4 8 信息安全管理體系內(nèi)審年度計(jì)劃關(guān)于開(kāi)展管理體系內(nèi)部審核通知246246813579標(biāo)準(zhǔn)條款織及其背景關(guān)方的需求息安全管理體系的范圍全管理體系1.是否確定與其目標(biāo)和戰(zhàn)略方向相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的各種外部和內(nèi)部1.是否確定信息安全體系相關(guān)1.檢查信息安全管理管理體系手冊(cè)是否有明確范圍？是否批準(zhǔn)發(fā)2.確定以上內(nèi)容時(shí)，是否考慮了3.檢查適用性聲明，是否針對(duì)實(shí)1.公司是否建立了信息安全管理1.管理層是否制定了信息安全方2.信息安全方針和目標(biāo)是否和公3.公司現(xiàn)有資源是否滿(mǎn)足信息安4.是否溝通有效的信息安全管理及符合信息安全管理體系要求的5.管理層是否履行自己的職責(zé)，保證信息安全達(dá)到預(yù)期結(jié)果，是6.是否指導(dǎo)并支持相關(guān)人員為信息安全管理體系的有效性做出貢7.是否發(fā)布公司管理人員、部門(mén)的職責(zé)和權(quán)限？管理人員和部門(mén)1.是否由最高管理者制定了信息2.信息安全方針是否符合標(biāo)準(zhǔn)要1.確定了內(nèi)部和外部因素，見(jiàn)《內(nèi)部外部因素分析表》見(jiàn)《相關(guān)方需求和期望登記表》關(guān)方需求和期望登記表》管理手冊(cè)是經(jīng)審核發(fā)布了的。2.管理體系范圍考慮了內(nèi)外部1.建立了信息安全管理體系。見(jiàn)管理手冊(cè)0.5方針、目標(biāo)2.信息安全方針和目標(biāo)與公司3.公司現(xiàn)有資源滿(mǎn)足公司信息方式進(jìn)行溝通信息安全管理的5.管理層做出了承諾，見(jiàn)承諾書(shū)，管理層履行了相關(guān)職能。6.對(duì)為信息安全管理體系做出1.信息安全方針是由最高管理者制定并發(fā)布，見(jiàn)管理手冊(cè)0.5日角色，責(zé)任風(fēng)險(xiǎn)和機(jī)會(huì)的措施—總則安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)處置全目的及其實(shí)現(xiàn)的規(guī)劃4.信息安全方針是否在組織內(nèi)得1.是否發(fā)布公司管理人員、部門(mén)2.是否建立了組織機(jī)構(gòu)圖和職能3.部門(mén)負(fù)責(zé)人是否在管理評(píng)審時(shí)1.是否建立了《應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇2.是否制定應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措1.公司是否建立信息風(fēng)險(xiǎn)評(píng)估程2.公司是否進(jìn)行了風(fēng)險(xiǎn)評(píng)估并保3.抽查2份信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，是否識(shí)別了風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)1.公司是否建立了信息風(fēng)險(xiǎn)處理2.是否制定了信息安全風(fēng)險(xiǎn)處理3.查看是否有信息風(fēng)險(xiǎn)處理記1.公司和部門(mén)是否建立信息安全2.信息安全目標(biāo)是否符合標(biāo)準(zhǔn)要3.信息安全目標(biāo)是否經(jīng)過(guò)批準(zhǔn)發(fā)5.是否策劃了達(dá)到信息安全目標(biāo)6.是否統(tǒng)計(jì)目標(biāo)完成情況，并進(jìn)1.公司資源是否滿(mǎn)足信息安全管2.信息安全方針?lè)螴SO270013.形成了文件，見(jiàn)管理手冊(cè)0.5方針、目標(biāo)理手冊(cè)和員工手冊(cè)和上墻職責(zé)。2.建立了組織機(jī)構(gòu)圖和職能分配表，見(jiàn)管理手冊(cè)附錄。3.部門(mén)負(fù)責(zé)人在管理評(píng)審時(shí)報(bào)部門(mén)的管理體系運(yùn)行報(bào)告。