ISO27001信息安全体系内部审核计划+内审检查表+内审报告全套资料最新Word下载.docx

ISO27001信息安全体系内部审核计划+内审检查表+内审报告全套资料最新Word下载.docx

《ISO27001信息安全体系内部审核计划+内审检查表+内审报告全套资料最新Word下载.docx》由会员分享，可在线阅读，更多相关《ISO27001信息安全体系内部审核计划+内审检查表+内审报告全套资料最新Word下载.docx（32页珍藏版）》请在冰豆网上搜索。

组长：

XXX组员：

张小波，、严玉成

7、具体实施细则详见《内审实施计划》

XXX批准：

XXX

2021-3-5日期：

2021-3-5

内审实施计划

审核目的

评价本公司信息安全管理体系的符合性。

审核日期

审核准则

2013标准、信息安全手册、程序文件及相关文件。

审核范围

2013标准所涉及的过程和部门

审核方法

集中式年度审核

审核组长

组员

张小波，严玉成

审核部门/时间

审核条款

内审员

管理层

9.00-10.30

4.1//4.2/5.1/5.2/6.2/7.1/8.1/9.3/A.5

综合管理部10.30-12.30

5.3/6.1/7.2/7.3/7.4/8.1/8.3/9.1/9.2/10.1/10.2/A.6.1/A6.2/A7.2/A9.3/A.9.4/A.11.1/A.11.2/A.12.1/A.12.2/A.12.3

严玉成

销售部

7.4/A.12.1

技术部14.00-16.30

9.1/9.2/.7.1/A.7.3/A.8.1/A.8.2/A.8.3/A.9.1/A.9.2/A.10.1/A.11.1/A.12.3/A.12.4/A.12.5/A.12.6/A.12.7/A.13.1/A.13.2/A.14.1/A.14.1.1./A.14.1.2/A.14.2/A.14.2.7/A.14.3/A.15.1/A.15.2/A.18.1/A.18.2

张小波

2021年3月10日8.30—9.00

2021年3月10日16.30-17.00

首、末次会议参加人员

各部门主要负责人

XXX批准：

2021年3月5日日期：

2021年3月5日

合格内审员评定表

ISMS-0106-JL03

内审员要求：

内审员须具备以下条件，但经特别核准除外。

A.受内、外部信息安全标准相关培训24小时以上且有证明者。

B.对作业现场比较熟悉，具有一定的工作经验。

C.经管理层批准。

合格内审员名单：

组长：

张小波，严玉成

内审小组：

附件：

附录1：

内审员考核试题

内审首（末）次会议签到表

（8：

30-9：

00）

末次会议时间;

（17：

00-17：

30）

姓名

部门

职务

XXX

总经理

综合管理部

经理

技术部

管理者代表

内审检查表

被审核部门

审核成员：

陪同人员：

审核主题

4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.1、6.2、7.1、9.3、10.1、10.2、A.5.1、A.6.1、A.12.2

