ISO27001及ISO0最新内部审核全套资料.docx

1、ISO27001及ISO0最新内部审核全套资料审核组成员任命书编号：DK-ISMS-P03-R01根据公司质量手册规定，拟于2019年12月10日11日对公司进行US0270001&ISO20000信息安全&信息技术服务管理管理体系内部审核。现任命XXX为审核组长，XXX为审核组成员，并做以下工作：1.于2019年12月1。日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年12月25日前向管理者代表提交审核报告（审核组长）。管理者代表：XXX2019年12月4日2019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013信息技术-安全技术-信

2、息安全管理体系要求US020000-1：2018信息技术-服务管理体系-要求标准、相关法律法规的要求和信息安全&信息技术服务管理要求以及信息安全&信息技术服务管理体系的有效性，根据信息安全&信息技术服务管理和内部审核管理程序的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、 2019年12月10日至11日，进行公司第一次信息安全&信息技术服务管理体系内部审核。二、 2019年12月初，进行公司第一次信息安全管理评审。内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。编制：

3、XXX批准：XXX2019年12月4日信息安全&信息技术服务管理体系内审实施计划审核目的1、评价公司信息安全&信息技术服务管理体系是否符18027001:2013信息技术-安全技术-信息安全管理体系要求OS020000-1:2018信息技术-服务管理体系-要求标准、相关法律法规、信息安全&信息技术服务管理体系要求；2、检查本公司信息安全&信息技术服务管理体系的适宜性、充分性和有效性3、寻找信息安全&信息技术服务管理体系改进的机会，为第三方认证审核做好准备。审核范围本公司信息安全&信息技术服务管理体系覆盖的所有部门和活动。审核依据18027001:2013信息技术-安全技术-信息安全管理体系要求

4、18020000-1:2018信息技术-服务管理体系-要求:相关的法律法规；信息安全管理体系文件。审核时间2019年12月10日-11日审核组组长：谢XX组员：王XX审核方式随机抽样调查时间部门及活动过程及涉及条款审核员12月10日9:10-9:30首次会议（公司中高层管理人员和审核组全体成员参加）全体12月10日9:00-10:00各部门察看各部门是否有安全隐患，有无机密信息泄露等现象。12月10日10:10-12:00管理层ISMS41/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.ITSMS:4.1/4.2/4.3/4.4/5.1/5.2

5、/5.3/6.1/6.2/9.3/10.1/10.212月10日13:00-17:00技术部ISMS:8.2/8.3/A6.1-1/A8.11/A8.L2/A9.2.5/A943/A11-1-1/A11L2/A1L2.9/A12.3.1/A1244/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:53/8.2/8.5/8.7/8.6/9.412月10日9:10-17:00综合部ISMS:7/8/9/10A6/A7/A8A/AU/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.

6、4.3/Al1.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.212月11S9:00-12:00市场部ISMS:8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/All.Ll/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/Al6.1.2/A16.1.3/

7、A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:8.2/8.3/8.4/10.1/10.212月11日13:31-15:00组内沟通全体12月11日15:10-17:00补充审核、末次会议（公司中高层管理人员和审核组全体成员参加）全体审核员注：如有变动以通知时间为准，请各受审核部门配合体系内审工作。编制/时间：谢XX2019.12.4审核/时间:韩XX2019.12.4批准/时间：贺XX2019.12.4审核通知书编号:NS-JL-03审核的目的：评价公司的信息安全&信息技术服务管理体系是否符合标准要求,是否覆盖所有的部门，运行是否有效。审核准则：ISO27001：2

8、013标准/ISO20000-1：2018S标准；信息安全&信息技术服务管理手册和相关法律法规等。审核日期2019年12月10日2019年12月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长：组员：沟通议题内部审核首次会议会议时间2019-12-10主持人记录人参加人员：各部门负责人或代表。沟通内容：1.开展内部审核的意义。2.安排内部审核情况。3.安排人员进行残余风险的评估。4.外审问题点核查。会议签到到会成员部门职务签到总经理副总经理管代部门经理客户经理部门经理研发工程师测试工程师实施工程师部门经理行政人事会计沟通议题内部审核末次会议会议时间2019-12-11主持人谢XXX

