內(nèi)審檢查表受審部門信息管理部負(fù)責(zé)人左從斌審核結(jié)論審核員瞿敏審核員馬晨ISO/IEC27001條款及要求ISO/IEC20000條款及要求審核內(nèi)容及方法審核記錄5.3組織的角色、責(zé)任和權(quán)限A.5.2/A.5.3/A.5.45.3組織的角色、責(zé)任和權(quán)限信息部的崗位職責(zé)權(quán)限情況1.與部門負(fù)責(zé)人交流，對(duì)崗位要求明確。2.關(guān)鍵崗位人員對(duì)職責(zé)權(quán)限較為清楚，適宜符合6.2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃6.2服務(wù)管理目標(biāo)及其實(shí)現(xiàn)策劃1.信息部的目標(biāo)是否得到分解并進(jìn)行考核？員工是否清楚相應(yīng)的目標(biāo)？信息部是否按時(shí)對(duì)管理目標(biāo)進(jìn)行考核？2.根據(jù)公司運(yùn)行中環(huán)境狀況是否建立相應(yīng)的管理方案。1.現(xiàn)場(chǎng)的目標(biāo)根據(jù)體系運(yùn)行實(shí)際情況得到了控制，由綜合管理部對(duì)公司及各部門的管理目標(biāo)進(jìn)行考核。2.詢問(wèn)員工管理目標(biāo)能正確回答本部門管理目標(biāo)；符合8.2信息安全風(fēng)險(xiǎn)評(píng)估8.3信息安全風(fēng)險(xiǎn)處理信息安全風(fēng)險(xiǎn)是如何進(jìn)行識(shí)別和評(píng)價(jià)？是否有最近更新？部門的信安安全管理是否滿足要求？信息安全風(fēng)險(xiǎn)處置管理？公司建立《信息安全險(xiǎn)評(píng)估管理程序》，通過(guò)程序文件明確了風(fēng)險(xiǎn)評(píng)估準(zhǔn)則，資產(chǎn)賦值的過(guò)程是對(duì)資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程，部門按照公司編制的文件對(duì)配合綜合管理部對(duì)涉及的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別評(píng)價(jià)，部門現(xiàn)有信息安全風(fēng)險(xiǎn)較小，能滿足要求。公司信息安全體系運(yùn)行以來(lái)未發(fā)生，信息安全管理體系運(yùn)行良好，編制相關(guān)風(fēng)險(xiǎn)處置計(jì)劃，我部門按照公司相關(guān)要求執(zhí)行。符合PC機(jī)管理：A.5.17/A.5.32/A.7.7/A.8.1/A.8.7/A.8.13/A.8.18/A.8.19是否按照文件要求設(shè)置登陸口令，有無(wú)設(shè)置屏保，電腦桌面清潔情況是否符合要求，有無(wú)安裝殺毒軟件并定期殺毒，財(cái)務(wù)數(shù)據(jù)的保管情況，電腦軟件的安裝是否符合文件規(guī)定？公司制定了《計(jì)算機(jī)使用管理規(guī)定》、《惡意軟件控制制度》、《系統(tǒng)訪問(wèn)管理制度》，嚴(yán)格按照程序的要求執(zhí)行PC機(jī)的管理。抽查的電腦設(shè)置情況，查登錄操作系統(tǒng)時(shí)的口令設(shè)置：8位，由字母、數(shù)據(jù)組成、安裝有Foxmail、VMware、QQ、設(shè)置屏幕保護(hù)功能，3分鐘啟動(dòng)，用密碼恢復(fù)、安裝有360毒霸軟件，設(shè)置有每周定期殺毒、業(yè)務(wù)數(shù)據(jù)及文件及時(shí)保存在電腦，本部門員工電腦使用管理滿足要求。符合8.1運(yùn)行策劃和控制是否針對(duì)滿足信息技術(shù)服務(wù)管理體系的要求及實(shí)施確定的控制措施，建立相關(guān)的程序和規(guī)章制度，所需的過(guò)程予以策劃、實(shí)施和控制。