2020年度ISO27001:2013信息安全

管理體系內(nèi)部審核資料匯編編制：XXX

審核：XXX

批準：XXXXXX網(wǎng)絡科技有限公司

2020年5月TOC\o"1-5"\h\z\o"CurrentDocument"\h信息安全管理體系內(nèi)審年度計劃 2\o"CurrentDocument"\h內(nèi)部審核實施計劃 2\o"CurrentDocument"\h關于開展管理體系內(nèi)部審核通知 4\o"CurrentDocument"\h內(nèi)審員委派通知書 5\o"CurrentDocument"\h內(nèi)部審核首次會議記錄 6\o"CurrentDocument"\h首次會議簽到表 7\o"CurrentDocument"\h內(nèi)部審核檢查表 8\o"CurrentDocument"\h不符合報告 12\o"CurrentDocument"\h內(nèi)部審核末次會議記錄 13\o"CurrentDocument"\h末次會議簽到表 14\o"CurrentDocument"\h內(nèi)審報告 15不符合工作及糾正措施跟蹤表 16信息安全管理體系內(nèi)審年度計劃編號：JLffJ-NS-01評審日期2020年5月11日時間08:30-17:00地點綜合辦公室審核目的:對公司進行內(nèi)部審核，以驗證各部門信息安全管理體系運行的符合性、有效性和適應性，查找信息安全管理體系運行中的不符合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。審核依據(jù)：管理體系文件（包括管理手冊、程序文件、管理制度、操作規(guī)程和記錄表格等）;國家或行業(yè)的有關法律、法規(guī)或標準；GB/T22080-2016/IS0/IEC27001：2013＜信息技術安全技術信息安全管理體系要求》審核人員：審核組長：XXX 組員：XXX、XX、XXX、XXX受審核部門和涉及的要求、內(nèi)容:此次內(nèi)部審核涉及本公司所覆蓋的全部信息安全管理體系要素，各部門和全部工作人員要做到全力配合。審核過程中，涉及到相關問題的部門和個人，要在現(xiàn)場做積極有效的配合工作。審核日程安排:1.2020年4月10日制定內(nèi)審計劃，并上報給總經(jīng)理審核批準。2020年4月20日由管理者代表委任內(nèi)審組成員。2020年4月20日綜合部主任通知各部門開展內(nèi)部審核，并要求各部門做好準備。2020年5月1108:30進行初次會議。2020年5月11日9:00進行現(xiàn)場評審。2020年5月11016:00進行末次會議。2020年5月11日16:50發(fā)布內(nèi)審報告審核報告的分發(fā)范圍:此次內(nèi)審工作報告的分發(fā)范圍為：公司所有部門審核方法：集中審核現(xiàn)場審核審核項目:GB/T22080-2016/IS0/IEC27001：2013＜信息技術安全技術信息安全管理體系要求》覆蓋的所有要素?？偨?jīng)理批示：批準實施批準人：XXXXX日期：2020年4月10日編制：綜合部 2020年4月10日內(nèi)審實施計劃日期實施時間項目工作內(nèi)容2020年5月11日8：30~9：00首次會議介紹內(nèi)審組成員、內(nèi)審目的、內(nèi)審分組、內(nèi)審流程9：00~12：00集中和現(xiàn)場審核內(nèi)審人員分組根據(jù)內(nèi)審查驗表進行集中審核和現(xiàn)場審核13:00-15:30集中和現(xiàn)場審核內(nèi)審人員分組根據(jù)內(nèi)審查驗表進行集中審核和現(xiàn)場審核15:30?16:00出具不符合報告2組人員對檢查記錄進行匯總，對審核中出現(xiàn)的不符合項出具不符合報告16:00?17:00末次會議發(fā)布內(nèi)審中檢查出的不符合項目，針對不符合項目進行討論，提出整改內(nèi)容責任化和整改意見，限定整改期限。發(fā)布內(nèi)審報告。編制：綜合部XXX網(wǎng)絡科技有限公司文件XX發(fā)［2020114號關于開展管理體系內(nèi)部審核通知公司各部門：為確保本公司建立的信息安全管理體系能夠持續(xù)有效的運行，經(jīng)公司會議研究，總經(jīng)理批準，公司決定于2020年5月11日對公司的信息安全管理體系開展一次年度內(nèi)審活動，以便及時查找出在信息安全管理體系運行中的不符合工作情況。請各部門接到通知后做好準備工作，確保通過內(nèi)部審核的檢查工作，爭取取得良好的效果。