ISO27001-2013及ISO20000-2018最新内部审核全套资料

1、审核组成员任命书编号： DK-ISMS-P03-R01根据公司质量手册规定，拟于 2019 年 12 月 10 日 11 日对公司进行US0270001&ISO20000 信息安全 &信息技术服务管理管理体系内部审核。现 任命 XXX 为审核组长， XXX 为审核组成员，并做以下工作：1. 于 2019年 12月 1。日前提出此次审核计划上报管理者代表审批（审核组长）；2. 于 2019年 12月 25日前向管理者代表提交审核报告（审核组长） 。管理者代表： XXX2019年 12月 4 日2019 年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:

2、2013信息技术 -安全技术 - 信息安全管理体系要求US020000-1：2018信息技术 -服务管理体系 - 要求标准、相关法律法规的要求和 信 息安全&信息技术服务管理 要求以及信息安全 &信息技术服务管理 体系的有效性，根 据信息安全 &信息技术服务管理和内部审核管理程序的要求，安排进行2019 年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计 划如下：一、 2019年 12月 10日至 11日，进行公司第一次信息安全 &信息技术服务 管理体系内部审核。二、 2019年 12月初，进行公司第一次信息安全管理评审。内部审核的范

3、围应覆 盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。编制： XXX批准： XXX2019年 12月 4日信息安全 &信息技术服务管理体系内审实施计划审核目的1、评价公司信息安全 &信息技术服务管理体系是否符18027001:2013 信息技术 -安全技术 -信息安全管理体系要求 OS020000-1:2018信息技术 -服务管理体系 - 要求标准、相关法律法规、信息安全&信息技术服务管理体系要求；2、检查本公司信息安全 &信息技术服务管理体系的适宜性、充分性和有效性3、寻找信息安全 &信息技术服务管理体系改

4、进的机会，为第三方认证审核做好准备。审核范围本公司信息安全 &信息技术服务管理体系覆盖的所有部门和活动。审核依据18027001:2013 信息技术 -安全技术 -信息安全管理体系要求 18020000-1:2018 ?信息技术 -服务管理体系 -要求 : 相关的法律法规；信息安全管理体 系文件。审核时间2019年 12月 10日-11 日审核组组长：谢 XX 组员：王 XX审核方式随机抽样调查时间部门及活动过程及涉及条款审核员12 月 10 日9:10-9:30首次会议（公司中高层管理人员和审核组全体成员参加）全体12 月 10 日 9:0010:00各部门察看各部门是否有安全隐患，

5、有无机密信息泄露等现象。12 月 10 日10:10-12:00管理层ISMS41/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.212 月 10 日13:00-17:00技术部ISMS:8.2/8.3/A6.1-1/A8.1 ? 1/A8.L2/A9.2.5/A943/A11-1-1/A11 ? L2/A1L2.9/A12.3.1/A1244/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3

6、/A18.1.4ITSMS:53/8.2/8.5/8.7/8.6/9.412 月 10 日9:10-17:00综合部ISMS:7/8/9/10A6/A7/A8A/AU/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/Al1.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.

7、212 月 11S9:00-12:00市场部ISMS:8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/All.Ll/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/Al6.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:8.2/8.3/8.4/10.1/10.212 月 11 日13:31-15:00组内沟通全体12 月 11 日15:10-17:00补充审核、末次会议（公司中高层管理人员和审核组全体成员参加）全体审核员注：如有变动以通知时间为准，请各受审核部门配合体系内审工

8、作。准/ 时间：贺 XX2019.12.4编制 / 时间：谢 XX2019.12.4审核 / 时间 : 韩 XX2019.12.4 批审核通知书编号 : NS-JL-03审核的目的：, 是否覆盖评价公司的信息安全 &信息技术服务管理体系是否符合标准要求 所有的部门，运行是否有效。审核准则：ISO27001：2013标准 /ISO20000-1：2018S标准；信息安全 &信息技术服务管理手册和相关法律法规等。审核日期2019年12月 10日 2019年12月11日受审核部门管理层、综合部、市场部、技术部审核组审核组长： 组员：沟通议题内部审核首次会议会议时间2019-12-10

