2022年ISO27001信息安全管理体系全套内部审核记录

1、2022年IS027001信息安全管理体系全套内部审核记录目录信息安全内部审核报告内部信息安全管理体系审核方案内部信息安全审核计划首末次会议记录内部信息安全审核检查表内部审核记录表（现场）内部审核记录表（文件）&内部审核不符合项报告IS027001:2013信息安全管理体系内部审核报告审核目的：检查公司信息安全管理体系是否符合IS027001:2013的要 求及有效运行。审核依据：IS027001:2013标准、信息安全手册、程序文件、相关法律法规、 合同及适用性声明等。审核范围：IS027001:2013手册所要求的相关活动及部门。审核时间：2022年6月6日1、现场审核情况概述本次审核按信

2、息安全手册及内部审核管理程序要求，编制了 内审计划及实施计划并按计划进行了实施。审核小组由4人组成，各分别按要求编制了内部审核检查表； 内审计划事先也送达受审核部门。审核组在各部门配合下，按审核计 划，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文 件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细 致的检查。审核组审核了包括管理层、各有关职能部等4个职能部 门。审核员发现的不合格项己向受审部门有关人员指明，并由他们确 认，审核员还就不合格项与受审部门商讨了纠正措施和方法。本次审 核共提出不符合报告共4份，其中行政部3项，研发部1项。所涉及 的条款详见内审不符合项（NC）报

3、告2、体系综合评价a）最高管理者带动员工对满足顾客和法律法规要求的重要性具有明 确的认识，能履行其承诺，管理职责明确，重视并参与对信息安 全管理体系的建立、保持和推动持续改进活动。员工能准确答出 公司信息安全方针和目标，体现了全员参与。但个别职能部门信 息安全活动和人员中有责任不到位的情况。b）建立的信息安全方针和信息安全目标适合于组织的特点，在组织 内得到沟通和理解，信息安全目标基本有可测量性；但部分信息 安全分目标的适宜性需进一步修改，并应对测算方法作进一步改 善；3、审核发现信息安全管理体系文件的建立和实施经现场审核时，其适宜性、 充分性和有效性基本满足要求；各部门信息安全体系文件基本能

4、适应 各自业务的需求。但在本次内审中仍发现一些存在问题：a.行政部:检査行政部某电脑 密码设置过于简单，密码长度及复杂度不符合公司规定的要求。b.研发部：抽査研发部某电脑，桌面存放太多文件，其中包含有密级敏感 的数据，没有执行清空桌面策略。4、信息资产识别充分。重要信息资产评价正确5、信息安全威胁辨识充分，根据威胁对重要信息资产的风险理解清 晰，控制措施得当，检验方式科学合理。6、内审的策划、间隔和实施范围、深度及验证是适宜的；7、纠正、预防措施对防止不合格再发生基本满足要求。8、内审的策划、间隔和实施范围、深度及验证是适宜的；9、公司能过对信息资产、过程的监视和测量，不合格品控制，内审、 管

5、理评审，纠正、预防措施，数据分析等有系统的获得与信息安全有 直接关系的信息，进行分析并用于持续改进信息安全管理体系的有效 性。但各部门存在没有按规定的方法付诸实施的需要改进现象。10、对于体系运行有效性及符合性作如下总结：a）公司建立并持续正常运行信息安全管理体系基本满足 IS027001:2013标准的要求，有能力证明自身的信息安全管理， 能向顾客证明管理是有效的。b）公司文件化信息安全体系基本得到实施，发展趋势总的来说是好 的，但发展仍不平衡，特别是在适用性声明中明确管理的过程控 制中仍有差距，各部门程序文件或作业文件还存在某些描述与实际运行不符的情况。C）公司信息安全方针和信息安全目标基

6、本得到实现，现有信息安全 体系是有效的。d）初步具备了自我发现自我改进的能力，但建立的持续改进实施的 还不充分。e）通过本次内审，我们审核组认为公司的信息安全管理体系基本符 合IS027001:2013标准要求，信息安全手册、程序文件、适用性 声明文件，能够得以有效的实施，可以看岀，体系的运行是基本 符合的、有效的，能满足信息安全策划的要求。今后将根据实际 需要重新规划和调整部分体系文件，使得更能符合公司实际所需 的信息安全活动的开展。11、跟踪验证方式请存在不合格项的受审部门制定纠正措施，并将实施效果及证实 资料，于6刀10日前提交审核组进行书面验证。12、其他事项:a）体系运行以体系文件为

