ISO27001 2022版内部审核+管理评审全套资料

第2页共2页信息安全内部审核计划表编号：ZHKJ-TSMS-4-12版本：A1.0审核目的通过信息安全管理体系审核，检查各部门执行体系文件情况，验证适宜性、充分性、有效性。审核依据ISO/IEC27001:20XX标准、管理体系文件、适用性声明、有关法律法规、合同。审核范围与计算机信息系统集成相关的信息安全管理服务审核部门信息安全管理体系覆盖的所有部门审核组序号姓名职责A组长B组员C组员审核时间20XX年11月10日审核日程安排审核组活动安排所涉及的体系要求被审核部门8首次会议各部门C组9:00-11:30管理职责：5.1/5.2/A.5.1/A.5.4/5.3/A.5.2/7.1/6.2/7.4/A.5.5/A.5.6管理评审：9.3/A.5.1/10.1/A.5.35管理层13:30-17:00体系建立：4.4/4.3/4.1/4.2/6.1.1/8.1/9.1/A.5.1/A.5.36/7.5/A.5.33/A.5.37/A.5.15/A.5.12/A.5.13/6.3风险评估：8.2/6.1.2/6.1.3/8.3/A.5.9/5.23法律法规识别：A.5.31办公区域的物理安全：A.7.1/A.7.2/A.7.3/A.7.4/A.7.5/A.7.6移动介质管理：A.7.10PC机管理：A.5.17/A.8.18/A.8.19/A.8.19/A.5.32/A.7.7/A.8.7/A.8.13文档管理：7.5.3/A.5.13/A.5.33信息安全事件管理：A.5.24/A.5.25/A.5.26/A.5.27/A.5.28/A.6.8业务连续性管理：A.5.29/A.5.30/A.8.14内部审核：9.2/10.1/10.2/A.5.35管理运营部B组9:00-11:00人力资源管理：7.2/A.6.1/A.6.2/A.6.6/A.6.3/7.3/A.6.4/A.6.5/A.5.11/A.5.18/A.5.34/A.5.33人力资源部14:00-16:30企业特殊区域的物理安全（适用于财务室、保密室、档案室等区域）:A.7.3/A.7.5密钥（加密狗、U盾）的使用：A.8.24保险柜的使用：A.8.24/A.5.31供应商管理：A5.19/A.5.20/A.5.21/A.5.22/A.5.23/A.8.30财务资产部/采购保障部A、B组9:00-17:00机房环境及设备的管理：A.7.2/A.7.3/A.7.5/A.7.11/A.7.12/A.7.13/A.7.14内外网络的管理：A.5.3/A.8.20/A.8.21/A.5.15/A.8.22/A.8.9/A.8.6/A.8.1/A.5.7/A.8.23/A.8.16用户访问权的管理：A.5.16/A.8.2/A.5.17/A.5.18应用系统服务器的管理：A.8.3/A.6.7/A.8.5/A.5.17/A.8.18/A.8.19/A.5.32/A.8.7/A.8.13/A.8.12/A.7.7/A.8.15/A.8.17/A.8.10对使用中系统的管理：A.8.26/A.8.29/A.8.8/A.5.36/A.8.34/A.8.11应用系统的开发、测试和变更：A.8.26/A.8.27/A.8.25/A.8.32/A.8.31/A.8.24/A.5.31/A.8.29/A.8.33/A.8.4/A.8.28IT设备管理：A.8.32/A.5.10/A.7.8/A.7.13/A.7.14/A.8.1/A.7.10/A.7.9服务项目涉及的信息安全：A.5.8/A.7.9/8.2/8.3/A.5.9/A.7.3/A.7.6/A.6.2/7.5.3/A.5.13/A.5.33信息传输要求:A.5.14/A.8.12智慧城市事业部/安全质量部A、B、C17:00-17:30末次会议备注：1、在内审实施中各部门要配合内审人员进行内审工作;在内审实施中要避免言语冲突的发生;内审员对审核结果要及时记录(无论是否符合),并要被审核部门代表签字确认。编制：审核：批准：日期：ISMS内审检查表审核条款各部门审核情况一览审核详情备注编号ISO27001章节审核指南管理层管理运营部智慧城市事业部财务资产部人力资源部采购保障部安全质量部4组织的背景4组织的背景符合4.1了解组织现状及背景1、体系文件中对公司的概况是否有介绍。

