ISO27001-2013版全套内审检查表

1、IS027001: 2013*信息安全管理体系文件内审核查表审核日期：2018年8月8日IS027001: 2013内审核查表*被审核部门总经理审核成员张三审核日期2018-8-8审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.2核查要素/条款核查事项核查记录符合 项观察 项不符合项4.1理解组织及其 环境现在客户越来越重视本单位的信息安全，要求服务提供商具备一定的信息安全管理水平；目前信息安 全威胁不断增加，本组织的核心资产也要进行安全防护，保证核心资产的安全性、保密性、可用性。4.2理解相关方的 需求和期望公司客户对服务提供商

2、的信息安全提出了更高的要求，在公司给客户提供服务的过程中，客户要求保 证公司接触到的客户的信息资产的安全。在服务合同中都有相关安全条款。4.3确定信息安全 管理体系范围在手册的4.3章确定了信息安全的组织、业务、物理范围。4.4信息安全管理 体系按ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求规定，建立、实施、保持和持续 改进信息安全管理体系。包含了4级文件：手册、程序文件、管理制度、记录。5.1领导力和承诺-领导层制定了信息安全方针、目标和计划；建立信息安全的角色和职责；向组织传达满足信息安全目 标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的

3、资源，以建立、实施、运作、 监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；5.2方针信息安全管理方针为：数据保密、信息完整、 控制风险、 持续改进、 全员参与、 提高绩效、客户满意。5.3组织的角色，职 责和权限组织制定了信息安全职责划分与标准条款对照表，明确了每个部门角色的职责6.1应对风险和机 会的措施进行了信息安全风险评估，并针对高优先级的风险制定了处置计划。6.2信息安全目标 和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信 息安全方针目标文件9.3ISMS管理评审-有管理评审控制程序，管理评审计划、管理评审报告等记录被

4、审核部门总经理审核成员张三审核日期2018-8-8审核主题414243445511A512A5.1.1信息安全方针文 件信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。A5.1.2信息安全方针评 审已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。被审核部门行政财务部审核成员张三审核日期2017- 5-7审核主题A615A621A622A9A10A12A13A14A17核查要素/条款核查事项核查记录符合 项观察 项不符合项A615项目管理中 的信息安全所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目

5、，满足要求。A621移动设备策 略公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。A622远程工作远程服务记录齐全，符合文件要求。A613信息安全职 责的分配公司在信息安全管理手册 附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全 管理者代表，全面负责 ISMS的建立、实施与保持工作。A1211文件化的操作规程公司按照信息安全方针的要求，建立并实施文件化的作业程序，见信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。A1212变更管理在变更实施前，由研发部填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括

6、不成功变更的恢复措施），研发部负责人批准后予以实施。目前尚无变更发生。A1213容量管理有容量管理规划，对服务器存储容量和网络带宽进行了容量规划。A1214开发、测试 和运行设施开发方案测试报告及相应设施齐备被审核部门行政财务部审核成员张三审核日期2017- 5-7审核主题A615A621A622A9A10A12A13A14A17的分离A.12.2.1控制恶意软 件公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。A.12.3.1信息备份公司对重要数据进行了备份。包括源代码等A.12.4.1事件日志公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控

7、制监测提供帮助。 审核日志一般通过使用系统检测工具按照事先的设置自动生成。A.12.4.2日志信息的 保护按照信息系统监控管理程序，对日志信息进行了保护。A.12.4.3管理员和操 作员日志系统管理员和操作员的活动也记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志。A.12.4.4时钟同步经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。A.12.5.1运行系统中 软件的安全软件管理程序、个人计算机管理程序规定了对系统中软件的升级、控制措施。A.12.6.1技术脆弱性管理技术脆弱性管理程序规定了对技术脆弱性的管理，目前尚未发现技术脆弱性。A.12.6.2软件安装