7、依据，建议各部门对本部门员工要经常宣 讲体系文件，使各项信息安全活动都能按体系文件的要求执行， 纳入标准的轨道，保证体系运行的持续有效。各部门要根据不合 格报告举一反三，把存在问题摆出来，责任到人，考核到人，限 期完成。而不仅仅是在纸面上进行整改。真正把惯标工作落在实 处，提高组织的管理水平。b）信息安全文件和记录是体系运行的重要依据，各部门都要重视。 建议各部门把程序文件所列的信息安全记录的表式逐一整理，在 实际运行中逐项落实，纠正原来不符合要求的表式，对所发的文 件和所收到的文件按程序规定，进行签发、收录登记，使文件和 记录尽快趋于完善。c）对控制目标的测量虽有良好的评价结果，但测量深度有

8、待进一步 加强，各分管职能人员要经常深入检查控制措施的落实情况，以 形成良好的习惯，促使管理工作上台阶。d）进一步建立和健全自我教育、自我评审、自我改进、自我完善的 机制，经常对照体系文件与己有关的条款，查错堵漏。内部审核 是抽样的，不是所有不合格项都能被观察到，各部门对不合格项 纠正时要做到举一反三，对己发现的不合格项，要抓紧制定纠正 措施。e）在贯彻落实标准方面，各部门还有待进一步加强培训力度。各部门与信息安全体系有关的各个环节的管理人员和操作人员，都要 针对性地学习与已有有关的文件内容，找出目前工作与信息安全体系 文件要求的差距，进行整改。只要我们针对些次审核中开岀的不合格 报告，认真分

9、析原因，举一反三的制定纠正措施，采取积极而不是应 付的，切实而不形式的，迅速而不是拖的态度来实施纠正措施，在经 过整改后，相信整个公司的信息安全体系运行达到完美状态。表格编号：Q3-HR-011 B/02022年度IS027001:2013信息安全管理体系内部审核方案1、审核目的：审核公司信息安全管理体系是否符合规定的要求，评价信息安全管理体 系运行效果是否符合IS027001:2013标准要求，通过审核借以完善和改进安 全管理体系。2、审核范围:IS027001:2013所要求的相关活动及有关职能部门3、审核准则：IS027001:2013标准、法律法规要求及客户要求、能源手册、程序文件及其

10、 他有关文件、记录表格。4、审核计划：部门/月份123456789101112管理层（含管代）业务部采购部研发部生产部品管部行政部图例说明：N 区凶 计 划 审核已进行 纠正措施已制定 纠正措施已验证编帝g： 审核： 扌比准：日期： 日期： 日期：表格编号：Q3-HR-005 B/0IS027001:2013内部审核计划审核目的审核本公司的信息安全管理体系是否符合规定的要求，评价能源管理体系运行效果是否符合IS027001:2013标准要求，通过审核借以完善和改进信息安全管理体系。审核性质内部审核审核范围IS027001:2013所要求的相关活动及有关职能部门.包括：管理者代表，生产部 及各车

11、间，技术部，行政部，采购部，业务部，仓库，品管部，模具车间等审核依据IS027001:2013标准、法律法规要求及客户要求、信息安全管理手册、程序文件 及其他有关文件、记录表格。审核组组长：AA组员：BB, CC, DD审核日期2022年6月6日日期时间第一组文件审核（AA, CC）第二组现场审核（BB）4月11日8:30-9:00首次会议9:00-9:30业务部生产部各车间现场（五金，抛光、注塑）9:30-11:00生产部生产部各车间现场（装配包装生产线）11:00-11:30采购部模具车间及工厂周边11:30-12:00行政部三个仓库（包含3个库存出.仓抽样）12:00-14:00中午休息

12、14:00-15:00研发部质量：研发部及样板房环境：饭堂宿舍化学品仓危网仓15:00-17:00品管部品管部17:00-17:20审核组内部沟通17:20-17:50末次会议内部审核日程安排计划编制人：（审核组长）批准人：（管理者代表）日期：年月日日期：年月 日表格编号：Q3-HR-006 B/0内审首次/末次会议签到表首次会议末次会议序号参加人员签名部门职位日期序号参加人员签名部门职位日期表格编号：Q3-HR-007 B/0文件编号：GD-S4-0182022年IS027001-2013信息安全管理体系内审检查表审核日期：2022. 06.06适用条款审核问题审核方式审核记录审核结果体系