2、有没有明确的体系范围和边界？

3、手册中对客户的要求是否有识别？

4、完整的体系文件？YESNANANANANANA符合4.2理解相关方的需求和期望YESNANANANANANA符合4.3确定信息安全管理体系的范围YESNANANANANANA符合4.4ISMSYESNANANANANANA符合5领导力5.1领导力和承诺1、管理者对ISMS做出哪些承诺？

2、管理者为ISMS提供哪些资源？

3、管理者对ISMS的重要性是否给予传达。

4、颁布令和授权令YESNANANANANANA符合5.2方针YESNANANANANANA符合5.3组织角色、职责和承诺YESNANANANANANA符合6规划6.1应对风险和机会的措施6.1.1总则1、ISMS建立时间？

2、方针目标？

3、风险评估？

4、适用性条款？

5、风险处置计划？YESNANANANANANA符合6.1.2信息安全风险评估YESNANANANANANA符合6.1.3信息安全风险处置YESNANANANANANA符合6.2信息安全目标和规划实现1、信息安全方针包含信息安全目标或设置信息安全目标提供框架？YESNANANANANANA符合6.3变更的策划YESNANANANANANA符合7支持7.1资源提供了体系建立需要的资源YESNANANANANANA符合7.2能力对体系内的工作者有能力的评价NANANANAYESNANA符合7.3意识对体系内的工作者有安全意识的培训NANANANAYESNANA符合7.4沟通是否有相应的沟通管理程序NANANANAYESNANA符合7.5文件记录信息7.5.1总则体系所需要的文件和记录完整NAYESNANANANANA符合7.5.2创建和更新1、组织是否编制了文件控制规程？

2、组织是否遵循文件控制规程？NAYESNANANANANA符合7.5.3文件记录信息的控制NAYESNANANANANA符合8运行8.1运行的规划和控制管理者是否确保在其职责范围内的所有安全程序都能得到正确执行？NAYESYESYESYESYESNA符合8.2信息安全风险评估1、体系文件有运行中风险评估的触发条件及固定周期

2、实施风险处置计划？NAYESYESYESYESYESNA符合8.3信息安全风险处置NAYESYESYESYESYESNA符合9绩效评价9.1监视、测量、分析和评价1、通过哪些方式监控体系运行，持续改进ISMS有效性？NAYESNANANANANA符合9.2内部审核1、体系中对内审有明确要求NAYESNANANANANA符合9.3管理评审1、体系中对管理评审有明确要求YESNANANANANANA符合10改进10.1不符合和纠正措施1、是否有纠正措施控制程序？NAYESNANANANANA符合10.2持续改进1、是否有对持续改进的时间及跟踪要求？NAYESYESYESYESYESYES符合A.5组织控制A.5.1信息安全的策略集信息安全方针文件是否由管理者批准、发布？YESNANANANANANA符合A.5.2信息安全角色和职责信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调？YESNANANANANANA符合A.5.3职责分离所有信息安全职责是否有清晰的定义YESNANANANANANA符合A.5.4管理者职责管理者是否要求雇员、承包方人员和第三方人员，按照该组织已建立的方针和程序负起安全责任？YESNANANANANANA符合A.5.5与职能机构的联系组织是否保持与政府相关部门的适当的联系？NAYESNANANANANA符合A.5.6与特定相关方的联系组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系？NAYESNANANANANA符合A.5.7威胁情报NANAYESNANANANA符合A.5.8项目管理中的信息安全组织是否对其管理信息安全的方法与实践（及信息安全控制目标与控制措施、方针、过程和程序），按既定的时间间隔（或当安全实施发生重大变化时）进行独立评审？NANAYESNANANANA符合A.5.9信息和其它相关资产清单是否所有重要资产都进行了登记，建立了清单文件并加以维护？

与信息处理设施有关的所有信息和资产，是否由指定的部门或者人员承担责任？NAYESNANANANANA符合A.5.10信息和其他相关资产的可接受使用与信息处理设施有关的信息和资产的可接受使用规则，是否确定形成了文件并加以实施？NAYESNANANANANA符合A.5.11资产归还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，是否归还他们使用的所有组织资产？NAYESNANANANANA符合A.5.12信息的分级信息是否按照其对组织的价值、法律要求、敏感性和关键性进行分类？NAYESNANANANANA符合A.5.13信息的标记是否按照所采纳的分类机制建立和实施一组合适的信息标记规程？NAYESNANANANANA符合A.5.14信息传输为了保护通过使用各种类型的通信设施的信息交换，是否有正式的交换策略、规程和控制措施？NANAYESNANANANA符合在组织和外部之间进行信息/软件交换时，是否有交换协议？NANAYESNANANANA符合包含在电子消息发送中的信息是否给予适当的保护？NANAYESNANANANA符合A.5.15访问控制访问控制策略是否建立并形成文件？