检查

要素/条款

检查事项

检查记录

符合项

观察项

不符合项

4.1

4.2

4.3

4.4

组织环境

-总经理详细介绍了公司总体情况，包括公司建立的理念，愿景，描述了客户、政府机关、相关协会、团体、法律法规等相关方对公司的期望与要求。

具体见信息安全管理手册企业概况。

-总经理明确了公司信息安全管理体系覆盖的物理范围与业务范围。

物理范围为：

深圳市南山区桃源街道塘岭路1号金骐智谷2102，业务范围为：

计算机应用软件的研发及运行维护。

√

5.1

5.2

领导和承诺

方针

--信息安全方针，信息安全目标和计划得以实施；

信息安全的角色和职责均已明确；

向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；

提供充分的资源，以建立、实施、运作、监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；

5.3

组织角色、职责和权限

建立信息安全的角色和职责

——提供《信息安全管理手册》

总经理定义与分配了公司各个部门的不同岗位人员的日常职责与在各管理体系中负担的职责，职责划分基本能够满足要求。

总经理有向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。

7．1

资源的提供

——主持管理评审，授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。

——总经理为管理体系顺畅进行提供资源支持，包括设备相应的增加计划，人员增加计划，财务支出支出、培训支持等等。

9.3

ISMS管理评审

——本次是制定体系实施以来的第一次管理评审计划。

A5.1

信息安全方针文件

信息安全方针包含在信息安全管理手册中，由总经理批准、发布并传递给所有相关方。

A.6.1.1，A6.1.5，A.6.2，A.8.1A.9.3，A.9.4.1，A.9.4.2，A.12.1，A.12.2，A.12.3，A.12.5，A.12.6，A.12.7，A.14，A.16.1.2，A.16.1.3

检查记录

A.6.1.1

信息安全的角色和职责

技术部：

（1）负责软硬件产品的设计和开发工作。

（2）负责公司软硬件设计开发过程中信息安全管理。

（3）负责配合销售完成运维服务的用户交流、售前支持工作。

（4）负责部门的资产登记及评价、风险评估。

（5）负责软硬件文档的管理。

（6）负责信息系统接收测试。

（7）项目的组织协调工作，确定项目人员并对所承担项目的质量负责。

（8）负责软硬件开发过程，包括制定项目进度、组织需求分析、概要设计、测试以及验收。

（9）负责开发人员的管理与保密工作。

（10）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。

A6.1.5

项目管理中的信息安全

抽查由技术部负责的开发项目，该项目合同中有规定对信息安全的相关条款，包括保密、遵守相关法律等的要求。

项目的项目文档中有“项目风险评估表”，内容包括对该项目的风险的识别、评价与响应措施等。

A.6.2.1

移动设备策略

　执行《计算机管理程序》《介质及信息交换管理程序》等文件，

公司的设备设施，带出公司需要经过登记，批准后才能带出。

A.6.2.2

远程工作

执行《远程工作管理程序》规定了远程接入的要求，其中包括接入区域的标识、设备标识、远程接入主体及授权、远程访问授权、远程接入的安全要求等。

VPN进行远程管理，根据职位需求，分配。

A.8.1.1

A.8.1.2

A.8.1.3

A.8.1.4

资产清单

资产所有权

资产的可接受使用

资产的归还

资产识别情况；

有对公司内现有资产做了识别

——提供，重要信息资产清单

序号、名称、位置、用途、部门、责任人、"

保密性赋值C"

、"

完整性赋值I"

可用性赋值A"

、资产价值、"

重要程度"