9、主持人记录人参加人员：各部门负责人或代表。沟通内容：1. 开展内部审核的意义。2. 安排内部审核情况。3. 安 排人员进行残余风险的评估。4. 外审问题点核查。会议签到到会成员部门' 职务签到总经理副总经理 ' 管代部门经理客户经理部门经理研发工程师测试工程师实施工程师部门经理行政人事会计沟通议题内部审核末次会议会议时间2019-12-11主持人谢 XXX记录人王 XXX参加人员：各部门负责人或代表沟通内容：1. 对内审的结果进行分析，总结内审中的优缺点。2. 内审中发现的问题做评价，分析产生的原因和对此进行的纠正措施。3, 落实纠正措施的实施。4. 总结内审的意义和经验为以后

10、的不断改进打好基础。会议签到到会成员部门' 职务签到总经理副总经理 ' 管代部门经理客户经理部门经理研发工程师测试工程师实施工程师部门经理行政人事会计内审检查表被审核部门管理层 审核成员谢 XX审核日期 2019/12/10审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.TSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/10.1/10.2陪同人员贺 XX核查核查事项核查记录符合项观察项不符合项要素 / 条款4.1理解组织及其环境现在客户越来越重视本单位的信息安全，要求服务提供商具备一定的信息

11、安全管理水平；目前信息安 全威胁不断增加，本组织的核心资产也要进行安全防护，保证核心资产的安全性、保密性、可用性。4.2理解相关方的需求和期望公司客户对服务提供商的信息安全提出了更高的要求，在公司给客户提供服务的过程中，客户要求保证公司接触到的客户的信息资产的安全。在服务合同中都有相关安全条款。4.3确定信息安全管理体系范围确定了信息安全的组织、业务、物理范围。a) 本公司提供 IT 服务的物理范围为本公司的办公场所；服务交付地点为公司顾客的办公区域。 b) 客户主要为：公司计算机软硬件及信息系统的应用组织；C)主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。4.4信息安全管

12、理体系按 ISO/IEC27001:2013 信息技术 - 安全技术 - 信息安全管理体系 - 要求规定，建立、实施、保持和持续 改进信息安全管理体系。包含了 4 级文件：手册、程序文件、管理制度、记录。5.1领导力和承诺领导层制定了信息安全方针、目标和计划；建立信息安全的角色和职责；向组织传达满足信息安全目 标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运 作、监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；5.2方针信息安全管理方针为：数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满 尽、 o5.3组织的角色，职责和权限

13、组织制定了信息安全职责划分与标准条款对照表，明确了每个部门角色的职责6.1应对风险和机会的措施进行了信息安全风险评估，并针对高优先级的风险制定了处置计划。6.2目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信 息安全方针目标文件内审检查表被审核部门管理层审核成员谢 XXX审核日期2019/2/10审核主题4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.TSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2陪同人员贺 XXX核查要素

14、/ 条款核查事项核查记录符合项观察项不符合项9.3ISMS 管理评审为确保与 信息安全 &信息技术服务 管理计划的一致性，公司将服务评审定于与每年的 信息安全 &信 息技术服务 管理体系管理评审同时进行。有 管理评审控制程序 ，管理评审计划、管理评审报告等 记录A5.1.1信息安全方针文件信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。A5.1.2信息安全方针评审已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。10.1不符合和纠正措施为了不断提高信息安全 &信息技术服务管理体系的适用性、有效性和充分性，在实现IT 服务管理方针

15、和目标的活动过程中，坚持对 IT 服务管理体系各个流程的持续改进。为此本公司建立了纠正预防 措施管理程序，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生， 包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责 O10.2持续改进组织建立了持续改进机制。定期识别需改进的地方。被审核部门综合部审核成员廖 XXX审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A

16、12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员张 XXX核查要素 / 条款核查事项核查记录符合项观察项不符合项A6.1.5项目管理中的信息安全所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目，满足要求OA.6.2.1移动设备策略公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。A.6.2.2远程工作目前尚无远程工作的情况。A.6.