8、限 制软件管理程序、个人计算机管理程序规定了对系统中软件的控制，制定了允许安装的软件清单。A.14.1.1安全要求分 析和说明信息系统开发建设管理程序中规定了安全要求分析及说明信息安全风险评价程序评估风险A.14.2.1安全开发策 略信息系统开发建设管理程序中规定了软件开发生命周期的安全开发策略。A.14.2.2系统变更控 制程序信息系统开发建设管理程序中规定了系统变更的控制程序，当前无变更。A.14.2.3操作系统变 更后应用的 技术评审信息系统开发建设管理程序 中规定了当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对作业或安全措施无不利影响。目前无操作系统

9、变更。A.14.2.4软件包变更 的限制信息系统开发建设管理程序 中规定了软件包的变更限制策略： 公司不鼓励修改软件包，如果有必要确 需进行更改，更改提出部门应在实施前进行风险评估， 确定必须的控制措施，保留原始软件， 并在完全一被审核部门行政财务部审核成员张三审核日期2017- 5-7审核主题A615A621A622A9A10A12A13A14A17样的复制软件上进行更改，更改实施前应得到公司领导的授权。A.14.2.5安全系统工 程原则信息系统开发建设管理程序中规定了安全系统工程原则：在平衡信息安全需求和访问需求的基础上， 组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技

10、术的安全风险，并根据已知的 攻击模式评审其设计。A.14.2.6安全开发环 境路由器都兼备防火墙功能，具备杀毒软件和口令设置、访问权限A.1428系统安全测 试有系统安全测试报告，满足要求A.14.2.9系统验收测 试有系统验收测试报告，满足要求。A.14.3.1保护测试数 据测试数据均统一备份测试服务器，有口令权限设置。A.17.1.1策划信息安 全连续性有业务连续性影响分析报告、业务连续性管理战略计划：为达到公司业务的持续性目标，研发部组 织有关部门在适当的风险评估的基础上，进行灾难及系统中断影响分析， 识别出造成关键业务中断的主要事件及其影响。A.17.1.2实施信息安 全连续性公司建立

11、并实施信息业务连续性管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。有业务连续性计划实施方案和业务连续性计划实施方案测试报告。A.17.1.3验证、评审 和评价信息 安全连续性有业务连续性实施评价报告，每年公司组织有关部门米取适宜的测试方法对业务连续性管理计划 进行测试。A.17.2.1信息处理设 施的可用性研发部负责识别信息系统可用性的业务要求。当使用现有系统架构不能保证可用性时，则考虑冗余组件或架构。目前可用性情况满足要求。被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/9.

12、1/9.2/10.1/10.2/A6.1/A7/A8/A9/A10/A13/A11/A12.7.1/A13.2.4/A15/A16/A18核查 要素/条款核查事项核查记录符合 项观察 项不符 合项7.1资源公司确定并提供了建立、实施、保持和持续改进信息安全管理体系所需资源，包括人、财、工具设备等7.2能力公司相关部门组织制定并实施人力资源管理程序文件。规定了各岗位角色的能力要求。7.3意识公司内部作了信息安全意识的培训，有培训记录。7.4沟通在内审、管理评审等时机、公司内部人员及外部相关方进行了沟通，有沟通记录。7.5文件化信息有手册、有30个程序、1个SOA声明、一份信息安全方针目标。 提供

13、了记录清单，内有序号，记录编号、记录名称、保存期限。8.1运行规划和 控制有各种信息安全运行记录。详见记录清单。8.2信息安全风 险评估有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。8.3信息安全风 险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。9.1监视、测量、 分析和评价通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施 并报告结果。9.2内部审核审核员参与制订了审核计划，风险评估人员识别了资产、脆弱性、威胁和影响，评估了风险，针对高风险 制定了风险处置计划。提供：内审

14、计划。10.1不符合和纠正措施有预防措施实施记录。10.2持续改进组织建立了持续改进机制。定期识别需改进的地方。A.6.1.1信息安全角公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18色和职责的建立、实施与保持工作A.6.1.2责任分割在职责分配时，分割了冲突的责任和职责范围，以降低未授权或无意的修改或者 不当使用 组织资产的机会。A.6.1.3与政府部门

