ISO27001信息安全管理体系内部审核资料汇编.docx

《ISO27001信息安全管理体系内部审核资料汇编.docx》由会员分享，可在线阅读，更多相关《ISO27001信息安全管理体系内部审核资料汇编.docx（19页珍藏版）》请在咨信网上搜索。

2020年度ISO27001:2013信息安全 管理体系内部审核资料汇编 编制：XXX 审核：XXX 批准：XXX XXX网络科技有限公司 2020年5月 信息安全管理体系内审年度计划 2 内部审核实施计划 2 关于开展管理体系内部审核通知 4 内审员委派通知书 5 内部审核首次会议记录 6 首次会议签到表 7 内部审核检查表 8 不符合报告 12 内部审核末次会议记录 13 末次会议签到表 14 内审报告 15 不符合工作及纠正措施跟踪表 16 信息安全管理体系内审年度计划 编号：JLffJ-NS-01 评审日期 2020年5月11日 时间 08:30-17:00 地点 综合办公室 审核目的: 对公司进行内部审核，以验证各部门信息安全管理体系运行的符合性、有效性和适应性，查找信息安全管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。 审核依据： 1. 管理体系文件（包括管理手册、程序文件、管理制度、操作规程和记录表格等）; 2. 国家或行业的有关法律、法规或标准； 3. GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》 审核人员： 审核组长：XXX 组员：XXX、XX、XXX、XXX 受审核部门和涉及的要求、内容: 此次内部审核涉及本公司所覆盖的全部信息安全管理体系要素，各部门和全部工作人员要做到全力配合。审核过程中，涉及到相关问题的部门和个人，要在现场做积极有效的配合工作。 审核日程安排: 1.2020年4月10日制定内审计划，并上报给总经理审核批准。 2. 2020年4月20日由管理者代表委任内审组成员。 3. 2020年4月20日综合部主任通知各部门开展内部审核，并要求各部门做好准备。 4. 2020年5月1108:30进行初次会议。 5. 2020年5月11日9:00进行现场评审。 6. 2020年5月11016:00进行末次会议。 7. 2020年5月11日16:50发布内审报告 审核报告的分发范围: 此次内审工作报告的分发范围为：公司所有部门 审核方法： 1. 集中审核 2. 现场审核 审核项目: GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》覆盖的所有要素。 总经理批示：批准实施 批准人：XXXXX日期：2020年4月10日 编制：综合部 2020年4月10日 内审实施计划 日期 实施时间 项目 工作内容 2020年5 月11日 8：30~9：00 首次会议 介绍内审组成员、内审目的、内审分组、内审流程 9：00~12：00 集中和现场 审核 内审人员分组根据内审查验表进行集中审核和现场审核 13:00-15:30 集中和现场 审核 内审人员分组根据内审查验表进行集中审核和现场审核 15:30〜16:00 出具不符合 报告 2组人员对检查记录进行汇总，对审核中出现的不符合项出具不符合报告 16:00〜17:00 末次会议 发布内审中检查出的不符合项目，针对不符合项目进行讨论，提出整改内容责任化和整改意见，限定整改期限。发布内审报告。 编制：综合部 XXX网络科技有限公司文件 XX发［2020114号 关于开展管理体系内部审核通知 公司各部门： 为确保本公司建立的信息安全管理体系能够持续有效的运行，经公司会议研究，总经理批准，公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动，以便及时查找出在信息安全管理体系运行中的不符合工作情况。 请各部门接到通知后做好准备工作，确保通过内部审核的检查工作，争取取得良好的效果。 