17、1.3信息安全职责的分配公司在信息安全管理手册附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安 全管理者代表，全面负责 ISMS 的建立、实施与保持工作。A.9.1.1访问控制策略公司在用户访问管理程序中建立了访问控制策略。本公司内部可公开的信息，允许所有服务用户访 问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问用户不 得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制系统用户访问权 限说明书，明确规定访问规则，对几人共用的账号应明确责任人。A.9.1.2使用网络服务的策略公司在用户访问管理程序中建立了网络服务安全策略

18、，以确保网络服务安全与服务质量。A.9.2.1用户注册有用户授权申请表，符合要求。A.9.2.2用户访问提供访问系统的用户具设置了用户名和口令。A.9.2.3特殊权限管理对各系统的系统管理员均进行了授权，有授权申请和批准的记录。A.9.2.4用户安全鉴别信息的管理系统管理员按照用户访问管理程序对被授权访问该系统的用户口令进行分配。A.9.2.5用户访问权的复查有用户访问权审查记录，每个月审查一次。被审核部门综合部 审核成员廖 XX审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.

19、5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项A.9.2.6撤销或调整访问权限相关方信息安全管理程序、用户访问管理程序规定了解除、变化调整访问权限的内容。当前王昌 T 离职 -A.9.3.1安全鉴别信息的使用公司在 用户访问管理程序

20、和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格 遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。A.9.4.1信息访问限制用户访问管理程序 规定本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分 公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。A.9.4.2安全登录规程用户访问管理程序规定用户不得访问或尝试访问未经授权的网络、系统、文件和服务。A.9.4.3口令管理系统所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口 令必须更改，用户定期变更口令等。A.9.4.4特权使用程序的使

21、用用户访问管理程序规定了对实用系统的访问控制，有系统实用工具清单。A.9.4.5对程序源代码的访问控制用户访问管理程序规定不允许任何人以任何方式访问程序源代码。A.10.1.1使用密码控制的策略使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加 密算法的类型、强度和质量，并符合 信息安全合规性管理程序 的要求。各电子数据文件的形成部门应 识别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严A.10.1.2密钥管理目前尚未发生使用密钥管理的情况A.12.1.1文件化的操作规程公司按照信息安全方针的要求，建立并实施文件化的作业程序，见

22、信息安全管理体系文件一览表（信息安全管理手册附件）文件化的作业程序的控制执行文件管理程序。A.12.1.2变更管理在变更实施前，由研发部填写变更申请表，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢爰措施），研发部负责人批准后予以实施。被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18

23、.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项目前尚无变更发生。A.12.1.3容量管理有容量管理规划，对服务器存储容量和网络带宽进行了容量规划。A.12.1.4开发、测试和运行设施的分离无此业务A.12.2.1控制恶意软件公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。A.12.3.1信息备份公司对重要数据进行了备份。包括源代码等A.12.4.1事件日志公司建

24、立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。A.12.4.2日志信息的保护按照信息系统监控管理程序，对日志信息进行了保护。A.12.4.3管理员和操作员日志系统管理员和操作员的活动也记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志OA.12.4.4时钟同步经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。A.12.5.1运行系统中软件的安全软件管理程序、个人计算机管理程序规定了对系统中软件的升级、控制措施。A.12.6.1技术脆弱性管理技术脆弱性管理程序规定了对技术

25、脆弱性的管理，目前尚未发现技术脆弱性。A.12.6.2软件安装限制软件管理程序、个人计算机管理程序规定了对系统中软件的控制，制定了允许安装的软件清 单。A.13.1.1网络控制对防火墙、路由器等进行了安全配置，并定期检查网络设备。被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/

26、A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项A.13.1.2网络服务的安全和网络服务提供商（电信）有签订网络服务协议。A.13.1.3网络隔离编制了网络拓扑图，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。实 现内外网隔离。A.13.2.1信息交换策略和程序制定了信息交换程序，规定：在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修 改、误传以及破坏；保护以附件形式传输的电