15、的联系与相关部门保持联系。A.6.1.4与特定相关方的联系公司建立信息安全顾问，必要时聘请了外部专家。A.7.1.1审查规定录用前查人员的个人相关背景、资历和相关检查，对于不符合安全要求的不得录用。A.7.1.2任用条款和 条件查聘用人选由综合部上报公司相关人员审批，由最后的审批结果向聘用人员发放聘用通知书，并签订了劳动合同和保密协议A.7.2.1管理职责根据公司业务要求，明确关键工作岗位及任职要求并依据建立的方针和程序来应用安全。A.7.2.2信息安全意 识、教育和 培训综合部负责制定的公司员工年度培训计划，公司的所有员工，适当时还包括合作方和第三方用户，发现已接受适当的意识培训并定期向它们

16、传达组织更新的方针和程序，以及工作任务方面的新情况。A.7.2.3纪律处理过 程公司未有安全违规的雇员。A.7.3.1任用终止或 职责变更查看相关文件，发现第三方用户完成服务时，进行明确终止责任的沟通。A.8.1.1资产清单保存有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。A.8.1.2资产责任人有信息资产清单、重要信息资产清单都定义了责任部门或责任人A.8.1.3资产的允许 使用提供用户授权申请表，满足要求。A.814资产的归还有程序文件规定：在员工离职前应收回保密文件， 退还身份证件和使用组织的所有资产， 并执行财务清款， 法律事务清查

17、。第三方用户完成合冋时，应按相关方信息安全管理程序办理 完所负责的所有资产归还 手续J被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A.8.2.1信息分类信息资产分为：数据、软件、服务、硬件、文档、设施、相关方、人员信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。A.8.2.2信息标识现场查：信息都按程序要求进行了识别和标记；A.8.2.3资产处理有商业秘密管理程序，规定了建立处理和储存信息的程序来保护这些信息免于未经授

18、权的泄露、误用、盗用或丢失。A.8.3.1可移动介质 的管理有移动介质授权使用记录，对U盘、移动硬盘等移动介质的使用情况进行了记录。A.8.3.2介质的处置有介质管理程序，规定含有敏感信息或重要信息的介质在不需要或再使用时，处置部门应按照要求米 取安全可靠处置的方法将其信息清除。A.8.3.3物理介质传 输为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、不完整 或不可用，公司规定在将信息资产带出公司时，应对包含信息的介质进行保护。A.9.1.1访问控制策 略公司在用户访问管理程序 中建立了访问控制策略。 本公司内部可公开的信息， 允许所有服务用户访问。 本

19、公司内部部分公开的信息，经访问授权部门认可， 访问授权实施部门实施后用户可访问。用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权限说明书， 明确规定访问规则，对几人共用的账号应明确责任人。A.9.1.2使用网络服 务的策略公司在用户访问管理程序中建立了网络服务安全策略，以确保网络服务安全与服务质量。A.9.2.1用户注册有用户授权申请表，符合要求。A.9.2.2用户访问提 供访问系统的用户具设置了用户名和口令。A.9.2.3特殊权限管 理对各系统的系统管理员均进行了授权，有授权申请和批准的记录。A.9.2.4用户安全鉴 别信息的管 理系统管理员按照

20、用户访问管理程序对被授权访问该系统的用户口令进行分配。A.9.2.5用户访问权 的复查有用户访冋权审查记录，每个月审查一次。被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A926撤销或调整 访问权限相关方信息安全管理程序、用户访问管理程序规定了 解除、变化调整访问权限的内容。当前无员工离职。A.9.3.1安全鉴别信 息的使用公司在用户访问管理程序 和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用

21、户每半年，特权用户口令每季度）。A.941信息访问限 制用户访问管理程序 规定本公司内部可公开的信息不作特别限定，允许所有用户访问。 本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。A.942安全登录规 程用户访问管理程序规定用户不得访问或尝试访问未经授权的网络、系统、文件和服务。A.943口令管理系 统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必 须更改,用户定期变更口令等，查员工刘军敏电脑口令只有5位。A944特权使用程 序的使用用户访问管理程序规定了对实用系统的访问控制，有系统实用工具清单。A945对程序源