組織也應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)確定的信息安全/信息技術(shù)服務(wù)管理目標(biāo)。公司應(yīng)詳細(xì)記錄信息技術(shù)服務(wù)管理體系運(yùn)行過(guò)程中的各種信息數(shù)據(jù)，以確保信息技術(shù)服務(wù)管理體系是按照計(jì)劃得到執(zhí)行。當(dāng)公司信息技術(shù)服務(wù)管理方針、目標(biāo)、工作計(jì)劃和程序、控制措施等發(fā)生變更時(shí)，應(yīng)進(jìn)行管理。計(jì)劃的變更要按照計(jì)劃進(jìn)行控制；非預(yù)期的變更要評(píng)審變更的影響，確保變更沒有不利的影響，必要時(shí)，采取措施減輕不利的影響。是否識(shí)別，我公司目前沒有外包過(guò)程。若以后出現(xiàn)外包過(guò)程，？針對(duì)滿足信息技術(shù)服務(wù)管理體系的要求及實(shí)施確定的控制措施，建立相關(guān)的程序和規(guī)章制度，所需的過(guò)程予以策劃、實(shí)施和控制。實(shí)施計(jì)劃以實(shí)現(xiàn)確定的信息技術(shù)服務(wù)管理目標(biāo)。公司應(yīng)詳細(xì)記錄信息技術(shù)服務(wù)管理體系運(yùn)行過(guò)程中的各種信息數(shù)據(jù)，確保了信息安全/信息技術(shù)服務(wù)管理體系是按照計(jì)劃得到執(zhí)行。當(dāng)公司信息技術(shù)服務(wù)管理方針、目標(biāo)、工作計(jì)劃和程序、控制措施等發(fā)生變更時(shí)，應(yīng)進(jìn)行管理。計(jì)劃的變更要按照計(jì)劃進(jìn)行控制；非預(yù)期的變更要評(píng)審變更的影響，確保變更沒有不利的影響，必要時(shí)，采取措施減輕不利的影響。我公司目前沒有外包過(guò)程。符合8.2服務(wù)組合是否對(duì)服務(wù)組合過(guò)程進(jìn)行了控制？是否制定了服務(wù)策劃服務(wù)生命周期的相關(guān)方控制?服務(wù)目錄、資產(chǎn)、配置管理？公司《服務(wù)級(jí)別管理程序》《信息安全事件管理程序》《配置管理程序》等管理程序，在公司所提供的運(yùn)維服務(wù)時(shí)，明確了服務(wù)生命周期的相關(guān)方，針對(duì)不同的服務(wù)項(xiàng)目分別制定了服務(wù)目錄，并對(duì)服務(wù)項(xiàng)目進(jìn)行了配置管理，相關(guān)服務(wù)管理滿足服務(wù)體系及客戶運(yùn)行的要求；公司未針對(duì)“炮院大數(shù)據(jù)中心運(yùn)維服務(wù)項(xiàng)目”制定服務(wù)目錄，進(jìn)行配置管理。不符合8.3關(guān)系與協(xié)議是否對(duì)服務(wù)交付過(guò)程進(jìn)行了控制？是否制定了服務(wù)級(jí)別？是否按照計(jì)劃的時(shí)間間隔評(píng)審服務(wù)和SLAS？客服提供的組件，組織是否協(xié)定、評(píng)審、維護(hù)的一個(gè)書面協(xié)議？是否有相關(guān)服務(wù)目錄信息？業(yè)務(wù)關(guān)系管理控制是否得當(dāng)？是否制定了服務(wù)評(píng)審計(jì)劃？服務(wù)的績(jī)效是否得到評(píng)審？組織制定了《服務(wù)級(jí)別管理程序》，程序規(guī)定了相應(yīng)的服務(wù)目錄，有對(duì)SLA的執(zhí)行情況，與客服簽訂了服務(wù)級(jí)別協(xié)議；業(yè)務(wù)關(guān)系管理控制符合要求；制定了《業(yè)務(wù)關(guān)系管理程序》，完善了服務(wù)評(píng)審相關(guān)的計(jì)劃、報(bào)告，已經(jīng)對(duì)客戶進(jìn)行了滿意度調(diào)查；在公司開展的業(yè)務(wù)中，無(wú)服務(wù)流程的分包方，信息部負(fù)責(zé)業(yè)務(wù)關(guān)系的維護(hù)及服務(wù)級(jí)別的制定，服務(wù)組件的采購(gòu)工作由項(xiàng)目組負(fù)責(zé)，并對(duì)供方進(jìn)行定期評(píng)價(jià)。