27、子信息 ; 公司互联网的计算机，不得含有涉密的A.13.2.2信息交换协议公司建立了信息交换管理程序。目前尚无需要签署信息交换协议的情况。A.13.2.3电子消息发送公司建立了信息交换管理程序包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执 行。A.14.1.1安全要求分析和说明无此业务A.14.2.1安全开发策略信息系统开发建设管理程序中规定了软件开发生命周期的安全开发策略。A.14.2.2系统变更控制程序信息系统开发建设管理程序中规定了系统变更的控制程序，当前无变更。A.14.2.3操作系统变更后应用的技术评审信息系统开发建设管理程序 中规定了当操作系统发生更改时，操作系统更改对

28、应用系统的影响应由系 统主管部门进行评审，确保对作业或安全措施无不利影响。目前无操作系统变更。A.14.2.4软件包变更的限制信息系统开发建设管理程序 中规定了软件包的变更限制策略：公司不鼓励修改软件包，如果有必要确 需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全 一样的复制软件上进行更改，更改实施前应得到公司领导的授权。被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11

29、.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项A.14.2.5安全系统工程原则信息系统开发建设管理程序中规定了安全系统工程原则：在平衡信息安全需求和访问需求的基础 上，组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技术的安全风险，并根据 己知的攻击模式评审

30、其设计。A.14.2.6安全开发环境无此业务A.14.2.8系统安全测试A.14.2.9系统验收测试有系统验收测试报告，满足要求。A.14.3.1保护测试数据测试数据均不包含敏感信息。A.17.1.1策划信息安全连续性有业务连续性影响分析报告、业务连续性管理战略计划：为达到公司业务的持续性目标，研发部 组织有关部门在适当的风险评估的基础上，进行灾难及系统中断影响分析，识别出造成关键业务中断的 主要事件及其影响。A.17.1.2实施信息安全连续性公司建立并实施 信息业务连续性管理程序 ，在发生灾难或安全故障时，实施持续性管理计划，确保关 键业务及时得到恢复。有业务连续性计划实施方案和业务连续性计

31、划实施方案测试报告A.17.1.3验证、评审和评价信息安全连续性有业务连续性实施评价报告，每年公司组织有关部门采取适宜的测试方法对业务连续性管理计划 进行测试。A.17.2.1信息处理设施的可用性研发部负责识别信息系统可用性的业务要求。当使用现有系统架构不能保证可用性时，则考虑冗余被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.

32、1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS: 7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项7.1资源公司确定并提供了建立、实施、保持和持续改进信息安全管理体系所需资源，包括人、财、工具设备等 最高管理者需确保提供并合理配置所需的资源(人力资源，技术资源，信息资源和财务资源)，确保承 担信息安全 &信息技术服务管理体系工作的人员具备相应的技能和能力。a) 本公司提供信息安全 &信息

33、技术服务的物理范围为本公司的办公场所；服务交付地点为公司 顾客的办公区域。b) 客户主要为：公司计算机软硬件及信息系统的应用组织；c) 主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。7.2能力公司相关部门组织制定并实施人力资源管理程序文件。规定了各岗位角色的能力要求。7.3意识查培训计划，培训记录，培训效果评价记录：体系培训与内审员培训 2019 年度已实施 2019 年度培训计划 表培训内容：关键岗位人员专项培训管理手册、程序文件及相关文件 管理手册、流程管理办法及相关作业文件培训IS020000 ：2018/IS027001:2013 体系强化培训体系运行关键岗位人员专

34、项培训抽 IS020000 服务运维、交 付流程深入培训记录：培训记录表7.4沟通在内审、管理评审等时机、公司内部人员及外部相关方进行了沟通，有沟通记录。被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7

35、.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项7.5文件化信息查文件化的方针目标：手册中定义信息安全方针：数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满意。&菰务管理方针：真诚服务、快速响应、及时沟通、持续改进。信息安全目标：公司经营策略，各类机密 数据的泄露，遗失类安全事件为零，各类信息设施的可用性达到 90%以上；人力资源泄密安全事件为零； 公司方案，报价等机密信息的泄露，遗失类安全事件为零；项目的施工方案及客户的资料泄露，遗失类 安全事件为零。公司产

