最新最完整版ISO27001信息安全管理体系内审全套资料.doc

最新最完整版ISO27001信息安全管理体系内审全套资料.doc

《最新最完整版ISO27001信息安全管理体系内审全套资料.doc》由会员分享，可在线阅读，更多相关《最新最完整版ISO27001信息安全管理体系内审全套资料.doc（17页珍藏版）》请在冰豆网上搜索。

ISO27001-2013信息安全管理体系

内审全套资料

（含内审计划、内审检查表、内审报告）

东莞市XXXX有限公司

2017年度内部审核计划

编号：

ISMS-4030序号：

20170103-1

审核目的：

验证公司内部信息安全管理体系是否符合要求，为保证质量体系有效运行及不断得到完善提供依据。

审核范围：

所有与信息安全管理有关的人员、部门和岗位。

审核依据：

ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动

月份

部门

1

2

3

4

5

6

7

8

9

10

11

12

业务部

√

开发部

√

品质部

√

生产部

√

管理层

√

管理部

√

资材部

√

说明：

1.审核可以按ISO27001-2013标准集中审核，也可以按部门分月份进行审核，但必须覆盖全部信息安全职责部门和岗位，必须符合ISO27001-2013标准.

2.计划在某月份被审核的部门，由内审计划编制者在表内对应处作上“√”的符号，表示该部门在某月将被审核。

编制：

XXX审核：

批准：

日期：

2017-1-4日期：

2017-1-4日期：

2017-1-4

信息安全管理体系内部审核检查表

受审核部门：

陪同人员：

审核员：

审核日期：

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

1

组织是否确定与其目标相关，并影响其实现信息安全管理体系预期结果能力的外部和内部问题

4.1

2

组织有无确定相关方？

4.2a

3

组织有无确定相关方与信息安全管理的要求？

4.2b

4

组织有无确定信息安全体系的边界和建立其范围？

有无考虑内部和外部问题？

4.3a

5

组织有无确定信息安全体系的边界和建立其范围？

并考虑到相关方及其管理要求？

4.3b

6

组织建立边界和范围时有无考虑活动接口及依赖性，且范围有无定义？

4.3c

7

有无建立手册、程序文件、作业文件、并保持记录？

有无改进管理体系？

4.4

8

信息安全体系的要求有无整合到组织的日常管理中？

5.1b

9

信息安全体系需要的资源是否都有？

5.1c

10

管理层有无对信息安全管理体系的要求及重要性进行传达？

5.1d

11

信息安全体系实现效果？

5.1e

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

12

各部门人员是否都已经按策划的文件要求参与实施信息安全管理体系？

5.1f

13

信息安全管理体系持续改进如何？

5.1g

14

各部门人员都有无积极参与体系管理实施中？

5.1h

15

方针是否包括信息安全目标并为目标制定提供框架？

5.2b

16

方针是否体现公司的承诺？

5.2c

17

方针包含持续改进的承诺？

5.2d

18

信息安全方针有无书面编制？

5.2e

19

信息安全方针是否在组织内进行传达？

5.2f

20

方针是否对相关方适用？

5.2g

21

管理层是否确保职责权限符合公司信息安全管理体系的需要？

5.3a

22

信息安全体系的运行绩效情况有无报告给管理层？

5.3b

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

23

是否确保信息安全管理体系能实现其预期结果？

6.1.1a

24

是否能防止或减少意外的影响？

6.1.1b

25

是否实现持续改进？

6.1.1c

26

对于风险有无制定措施？

6.1.1d

27

有无对措施纳入信息安全管理体系进行管理？

6.1.1e

28

有无对措施的有效性进行评价管理？

6.1.1e

29

有无建立及定义风险评估过程？

6.1.2a

30

有无建立风险接收准则？

执行信息安全风险评估的准则？

6.1.2a

31

对于重复性的信息安全风险评估是否产生一致的，有效的可比较结果？

6.1.2b

32

是否来识别信息安全管理体系范围内信息的信息丧失保密性，完整性，可用性的相关风险？

6.1.2c

33

有无识别风险负责人？

6.1.2c

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

34

有无对风险发生后将导致的潜在影响进行评估？

6.1.2d

35

有无对识别的风险现实的可能性进行评估？

6.1.2d

36

有无确定风险级别？

6.1.2d

37

有无将风险分析结果与风险准则进行比较？

6.1.2e

38

有无确定风险处置的优先级？

6.1.2e

39

有无定义及应用风险处置过程？

6.1.3a

40

有无选择适当的信息安全风险处置方式？

6.1.3a

41

有无确定必须的控制措施？

6.1.3b

42

是否有遗漏必要的控制措施？

6.1.3c

43

是否有编制适用性声明？

有无合理性说明？

6.1.3d

44

是否制定信息安全风险处置计划？

6.1.3e

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

45

有无获得风险处置负责人对信息安全处置计划以及接受信息安全残余风险的批准？

6.1.3f

46

信息安全目标是否与信息安全方针一致？

6.2a

47

信息安全目标是否考虑适用的信息安全要求以及风险评估和风险处置结果？

6.2c

48

信息安全目标是否有传达给各相关人员？

6.2d

49

信息安全目标适当时是否有进行调整？