是否基于业务和访问的安全要求进行评审？NANAYESNANANANA符合是否对网络进行分区域管理？或用户是否仅能访问已获专门授权使用的服务？NANAYESNANANANA符合A.5.16身份管理是否有正式的用户注册与注销程序，授权和撤销对所有信息系统和服务的访问？（对系统有访问权限的员工或签约员工进行抽样检查）NANAYESNANANANA符合A.5.17身份验证信息安全鉴别信息，如口令的分配是否有一个正式的管理过程进行控制？NANAYESNANANANA符合是否要求用户在选择和使用安全鉴别信息时，如口令，遵循良好的安全习惯？NANAYESNANANANA符合口令管理系统是否交互式的并能够确保优质的口令？（推荐系统测试用户的口令管理）NANAYESNANANANA符合A.5.18访问权限无论什么类型的用户，在对其分配或撤销所有系统和服务的权限时，是否有一个正式的用户访问开通流程？NANAYESNANANANA符合资产所有者应定期对用户的访问权进行复查？NANAYESNANANANA符合所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权，是否在任用、合同或协议终止时，删除，或在变化时调整？NANAYESNANANANA符合A.5.19供应商关系中的信息安全是否与供应商协商并记录信息安全的要求，以减少供应商访问信息资产带来的风险？NANANAYESNANANA符合A.5.20在供应商协议中的强调信息安全是否与供应商建立并协商所有信息安全相关要求，并实施？NANANAYESNANANA符合A.5.21ICT供应链的信息安全管理供应商协议是否包括信息、通信技术服务和产品供应链的相关信息安全风险？NANANAYESNANANA符合A.5.22供应商服务的监控、审查和变更管理对供应商提供的服务、报告和记录，是否定期的进行监视、评审和审核？NANANAYESNANANA符合是否管理服务提供的变更（包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的再评估）？NANANAYESNANANA符合A.5.23使用云服务的信息安全公司是否使用云服务？是否与服务商签订有服务协议NAYESNANANANANA符合A.5.24信息安全事件管理策划和准备是否建立了对安全事件做出快速、有效和有序反应的职责和程序？NAYESNANANANANA符合A.5.25信息安全事态的评估与决策是否对信息安全事态进行评估，以决定他们是否被归类为信息安全事件？NAYESNANANANANA符合A.5.26信息安全事件响应对于信息安全事件是否按照已建立的职责和规程，快速、有效、有序的响应？NAYESNANANANANA符合A.5.27从信息安全事件中学习是否有一套能够量化和监视信息安全事件的类型、数量和代价的机制？NAYESNANANANANA符合A.5.28证据收集当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或者组织进行起诉时，是否收集、保留和呈递证据，这些证据要符合相关管辖区域对证据的要求？NAYESNANANANANA符合A.5.29中断期间的信息安全为了解决组织的业务持续性所需的信息安全要求，组织是否开发和维持一个用于整个组织的业务持续性管理过程？和计划？NANAYESNANANANA符合A.5.30ICT为业务连续性做好准备是否按照程序和控制的要求，实施了信息安全连续性管理过程和计划？NANAYESNANANANA符合连续性计划是否进行定期验证、评审和更新，以确保其有效性？（可查看是否有演练和测试）NANAYESNANANANA符合A.5.31法律、法规、监管和合同要求对每一个信息系统和组织，适用的所有相关法律法规和合同要求，以及为满足这些要求组织所采用的方法，都明确地进行了定义，形成了文件并保持更新？NAYESNANANANANA符合使用密码控制措施时，是否遵从相关的协议和法律法规？