13、条款标题4组织环境4.14. 1理解组织及其环境管理者代表是否了解公司的业务以及行业环境访谈4.24. 2理解相关方的需求和期望检查组织是否了解客户合同中的需求访谈4.34.3确定信息安全管理体系的范围检查组织的信息安全管理体系手册中是否有明确管理范围检查组织的适用性声明，是否针对实际 情况做合理删减访谈4.44.4信息安全管理体系检查组织是否有正式的信息安全管理体系制度抽样5领导5.15. 1领导和承诺组织是否制定了明确的信息安全方针和 目标，这些方针和目标与公司的业务是 否相关。访谈5.25.2方针是否有文件化的管理方针现场观察5.35.3组织角色、职责和权限是否建立了的信息安全管理组织，

14、并明确其职责及权限访谈6规划6.16.1应对风险和机会的措施6. 1. 1总则检查组织是否建立正式的风险评估流程现场观察6. 1.2信息安全风是否建立了风险接受准则现场观察险评估风险评估实施情况现场观察抽样最新一次风险评估内容，检查风险是否识别了责任人，风险级别现场观察6. 1. 3信息安全风险处置检查组织的风险处置计划，风险是否都有风险责任人审批，风险处置方式。现场观察6.2信息安全目标和规划实现检查组织是否建立信息安全目标，信息安全目标与管理方针是否存在关联现场观察7支持7. 1资源组织应确定并提供建立、实施、保持和 持续改进信息安全管理体系所需的资 源。访谈7.2能力检查组织在岗位说明书

15、中明确信息安全方面的能力要求现场观察检查组织的培训计划，是否有信息安全方面的培训内容现场观察7.3意识随机访谈各部门员工5人，了解其是否 知晓故新的信息安全管理体系及相关制 度。访谈7.4沟通了解组织与相关方沟通的方式，频率以及沟通的记录访谈运行8. 1运行的规划和控制检查内容详见A5-A189绩效评价9. 1监视、测量、分析和评价检查组织是否有体系有效性测量流程现场观察9.2内部审核检查组织是否建立了内审流程现场观察检查最新的内审活动，是否包含检查清 单、检查过程是否有效，对不符项的关 闭情况9. 3管理评审检查公司的管评计划检查公司最新的管评活动记录10改进10. 1不符合和纠正措施检查内

16、容同9. 1 9.2A. 5安全方针A. 5.1信息安全管理方向A. 5. 1. 1信息安全方针组织是否制定了明确的信息安全方针和 目标，这些方针和目标与公司的业务是 否相关。现场观察A. 5. 1.2信息安全方针的评审获取组织管理评审相关记录，检查管理 评审会议中，是否对信息安全方针的达 成情况进行了评审。A. 6信息安全组织A. 6.1内部组织A. 6. 1. 1信息安全的角色和职责是否所有的组织成员都明确自己的信息 安全职责？以及对自己信息安全职责 的明确程度？信息安全职责的分配是否 与信息安全方针文件相一致？现场观察A. 6. 1.2与监管机构的联系检查体系制度中，是否明确指定了与监管

17、机构联系的部门或负责人现场观察A. 6. 1.3与特殊利益团体的联系与第三方接洽是否考虑了安全性？是否对相关资质和背景进行考察？现场观察A. 6. 1.4项目管理中的信息安全抽样检查本年度已实施完成的项目或正在实施的任意一个项目。检查项目管理过程中，是否依照组织信 息安全管理制度相关要求进行安全管理现场观察A. 6. 1.5职责分离检查组织的岗位职责表，检查是否明确定义了职责说明。检查是否有不兼容岗位设置说明；检查系统开发、系统测试、系统运维是否由不同人员担任。现场观察A. 6.2移动设备和远程办公A. 6. 2.1移动设备策略检查公司信息安全管理制度中是否明确 的制定了移动设备的安全管理策略

18、； 随机抽样3台移动设备，检查设备的安 全管控措施是否与制度相符。现场观察A. 6. 2. 2远程办公检査公司信息安全管理制度中是否明确的制定了远程办公的管理策略；现场观察A.7人力资源安全A. 7.1任用之前A. 7. 1. 1筛选随机抽样4名新入职员工的入职材料， 检查员工入职前，背景调查的相关记录.现场观察A. 7. 1.2任用的条款及条件检查这4名新入职员工的劳动合同及是否签署了保密协议。现场观察A. 7.2任用中A. 7. 2.1管理职责随机抽样5名员工，检查是否了解其工作职责。抽样A. 7. 2. 2信息安全意识，教育和培训获取组织年度的培训计划；检查年度培训计划中是否包含了信息安