XXX網(wǎng)絡科技有限公司2020年4月20日內(nèi)審員委派通知書根據(jù)公司本年度的內(nèi)部審核計劃，現(xiàn)委派XXX為內(nèi)審組組長，成員XX、XXX、XXX、XXO內(nèi)審組按照GB/T22080-2016/IS0/IEC27001:2013《信息技術安全技術信息安全管理體系要求》中要素要求對公司信息安全管理體系進行審核。內(nèi)審時間：2020年5月11日管理者代表：XX2020年4月20日內(nèi)部審核首次會議記錄主持人XXX受審部門公司所有部門 時間 2020.5.118:30參會人見簽到表內(nèi)審組成員組長：XXXX 成員：XXXX會議記錄：會議內(nèi)容：2020年度管理體系例行內(nèi)部審核首次會議確定聯(lián)系人：各部門在接受審核時，分別指定1-2名陪同人員協(xié)助。內(nèi)審組分工內(nèi)審組分為2組，1組成員主要負責對體系文件（管理手冊、程序文件、操作規(guī)程、記錄表格等）進行檢查。2組成員主要負責對現(xiàn)場（業(yè)務流程等）進行檢查。內(nèi)部審核目的、依據(jù)和范圍：內(nèi)部審核目的：對公司進行內(nèi)部審核，以驗證公司各部門管理體系運行的符合性、有效性和適應性，查找管理體系運行中的不符合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。內(nèi)部審核依據(jù)：依據(jù)GB/T22080-2016/IS0/IEC27001:2013《信息技術安全技術信息安全管理體系要求》、相關法律法規(guī)、相關標準和公司管理體系文件作為本次審核依據(jù)。內(nèi)部審核范圍：GB/T22080-2016/IS0/IEC27001:2013《信息技術安全技術信息安全管理體系要求》相關要素。內(nèi)部審核的方法和程序：采取聽取匯報、現(xiàn)場查看、提問、查閱資料等方式對各部門的管理體系和業(yè)務操作規(guī)范性進行全面考核。審核程序按公司程序文件《內(nèi)部審核控制程序》進行。確定內(nèi)審的日程安排：日程安排依照內(nèi)審實施計劃進行，公司對日程安排無異議。本次審核重點：管理體系的符合性、有效性和適應性，生產(chǎn)工作是否按照體系運行。記錄人：XXXX時間：2020年5月11日首次會議簽到表會議地點會議室 會議時間 2020年5月11日參會人員簽名序號姓名序號姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)部審核檢查表審核人員XXX、XX時間 2020年5月11日標準條款審核內(nèi)容審核記錄評價4.1理解組織及其背景1.是否確定與其目標和戰(zhàn)略方向相關并影響其實現(xiàn)信息安全管理體系預期結果的各種外部和內(nèi)部因素？1.確定了內(nèi)部和外部因素，見《內(nèi)部外部因素分析表》符合4.2理解相關方的需求和期望是否確定信息安全體系相關方？是否確定了相關方的要求？有確定信息安全體系相關方，見《相關方需求和期望登記表》確定了相關方的要求，見《相關方需求和期望登記表》符合4.3確定信息安全管理體系的范圍檢查信息安全管理管理體系手冊是否有明確范圍？是否批準發(fā)布？確定以上內(nèi)容時，是否考慮了內(nèi)外部因素、相關方要求？檢查適用性聲明，是否針對實際情況做了合理的刪減？查了管理手冊，有明確范圍，管理手冊是經(jīng)審核發(fā)布了的。管理體系范圍考慮了內(nèi)外部因素、相關方要求。檢查了適用性聲明，做了合理的刪減。符合4.4信息安全管理體系1.公司是否建立了信息安全管理體系？1.建立了信息安全管理體系。符合5.1領導和承諾管理層是否制定了信息安全方針和目標？信息安全方針和目標是否和公司戰(zhàn)略方向一致？公司現(xiàn)有資源是否滿足信息安全管理體系？是否溝通有效的信息安全管理及符合信息安全管理體系要求的重要性？管理層是否履行自己的職責，保證信息安全達到預期結果，是否做出了承諾？是否指導并支持相關人員為信息安全管理體系的有效性做出貢獻？是否發(fā)布公司管理人員、部門的職責和權限？管理人員和部門是否履行其職責？1.制定了信息安全方針和目標，見管理手冊0.5方針、目標2.信息安全方針和目標與公司戰(zhàn)略方向一致。公司現(xiàn)有資源滿足公司信息安全管理體系。通過宣傳、培訓教育、會議等方式進行溝通信息安全管理的重要性，有相關會議記錄、培訓記錄。管理層做出了承諾，見承諾書，管理層履行了相關職能。對為信息安全管理體系做出貢獻的人員做出獎勵，制定了獎罰制度。在管理手冊、員工手冊發(fā)布了相關職責和權限，相關人員履行了相應職能。