NAYESNANANANANA符合A.5.32知识产权在使用具有知识产权的材料和具有所有权的软件产品时，为了符合法律、法规和合同要求，组织是否实施了适当的规程？NAYESNANANANANA符合A.5.33记录的保护为了满足法律、法规、合同和业务要求，是否防止重要的记录遗失、毁坏和伪造？NAYESNANANANANA符合A.5.34隐私和个人可识别信息保护是否有依照相关的法律法规要求和合同要求，确保数据保护和隐私？NAYESNANANANANA符合A.5.35信息安全独立审核是否有独立评审的规程并实施？NAYESNANANANANA符合A.5.36信息安全策略、规程和标准合规管理者是否确保在其职责范围内的所有安全程序都能得到正确执行？YESNANANANANANA符合A.5.37文件化的操作规程操作程序是否形成了文件、加以保持并可为所有需要的用户使用？NAYESNANANANANA符合A.6人员控制A.6.1审查对所有任用的候选者、承包方人员和第三方人员，是否按照相关法律法规、道德规范、业务要求、被访问的信息类别和已察觉的风险，进行背景调查和验证？NANANANAYESNANA符合A.6.2任用条款及条件雇员、承包方人员和第三方人员是否签署了任用合同的条款和条件（这些条款和条件应声明他们和组织的信息安全职责）NANANANAYESNANA符合A.6.3信息安全意识、教育和培训组织的所有雇员，（适当时，也要包括承包方人员和第三方人员），是否受到与其工作职能相关的适当的意识培训和方针策略以及规程的定期更新培训NANANANAYESNANA符合A.6.4违规处理过程对于安全违规的雇员，是否有一个正式的纪律处理过程？NANANANAYESNANA符合A.6.5任用终止或变更的责任任用终止或任用变更的职责是否清晰地做出了定义和分配？NANANANAYESNANA符合A.6.6保密或不泄露协议保密协议是否得到识别和定期评审？（查看保密协议）NANANANAYESNANA符合A.6.7远程工作组织是否开发和实施有关控制远程工作活动的策略、操作计划和规程？NANAYESNANANANA符合A.6.8报告信息安全事态是否有适当的途径报告信息安全事态？NAYESNANANANANA符合是否要求信息系统和服务的所有员工、合同方和第三方用户都需要报告他们观察到的或怀疑的系统或服务中的任何安全弱点？NAYESNANANANANA符合A.7物理控制A.7.1物理安全边界是否有用于保护包含信息和信息处理设施的区域的安全周边（如墙、门禁卡或受管理的接待台等屏障）？NAYESNANANANANA符合A.7.2物理入口为了确保只有已被授权人员才允许访问，安全区域是否通过合适的入口控制措施加以保护？（现场检查访问记录，并可能测试用户进入安全区域的符合性。）NAYESNANANANANA符合A.7.3办公室、房间和设施的安全是否为办公室、房间和设施设计并采取物理安全措施？（现场检查办公室、房间和设施的保护情况）NAYESNANANANANA符合A.7.4物理安全监控公司入口和重要区域是否安装有监控系统？监控信息的获取是否设置管理权限NAYESNANANANANA符合A.7.5外部和环境威胁的安全防护对由火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难引起的损害，是否设计与采取了物理保护措施？（现场检查针对外部威胁和环境威胁的安全防护情况）NAYESNANANANANA符合A.7.6在安全区域工作是否设计和应用了用于安全区域工作的物理保护和指南？（现场检查安全区域的保护状况）NAYESNANANANANA符合A.7.7清理桌面和屏幕是否采取清空桌面文件，可移动存储介质的策略和清空信息处理设施屏幕的策略？（现场检查用户的清空桌面和屏幕设置）NAYESNANANANANA符合A.7.8设备选址和保护设备的安置或保护，是否在可减少由环境威胁和危险所造成的各种风险以及未授权访问的机会？（现场检查设备的安置和保护情况，并可能需要系统测试保护措施是否适当）NANAYESNANANANA符合A.7.9组织场所外的资产安全对于组织场所的设备，是否考虑了工作在组织场所以外的不同风险，而采取安全措施？