19、全意识培训；现场观察获取当年度信息安全培训的签到表、培训记录A. 7. 2. 3纪律处理过程检查组织是否制定了奖惩规则；获取当年奖惩记录抽样A. 7.3任用的终止或变化A. 7. 3.1任用终止或变化的责任获取当年离职离岗或转岗人员清单；随机抽样四份离职或转岗记录，检查所有控制环节是否都被有效实施；抽样A.8资产管理A. & 1对资产负责A. & 1. 1资产清单获取组织的信息资产清单；检查信息资产淸单是否每年都进行更新；现场观察A. 8. 1.2资产责任人检查资产淸单中各类信息资产是否都指定了责任人；抽样5份重要的信息资产，验证己定义 的信息资产责任人是否与实际相符；现场观察A. & 1.3

20、资产的允许使用了解组织重要系统或数据是否定义了访 问规则；检查系统及数据访问的审批或 授权记录。现场观察A. & 2信息分类A. & 2. 1信息的分类检查信息资产相关制度，组织是否已定义了资产分类分级的标准；检查信息资产清单，各类信息资产是否 依照规则进行了分类和分级；现场观察A. & 2. 2信息的标记随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级现场观察A. & 2. 3资产的处理检查信息资产相关制度，制度中是否已明确制定了资产的处理措施；现场观察A. & 2. 4资产的归还随机抽取本年度4份离职单，查看物品归还情况抽样A. 8.3介质处理A. & 3.1可移动介质的管

21、理现场观察移动存储使用和管控与制度是否相符；现场观察A. & 3. 2介质的处置检査是否建立介质消磁管理办法，并按要求定期进行回顾与更新；抽査4份介质报废的审批及处置记录抽样A. 8. 3. 3物理介质传输存有重要信息的介质传送时有哪些策略抽样策略的实施情况抽样-访问控制A. 9.1访问控制的业务要求A. 9. 1. 1访问控制策略检查组织是否建立了系统的访问控制策略；是否建立了安全或重要区域的访问控制 措施现场观察A. 9. 1.2网络服务的使用政策检查组织是否建立了网络安全域访问控制策略；现场观察A. 9.2用户访问管理A. 9. 2. 1用户注册和注销检查账户开通管控情况：抽样2份重要业

22、务系统用户帐号开通审批记录抽样4份新员工帐号开通申请记录抽样A. 9. 2. 2特权管理检查特权账户授权、使用管控情况： 抽样3份重要系统特权账户授权审批记抽样录检查特权账户使用是否符合制度要求A. 9. 2. 3用户秘密认证信息的管理检查组织用户口令管理策略，是否对口 令生成、发送、变更等环节制定了控制 措施。抽样A. 9. 2. 4用户访问权的复查抽样2套重要的服务器用户帐号及权限 复查记录：检查账户及权限复查工作是 否满足制度要求抽样A. 9. 2. 5移除或调整访问权限随机检査2个重要系统账户清单，检查今年离职用户的账户是否被删除或冻结抽样A. 9.3用户职责A. 9. 3. 1秘密认

23、证信息的使用随机检査3名员工电脑，要求其现场登录，观察输入的密码长度及复杂程度抽样A. 9.4系统和应用程序的访问控制A. 9. 4. 1信息访问限制公司各类信息是否制定了相应的访问控制措施现场抽查访问控制措施的有效性抽样A. 9. 4. 2安全登录程序检查公司系统登录程序，是否做到输入 密码时，不显示密码。密码连续输错N 次自动锁定；系统不操作一定时长后自 动退出等功能。抽样A. 9. 4. 3口令管理系统检查域控的密码策略，检查密码设置的 长度、复杂程度、修改周期是否符合制 度要求；随机抽查2个重要系统的用户密码管理 策略，检查密码设置的长度、复杂程度、 修改周期是否符合制度要求；抽样A.