22、代 码的访问控 制用户访问管理程序规定不允许任何人以任何方式访问程序源代码。A1011使用密码控 制的策略使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合信息安全合规性管理程序的要求。各电子数据文件的形成部门应识 别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严格执行。A1012密钥管理目前尚未发生使用密钥管理的情况A1111物理安全边 界公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。A1112物理入口控制公司规定：公司人员上下班出入刷卡， 外来人员必须进行外来人员登记后等待接

23、待，若需进入公司办公区域，由接待人员陪同方可进入。有外来人员登记表。A1113办公室、房 间和设施的查办公室、房间和设备，都进行了安全防护。被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18安全保护A.11.1.4外部和环境威胁的安全防护公司规定：外来人员来本公司参观或对大楼进行拍摄，须报请综合部批准，安全周界的大门下班后应关紧，综合部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离以外，以免主场所发生的灾难性事故对其造成破坏。A.1

24、1.1.5在安全区域工作公司明确规定员工、第三方人员在有关安全区域工作的基本安全要求（如避免在第三方人员未被监督的情况下在安全区域内进行工作 ，未经冋意不允许使用摄影、录像、录音或其它音像记录设备等），并要求员工、第三方人员严格遵守。A.11.1.6交接区公司设有接待前台，供接待临时访冋人员。A.11.2.1设备安置和保护按文件规定执行，由研发部负责笔记本电脑、台式机、服务器、打印机的安置和保护。 提供个人计算机配备一览表、计算机配置说明书。A.11.2.2支持性设施有空调等保护设备， 设置了自动喷淋头， 规定不允许在办公环境吸烟。大厦配备有双回路变电备用线路，确保不间断供电。A.11.2.3

25、布缆安全现场查看网线和电源线情况，符合要求。A.11.2.4设备维护自体系文件实施以来，设备未出现故障，但备有设备维护记录表格。A.11.2.5资产的移动笔记本均有笔记本电脑授权表A.11.2.6组织场所外 的设备安全使用笔记本电脑离开办公场所应经授权，见个人计算机管理程序。离开办公场所的设备应考虑损坏、盗窃和截取的风险并加以保护。一一提供笔记本使用授权书。A.11.2.7设备的安全 处置或再利 用信息处理设施管理程序规定：信息处理设施实施大修、升级、停用或报废前由使用部门和个人对包含储存媒体的设备的所有项目进行检查，并填写敏感信息清除记录 报市场部存档，确保在处置之前所有敏感数据和许可软件都

26、被清除或者覆盖掉。一一公司目前无设备停用和再利用的情况。A.11.2.8无人值守的 用户设备现场查编号：YJ-028的PC机时，有设置屏保。A.11.2.9清空桌面和 屏幕策略现场查编号：YJ-028的PC机时，桌面保持干净被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A12.7.1信息系统审 计的控制正式审核之前，审核组明了确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险。A.13.1.1网络控制对防火墙、路由器等进行了安全配置，

27、并定期检查网络设备。A.13.1.2网络服务的 安全和网络服务提供商（电信）有签订网络服务协议。A.13.1.3网络隔离编制了网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。实现内外网隔离。A.13.2.1信息交换策 略和程序制定了信息交换程序，规定：在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息；公司互联网的计算机，不得含有涉密的电子数据信息。A.13.2.2信息交换协 议公司建立了信息交换管理程序。目前尚无需要签署信息交换协议的情况。A.13.2.3电子消息发 送公司建立了信息交换管理程序包括电子

28、邮件安全使用的策略，并将该策略传达到所有员工予以执行。A.13.2.4保密或不泄露协议查员工有签署员工保密协议。查公司与外部相关方有签暑相关方保密协议。A.15.1.1供应商关系 的信息安全 策略有相关方信息安全管理程序，规定相关部门应协冋综合部识别供应商对信息资产和信息处理设施造成 的风险，并在批准供应商访问信息资产和信息处理设施前实施适当的控制。A.15.1.2在供应商协 议中解决安 全查有相关方服务保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映。A.15.1.3信息与通信技术供应链查相关方服务保密协议，包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要