、备注。

——重要度选择：

综合分值在7分以上的为重要资产。

——资产的允许使用，综合管理中心制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产的合理使用规则。

——人员离职后有进行资产移交，见A8.3内容。

基本符合。

A.9.3.1

A.9.4.1

A.9.4.2

使用秘密鉴别信息

信息访问控制

安全登录规程

公司范围的计算机登录口令要求6位以上，包含字母数字。

抽查了技术部5台PC机，口令符合要求。

用户不得访问或尝试访问XX的网络、系统、文件和服务。

现场测试，审核员通过访问网络上的PC机，有用户名，密码，试图随意输入密码3次，均无法登陆。

A12.1.1

A12.2.2

A12.2.3

A12.2.4

文件化的操作规程

变更管理

容量管理

开发、测试和运行环境的分离

制定“信息处理设施管理程序”，规定对信息处理设施的采购、测试、验收、安装调试等过程的制度，从而对信息处理设施的管理进行控制。

“信息处理设施管理程序”中有对信息处理设施变更的过程控制方法。

提供服务器容量监控记录。

有服务器、硬件配置、总容量、已用空间、剩余空间。

每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录

技术部的开发、测试、运行服务器都是分开的。

A12.2

A12.3

恶意软硬件防范

备份

公司范围内使用360杀毒软硬件。

公司规定每月应至少检查漏洞一次，查杀病毒一次。

抽查技术部三台电脑，上次漏洞检查和病毒查杀时间在本周内，符合要求

技术部的源代码为公司重要信息资产，源代码备份在公司SVN服务器上，备份频率为每天，且有专人负责保管、检查。

A12.5

A12.6

A12.7

确保运行系统的完整性

防止对技术脆弱性的利用

信息系统审计的考虑

“信息系统开发与维护管理程序”中有规定对信息系统在安装时候的可靠性、完整性的严格控制。

“信息系统开发与维护管理程序”中有对用户安装软硬件及识别、评价、应对技术脆弱性的控制。

在技术部对信息系统进行审计活动的时候，会考虑对业务过程的影像，并将影响最小化。

A.14.1.1

A.14.1.2

A.14.1.3

信息安全要求分析和说明

公共网络应用服务安全

保护应用服务交易

——现场查公司主要按照客户安全要求及所提供样本来开发软硬件产品。

公司通过应用系统进行日常办公、生产经营管理，公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。

。

——现场查看公司网站内没有电子商务方面的页面。

A.14.2.1

A.14.2.2

A.14.2.3

A.14.2.4

A.14.2.5

A.14.2.6

A.14.2.7

A.14.2.8

A.14.2.9

安全开发策略

系统变更控制规程

运行平台变更后应用的技术评审

软硬件包变更的限制

安全系统工程原则

安全开发环境

外包开发

系统安全测试

系统验收测试

——有填写变更记录表。

为使信息系统的损害降至最小，对公司内系统和软硬件的更改，须进行适当的测试与评审，经公司领导批准后予以实施。

操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。

——提供《信息系统获取、维护控制程序》

——目前公司没有操作系统变更。

当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。

——现场查暂无软硬件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软硬件，并在完全一样的复制软硬件上进行更改，更改实施前须得到系统主管部门的授权。