XXX网络科技有限公司 2020年4月20日 内审员委派通知书 根据公司本年度的内部审核计划，现委派XXX为内审组组长，成员XX、XXX、XXX、XXO内审组按照GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。 内审时间：2020年5月11日 管理者代表：XX 2020年4月20日 内部审核首次会议记录 主持人 XXX 受审部门 公司所有部门 时间 2020.5.118:30 参会人 见签到表 内审组成员 组长：XXXX 成员：XXXX 会议记录： 1. 会议内容： 2020年度管理体系例行内部审核首次会议 2. 确定联系人： 各部门在接受审核时，分别指定1-2名陪同人员协助。 3. 内审组分工 内审组分为2组，1组成员主要负责对体系文件（管理手册、程序文件、操作规程、记录表格等）进行检查。2组成员主要负责对现场（业务流程等）进行检查。 4. 内部审核目的、依据和范围： 内部审核目的：对公司进行内部审核，以验证公司各部门管理体系运行的符合性、有效性和适应性，查找管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。 内部审核依据：依据GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》、相关法律法规、相关标准和公司管理体系文件作为本次审核依据。 内部审核范围：GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》相关要素。 5. 内部审核的方法和程序： 采取听取汇报、现场查看、提问、查阅资料等方式对各部门的管理体系和业务操作规范性进行全面考核。审核程序按公司程序文件《内部审核控制程序》进行。 6. 确定内审的日程安排： 日程安排依照内审实施计划进行，公司对日程安排无异议。 7. 本次审核重点： 管理体系的符合性、有效性和适应性，生产工作是否按照体系运行。 记录人：XXXX 时间：2020年5月11日 首次会议签到表 会议地点 会议室 会议时间 2020年5月11日 参会人员签名 序号 姓名 序号 姓名 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 备注 内部审核检查表 审核人员 XXX、XX 时间 2020年5月11日 标准条款 审核内容 审核记录 评价 4.1理解组 织及其背景 1.是否确定与其目标和战略方向相关并影响其实现信息安全管理体系预期结果的各种外部和内部因素？ 1.确定了内部和外部因素，见 《内部外部因素分析表》 符合 4.2理解相关方的需求和期望 1. 是否确定信息安全体系相关方？ 2. 是否确定了相关方的要求？ 1. 有确定信息安全体系相关方，见《相关方需求和期望登记表》 2. 确定了相关方的要求，见《相关方需求和期望登记表》 符合 4.3确定信 息安全管理 体系的范围 1. 检查信息安全管理管理体系手册是否有明确范围？是否批准发布？ 2. 确定以上内容时，是否考虑了内外部因素、相关方要求？ 3. 检查适用性声明，是否针对实际情况做了合理的删减？ 1. 查了管理手册，有明确范围，管理手册是经审核发布了的。 2. 管理体系范围考虑了内外部因素、相关方要求。 3. 检查了适用性声明，做了合理的删减。 符合 4.4信息安 全管理体系 1.公司是否建立了信息安全管理体系？ 1.建立了信息安全管理体系。 符合 5.1领导和承诺 1. 管理层是否制定了信息安全方针和目标？ 2. 信息安全方针和目标是否和公司战略方向一致？ 3. 公司现有资源是否满足信息安全管理体系？ 4. 是否沟通有效的信息安全管理及符合信息安全管理体系要求的重要性？ 5. 管理层是否履行自己的职责，保证信息安全达到预期结果，是否做出了承诺？ 6. 是否指导并支持相关人员为信息安全管理体系的有效性做出贡献？ 7. 是否发布公司管理人员、部门的职责和权限？管理人员和部门是否履行其职责？ 1.制定了信息安全方针和目标，见管理手册0.5方针、目标 2.信息安全方针和目标与公司战略方向一致。 3. 公司现有资源满足公司信息安全管理体系。 4. 