29、求。A.15.2.1供应商服务的监视和评有相关方服务评审报告。评价供应商在服务过程中的安全情况。被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18审A.15.2.2供应商服务的变更管理目前供应商服务无变更。A.10.4.1对恶意代码 的控制措施现场测试扫描，没有发现病毒。A.16.1.1职责和规程信息安全事件管理程序 规定：综合部在接到报告后应迅速做出响应，各相关部门应即使按要求米取处置措施与意见，将信息安全事件所造成的影响降低到最低限度。A.16.

30、1.2报告信息安全事态信息安全事件管理程序规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向综合部 报告，综合部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前尚无相关报告。A.16.1.3报告信息安全弱点信息安全事件管理程序 规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按技术薄弱点管理程序及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。目前尚无相关报告。A.16.1.4信息安全事态的评估和决策信息安全事件管理程序 规定：事件责任部门使用商定的信息安全事态和事件分级尺度评估每个信息

31、安 全事态，并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。 目前尚未发生。A.16.1.5信息安全事件的响应信息安全事件管理程序规定：事件响应的首要目标是重新回到“正常的安全水平”，然后启动必要的恢复。事件责任部门负责对信息安全事件予以响应。目前尚未发生。A.16.1.6从信息安全事件中学习信息安全事件管理程序规定：事故发生以后，主管部门应对事故发生的原因、类型、损失进行鉴定， 并提出防止此类事故再次发生的措施和建议，形成事故调查分析及处理报告，责成责任部门实施纠正措施。目前尚未发生。被审核部门行政财务部审核成员张三审核日期2017- 5- 7审核主题7.1

32、727374758182839192101102A61A7A8A9A10A13A11A1271A1324A15A16A18A.16.1.7证据的收集信息安全事件管理程序规定：事件责任部门应对事件原因进行分析，必要时，采取纠正措施，事件原 因及采取措施纠正结果要予以记录。目前尚未发生。A.18.1.1可用的法律 和合冋要求 的识别查看相关法律法规，发现已获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。A.18.1.2知识产权查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合冋约定保护知识产权。A.18.1.3记录的保护现场查看记录，记录根据不冋类型进行妥

33、善保存，重要文档应得到相应的保存措施，以满足法律发规、合同和业务的要求。A.18.1.4个人可识别信息的隐私和保护信息处理与个人数据与信息有关的部门已按照有关规定，对个人信息进行妥善管理与保护A.18.1.5密码控制措 施的规则根据保护公司机密数据的要求，已正确应用加密技术A.18.2.1信息安全的独立评审综合部负责组织和策划内部审核，根据策划的时间间隔， 或者有特殊情况时，对组织管理信息安全的方法及其实施情况进行独立评审。A.18.2.2符合安全策 略和标准查看内部审核记录，发现审核的范围覆盖与信息安全管理体系有关的所有部门与安全区域，确保职责 范围内的所有安全程序正确完成，依从安全方针和标

34、准。A.18.2.3技术符合性 评审查看电脑，发现利用漏洞扫描等工具对网络系统进行技术性检查，技术性审核在被监督的情况下进行，每次审核的范围覆盖与信息安全管理体系有关的所有部门与安全区域，确保职责范围内的所有安全程序正确完成，依从安全方针和标准。被审核部门行政财务部审核成员张三审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/条款核查事项核查记录符合 项观察 项不符合项8.2信息安全风险评估有信息安全风险评估报告，记录了风险评估的时间

35、、人员、资产数量、风险数量、优先级等。8.3信息安全风险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。A.6.1.1信息安全角色和职责公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A.8.1.1资产清单有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。A.8.1.2资产责任主体有信息资产清单、重要信息资产清单都定义了责任部门或责任人。A925用户访问权限的复查有用户访冋权审查记录。A943口令管理系统所有计算机用户在使用口令时应遵循