（可能测试组织场所外的设备安全状况，如移动设备的加密）NANAYESNANANANA符合A.7.10存储介质是否有适当的可移动介质的管理程序？NAYESNANANANANA符合对于不再需要的介质，是否使用正式的程序可靠并安全地处置？NAYESNANANANANA符合当包含信息的介质在组织的物理边界以外运送时，是否有防范未授权的访问、不当使用或毁坏的措施？NAYESNANANANANA符合A.7.11支持性设施对于支持性设施的失效而引起的电源故障和其它中断，设备是否能够免于受到影响？（现场检查并可能需要测试支持性设施的保护措施）NANAYESNANANANA符合A.7.12布缆安全是否可以保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或者损坏？（现场检查供电和通信电缆的布线状况）NANAYESNANANANA符合A.7.13设备维护为了确保设备持续的可用性和完整性，对设备是否予以正确的维护？NANAYESNANANANA符合A.7.14设备的安全处置或再利用为了确保在处置之前，任何敏感信息和注册软件已经被删除或安全地写覆盖，是否对包含储存介质的设备的所有项目进行核查？（现场检查并可能测试设备处置或重用情况）NANAYESNANANANA符合A.8技术控制A.8.1用户终端设备是否有正式的策略并且采用适当的安全措施，以防止使用移动计算和通信设施时所造成的风险？NANAYESNANANANA符合用户是否确保无人值守的用户设备由适当的保护？NANAYESNANANANA符合A.8.2特许访问权是否限制和控制特殊权限的分配及使用？NANAYESNANANANA符合A.8.3信息访问限制用户对信息和应用系统功能的访问，是否依照已确定的访问控制策略进行限制？NANAYESNANANANA符合A.8.4源代码的访问是否限制访问程序源代码？NANAYESNANANANA符合A.8.5安全的身份验证访问操作系统是否通过安全登录规程加以控制？NANAYESNANANANA符合A.8.6容量管理为了确保所需要的系统性能，是否对资源的使用进行监视和调整，并对未来的容量需求做出规划？（可能需要测试系统性能和资源容量）NANAYESNANANANA符合A.8.7恶意软件防范是否有对恶意代码的控制措施（包括恶意代码的监测、预防和恢复）？是否有适当的提高用户安全意识的规程？NANAYESNANANANA符合A.8.8技术脆弱性管理是否及时了解和获得有关现有信息系统的技术脆弱性信息？对信息系统的技术脆弱性是否进行评价，并采取处理相关的风险的适当措施？NANAYESNANANANA符合是否进行技术符合性评审，以确保信息系统是符合信息安全政策和标准的？（可检查是否有渗透测试、脆弱性评估）NANAYESNANANANA符合A.8.9配置管理公司是否建立配置数据库？是否定期对配置项进行检查？NANAYESNANANANA符合A.8.10信息删除公司是否制定有数据删除手段？对不需要的敏感数据删除时是否有删除记录？NANAYESNANANANA符合A.8.11数据屏蔽公司使用那些数据屏蔽的技术？NANAYESNANANANA符合A.8.12数据泄露防护公司制定有什么策略防止数据处理、存储或传输敏感信息？公司的防泄漏工具有哪些？NANAYESNANANANA符合A.8.13信息备份是否按照已设的备份策略，定期备份和测试信息和软件？（推荐测试信息备份和恢复过程，如尝试一次恢复操作）NANAYESNANANANA符合A.8.14信息处理设施的冗余信息处理设施是否有足够的冗余，以确保可用性的要求？NANAYESNANANANA符合A.8.15记录日志是否对用户活动、异常情况、故障和信息安全事态的审计日志进行记录？并定期对事件日志进行评审？NANAYESNANANANA符合为了防止篡改和未授权的访问，记录日志的设施和日志信息是否加以保护？NANAYESNANANANA符合系统管理员和系统操作员的活动是否写入日志中？