通过宣传、培训教育、会议等方式进行沟通信息安全管理的重要性，有相关会议记录、培训记录。 5. 管理层做出了承诺，见承诺书，管理层履行了相关职能。 6. 对为信息安全管理体系做出贡献的人员做出奖励，制定了奖罚制度。 7. 在管理手册、员工手册发布了相关职责和权限，相关人员履行了相应职能。 符合 5.2方针 1. 是否由最高管理者制定了信息安全方针并发布？ 2. 信息安全方针是否符合标准要 1.信息安全方针是由最高管理者制定并发布，见管理手册0.5方针、目标。 符合 审核人员 XXX、XX 时间 2020年5月11日 标准条款 审核内容 审核记录 评价 求？ 3. 信息安全方针是否形成文件？ 4. 信息安全方针是否在组织内得到沟通？ 2. 信息安全方针符合ISO27001的要求。 3. 形成了文件，见管理手册0.5方针、目标 5.3组织的角色，责任和权限 1. 是否发布公司管理人员、部门的职责和权限？ 2. 是否建立了组织机构图和职能分配表？ 3. 部门负责人是否在管理评审时报告信息安全管理体系绩效？ 1. 发布了相关职责和权限，见管理手册和员工手册和上墙职责。 2. 建立了组织机构图和职能分配表，见管理手册附录。 3. 部门负责人在管理评审时报告了信息安全管理体系绩效，见部门的管理体系运行报告。 符合 6.1.1应对风险和机会的措施一总 则 1. 是否建立了《应对风险和机遇控制程序》程序文件？ 2. 是否制定应对风险和机遇的措施？ 1. 建立了程序文件。 2. 制定了应对风险和机遇的措施。 符合 6.1.2信息安全风险评估 1. 公司是否建立信息风险评估程序文件？ 2. 公司是否进行了风险评估并保留了风险评估过程？ 3. 抽查2份信息安全风险评估报告，是否识别了风险等级和风险责任人？ 1. 建立了程序文件。 2. 公司进行了风险评估并保留了记录，见风险评估记录、风险评估报告。 3. 抽查了信息安全评估报告，有识别风险等级和风险责任人。 符合 6.1.3信息 安全风险处置 1. 公司是否建立了信息风险处理程序文件？ 2. 是否制定了信息安全风险处理计划？ 3. 查看是否有信息风险处理记录？ 1. 建立了程序文件。 2. 制定了信息安全风险处理计划。 3. 有信息风险处理记录，对信息安全风险进行了处理 符合 6.2信息安 全目的及其 实现的规划 1. 公司和部门是否建立信息安全目标？ 2. 信息安全目标是否符合标准要求？ 3. 信息安全目标是否经过批准发布？ 4. 是否定期检查目标完成情况？ 5. 是否策划了达到信息安全目标的方案？ 6. 是否统计目标完成情况，并进行评价分析？ 1. 建立了信息安全目标，见管理手册0.5方针、目标。 2. 信息安全目标符合标准要求。 3. 信息安全目标经批准发布。 4. 综合部定期对目标完成情况进行检查，有检查记录。 5. 制定了达到信息安全目标的方案。 6. 综合部统计了目标完成情况，并进行了分析评价，见《目标完成情况统计表》和分析评价记录。 符合 7.1资源 1.公司资源是否满足信息安全管 1.公司资源充足，满足公司信息 符合 审核人员 XXX、XX 时间 2020年5月11日 标准条款 审核内容 审核记录 评价 理体系？ 2.是否建立了人力资源、信息处理设施等资源的管理程序文件？ 安全管理体系需求。 2.建立相关资源管理程序文件。 7.2能力 1. 公司是否对员工进行了培训教育？ 2. 是否对员工进行了能力确认？ 3. 培训是否进行了有效性评价？ 4. 是否有培训记录和能力确认记录？ 1. 对员工进行了培训教育。 2. 对员工进行了能力确认。 3. 培训进行了有效性评价。 4. 有相关记录。 符合 7.3意识 1.各部门随机抽查2名员工，询问公司的信息安全方针、不符合信息安全管理体系会带来什么样的影响？ 1.各部门抽查了2名员工，技术部XX,和业务部XX回答不完整。 不符合 7.4沟通 1. 抽问5名员工，沟通信息安全管理体系相关内容的沟通方式？沟通内容？什么情况下沟通？由谁来沟通？沟通对象？ 2. 是否有相关沟通记录？ 1. 抽查并了解沟通情况。 2. 重要沟通有相关记录。 