6.2e

50

当规划如何实现其信息安全目标时，组织是否确定应做什么？

6.2f

51

当规划如何实现其信息安全目标时，组织需要的资源有无确定？

6.2g

52

当规划如何实现其信息安全目标时，组织有无配备需要的人员？

6.2h

53

当规划如何实现其信息安全目标时，是否确定具体完成的时间？

6.2i

54

当规划如何实现其信息安全目标时，有无评价结果？

6.2j

55

组织是否确定并提供建立/实施/保持和持续改进信息安全管理体系所需的资源?

7.1

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

56

组织有无确定从事影响信息安全执行工作人员具备必要的能力?

7.2a

57

评估人员胜任是否考虑经过教育/培训/和经验?

7.2b

58

是否采取适当的措施让员工来获得必要的能力，并有无评价措施的有效性？

7.2c

59

能力评估、培训、考核的记录都有无保存？

7.2d

60

人员是否知道信息安全方针并理解方针的意思？

7.3a

61

人员是否对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处？

7.3b

62

是否知道不遵守信息安全管理体系的要求可能产生的影响？

7.3c

63

组织是滞确定与信息安全管理体系的内外部沟通需求？

是否明确沟通的内容？

7.4a

64

是否确定与信息安全管理体系相关的内外部沟通需求？

是否明确沟通的时机？

7.4b

65

是否确定与信息安全管理体系相关的内外部沟通需求？

是否明确沟通的对象？

7.4c

66

是否确定与信息安全管理体系相关的内外部沟通需求？

是否明确有谁进行沟通？

7.4d

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

67

是否确定与信息安全管理体系相关的内外部沟通需求？

是否明确影响沟通的过程？

7.4e

68

是否按照标准要求建立文件体系？

7.5.1a

69

是否按照标准要求建立文件体系，文件是否齐全？

7.5.1b

70

编制和修订文件时，是否按照文件的控制要求进行编号？

注明日期？

7.5.2a

71

纸质文件和电子档文件是否都有进行识别及管理？

格式是否按照要求进行？

7.5.2b

72

文件是否经过审核？

7.5.2c

73

信息安全体系文件要进行控制，是否是有效的？

7.5.3a

74

文件是否进行保护，如保密性，完整性？

7.5.3b

75

文件有无分发，方便检索，进行访问管理？

7.5.3c

76

文件保存是否恰当？

7.5.3d

77

文件变更时有无进行版本管控？

7.5.3e

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

78

文件是否保留，作废文件有无进行审核及处理？

7.5.3f

79

有无策划、实施信息安全体系所需的各类过程，以便实现信息安全管理体系目标？

8.1

80

有无建立风险评估准则？

有无进行风险评估？

重大变更时有无进行风险评估？

风险评估结果有无保留？

8.2

81

有无实施信息安全处置计划？

信息安全处置文件记录有无保存？

8.3

82

组织有无评价信息安全体系的有效性？

有无确定信息安全需要监视和测量的过程？

9.1a

83

有无确定监视、测量及分析的方法，并确保结果的有效性？

9.1b

84

有无确定监视和测量的时机？

9.1c

85

有无定义监视和测量的责任人？

9.1d

86

有无规定对监视和测量的结果评价的时间？

负责人？

9.1e/f

87

有无按计划的时间进行内部审核？

是否确定符合组织体系要求，符合标准的要求？

9.2a

88

通过内审是否有确认体系有得到实施与保持？

9.2b

序号

ISO/IE27001-2013信息安全管理体系要求

审核结果

备注

审核问题

标准条款

符合

不符合

审核说明

89

有无策划、编制审核方案？

审核方案有无考虑以往审核的结果？

9.2c

90

是否有定义审核准则和审核范围？

9.2d

91

审核员的选择和实施有无考虑审核的客观性和公正性？

9.2e

92

审核结果有无报告给相关的管理者？

9.2f

93

审核计划、审核记录、报告有无保留作为证据？

9.2g

94

有无按计划的时间间隔进行管理评审？

评审有无包含以住评审的措施实施关闭情况？

9.3a

95

是否通过使用信息安全方针、目标、审核结果、监控事件的分析、纠正、预防以及评审ISMS的有效性

10

96

是否采取措施，消除不符合的原因、以防止再发生？

10

97

所采取的预防措施是否与潜在的问题的影响程序是否相适应？

10

98

是否有《预防措施控制程序》？

10

99

是否识别变化的风险，并通过关注变化显著的风险来识别预防措施要求？

10

东莞XXXX有限公司

2017年信息安全内审结论报告

编号：

ISMS-4034

状态：

受控

编制人：

日期：

审批人：

日期：

Ø审核目的

检查公司信息安全管理体系是否符合ISO27001：

2013的要求及有效运行。

Ø审核依据

ISO27001:

2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。

Ø审核范围

ISO27001:

2013手册所要求的相关活动及部门。

Ø审核时间

2017年12月20日~2017年12月22日

1、现场审核情况概述

本次审核按信息安全手册及《内部审核管理程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组由2人组成，各分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

审核组审核了包括管理层、各有关职能部等4个职能部门。

N?