NANAYESNANANANA符合A.8.16监控活动公司是否对网络、系统和应用程序等异常行为进行监控？是否定期监控记录进行评审？监控工具清单？资源的使用情况？是否建立了系统正常行为的基线？NANAYESNANANANA符合A.8.17时钟同步公司或安全域内的所有相关信息处理设施的时钟，是否使用已设的精确时间源进行同步？NANAYESNANANANA符合A.8.18特权实用程序的使用对于可能超越系统和应用程序控制措施的实用工具的使用，是否加以限制并严格控制？NANAYESNANANANA符合A.8.19在操作系统上安装软件在运行系统上安装软件方面，是否有程序或控制措施？NANAYESNANANANA符合用户安装软件是否有规程进行控制？NANAYESNANANANA符合A.8.20网络安全为了防止威胁的发生，维护使用网络的系统和应用程序的安全?NANAYESNANANANA符合A.8.21网络服务的安全是否有网络服务协议，网络服务协议是否包括安全特性、服务级别以及所有网络服务的管理要求？NANAYESNANANANA符合A.8.22网络隔离是否在网络上对信息服务、用户和信息系统进行隔离控制？NANAYESNANANANA符合A.8.23网页过滤是否设置有网页过滤策略？是否进行了黑白名单设置？NANAYESNANANANA符合A.8.24加密技术的使用是否开发和实施使用密码控制措施来保护信息的策略？NANAYESNANANANA符合是否有密钥管理以支持组织使用密码技术？NANAYESNANANANA符合A.8.25安全开发生命周期是否有建立软件或系统的开发规则？NANAYESNANANANA符合A.8.26应用程序安全要求为了防止欺诈活动、合同争议以及未授权的泄漏和修改，包含在公共网络的应用服务信息，是否受到保护？NANAYESNANANANA符合在应用服务上交易的信息是否受保护，以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放？NANAYESNANANANA符合A.8.27安全系统架构和工程原则工程安全系统原则是否被建立？并应用到任何信息系统开发工作中？NANAYESNANANANA符合A.8.28安全编码是否制定有安全编码规则？是否对代码进行安全检查？NANAYESNANANANA符合A.8.29开发和验收中的安全测试是否进行安全功能测试？NANAYESNANANANA符合是否建立了新建信息系统、系统更新、版本升级验收测试规程和标准？NANAYESNANANANA符合A.8.30外包开发是否管理和监视外包软件的开发？NANAYESNANANANA符合A.8.31开发、测试和生产环境的分离为了减少未授权访问（或更改）运行系统的风险，开发设施、测试设施和运行测试是否彼此分离开？（可能需要测试开发、测试和运行设施是否分离）NANAYESNANANANA符合在整个系统开发生命周期的系统开发和集成工作中，是否建立了适当的安全开发环境？NANAYESNANANANA符合A.8.32变更管理对信息处理设施和系统的变更是否加以控制？（推荐测试信息处理设施或系统的变更过程）NANAYESNANANANA符合在对信息系统的变更控制方面，是否有正式的变更控制规程？NANAYESNANANANA符合在操作系统变更后，为了确保对组织的运行和安全没有负面影响，是否对关键的业务应用系统进行评审和测试？NANAYESNANANANA符合对软件包的修改，是否只限于必要的变更？对所有的变更是否加以严格控制？NANAYESNANANANA符合A.8.33测试信息测试数据是否进行过选择并保护和控制？NANAYESNANANANA符合A.8.34审计测试期间信息系统的保护为了最小化造成业务过程中断的风险，对涉及运行系统核查的审计要求和活动，是否进行了谨慎地规划并获得批准？NANAYESNANANANA符合ISMS内审组任命书为了使公司信息安全管理体系内审工作的顺利进行，选派合格的内审员，特委任以下人员分别担任内审组长及内审员,负责履行有关内审活动中的各项工作。具体人员安排如下:

内审组长：

内审员：

特此任命！

总经理：

日期：20XX.11.1信息安全内部会议记录会议议题内部审核首次会议会议时间20XX.11.10主持人记录人参加人员：各部门负责人或代表。主要内容：1、介绍审核目的、依据和范围2、简单介绍审核的程序和方法3、确认审核所需的资源4、介绍有关审核活动的相关规定(如不符合项分类、跟踪方式、审核结果等)会议签到

信息安全内部会议记录会议议题内部审核末次会议会议时间20XX.11.10主持人记录人参加人员：各部门负责人或代表。沟通内容：重申审核目的、依据和范围、重申审核是抽样调查活动。简述审核过程，对内审的结果进行分析，总结内审中的优缺点。落实纠正措施的实施。总结内审的意义和经验为以后的不断改进打好基础。会议签到内审不符合项报告及纠正报告被审核部门第组共1页第1页审核员审核陪同不符合项说明：不符合项性质：£一般£严重被审核部门：审核员：日期：年月日原因分析：不符合处置方案：负责人：完成日期：年月日防止再发生的纠正措施实施：负责人：年月日纠正措施跟踪情况：继续跟踪审核员：日期：年月日备注：内部审核报告编号：ZHKJ-TSMS-4-16审核目的验证公司的信息安全管理活动是否符合ISO/IEC27001:20XX标准要求；验证公司的信息安全管理活动是否符合相关法律法规的要求；验证公司的信息安全管理活动是否符合信息安全管理体系文件要求；验证公司信息安全管理体系的有效性。审核范围审核依据ISO/IEC27001:20XX标准；适用的信息安全法律法规；公司的信息安全管理体系文件。审核日期20XX年11月10日审核组成员审核情况：本次审核按信息安全及信息技术服务管理手册及《内部审核管理程序》要求，编制了内审计划及实施计划并按计划进行了实施。审核小组3人分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。审核组审核了包括总经理、管代、各有关职能部门。审核发现：信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。本次内审中未发现不符合项。公司通过对信息资产、过程的监视和测量，内审、管理评审，纠正、预防措施，数据分析等有系统的获得与信息安全有直接关系的信息，进行分析并用于持续改进信息安全管理体系的有效性。对信息安全管理体系运行的总结：公司的信息安全管理手册基本满足ISO/IEC27001:20XX标准的要求，有能力证明自身的ISMS管理，能向顾客证明管理是有效的。公司文件化信息安全管理手册基本得到实施，发展趋势总的来说是好的，但发展仍不平衡，特别是在相关流程文件还存在某些描述与实际运行不符的情况。公司信息安全服务方针和信息安全服务目标基本得到实现，现有信息安全服务管理体系是有效的。具备自我发现自我改进的能力，持续改进。通过本次内审，审核组认为公司的信息安全服务管理体系基本符合ISO/IEC27001:20XX标准要求，信息安全管理手册、程序文件，能够得以有效的实施，可以看出，体系的运行是基本符合的、有效的，能满足信息技术服务策划的要求。内审的策划、间隔和实施范围、深度及验证是适宜的；纠正、预防措施对防止不合格再发生基本满足要求。其他事项：以体系文件为依据，建议各部门对本部门员工要经常宣讲体系文件，使各项信息安全服务活动都能按体系文件的要求执行，纳入标准的轨道，保证体系运行的持续有效。信息安全服务文件和记录是体系运行的重要依据，各部门都要重视。建议各部门把程序文件所列的信息安全服务记录的表式逐一整理，在实际运行中逐项落实，纠正原来不符合要求的表式，对所发的文件和所收到的文件按程序规定，进行签发、收录登记，使文件和记录尽快趋于完善。对控制目标的测量虽有良好的评价结果，但测量深度有待进一步加强，各分管职能人员要经常深入检查控制措施的落实情况，以形成良好的习惯，促使管理工作上台阶。进一步建立和健全自我教育、自我评审、自我改进、自我完善的机制，经常对照体系文件与已有关的条款，查错堵漏。在贯彻落实标准方面，各部门还有待进一步加强培训力度。各部门与信息安全管理体系有关的各个环节的管理人员和操作人员，都要针对性地学习与已有有关的文件内容，找出目前工作与信息安全管理体系文件要求的差距，进行整改。审核组长：20XX年11月11日管理层意见：同意签署：20XX年11月11日ISO27001：2022最新版管理评审全套资料目录管理评审计划管理评审会议记录管理评审报告管理评审纠正预防措施计划表管理评审通知单评审会议时间：20XX年6月22日评审会议地点：公司会议室参加人员：总经理、管理者代表、各部门负责人及相关人员评审内容要点：1.本公司的组织结构2.本公司的安全方针和目标3.IT服务管理体系运行情况（由管理者代表准备报告在管理评审会议上汇报）。4.内审结果（由管理者代表在管理评审会议上汇报）。5.顾客反馈信息、顾客投诉及抱怨（由业务管理部在管理评审会议上进行具体汇报）。6.资源是否充分。7.纠正/预防措施的实施有效性。8.改进的建议（由参加管理评审会议的人员在评审会上提出）。编制：XXX批准：XX日期：20XX.6.21管理评审计划评审目的：对本公司建立的信息安全管理体系和IT服务管理体系进行评审，以确保其持续的适宜性、充分性和有效性。评审参加部门和人员：总经理、管理者代表、各部门负责人评审内容：（1）内部审核的结果；（2）各类安全控制措施的制定、执行情况；（3）服务过程的实施情况；（4）实施预防和纠正措施的状况；（5）相关方的反馈；（6）管理体系改进情况；（7）有效性测量的结果；（8）可能影响管理体系的变更；（9）改进的建议。评审准备工作要求：（1）管理者代表汇报现阶段ISMS和IT服务管理体系运行情况，包括内审的情况。由管理者代表审核，报总经理。（2）综合部负责根据评审内容要求，组织评审资料的收集。要求各部门准备参加评审会议的讨论提纲等必要的文件，评审资料由管理者代表确认。（3）各部门着重准备下述内容的汇报提纲：——本部门IT服务和信息安全措施执行的情况；——ISMS和IT服务管理体系过程的情况汇报；—