符合 7.5.1文件 化信息一总则 1. 是否建立《文件控制程序》？ 2. 是否具备了标准要求的所有文件化信息？ 1. 建立了程序文件。 2. 具备了IS027001要求的文件化信息。 符合 7.5.2文件 化信息-创 建和更新 1.创建和更新文件是否是否符合标准要求？ 1.各部门按《文件控制程序》创建和更新文件。 符合 7.5.3文件 化信息的控制 1. 文件化信息是否进行了管理？ 2. 文件化信息是否进行了保存并得到了充分的保护？ 3. 电子文档是否进行了备份？ 4. 保密电子文件是否得到了加密？并进行了保护？ 5. 外来文件是否进行了受控管理？ 1. 对文件进行了管理，综合部负责文件的管理。 2. 对需求保存的文件进行了保存，文件放置于文件柜内，重要文件放置于保险柜进行保护。 3. 电子文档都进行了备份。 4. 保密电子文件进行了加密，并进行了备份。 5. 外来文件进行了受控，见《受控文件一览表》 符合 8.1运行规划和控制 1. 针对风险是否制定了控制计划？ 2. 正对达到信息安全目标是否制定了计划？ 1. 制定了控制计划。 2. 制定了实现目标的计划。 符合 8.2信息安 全风险评估 1.是否按计划，或当重大变更提出或发生时，执行信息安全风险评估？ 1.按照计划，或当重大变更提出或发生时，执行信息安全风险评估。 符合 审核人员 XXX、XX 时间 2020年5月11日 标准条款 审核内容 审核记录 评价 2.是否有信息安全风险评估报告？ 2.有信息安全风险评估报告。 8.3信息安 全风险处置 1. 是否实施信息安全风险处置计划？ 2. 是否保留了信息安全处理记录？ 1. 实施了信息安全风险处置计划。 2. 保留了信息安全处理记录。 符合 9.1监视、测量、分析和评价 1. 是否建立了《监视和测量控制程序》？ 2. 是否有监视、测量评价记录？ 1. 建立了程序文件。 2. 有评价记录。 符合 9.2内部审核 1. 是否组织进行内审审核？ 2. 是否按策划的时间间隔进行内部审核？ 3. 内部审核是否审核了标准要求？ 4. 不符合项是否采取了措施，去年内审整改是否都完成了？ 5. 内审情况是否形成文件化进行保存？ 1. 正在进行内部审核，去年也进行了内部审核。 2. 每年至少进行1次内部审核，2次审核间隔不超过12个月。 3. 内部审核符合IS027001要求。 4. 对不符合项制定了纠正/预防措施，去年内部审核不符合项已经整改完成， 5. 内审活动的资料进行了文件化保存。 符合 9.3管理评审 1. 是否组织管理评审？ 2. 是否按策划的时间间隔进行管理评审？ 3. 管理评审输入信息是否齐全？ 4. 管理评审输出信息是否齐全？ 5. 管理评审相关记录是否文件化保存？ 1. 去年组织了管理评审，今年暂未进行，计划将在7月份进行。 2. 每年至少进行1次管理评审，2次审核间隔不超过12个月。 3. 去年管理评审输入信息齐全。 4. 去年管理评审输出信息齐全。 5. 管理评审相关记录进行了文件化保存。 符合 10.1不符 合及纠正措施 1. 是否建立了《纠正/预防措施控制程序》？ 2. 公司正对评审出现不符合项和其他不符合发生时，是否采取措施？ 3. 是否对纠正措施进行验证？ 1. 建立了程序文件。 2. 对不符合采取了纠正/预防措施。 3. 对纠正措施进行了验证，有追踪报告。 符合 10.2持续 改进 1.公司进行了哪些改进措施？改进措施是否有效？ 1.具体见《管理评审改进措施及验证记录》，改进措施有一定效果。 符合 不符合报告 审核部门 技术部、业务部 部门负责人 XXX、XX 内审人员 XXX 审核日期 2020年5月110 不符合事实描述：技术部员工XX,和业务部员工XX对公司信息安全方针不熟悉、对不符合的信息安全管理体系会带来什么样的影响不够了解。 不符合标准条款:GB/T22080-2016/IS0/IEC27001:20137.3意识 不符合原因:员工对GB/T22080-2016/IS0/IEC27001:2013的要求理解不够到位，公司培训教育、宣传力度不够。 