——公司目前购买的都是安装程序，没有外包软硬件开发。

A.14.3.1

系统测试数据的保护

——公司有软硬件开发，现场查公司测试数据有进行保护。

A16.1.1

A16.1.2

报告信息安全事态

报告信息安全弱点

公司建立“信息安全事件管理程序”，规定了员工发现信息安全事件和信息安全弱点的上报流程。

通过对技术部员工的访谈，该部门员工对此程序熟悉。

陪同人员：

A.6.1、A.8.1、A.9.3、A.12.2、A.12.3、A.13.2

核查

核查事项

核查记录

市场中心：

（1）做好市场信息的收集、整理和反馈，掌握市场动态，同时积极开展市场调查、分析和预测，建立和完善营销信息收集、处理、交流及保密系统。

（2）及时掌握市场信息，广开门路，积极参与招投标工作，努力完成各项软件、计算机信息系统投标任务。

（3）负责部门的资产登记及评价、风险评估。

（4）负责顾客信息处理及顾客满意度调查。

（5）负责协调软件产品事业部开发及协调测试。

（6）为重大投标活动和工程咨询出谋划策。

（7）整理分析公司各业务部门的业务资料信息。

（8）协助相关部门对网站产品的运营，参与公司网站建设，提出新项目发布意见。

（9）负责合同评审、审批的管理，参与售前，售中，售后的服务工作。

（10）负责顾客满意度调查与投诉的处理。

（11）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。

该公司对公司内现有资产做了重新识别

——提供，重要信息资产清单

综合分值在7分以上的为重要资产。

公司范围的计算机登录口令要求6位以上，抽查人员电脑及系统登录口令，符合口令控制策略要求的安全强度

A.12.2.1

控制恶意软件

——使用360杀毒软件、金山杀毒软件。

——查XXX台式机,使用360杀毒，360卫士。

A.12.3.1

信息备份

提供备份策略，现场查通过服务器，定期进去备份检查。

符合

A.13.2.1

A.13.2.2

A.13.2.3

A.13.2.4

信息传递策略和规程

信息传递协议

电子消息发送

保密性或不泄露协议

对信息交流应作适当的防范，严禁在无保密措施的通信设备及计算机网络中传递企业秘密。

目前通过路由器查看流量异常控制用户防止信息泄露。

——客户通过企业邮箱Email，通过内部腾讯通。

——现场查该公司的电子邮件目前只用于公司内部信息交换、对外发送公开的报价单。

内部通过腾讯通进行交换文件。

6.1、7.2、7.3、7.4、7.5、8.1、8.2、8.3、9.1、9.2、A.6.1.1、A.6.1.2、A.7、A.8、A.9、A.11、A.12、A.13、A.15.A.16、A.17、A.18

核查记录

6.1

8.1

8.2

应对风险和机会的措施

运行的规划和控制

信息安全风险评估

前期策略了风险评估准则、风险评估规范

根据风险评估方法进行了风险评估。

6.2

8.3

信息安全目标和规划实现

信息安全风险处置

制定了信息安全目标：

确保每年重大信息安全事件（事故）发生次数为零。

目标通过一年来的运行和保持，得到完成。

信息安全不可接受风险处理计划，

提供“不可接受风险处理检查表”。

7.2

7.3

7.4

能力

意识

沟通

人力行政部通过制定培训计划、招聘新员工、聘请外部专家指导等方式确保组织人员有胜任信息安全职责的能力。

人力行政部通过培训、会议、标语宣贯等方式培养员工的信息安全意识。

人力行政部负责与组织内外部各相关方的沟通，沟通方包括客户、政府机关、内部员工等，沟通方式包括公函、会议、电子邮件、电话等等。

7.5

文件记录信息

公司编制管理手册、SOA适用性声明1套，35个程序文件，信息安全记录96个；

a）明确了方针和目标

b）管理手册、适用性声明；

c）形成35个程序

d）信息安全管理体系运行所必须的程序文件

e）所需提供的记录96个，包括《信息安全风险评估报告》、《信息安全风险处置计划》

f）目前《适用性声明》

9.2

内部审核

内审情况：

2018年7月12日实施了内审检查活动，相关的记录完整。

人力行政部：

（1）负责管理体系的建立、实施、保持、测量和改进。

（2）负责文件控制、记录控制、内部审核的组织、管理评审的组织实施和体系的改进。

（3）负责本公司保密工作的管理。

（4）负责安全区域的保卫管理部门，负责安全区域的管理。

（5）负责部门的资产登记及评价、风险评估。

（6）负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。

（7）对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。

（8）负责协调各部门的定岗定编工作；

提出相关岗位人员配置的建议。

（9）制定员工培训与开发计划，建立培训与开发体系包括人员聘用管理、任职培训、保密协议签署、员工的能力、专业技能培训、学历教育培训、综合素质培训等，并制订相应管理制度。

（10）建立和完善薪酬体系；

制订员工福利政策；

员工绩效管理；

协助行政管理部制订员工绩效管理的相关制度，并组织实施。

（11）负责员工各项保险和住房公积金帐户的申报和管理；

负责员工考勤、休假管理。

（12）负责员工劳动合同管理、员工离职管理、员工人事档案管理。

（13）本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密要求。

A.6.1.2

信息安全职责的分配

《信息安全管理手册》，公司在信息安全管理职责明细表里明确了信息安全职责。

公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。

A7.1.1

A7.1.2

A7.2.1

A7.2.2

A7.2.3

A7.3.1

审查

任用条款和条件

管理职责

信息安全教育和培训

纪律处理过程

任用终止或变更职责

人力行政部负责初始录用员工进行能力、信用考察，每年对关键信息安全岗位进行年度考察，对于不符合安全要求的不得录用或进行岗位调整。

在《劳动合同》中明确规定了保密的义务及违约的责任。

10月份开展了信息安全相关的培训，查看《培训签到表》

具备《信息安全奖惩制度》，并按制度执行。

具备《人力资源管理程序》，并按制度执行。

公司对资产进行了评估。

包括软件/系统、数据/文档、硬件/设施及人力资源。

对每一项信息资产，根据《信息安全风险管理程序》识别出了重要资产及高风险的项目。

其中高风险的资产有公司软件源代码等。

自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。

有《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、人员、经验。

——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人

——提供了资产归还的记录表。

A.8.3.1

A.8.3.2

A.8.3.3

可移动介质的管理

介质的处置

物理介质传输

提供可移动介质授权使用清单1份。

——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。

——目前无介质处置。

A.9.1.1

A.9.1.2

访问控制策略

网络和网络服务的访问

网络划分为三个网段，内网使用固定IP,入网需要申请，并绑定MAC地址。

现场查《网络安全配置表》，符合要求。

提供了《开通外网申请表》符合

A.9.2.1

A.9.2.2

A.9.2.3

A.9.2.4

A.9.2.5

A.9.2.6

用户注册及注销

用户访问开通

特殊访问权限管理

用户秘密鉴别信息管理

用户访问权限的复查

撤销或调整访问权限

对于任何权限的改变（包括权限的创建、变更以及注销），须由管理员操作。

提供金蝶K3系统用户列表1份。

特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权。

各系