9、记录人王XXX参加人员：各部门负责人或代表沟通内容：1.对内审的结果进行分析，总结内审中的优缺点。2.内审中发现的问题做评价，分析产生的原因和对此进行的纠正措施。3,落实纠正措施的实施。4.总结内审的意义和经验为以后的不断改进打好基础。会议签到到会成员部门职务签到总经理副总经理管代部门经理客户经理部门经理研发工程师测试工程师实施工程师部门经理行政人事会计内审检查表被审核部门管理层 审核成员谢XX审核日期 2019/12/10审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/

10、5.3/6.1/10.1/10.2陪同人员贺XX核查核查事项核查记录符合项观察项不符合项要素/条款4.1理解组织及其环境现在客户越来越重视本单位的信息安全，要求服务提供商具备一定的信息安全管理水平；目前信息安全威胁不断增加，本组织的核心资产也要进行安全防护，保证核心资产的安全性、保密性、可用性。4.2理解相关方的需求和期望公司客户对服务提供商的信息安全提出了更高的要求，在公司给客户提供服务的过程中，客户要求保证公司接触到的客户的信息资产的安全。在服务合同中都有相关安全条款。4.3确定信息安全管理体系范围确定了信息安全的组织、业务、物理范围。a） 本公司提供IT服务的物理范围为本公司的办公场所；

11、服务交付地点为公司顾客的办公区域。b） 客户主要为：公司计算机软硬件及信息系统的应用组织；C）主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。4.4信息安全管理体系按ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求规定，建立、实施、保持和持续改进信息安全管理体系。包含了4级文件：手册、程序文件、管理制度、记录。5.1领导力和承诺领导层制定了信息安全方针、目标和计划；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进，决定接受风险的准则和风

12、险的可接受等级；5.2方针信息安全管理方针为：数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满尽、o5.3组织的角色，职责和权限组织制定了信息安全职责划分与标准条款对照表，明确了每个部门角色的职责6.1应对风险和机会的措施进行了信息安全风险评估，并针对高优先级的风险制定了处置计划。6.2目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方针目标文件内审检查表被审核部门管理层 审核成员谢XXX审核日期 2019/2/10审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/

13、A5.1.ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2陪同人员贺XXX核查要素/条款核查事项核查记录符合项观察项不符合项9.3ISMS管理评审为确保与信息安全&信息技术服务管理计划的一致性，公司将服务评审定于与每年的信息安全&信息技术服务管理体系管理评审同时进行。有管理评审控制程序，管理评审计划、管理评审报告等记录A5.1.1信息安全方针文件信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。A5.1.2信息安全方针评审已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。10.1不符合和纠正措

14、施为了不断提高信息安全&信息技术服务管理体系的适用性、有效性和充分性，在实现IT服务管理方针和目标的活动过程中，坚持对IT服务管理体系各个流程的持续改进。为此本公司建立了纠正预防措施管理程序，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生，包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责O10.2持续改进组织建立了持续改进机制。定期识别需改进的地方。被审核部门综合部 审核成员廖XXX审核日期2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/

15、A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员张XXX核查要素/条款核查事项核查记录符合项观察项不符合项A6.1.5项目管理中的信息安全所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目，满足要求OA.6.2.1移动设备策略公司制定了策略和支持性安全措施以管理使用移

16、动设备时带来的风险。A.6.2.2远程工作目前尚无远程工作的情况。A.6.1.3信息安全职责的分配公司在信息安全管理手册附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A.9.1.1访问控制策略公司在用户访问管理程序中建立了访问控制策略。本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问用户不得访问或尝试访问XX的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权限说明书，明确规定访问规则，对几人共用的账号应明确责任人。A.9.1.2使用网

17、络服务的策略公司在用户访问管理程序中建立了网络服务安全策略，以确保网络服务安全与服务质量。A.9.2.1用户注册有用户授权申请表，符合要求。A.9.2.2用户访问提供访问系统的用户具设置了用户名和口令。A.9.2.3特殊权限管理对各系统的系统管理员均进行了授权，有授权申请和批准的记录。A.9.2.4用户安全鉴别信息的管理系统管理员按照用户访问管理程序对被授权访问该系统的用户口令进行分配。A.9.2.5用户访问权的复查有用户访问权审查记录，每个月审查一次。被审核部门综合部 审核成员廖XX审核日期2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3