部门负责人： 2020年5月11日 对信息安全管理体系影响：不能充分意识公司信息安全方针和信息安全管理体系的重要性，可能造成员工没有责任心，对工作不负责，会损坏公司信息安全管理体系。 内审组长： 2020年5月11日 内部审核末次会议记录 主持人 管理者代表 受审部门 公司所有部门 时间 2020.5.1116:30 参会人 见签到表 内审组成员 组长：XXX 成员：XXX、XXX、XX 会议记录： 1. 会议内容： 2020年度管理体系例行内部审核末次会议 2. 由内审组长汇报此次内审发现了1项不符合项。 3. 由管理者代表对技术部和业务部负责人进行了批评，该项整改由业务部和技术部负责人进行整改，管理者代表要求技术部和业务部负责人于2020年5月13日前整改完毕，并提出了整改建议。 4. 技术部和业务部负责人对内审发现的问题作出回应，提出了整改措施，并承诺2天内完成整改措施。 记录人： 时间：年月曰 末次会议签到表 会议地点 会议室 会议时间 2020年5月11日 参会人员签名 序号 姓名 序号 姓名 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 备注 内审报告 审核目的 对公司进行内部审核，以验证各部门信息安全管理体系运行的符合性、有效性和适应性，查找信息安全管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。 审核范围 公司所有部门 审核依据 1. 管理体系文件（包括管理手册、程序文件、管理制度、操作规程和记录表格等）； 2. 国家或行业的有关法律、法规或标准； 3. GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》） 审核组长 审核组 XXX XXX、XXX审核日期2020.5.11 成贝 参加人员： 见签到表 审核过程概述： 为了审核公司信息安全管理体系运行情况，对其运行的符合性、有效性和适应性进行了验证，本公司于2020年5月11日按照内审检查表要素对公司所有部门进行了审核，并出具了不符合项报告，组织了首次和末次会议，提出了整改建议和措施。 不符合项的分布情况及说明： 此次内审发现1项不符合项，不符合项产生部门为业务部和技术部，从此次内审可以看出，公司管理体系存在较低的问题，处于可控状态，总体上，公司管理体系运行是有效的。 管理体系运行情况的综合评价： 通过此次内部审核，验证了各部门信息安全管理体系运行的符合性、有效性和适应性；使所有人员意识到了信息安全方针、目标和运行的重要性。经公司各部门和全体员工的努力，公司在管理体系运行中取得了相当好的成绩， 存在的主要问题及改进建议： 此次内审发现1项不符合项，员工相关意识淡薄。建议加强培训教育力度。 不符合项纠正措施要求： 部门进行一次培训教育，并增加之后的培训教育力度。 审核组长：XXXX 日期：2020年5月110 审核/批准：管理者代表 日期：2020年5月110 报告下发人员及部门：下发至所有部门 备注： 不符合工作及纠正措施跟踪表 编号：JLWJ2020-NSTO 第1页共1页 责任部门：业务部、技术部 部门负责人：XX、XXX 内审组长：XXX 审核日期：2020年5月11日 不符合项描述： 技术部员工XX,和业务部员工XX对公司信息安全方针不熟悉、对不符合的信息安全管理体系会带来什么样的影响不够了解 不符合标准条款：GB/T22080-2016/IS0/IEC27001:20137.3意识 内审员签字：XX2020年5月11日 部门负责人签字：2020年5月11日 原因分析、纠正措施： 原因分析：员工对GB/T22080-2016/IS0/IEC27001:2013的要求理解不够到位,公司培训教育、宣传力度不够。 纠正措施：部门进行一次培训教育，并增加之后的培训教育力度。 部门负责人签字：XXXX 年 月曰 内审员认可签字：XXX 年 月曰 内审组长批准签字：XXX 年 月曰 纠正措施完成情况： 已完成。 管理者代表：XXXX 年月曰 纠正措施验证： 已整改。 验证人：XXX 年月曰