符合5.2方針是否由最高管理者制定了信息安全方針并發(fā)布？信息安全方針是否符合標準要1.信息安全方針是由最高管理者制定并發(fā)布，見管理手冊0.5方針、目標。符合審核人員XXX、XX時間 2020年5月11日標準條款審核內(nèi)容審核記錄評價求？信息安全方針是否形成文件？信息安全方針是否在組織內(nèi)得到溝通？信息安全方針符合ISO27001的要求。形成了文件，見管理手冊0.5方針、目標5.3組織的角色，責任和權限是否發(fā)布公司管理人員、部門的職責和權限？是否建立了組織機構圖和職能分配表？部門負責人是否在管理評審時報告信息安全管理體系績效？發(fā)布了相關職責和權限，見管理手冊和員工手冊和上墻職責。建立了組織機構圖和職能分配表，見管理手冊附錄。部門負責人在管理評審時報告了信息安全管理體系績效，見部門的管理體系運行報告。符合6.1.1應對風險和機會的措施一總則是否建立了《應對風險和機遇控制程序》程序文件？是否制定應對風險和機遇的措施？建立了程序文件。制定了應對風險和機遇的措施。符合6.1.2信息安全風險評估公司是否建立信息風險評估程序文件？公司是否進行了風險評估并保留了風險評估過程？抽查2份信息安全風險評估報告，是否識別了風險等級和風險責任人？建立了程序文件。公司進行了風險評估并保留了記錄，見風險評估記錄、風險評估報告。抽查了信息安全評估報告，有識別風險等級和風險責任人。符合6.1.3信息安全風險處置公司是否建立了信息風險處理程序文件？是否制定了信息安全風險處理計劃？查看是否有信息風險處理記錄？建立了程序文件。制定了信息安全風險處理計劃。有信息風險處理記錄，對信息安全風險進行了處理符合6.2信息安全目的及其實現(xiàn)的規(guī)劃公司和部門是否建立信息安全目標？信息安全目標是否符合標準要求？信息安全目標是否經(jīng)過批準發(fā)布？是否定期檢查目標完成情況？是否策劃了達到信息安全目標的方案？是否統(tǒng)計目標完成情況，并進行評價分析？建立了信息安全目標，見管理手冊0.5方針、目標。信息安全目標符合標準要求。信息安全目標經(jīng)批準發(fā)布。綜合部定期對目標完成情況進行檢查，有檢查記錄。制定了達到信息安全目標的方案。綜合部統(tǒng)計了目標完成情況，并進行了分析評價，見《目標完成情況統(tǒng)計表》和分析評價記錄。符合7.1資源1.公司資源是否滿足信息安全管1.公司資源充足，滿足公司信息符合

審核人員XXX、XX時間 2020年5月11日標準條款審核內(nèi)容審核記錄評價理體系？2.是否建立了人力資源、信息處理設施等資源的管理程序文件？安全管理體系需求。2.建立相關資源管理程序文件。7.2能力公司是否對員工進行了培訓教育？是否對員工進行了能力確認？培訓是否進行了有效性評價？是否有培訓記錄和能力確認記錄？對員工進行了培訓教育。對員工進行了能力確認。培訓進行了有效性評價。有相關記錄。符合7.3意識1.各部門隨機抽查2名員工，詢問公司的信息安全方針、不符合信息安全管理體系會帶來什么樣的影響？1.各部門抽查了2名員工，技術部XX,和業(yè)務部XX回答不完整。不符合7.4溝通抽問5名員工，溝通信息安全管理體系相關內(nèi)容的溝通方式？溝通內(nèi)容？什么情況下溝通？由誰來溝通？溝通對象？是否有相關溝通記錄？抽查并了解溝通情況。重要溝通有相關記錄。符合7.5.1文件化信息一總則是否建立《文件控制程序》？是否具備了標準要求的所有文件化信息？建立了程序文件。具備了IS027001要求的文件化信息。符合7.5.2文件化信息-創(chuàng)建和更新1.創(chuàng)建和更新文件是否是否符合標準要求？1.各部門按《文件控制程序》創(chuàng)建和更新文件。符合7.5.3文件化信息的控制文件化信息是否進行了管理？文件化信息是否進行了保存并得到了充分的保護？電子文檔是否進行了備份？保密電子文件是否得到了加密？并進行了保護？外來文件是否進行了受控管理？對文件進行了管理，綜合部負責文件的管理。對需求保存的文件進行了保存，文件放置于文件柜內(nèi)，重要文件放置于保險柜進行保護。電子文檔都進行了備份。保密電子文件進行了加密，并進行了備份。外來文件進行了受控，見《受控文件一覽表》符合8.1運行規(guī)劃和控制針對風險是否制定了控制計劃？正對達到信息安全目標是否制定了計劃？制定了控制計劃。制定了實現(xiàn)目標的計劃。符合8.2信息安全風險評估1.是否按計劃，或當重大變更提出或發(fā)生時，執(zhí)行信息安全風險評估？1.按照計劃，或當重大變更提出或發(fā)生時，執(zhí)行信息安全風險評估。符合