18、/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项A.9.2.6撤销或调整访问权限相关方信息安全管理程序、用户访问管理程序规定了解除、变化调整访问权限的内容。当前王昌T离职-A.9.3.1

19、安全鉴别信息的使用公司在用户访问管理程序和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。A.9.4.1信息访问限制用户访问管理程序规定本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。A.9.4.2安全登录规程用户访问管理程序规定用户不得访问或尝试访问XX的网络、系统、文件和服务。A.9.4.3口令管理系统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口令等。A

20、.9.4.4特权使用程序的使用用户访问管理程序规定了对实用系统的访问控制，有系统实用工具清单。A.9.4.5对程序源代码的访问控制用户访问管理程序规定不允许任何人以任何方式访问程序源代码。A.10.1.1使用密码控制的策略使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合信息安全合规性管理程序的要求。各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严A.10.1.2密钥管理目前尚未发生使用密钥管理的情况A.12.1.1文件化的操作规程公司按照信息安全方针的要求，建立并实施

21、文件化的作业程序，见信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。A.12.1.2变更管理在变更实施前，由研发部填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢爰措施），研发部负责人批准后予以实施。被审核部门综合部 审核成员审核日期2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A1

22、6.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项目前尚无变更发生。A.12.1.3容量管理有容量管理规划，对服务器存储容量和网络带宽进行了容量规划。A.12.1.4开发、测试和运行设施的分离无此业务A.12.2.1控制恶意软件公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。A.12.3.1信息备份公司对重要数据进行了备份。包括源代码等A.12.4.1

23、事件日志公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。A.12.4.2日志信息的保护按照信息系统监控管理程序，对日志信息进行了保护。A.12.4.3管理员和操作员日志系统管理员和操作员的活动也记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志OA.12.4.4时钟同步经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。A.12.5.1运行系统中软件的安全软件管理程序、个人计算机管理程序规定了对系统中软件的升级、控制措施。A.12.6.1技术脆弱性管理技术脆弱性管理程

24、序规定了对技术脆弱性的管理，目前尚未发现技术脆弱性。A.12.6.2软件安装限制软件管理程序、个人计算机管理程序规定了对系统中软件的控制，制定了允许安装的软件清单。A.13.1.1网络控制对防火墙、路由器等进行了安全配置，并定期检查网络设备。被审核部门综合部 审核成员审核日期2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18

25、.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项A.13.1.2网络服务的安全和网络服务提供商（电信）有签订网络服务协议。A.13.1.3网络隔离编制了网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。实现内外网隔离。A.13.2.1信息交换策略和程序制定了信息交换程序，规定：在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的

26、电子信息;公司互联网的计算机，不得含有涉密的A.13.2.2信息交换协议公司建立了信息交换管理程序。目前尚无需要签署信息交换协议的情况。A.13.2.3电子消息发送公司建立了信息交换管理程序包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。A.14.1.1安全要求分析和说明无此业务A.14.2.1安全开发策略信息系统开发建设管理程序中规定了软件开发生命周期的安全开发策略。A.14.2.2系统变更控制程序信息系统开发建设管理程序中规定了系统变更的控制程序，当前无变更。A.14.2.3操作系统变更后应用的技术评审信息系统开发建设管理程序中规定了当操作系统发生更改时，操作系统更改对应用系

27、统的影响应由系统主管部门进行评审，确保对作业或安全措施无不利影响。目前无操作系统变更。A.14.2.4软件包变更的限制信息系统开发建设管理程序中规定了软件包的变更限制策略：公司不鼓励修改软件包，如果有必要确需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更改，更改实施前应得到公司领导的授权。被审核部门综合部 审核成员审核日期2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项A.14.2.5安全系统工程原则信息系统开发建设管理程序中规定了安全系统工程原则：在平衡信息安全需求和访问需求的基础