符合8.4.2需求管理；需求管理是否符合要求？檢查有與客戶和相關(guān)方識(shí)別和協(xié)商確定的容量管理程序進(jìn)行容量管理，需求計(jì)劃應(yīng)至少包括標(biāo)準(zhǔn)的要求？查所給記錄，由項(xiàng)目組策劃開展業(yè)務(wù)所需的資源，并進(jìn)行監(jiān)視能力的使用。提供了相關(guān)需求計(jì)劃要求。編制了需求計(jì)劃并定期進(jìn)行了審計(jì)。符合要求符合8.4.3能力管理能力管理是否符合要求？檢查有與客戶和相關(guān)方識(shí)別和協(xié)商確定的容量管理程序進(jìn)行容量管理，容量計(jì)劃應(yīng)至少包括標(biāo)準(zhǔn)的要求？查所給記錄，提供了相關(guān)培訓(xùn)計(jì)劃、已經(jīng)培訓(xùn)記錄，要求。編制了容量計(jì)劃并定期進(jìn)行了審計(jì)，管理符合。符合8.5服務(wù)設(shè)計(jì)、構(gòu)建與轉(zhuǎn)換是否設(shè)計(jì)和轉(zhuǎn)換新的或者變更的服務(wù)?檢查新的或變更的服務(wù)經(jīng)過(guò)了測(cè)試、驗(yàn)證和對(duì)比？查提供了《新的或變更的服務(wù)管理程序》，公司通過(guò)策劃新活動(dòng)的權(quán)限和職責(zé)、資源、服務(wù)依賴關(guān)系、服務(wù)需要的測(cè)試及服務(wù)驗(yàn)收標(biāo)準(zhǔn)等實(shí)現(xiàn)新的或變更的服務(wù)轉(zhuǎn)換，通過(guò)變更管理、發(fā)布與部署管理對(duì)新的或變更的服務(wù)和服務(wù)組件部署到實(shí)際運(yùn)行環(huán)境中的過(guò)程加以控制。。目前無(wú)此情況發(fā)生。符合8.6解決與完成事件和服務(wù)請(qǐng)求管理是否符合要求？是否制定事件管理程序？重大事件是否進(jìn)行評(píng)審？識(shí)別改進(jìn)的機(jī)會(huì)？服務(wù)目標(biāo)不能滿足時(shí)，是否通知客戶及相關(guān)方？檢查有信息安全事件管理程序進(jìn)行問(wèn)題管理和最小化或避免事件和問(wèn)題的影響。分析了事件和問(wèn)題的數(shù)據(jù)和趨勢(shì)，以識(shí)別根本原因和潛在的預(yù)防措施。問(wèn)題解決方案的有效性被監(jiān)控、回顧和報(bào)告。已知錯(cuò)誤和問(wèn)題解決方案能提供給事件和服務(wù)請(qǐng)求管理流程。制定有《信息安全事件管理程序》，程序規(guī)定了相關(guān)內(nèi)容，公司使用Excel/word表格對(duì)事件和服務(wù)請(qǐng)求及發(fā)生的問(wèn)題進(jìn)行記錄，事件列表包括了事件的來(lái)源、分類、緊急程度、級(jí)別以及當(dāng)前狀態(tài)等；問(wèn)題列表包括了問(wèn)題來(lái)源、分類、優(yōu)先級(jí)、狀態(tài)、處理人以及響應(yīng)度等。相關(guān)要求符合標(biāo)準(zhǔn)要求；符合8.7服務(wù)保障是否制定了服務(wù)的連續(xù)性和可用性計(jì)劃？有沒有進(jìn)行測(cè)試。公司建立了《服務(wù)連續(xù)性和可用性管理程序》，通過(guò)計(jì)劃、實(shí)施、測(cè)試確保服務(wù)的連續(xù)和可用，以滿足業(yè)務(wù)要求、服務(wù)要求、SLA和風(fēng)險(xiǎn)控制。