24、 9. 4. 4特权实用程序的使抽查公司域控、重要系统中是否存在特抽样用权实用程序，这些程序的安全使用是否 得到相应的审批A. 9. 4. 5程序源码的访问控制检查源程序访问控制制度和措施抽查源程序控制措施，检查其是否符合制度要求抽样A. 10密码学A. 10.1密码控制A. 10. 1.1密码使用控制政策检査公司是否制定了加密策略，包括加 密的对象、加密的方法、解密的方法等。抽样A. 10. 1.2密钥管理检査公司对密钥生命是否制定了控制措 施。抽样A. 11物理和环境安全A. 11.1安全区域A. 11. 1.1物理安全边界重要安全区域是否隔离？现场观察A. 11. 1.2物理入口控制现场

25、抽样3份设备进出单 检查职场、机房进出记录？抽样A. 11. 1.3办公室，房间和设施的安全保护现场查看办公室的防火防盗措施，检查职场大门是否常闭抽样A. 11. 1.4外部和环境威胁的安全防护周遍环境的检查（灭火设备、危险物品存 放）抽样A. 11. 1.5在安全区域工作安全区域是否有明确的管控措施检查是否有员工违背安全区域管控措施的行为抽样A. 11. 1.6交付和交接区前台的检查（检查记录是否完备）前台脱 岗，保安脱岗.抽样A. 11.2设备A. 11.2.1设备安置和保护检查设备是否按照要求放在适当的位置？（灭火器材、服务器）抽样A. 11.2.2支持性设备检查核心设备是否安置了足够的

26、支持设 施（防火、防水、防潮、防断电、防雷 电、防盗窃等）抽样A. 11.2.3布缆安全检查强电与弱电电缆是否分开部署抽样A. 11.2.4设备维护检查机房巡检记录，获取UPS、精密空调、消防设施的维护记录；验证设备维护是否依照制度的要求及频率实施抽样A. 11.2.5资产的移动与相关人员访谈，了解资产移动的控制措施；抽样A. 11.2.6场外设备和资产安全检查相关制度，是否明确制定了场外设备管控措施；抽样A. 11.2.7设备的安全处置或再利用随机抽样下架设备数据清理的记录抽样A. 11.2.8无人值守的用户设备现场观察机房中的服务器是否锁屏，机房门是否常闭现场观察A. 11.2.9清除桌面

27、和清屏策略随机抽样3名离开工位的员工，观察工 位上是否有敏感信息，电脑是否在一定 时间内自动锁频现场观察A. 12操作安全A. 12.1操作程序和职责A. 12. 1.1文件化的操作程序检查3份重要系统或设备的操作或维护手册形成的文件程序是否符合要求？（备份、抽样日志、重置维护等）A. 12. 1.2变更管理抽样3个重要系统的变更记录？抽样A. 12. 1.3容量管理是否对重要设备、系统的容量（CPU、内 存、硬盘、网络带宽等）进行了监控？ 现场检查监控报警是否都被处置，及处 置记录抽样A. 12. 1.4开发，测试和运行环境的分离现场检查开发、测试和生产网络是否互通；开发、测试和生产人员是否

28、为同一人员。抽样A. 12. 2恶意软件防护A. 12. 2.1控制恶意软件抽样5台办公终端，检查是否统一安装 了公司规定的防病毒软件； 检查病毒库是否为最新的。抽样A. 12. 3备份A. 12. 3.1信息备份获取备份策略；依照备份策略，随机抽样3份备份，检 查备份记录及备份文件存放情况；依照备份策略，随机抽样3份备份恢复 记录；抽样A. 12. 4记录和监控A. 12. 4.1事件日志日记记录表的检查抽查重要系统、核心网络设备的日志审计记录（日志检查表）抽样A. 12. 4.2日志信息的保护检査检査重要系统日志防护措施，是否保障日志不被随意删除、篡改抽样A. 12. 4.管理员和操作员日

29、随机抽取3份重要系统或设备的管理员抽样3志操作日志审核记录A. 12. 4.4时钟同步抽查3台系统设备的时间，确定是否保持一致抽样A. 12. 5操作软件的控制A. 12. 5.1操作系统软件的安装检查生产系统软件安装的审批记录；抽样A. 12. 6技术漏洞管理A. 12. 6.1技术漏洞的管理抽查公司漏洞扫描记录及处置记录抽样A. 12. 6.2限制软件安装检查是否有软件白名单或黑名单随机抽样3台办公终端，查看是否可以 随意安装软件检查抽样的办公终端，查看是否存在违规软件抽样A. 12. 7信息系统审计考虑A. 12. 7.1信息系统审计控制获取上一年度审核计划及审批记录访谈A. 13通信安