36、品的设计方案及产品的相关机密数据的泄露遗失类安全事件为零。；软件源代 码、研发资料泄露或遗失类安全事件为零。客户数据泄露、遗失类安全事件为零。每年客户投诉不得多于 3 次。现场施工设备安装损坏率为零；系统集成现场技术资料泄露、遗失类安全事件为零 IT 服务管理 目标：客户服务满意率 > 95% ；规范过程，减少中间环节的出错几查文件清单：服务管理手册，公司二级 文件 23 个，覆盖标准要求必须的程序；三级文件12 个抽蓄变更管理程序 服务报告流程管理办法 信息技术服务目录编制，批准，审核符合文件控制程序要求。以上文件加盖受控章。字迹清晰易于 识别，现行文件没有经过修订，无文件作废情况发生

37、。8.1运行规划和控制有各种运行记录。详见记录清单。8.2信息安全风险评估有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。8.3信息安全风险处置有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。9.1监视、测量、分析和评价通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1

38、/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.L1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项9.2内部审核审核员参与制订了审核计划，风险评估人员识别了资产、脆弱性、威胁和影响，评估了风险，针对高风 险制定了风险处置计划。提供：内审计划。查内审条款，覆盖所有条款，与职能分配表一致。没有出现审核自己部门的情况 .10

39、.1不符合和纠正措施为了不断提高信息安全 &信息技术服务管理体系的适用性、有效性和充分性，在实现IT 服务管理方针和目标的活动过程中，坚持对 IT 服务管理体系各个流程的持续改进。为此本公司建立了纠正预防措施 管理程序 ，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生，包括对改 进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责。10.2持续改进组织建立了持续改进机制。定期识别需改进的地方。ITSMS:8.4供应商管理查月采购合同、查供应商服务报告ITSMS:8.4服务的预算与核算项目预算表项目名称 ，包括公摊费用，原材料，项办公用品与耗材，设备采购

40、与折 旧， 差旅费，外协费用，任务分包，设备与设施的租金，书籍文献的采购，资料设计制作与出版印刷，招待 费具体费用略IT 服务预算及预算管理流程报告预算超支过多 KPI 指标检查由于物价上涨，导致项目实际发生费用超过预算。改进计划涿进财务预算按财务流程要求A.6.1.1信息安全角色和职责公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责A.6.1.2责任分割在职责分配时，分割了冲突的责任和职责范围，以降低未授权或无意的修改或者不当使用组织资产A.6.1.3与政府部门的联系与相关部门保持联系。被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/

41、8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS: 7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查 要素/ 条款核查事项核查记录符合项观察项不符合项A.6.1.4与特定相关方的联系公司建立信息安全顾问，必要

42、时聘请了外部专家。A.7.1.1审查规定录用前查人员的个人相关背景、资历和相关检查，对于不符合安全要求的不得录用。A.7.1.2任用条款和条件查聘用人选由行政部上报公司相关人员审批，由最后的审批结果向聘用人员发放聘用通知书，并签订了 劳动合同和保密协议A.7.2.1管理职责根据公司业务要求，明确关键工作岗位及任职要求并依据建立的方针和程序来应用安全。A.7.2.2信息安全意识、教育和培训行政部负责制定的公司 员工年度培训计划 ，公司的所有员工，适当时还包括合作方和第三方用户，发现已接受适当的意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新A.7.2.3纪律处理过程公司未有安全

43、违规的雇员。A.7.3.1任用终止或职责变更查看相关文件，发现第三方用户完成服务时，进行明确终止责任的沟通。A.8.1.1资产清单保存有信息安全资产清单和重要信息资产清单，信息资产包括数据、软件、硬件、服务、A.8.1.2资产责任人有信息资产清单、重要信息资产清单都定义了责任部门或责任人A.8.1.3资产的允许使用提供用户授权申请表，满足要求。A.8.1.4资产的归还有程序文件规定：在员工离职前应收回保密文件，退还身份证件和使用组织的所有资产，并执行财A.8.2.1信息分类信息资产分为：数据、软件、服务、硬件、文档、设施、相关方、人员信息的密级分为 3 类：企业秘密事项（秘密）、内部信息事项（

44、受控）和公开事项。A.8.2.2信息标识现场查：信息都按程序要求进行了识别和标记；A.8.2.3资产处理有商业秘密管理程序，规定了建立处理和储存信息的程序来保护这些信息免于未经授权的泄露A.8.3.1可移动介质的管理有移动介质授权使用记录，对 U 盘、移动硬盘等移动介质的使用情况进行了记录。A.8.3.2介质的处置有介质管理程序，规定含有敏感信息或重要信息的介质在不需要或再使用时，处置部门应按照被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.