>l~\i 

审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。

本次审核共提出不符合报告共2份，其中行政部1项，研发部1项。

所涉及的条款详见ISMS-4033《内审不符合项（NC）报告》

2、体系综合评价

a）最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

但个别职能部门信息安全活动和人员中有责任不到位的情况。

b）建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解，信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善；

3、审核发现

信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。

但在本次内审中仍发现一些存在问题：

a.行政部：

l检查行政部某电脑密码设置过于简单，密码长度及复杂度不符合公司规定的要求。

b.研发部：

l抽查研发部某电脑，桌面存放太多文件，其中包含有密级敏感的数据，没有执行清空桌面策略。

4、信息资产识别充分。

重要信息资产评价正确

5、信息安全威胁辨识充分，根据威胁对重要信息资产的风险理解清晰，控制措施得当，检验方式科学合理。

6、内审的策划、间隔和实施范围、深度及验证是适宜的；

7、纠正、预防措施对防止不合格再发生基本满足要求。

8、内审的策划、间隔和实施范围、深度及验证是适宜的；

9、公司能过对信息资产、过程的监视和测量，不合格品控制，内审、管理评审，纠正、预防措施，数据分析等有系统的获得与信息安全有直接关系的信息，进行分析并用于持续改进信息安全管理体系的有效性。

但各部门存在没有按规定的方法付诸实施的需要改进现象。

10、对于体系运行有效性及符合性作如下总结：

a）公司建立并已正常运行了3个月的信息安全管理体系基本满足ISO27001:

2005标准的要求，有能力证明自身的信息安全管理，能向顾客证明管理是有效的。

b）公司文件化信息安全体系基本得到实施，发展趋势总的来说是好的，但发展仍不平衡，特别是在适用性声明中明确管理的过程控制中仍有差距，各部门程序文件或作业文件还存在某些描述与实际运行不符的情况。

c）公司信息安全方针和信息安全目标基本得到实现，现有信息安全体系是有效的。

d）初步具备了自我发现自我改进的能力，但建立的持续改进实施的还不充分。

e）通过本次内审，我们审核组认为公司的信息安全管理体系基本符合ISO27001：

2005标准要求，信息安全手册、程序文件、适用性声明文件，能够得以有效的实施，可以看出，体系的运行是基本符合的、有效的，能满足信息安全策划的要求。

今后将根据实际需要重新规划和调整部分体系文件，使得更能符合公司实际所需的信息安全活动的开展。

11、跟踪验证方式 

请存在不合格项的受审部门制定纠正措施，并将实施效果及证实资料，于12月25日前提交审核组进行书面验证。

12、其他事项：

a）体系运行以体系文件为依据，建议各部门对本部门员工要经常宣讲体系文件，使各项信息安全活动都能按体系文件的要求执行，纳入标准的轨道，保证体系运行的持续有效。

各部门要根据不合格报告举一反三，把存在问题摆出来，责任到人，考核到人，限期完成。

而不仅仅是在纸面上进行整改。

真正把惯标工作落在实处，提高组织的管理水平。

b）信息安全文件和记录是体系运行的重要依据，各部门都要重视。

建议各部门把程序文件所列的信息安全记录的表式逐一整理，在实际运行中逐项落实，纠正原来不符合要求的表式，对所发的文件和所收到的文件按程序规定，进行签发、收录登记，使文件和记录尽快趋于完善。

c）对控制目标的测量虽有良好的评价结果，但测量深度有待进一步加强，各分管职能人员要经常深入检查控制措施的落实情况，以形成良好的习惯，促使管理工作上台阶。

d）进一步建立和健全自我教育、自我评审、自我改进、自我完善的机制，经常对照体系文件与已有关的条款，查错堵漏。

内部审核是抽样的，不是所有不合格项都能被观察到，各部门对不合格项纠正时要做到举一反三，对已发现的不合格项，要抓紧制定纠正措施。

e）在贯彻落实标准方面，各部门还有待进一步加强培训力度。

f）各部门与信息安全体系有关的各个环节的管理人员和操作人员，都要针对性地学习与已有有关的文件内容，找出目前工作与信息安全体系文件要求的差距，进行整改。

只要我们针对些次审核中开出的不合格报告，认真分析原因，举一反三的制定纠正措施，采取积极而不是应付的，切实而不形式的，迅速而不是拖的态度来实施纠正措施，在经过整改后，相信整个公司的信息安全体系运行达到完美状态。