符合9.1.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)總則1）組織對(duì)服務(wù)的特性和接收準(zhǔn)則是否進(jìn)行了規(guī)定？2）對(duì)服務(wù)監(jiān)視和測(cè)量是否進(jìn)行了策劃？在產(chǎn)品實(shí)現(xiàn)過(guò)程的適當(dāng)階段進(jìn)行哪些監(jiān)視和測(cè)量，并形成文件？3）何時(shí)實(shí)施監(jiān)規(guī)測(cè)量？何時(shí)對(duì)結(jié)果進(jìn)行分析評(píng)價(jià)？是否保留成文的信息查在手冊(cè)中明確通過(guò)適當(dāng)?shù)姆椒▽?duì)方針目標(biāo)、過(guò)程運(yùn)行、體系績(jī)效等進(jìn)行監(jiān)視和測(cè)量，例如內(nèi)審、管理評(píng)審、目標(biāo)考核、評(píng)定等。通過(guò)內(nèi)審、目標(biāo)考核等評(píng)價(jià)體系績(jī)效和有效性。已保留了相應(yīng)記錄。查質(zhì)量目標(biāo)、方針均有評(píng)審和測(cè)量等均有監(jiān)視和控制，有效。符合9.4服務(wù)報(bào)告管理層是否按要求定期制定相應(yīng)的服務(wù)報(bào)告，其服務(wù)報(bào)告是否清晰并闡明其目的、制定人、閱讀者以及數(shù)據(jù)來(lái)源？服務(wù)報(bào)告是否該包括如下內(nèi)容：a)服務(wù)級(jí)別目標(biāo)與實(shí)際運(yùn)行績(jī)效之間的差距；b)不符合項(xiàng)和問(wèn)題報(bào)告；c)數(shù)量統(tǒng)計(jì)、資源使用率等工作量特性；d)重大事件報(bào)告；e)趨勢(shì)分析信息；f)客戶滿意度分析公司制定了《服務(wù)級(jí)別管理程序》，嚴(yán)格按照程序的要求，根據(jù)每一個(gè)服務(wù)項(xiàng)目的實(shí)際服務(wù)情況，定期編制了服務(wù)報(bào)告。抽查提供的《服務(wù)報(bào)告》，其內(nèi)容清晰并闡明了其目的、制定人、閱讀者以及數(shù)據(jù)來(lái)源；包括了服務(wù)級(jí)別目標(biāo)與實(shí)際運(yùn)行績(jī)效之間的差距、不符合項(xiàng)和問(wèn)題報(bào)告、數(shù)量統(tǒng)計(jì)、資源使用率等工作量特性、重大事件報(bào)告、趨勢(shì)分析信息、客戶滿意度分析等內(nèi)容。符合要求。符合10.1不符合及糾正措施1)是否有成文的糾正措施管理規(guī)定?2)規(guī)定的內(nèi)容是否完成，是否符合公司現(xiàn)有的特點(diǎn)？3)有無(wú)改進(jìn)的措施情況發(fā)生？措施有無(wú)進(jìn)行原因分析，有無(wú)進(jìn)行跟蹤驗(yàn)證，對(duì)結(jié)果有無(wú)進(jìn)行評(píng)審確認(rèn)？4)糾正措施有無(wú)成文信息，是否包含不符合的性質(zhì)以及隨后所采取的措施；糾正措施的結(jié)果等內(nèi)容？5)措施的有效性是否符合要求？在糾正措施管理規(guī)定中對(duì)要求進(jìn)行了明確，此類不符合主要包括：1、內(nèi)外部出現(xiàn)的事故；2、管理評(píng)審和內(nèi)外審結(jié)果；3、顧客退貨及抱怨；4、體系及運(yùn)行過(guò)程監(jiān)控?cái)?shù)據(jù)及趨勢(shì)，等等。在文件中對(duì)處理以上不符合與糾正措施工作流程進(jìn)行了規(guī)定，包括進(jìn)行糾正、采取措施進(jìn)行控制的要求，以及后續(xù)的跟蹤確認(rèn)。抽查，對(duì)內(nèi)審提出的不符合項(xiàng)，得到了確認(rèn)，進(jìn)行了原因分析