30、全A. 13. 1网络安全管理A. 13. 1.1网络控制检查一台核心防火墙的规则策略，是否与公司网络控制策略相符；抽样A. 13. 1.2网络服务的安全检查公司网络设备及安全设备的策略是否能有效的限制和防护网络服务抽样A. 13. 1.3网络隔离获取网络拓扑图；了解安全域或网段划分策略；检查隔离网段间是否能互连；访谈A. 13. 2信息传输A. 13. 2.1信息传输的策略和程序检查组织对敏感信息制定了传输和控制策略；现场查看，传输控制措施的实施情况；抽样A. 13. 2.2信息传输协议检查组织是否制定了信息传输协议使用策略及要求；现场观察A. 13. 2.3电子消息检查组织是否制定了电子邮

31、件、及时通信工具的使用策略；现场观察A. 13. 2.4保密或不泄露协议随机抽查3位研发人员的保密协议，查 看协议中是否明确保密要求。抽样系统获取，开发和维护A. 14. 1信息系统的安全要求A. 14. 1.1安全需求分析和规范获取本年度己完成或正在实施的软件开发项目清单；获取组织系统开发规程，检查开发规程 中，是否明确各类系统开发时信息安全 的设计要求；获取一个项目的需求及开发文档，检査 文档中是否有信息安全相关的需求及开 发设计；抽样A. 14. 1.2保护公共网络上的应用服务检査公司官网信息变更控制内容现场观察A. 14. 1.3保护应用服务交易检查网络交易类应用服务系统，在数据交换、

32、网络连接等方面是否制定了控制措施；现场观察A. 14. 2开发和支持过程中的安全A. 14. 2.1安全开发策略检查公司是否建立了开发策略抽样A. 14. 2.2变更控制程序检查新系统上线审批记录；检查新系统变更审批记录；抽样A. 14. 2.3操作平台变更后对应用的技术评估获取生产系统操作系统升级记录，检查升级前的评估测试记录；抽样A. 14. 2.4软件包变更的限制检查组织是否建立了系统开发软件包变更控制措施；抽样A. 14. 2.5系统开发程序检查组织是否建立了系统开发程序及过程抽样A. 14. 2.6安全的开发环境现场检査开发环境是否与办公环境物理分隔观察开发网络控制措施的有效性抽样A

33、. 14. 2.7外包开发检查组织是否制定了外包开发策略。抽样A. 14. 2.8系统安全性测试抽取已上线系统的安全测试报告抽样A. 14. 2.9系统验收测试抽取系统验收报告及各项测试报告抽样A. 14. 3测试数据A. 14. 3.1测试数据的保护检查生产数据脱敏记录；现场观察A. 15供应关系A. 15.1供应关系的安全A. 15. 1.1供应关系的信息安全策略检查组织是否建立了供应商信息安全管理策略访谈A. 15. 1.2供应商协议中的安全获取本年度供应商清单；随机抽取3份供应商合同及保密协议，检査合同或保密协议中是否明确了信息抽样安全方面的要求。A. 15. 1.3信息和通信技术供应

34、链检查与通信供应商签署合同中，是否明确了网络线路的可用性要求访谈A. 15. 2供应商服务交付管理A. 15. 2.1监测和审查供应商服务了解供应商考核方式随机抽查3份供应商考核记录；抽样A. 15. 2.2供应商服务变更管理了解供应商服务变更管理策略；随机抽查1份供应商服务内容变更及变更审批的记录抽样ki6信息安全事件管理A. 16.1信息安全事件管理和持续改进A. 16. 1.1职责和程序检査公司有无明确定义信息安全事件处置流程和职责访谈A. 16. 1.2报告信息安全事态了解信息安全事件上报流程；获取信息安全事件上报记录访谈A. 16. 1.3报告信息安全弱点访谈任意1名员工，观察其是否了解可疑安全事件上报流程访谈A. 16. 1.4评估和确定信息安全事态随机抽取2份信息安全事件处置记录， 检查事件评估及处置记录是否齐全，是 否符合制度要求访谈A. 16. 1.5信息安全事件响应检查信息安全事件处置记录，查看事件相应及处置时间是否如何制度要求访谈A. 16. 1.6回顾信息安全事故抽样当年信息安全事件总结记录访谈A.