審核人員XXX、XX時間 2020年5月11日標準條款審核內(nèi)容審核記錄評價2.是否有信息安全風險評估報告？2.有信息安全風險評估報告。8.3信息安全風險處置是否實施信息安全風險處置計劃？是否保留了信息安全處理記錄？實施了信息安全風險處置計劃。保留了信息安全處理記錄。符合9.1監(jiān)視、測量、分析和評價是否建立了《監(jiān)視和測量控制程序》？是否有監(jiān)視、測量評價記錄？建立了程序文件。有評價記錄。符合9.2內(nèi)部審核是否組織進行內(nèi)審審核？是否按策劃的時間間隔進行內(nèi)部審核？內(nèi)部審核是否審核了標準要求？不符合項是否采取了措施，去年內(nèi)審整改是否都完成了？內(nèi)審情況是否形成文件化進行保存？正在進行內(nèi)部審核，去年也進行了內(nèi)部審核。每年至少進行1次內(nèi)部審核，2次審核間隔不超過12個月。內(nèi)部審核符合IS027001要求。對不符合項制定了糾正/預防措施，去年內(nèi)部審核不符合項已經(jīng)整改完成，內(nèi)審活動的資料進行了文件化保存。符合9.3管理評審是否組織管理評審？是否按策劃的時間間隔進行管理評審？管理評審輸入信息是否齊全？管理評審輸出信息是否齊全？管理評審相關記錄是否文件化保存？去年組織了管理評審，今年暫未進行，計劃將在7月份進行。每年至少進行1次管理評審，2次審核間隔不超過12個月。去年管理評審輸入信息齊全。去年管理評審輸出信息齊全。管理評審相關記錄進行了文件化保存。符合10.1不符合及糾正措施是否建立了《糾正/預防措施控制程序》？公司正對評審出現(xiàn)不符合項和其他不符合發(fā)生時，是否采取措施？是否對糾正措施進行驗證？建立了程序文件。對不符合采取了糾正/預防措施。對糾正措施進行了驗證，有追蹤報告。符合10.2持續(xù)改進1.公司進行了哪些改進措施？改進措施是否有效？1.具體見《管理評審改進措施及驗證記錄》，改進措施有一定效果。符合不符合報告審核部門技術部、業(yè)務部部門負責人XXX、XX內(nèi)審人員XXX審核日期2020年5月110不符合事實描述：技術部員工XX,和業(yè)務部員工XX對公司信息安全方針不熟悉、對不符合的信息安全管理體系會帶來什么樣的影響不夠了解。不符合標準條款:GB/T22080-2016/IS0/IEC27001:20137.3意識不符合原因:員工對GB/T22080-2016/IS0/IEC27001:2013的要求理解不夠到位，公司培訓教育、宣傳力度不夠。部門負責人：2020年5月11日對信息安全管理體系影響：不能充分意識公司信息安全方針和信息安全管理體系的重要性，可能造成員工沒有責任心，對工作不負責，會損壞公司信息安全管理體系。內(nèi)審組長：2020年5月11日內(nèi)部審核末次會議記錄主持人管理者代表受審部門公司所有部門 時間 2020.5.1116:30參會人見簽到表內(nèi)審組成員組長：XXX 成員：XXX、XXX、XX會議記錄：會議內(nèi)容：2020年度管理體系例行內(nèi)部審核末次會議由內(nèi)審組長匯報此次內(nèi)審發(fā)現(xiàn)了1項不符合項。由管理者代表對技術部和業(yè)務部負責人進行了批評，該項整改由業(yè)務部和技術部負責人進行整改，管理者代表要求技術部和業(yè)務部負責人于2020年5月13日前整改完畢，并提出了整改建議。技術部和業(yè)務部負責人對內(nèi)審發(fā)現(xiàn)的問題作出回應，提出了整改措施，并承諾2天內(nèi)完成整改措施。記錄人： 時間：年月曰末次會議簽到表會議地點會議室 會議時間 2020年5月11日參會人員簽名序號姓名序號姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)審報告審核目的對公司進行內(nèi)部審核，以驗證各部門信息安全管理體系運行的符合性、有效性和適應性，查找信息安全管理體系運行中的不符合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。審核范圍公司所有部門審核依據(jù)管理體系文件（包括管理手冊、程序文件、管理制度、操作規(guī)程和記錄表格等）；國家或行業(yè)的有關法律、法規(guī)或標準；GB/T22080-2016/IS0/IEC27001：2013＜信息技術安全技術信息安全管理體系要求》）審核組長審核組XXX XXX、XXX審核日期2020.5.11成貝參加人員：見簽到表審核過程概述：為了審核公司信息安全管理體系運行情況，對其運行的符合性、有效性和適應性進行了驗證，本公司于2020年5月11日按照內(nèi)審檢查表要素對