45、4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查要素 / 条款核查事项核查记录符合项观察项不符合项要求采取安全可靠处置的方法将其信息清除。A.8.3.3物理介质传输为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、A.11.1.1物理安全边界公司安全区域分类：

46、特别安全区域、一般区域，本部门为特别安全区域。A.11.1.2物理入口控制公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司有外来人员登记表。A.11.1.3办公室、房间和设施的安全保护查办公室、房间和设备，都进行了安全防护。A.11.1.4外部和环境威胁的安全防护公司规定：外来人员来本公司参观或对大楼进行拍摄，须报请行政部批准，安全周界的大门下班后应关紧，行政部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离以外，以A.11.1.5在安全区域工作公司明确规定员工、第三方人员在有关安全区域工作的基本安全要求（如避免在第三方人员未被监A.11.

47、1.6交接区公司设有接待前台，供接待临时访问人员。A.11.2.1设备安置和保护按文件规定执行，由研发部负责笔记本电脑、台式机、服务器、打印机的安置和保护。一提供个人计算机配备一览表、计算机配置说明书。A.11.2.2支持性设施一有空调等保护设备，设置了自动喷淋头，规定不允许在办公环境吸烟。大厦配备有双回路变电A.11.2.3布缆安全一现场查看网线和电源线情况，符合要求。A.11.2.4设备维护一自体系文件实施以来，设备未出现故障，但备有设备维护记录表格。A.11.2.5资产的移动一笔记本均有笔记本电脑授权表A.11.2.6组织场所外的设备安全使用笔记本电脑离开办公场所应经授权，见个人计算机管

48、理程序。离开办公场所的设备应考虑A.11.2.7设备的安全处置或再利用信息处理设施管理程序规定：信息处理设施实施大修、升级、停用或报废前由使用部门和个人A.11.2.8无人值守的用户设备现场查编号： YJ-028 的 PC 机时，有设置屏保。A.11.2.9清空桌面和屏幕策略现场查编号： YJ-028 的 PC 机时，桌面保持干净A12.7.1信息系统审计的控制正式审核之前，审核组明了确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险被审核部门综合部 审核成员审核日期 2019/12/11审核主题7/8/9/10A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.

49、1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.2/A11.2.9/A12.3.1/A1244/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2陪同人员核查 要素/ 条款核查事项核查记录符合项观察项不符合项A.13.2.4保密或不泄露协议查员工有签署员工保密协议。查公司与外部相关方有签暑相关方保密协议。A.15.1.1供应商关系的信息安全策略有相关方信息

50、安全管理程序 ，规定相关部门应协同行政部识别供应商对信息资产和信息处理设施造成 的风险，并在批准供应商访问信息资产和信息处理设施前实施适当的控制。A.15.1.2在供应商协议中解决安全查有相关方服务保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中A.15.1.3信息与通信技术供应链查相关方服务保密协议，包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要A.15.2.1供应商服务的监视和评审有相关方服务评审报告。评价供应商在服务过程中的安全情况。A.15.2.2供应商服务的变更管理目前供应商服务无变更。A.10.4.1对恶意代码的控制措施现场测试扫描，没有发现病毒。A.16.1.1职责和规程信息安全事件管理程序规定：行政部在接到报告后应迅速做出响应，各相关部门应即使按要求A.16.1.2报告信息安全事态信息安全事件管理程序规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向目前尚无相关报告。A.16.1.3报告信息安全弱点信息安全事件管理程序规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威目前尚无相关报告。A.16.1.4信息安全事态的评估和决策信息安全事件管理程序规定：事件责任部门使用商定的信息安全事态和事件分级尺度评估每个目前尚未发生。A.1