2.制定了應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措2.公司進(jìn)行了風(fēng)險(xiǎn)評(píng)估并保留識(shí)別風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)責(zé)任人。2.制定了信息安全風(fēng)險(xiǎn)處理計(jì)安全風(fēng)險(xiǎn)進(jìn)行了處理2.信息安全目標(biāo)符合標(biāo)準(zhǔn)要求。3.信息安全目標(biāo)經(jīng)批準(zhǔn)發(fā)布。4.綜合部定期對(duì)目標(biāo)完成情況進(jìn)行檢查，有檢查記錄。5.制定了達(dá)到信息安全目標(biāo)的6.綜合部統(tǒng)計(jì)了目標(biāo)完成情況，成情況統(tǒng)計(jì)表》和分析評(píng)價(jià)記化信息—總則建和更新化信息的控制劃和控制全風(fēng)險(xiǎn)評(píng)估2.是否建立了人力資源、信息處1.公司是否對(duì)員工進(jìn)行了培訓(xùn)教4.是否有培訓(xùn)記錄和能力確認(rèn)記1.各部門(mén)隨機(jī)抽查2名員工，詢(xún)問(wèn)公司的信息安全方針、不符合信息安全管理體系會(huì)帶來(lái)什么樣1.抽問(wèn)5名員工，溝通信息安全溝通內(nèi)容？什么情況下溝通？由2.是否具備了標(biāo)準(zhǔn)要求的所有文1.創(chuàng)建和更新文件是否是否符合2.文件化信息是否進(jìn)行了保存并4.保密電子文件是否得到了加5.外來(lái)文件是否進(jìn)行了受控管1.針對(duì)風(fēng)險(xiǎn)是否制定了控制計(jì)2.正對(duì)達(dá)到信息安全目標(biāo)是否制1.是否按計(jì)劃，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)2.建立相關(guān)資源管理程序文件。1.對(duì)員工進(jìn)行了培訓(xùn)教育。2.對(duì)員工進(jìn)行了能力確認(rèn)。3.培訓(xùn)進(jìn)行了有效性評(píng)價(jià)。2.重要溝通有相關(guān)記錄。2.對(duì)需求保存的文件進(jìn)行了保文件放置于保險(xiǎn)柜進(jìn)行保護(hù)。3.電子文檔都進(jìn)行了備份。控文件一覽表》2.制定了實(shí)現(xiàn)目標(biāo)的計(jì)劃。全風(fēng)險(xiǎn)處置測(cè)量、分析核審合及糾正措施2.是否有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)1.是否實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)2.是否保留了信息安全處理記1.是否建立了《監(jiān)視和測(cè)量控制2.是否按策劃的時(shí)間間隔進(jìn)行內(nèi)3.內(nèi)部審核是否審核了標(biāo)準(zhǔn)要4.不符合項(xiàng)是否采取了措施，去5.內(nèi)審情況是否形成文件化進(jìn)行2.是否按策劃的時(shí)間間隔進(jìn)行管5.管理評(píng)審相關(guān)記錄是否文件化1.是否建立了《糾正/預(yù)防措施控2.公司正對(duì)評(píng)審出現(xiàn)不符合項(xiàng)和其他不符合發(fā)生時(shí)，是否采取措1.公司進(jìn)行了哪些改進(jìn)措施？改2.有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。1.實(shí)施了信息安全風(fēng)險(xiǎn)處置計(jì)2.保留了信息安全處理記錄。4.對(duì)不符合項(xiàng)制定了糾正/預(yù)防5.內(nèi)審活動(dòng)的資料進(jìn)行了文件3.去年管理評(píng)審輸入信息齊全。4.去年管理評(píng)審輸出信息齊全。5.管理評(píng)審相關(guān)記錄進(jìn)行了文2.對(duì)不符合采取了糾正/預(yù)防措日246246813579不符合工作及糾正措施跟蹤表1 4 9 1357135792468不符合/潛在不符合及糾正/預(yù)防措施表