36、以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必 须更改,用户定期变更口令等。A.1111物理安全边界公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。A.1112物理入口控制公司规定：公司人员上下班出入刷卡， 外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。被审核部门行政财务部审核成员张三审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A.11.2.9清空桌面和屏幕策略现场查P

37、C机，桌面保持干净A.12.3.1信息备份公司对重要数据进行了备份。A.1244时钟同步经查：个人计算机均与网络时钟保持了同步。A.12.6.2软件安装限制软件管理程序、个人计算机管理程序规定了对系统中软件的控制，制定了允许安装的软件清单。A.16.1.2报告信息安全事态信息安全事件管理程序规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向综合部 报告，综合部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前尚无相关报告。A.16.1.3报告信息安全弱点信息安全事件管理程序 规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按技术薄弱

38、点管理程序及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。目前尚无相关报告。A.18.1.1可用的法律 和合冋要求 的识别查看相关法律法规，发现已获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。A.18.1.2知识产权查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合冋约定保护知识产权。A.18.1.3记录的保护现场查看记录，记录根据不冋类型进行妥善保存，重要文档应得到相应的保存措施，以满足法律发规、合同和业务的要求。A.18.1.4个人可识别信息的隐私和保护信息处理与个人数据与信息有关的部门已按照有关规定

39、，对个人信息进行妥善管理与保护被审核部门营销部审核成员李四审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/条款核查事项核查记录符合 项观察 项不符合项8.2信息安全风险评估有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。8.3信息安全风险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。A.6.1.1信息安全角色和职责公司在信息安全管理职责明细表里明确了信息安全

40、职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A.8.1.1资产清单有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。A.8.1.2资产责任主体有信息资产清单、重要信息资产清单都定义了责任部门或责任人。A.9.2.5用户访问权限的复查有用户访冋权审查记录。A943口令管理系统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必 须更改,用户定期变更口令等。A.11.1.1物理安全边界公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。被审核部门营销部审核成员李四审

41、核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A.11.1.2物理入口控制公司规定：公司人员上下班出入刷卡， 外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。A.11.2.9清空桌面和屏幕策略现场查PC机，桌面保持干净A.12.3.1信息备份公司对重要数据进行了备份。A.12.4.4时钟同步经查：个人计算机均与网络时钟保持了同步。A.12.6.2软件安装限制软件管理程序、个人计算机管理程序规定了对系统中软件

42、的控制，制定了允许安装的软件清单。A.16.1.2报告信息安全事态信息安全事件管理程序规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向综合部 报告，综合部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前尚无相关报告。A.16.1.3报告信息安全弱点信息安全事件管理程序 规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按技术薄弱点管理程序及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。目前尚无相关报告。A.18.1.1可用的法律和合冋要求的识别查看相关法律法规，发现已获取相关的国家及地

43、方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。A.18.1.2知识产权查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合冋约定保护知识产权。A.18.1.3记录的保护现场查看记录，记录根据不冋类型进行妥善保存，重要文档应得到相应的保存措施，以满足法律发规、合同和业务的要求。A.18.1.4个人可识别信息处理与个人数据与信息有关的部门已按照有关规定，对个人信息进行妥善管理与保护被审核部门营销部审核成员李四审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A181

44、1A1812A1813A1814信息的隐私和保护被审核部门技术支持部、开发部审核成员李四审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814核查 要素/条款核查事项核查记录符合 项观察 项不符合项82信息安全风险评估有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。83信息安全风险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。A611信息安全角色和职责公司在信息安全管理职责明

45、细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。A811资产清单有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。A812资产责任主体有信息资产清单、重要信息资产清单都定义了责任部门或责任人。A925用户访问权限的复查有用户访冋权审查记录。被审核部门技术支持部、开发部审核成贝李四审核日期2018-8-8审核主题8283A611A811A812A925A943A1111A1112A1129A1231A1244A1262A1612A1613A1811A1812A1813A1814A943口令管理系统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必 须更改,用户定期变更口令等。A.11.1.1物理安全边界公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。A.1112物理入口控制公