(quán)限分配和加強(qiáng)密碼強(qiáng)度A.11.2.3風(fēng)險(xiǎn)評(píng)估-需要對(duì)網(wǎng)絡(luò)的評(píng)估符合實(shí)際的情況，例如：應(yīng)對(duì)網(wǎng)絡(luò)安全設(shè)備的硬件和策略的變更的風(fēng)險(xiǎn)進(jìn)行識(shí)別并符合風(fēng)險(xiǎn)要求；評(píng)估的風(fēng)險(xiǎn)應(yīng)有相應(yīng)的措施才能確認(rèn)風(fēng)險(xiǎn)已經(jīng)降低到可接受的程度。4.2.1加強(qiáng)開(kāi)發(fā)庫(kù)與受控庫(kù)的同步管理。并提高開(kāi)發(fā)庫(kù)的基線管理。A12.5.1應(yīng)明確軟件安裝基線及對(duì)正版軟件使用的要求和監(jiān)督檢查。A15.1.2內(nèi)部網(wǎng)絡(luò)維護(hù)的過(guò)程中需要加強(qiáng)遵照信息安全事故的管理規(guī)定進(jìn)行處理。A13應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)、資源的安全和使用狀況進(jìn)行數(shù)據(jù)分析和統(tǒng)計(jì)，并提供容量管理方案和計(jì)劃；豐富應(yīng)急方案的內(nèi)容并進(jìn)行和參加相應(yīng)的演練。A14應(yīng)加強(qiáng)對(duì)基礎(chǔ)架構(gòu)、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用的變更分類(lèi)原則和標(biāo)準(zhǔn)。

防火墻策略應(yīng)加強(qiáng)可審計(jì)性。并提供相應(yīng)的策略列表A10.6加強(qiáng)第三方服務(wù)交付的管理，把實(shí)際為我們提供服務(wù)的第三方列入《第三方服務(wù)匯總表》，并需要完善相應(yīng)的第三方工作記錄單。A10.2應(yīng)該將管理體系整合納入公司體系建設(shè)工作計(jì)劃,體系文件需要整合,內(nèi)部組織和管理過(guò)程需要整合.4公司ERP系統(tǒng)中的部分資產(chǎn)信息不完整,資產(chǎn)信息有缺項(xiàng).應(yīng)該有計(jì)劃實(shí)施資產(chǎn)配置審計(jì),確保ERP中資產(chǎn)信息的完整和準(zhǔn)確.A7審核報(bào)告分析（2）標(biāo)準(zhǔn)條款A(yù)10.1.2要求“對(duì)信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制?！?/p>

防火墻的安全控制規(guī)則在7月2日發(fā)生了變更，但未能提供相關(guān)的防火墻變更控制記錄。未能滿(mǎn)足標(biāo)準(zhǔn)的要求。A10.1.2《ISMS-L2-信息系統(tǒng)運(yùn)維管理規(guī)定》條款2.6要求“組織與外部網(wǎng)絡(luò)之間默認(rèn)禁止所有端口和協(xié)議，根據(jù)需要經(jīng)申請(qǐng)后開(kāi)通相應(yīng)端口”

但防火墻上卻啟用了”ANYTOANY“規(guī)則（規(guī)則號(hào)105）。

違背了公司所設(shè)定的”默認(rèn)禁止“的規(guī)定。A11.1.1標(biāo)準(zhǔn)條款A(yù)11.2.2要求“應(yīng)限制和控制特殊權(quán)限的分配及使用?！?/p>

組織內(nèi)普通員工均擁有客戶(hù)端PC的管理員權(quán)限，存在普通員工利用管理員管線修改安全規(guī)則的風(fēng)險(xiǎn)，如修改禁用USB端口的安全策略的風(fēng)險(xiǎn)。未能滿(mǎn)足“應(yīng)限制和控制特殊權(quán)限的分配及使用”的要求。A11.2.2標(biāo)準(zhǔn)條款A(yù)10.3.1要求”資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對(duì)于未來(lái)容量要求的預(yù)測(cè)，以確保擁有所需的系統(tǒng)性能。“

但組織沒(méi)有對(duì)容量的監(jiān)視要求以及監(jiān)視結(jié)果的記錄形成規(guī)定。A10.3.1末次會(huì)議審核組長(zhǎng)主持清楚的解釋審核發(fā)現(xiàn)

將審核發(fā)現(xiàn)與此同時(shí)公司業(yè)務(wù)目標(biāo)相聯(lián)系，并排序風(fēng)險(xiǎn)審核過(guò)程–審核跟蹤什么是審核跟蹤?驗(yàn)證糾正措施的實(shí)施和有效性確認(rèn)根本原因被描述,不僅僅找到直接問(wèn)題Nonconformities失誤原因模式LACKOFCONTROLBASIC

CAUSESIMMEDIATE

CAUSESINCIDENTSLOSSInadequate:-Policy-System-ComplianceInadequateorganisationfactors:-Human-Process-HardwareSubstandard:-Acts-ConditionsUndesiredevents:-Defects-Deviations-Non-conformance-Customer-Possibilities-Product-ReputationLACKOFCONTROL缺少控制不充分-策略-系統(tǒng)-符合性BASIC

CAUSES基本原因不充分的組織因素

人力-

流程-硬件IMMEDIATE

CAUSES直接原因不合格-行為-條件INCIDENTS事故不期望的事件-過(guò)失-背離不符合LOSS損失-客戶(hù)-

可能性-

產(chǎn)品-

名譽(yù)不符合項(xiàng)糾正措施案例（1）不符合項(xiàng)內(nèi)容描述原因分析糾正措施ISO/IEC27001:2005條款A(yù)11.3.1規(guī)定“應(yīng)要求用戶(hù)在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣?！钡珜徍藭r(shí)發(fā)現(xiàn)，員工張三/李四的計(jì)算機(jī)登錄口令分別為6個(gè)1和6個(gè)a。未能滿(mǎn)足標(biāo)準(zhǔn)要求的“遵循良好安全習(xí)慣”的要求。員工安全意識(shí)不強(qiáng)。不符合項(xiàng)糾正措施案例（2）不符合項(xiàng)內(nèi)容描述原因分析糾正措施ISO/IEC27001:2005條款A(yù)11.3.1規(guī)定“應(yīng)要求用戶(hù)在選擇及使用口令時(shí)，遵循良好的安全習(xí)慣。”但審核時(shí)發(fā)現(xiàn)，員工張三/李四的計(jì)算機(jī)登錄口令分別為6個(gè)1和6個(gè)a。未能滿(mǎn)足標(biāo)準(zhǔn)要求的“遵循良好安全習(xí)慣”的要求。員工安全意識(shí)不強(qiáng)。對(duì)員工是否遵循公司有關(guān)口令規(guī)定，缺乏定期及不定期檢查的規(guī)定和流程不符合項(xiàng)糾正措施案例（3）不符合項(xiàng)內(nèi)容描述原因分析糾正措施ISO/IEC2