ISO27001信息安全管理体系内部审核资料汇编

2020年度ISO27001:2013信息安全

管理体系内部审核资料汇编编制：XXX

审核：XXX

批准：XXXXXX网络科技有限公司

2020年5月TOC\o"1-5"\h\z\o"CurrentDocument"\h信息安全管理体系内审年度计划 2\o"CurrentDocument"\h内部审核实施计划 2\o"CurrentDocument"\h关于开展管理体系内部审核通知 4\o"CurrentDocument"\h内审员委派通知书 5\o"CurrentDocument"\h内部审核首次会议记录 6\o"CurrentDocument"\h首次会议签到表 7\o"CurrentDocument"\h内部审核检查表 8\o"CurrentDocument"\h不符合报告 12\o"CurrentDocument"\h内部审核末次会议记录 13\o"CurrentDocument"\h末次会议签到表 14\o"CurrentDocument"\h内审报告 15不符合工作及纠正措施跟踪表 16信息安全管理体系内审年度计划编号：JLffJ-NS-01评审日期2020年5月11日时间08:30-17:00地点综合办公室审核目的:对公司进行内部审核，以验证各部门信息安全管理体系运行的符合性、有效性和适应性，查找信息安全管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。审核依据：管理体系文件（包括管理手册、程序文件、管理制度、操作规程和记录表格等）;国家或行业的有关法律、法规或标准；GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》审核人员：审核组长：XXX 组员：XXX、XX、XXX、XXX受审核部门和涉及的要求、内容:此次内部审核涉及本公司所覆盖的全部信息安全管理体系要素，各部门和全部工作人员要做到全力配合。审核过程中，涉及到相关问题的部门和个人，要在现场做积极有效的配合工作。审核日程安排:1.2020年4月10日制定内审计划，并上报给总经理审核批准。2020年4月20日由管理者代表委任内审组成员。2020年4月20日综合部主任通知各部门开展内部审核，并要求各部门做好准备。2020年5月1108:30进行初次会议。2020年5月11日9:00进行现场评审。2020年5月11016:00进行末次会议。2020年5月11日16:50发布内审报告审核报告的分发范围:此次内审工作报告的分发范围为：公司所有部门审核方法：集中审核现场审核审核项目:GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》覆盖的所有要素。总经理批示：批准实施批准人：XXXXX日期：2020年4月10日编制：综合部 2020年4月10日内审实施计划日期实施时间项目工作内容2020年5月11日8：30~9：00首次会议介绍内审组成员、内审目的、内审分组、内审流程9：00~12：00集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核13:00-15:30集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核15:30〜16:00出具不符合报告2组人员对检查记录进行汇总，对审核中出现的不符合项出具不符合报告16:00〜17:00末次会议发布内审中检查出的不符合项目，针对不符合项目进行讨论，提出整改内容责任化和整改意见，限定整改期限。发布内审报告。编制：综合部XXX网络科技有限公司文件XX发［2020114号关于开展管理体系内部审核通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，经公司会议研究，总经理批准，公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动，以便及时查找出在信息安全管理体系运行中的不符合工作情况。请各部门接到通知后做好准备工作，确保通过内部审核的检查工作，争取取得良好的效果。XXX网络科技有限公司2020年4月20日内审员委派通知书根据公司本年度的内部审核计划，现委派XXX为内审组组长，成员XX、XXX、XXX、XXO内审组按照GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。内审时间：2020年5月11日管理者代表：XX2020年4月20日内部审核首次会议记录主持人XXX受审部门公司所有部门 时间 2020.5.118:30参会人见签到表内审组成员组长：XXXX 成员：XXXX会议记录：会议内容：2020年度管理体系例行内部审核首次会议确定联系人：各部门在接受审核时，分别指定1-2名陪同人员协助。内审组分工内审组分为2组，1组成员主要负责对体系文件（管理手册、程序文件、操作规程、记录表格等）进行检查。2组成员主要负责对现场（业务流程等）进行检查。内部审核目的、依据和范围：内部审核目的：对公司进行内部审核，以验证公司各部门管理体系运行的符合性、有效性和适应性，查找管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。内部审核依据：依据GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》、相关法律法规、相关标准和公司管理体系文件作为本次审核依据。内部审核范围：GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》相关要素。内部审核的方法和程序：采取听取汇报、现场查看、提问、查阅资料等方式对各部门的管理体系和业务操作规范性进行全面考核。审核程序按公司程序文件《内部审核控制程序》进行。确定内审的日程安排：日程安排依照内审实施计划进行，公司对日程安排无异议。本次审核重点：管理体系的符合性、有效性和适应性，生产工作是否按照体系运行。记录人：XXXX时间：2020年5月11日首次会议签到表会议地点会议室 会议时间 2020年5月11日参会人员签名序号姓名序号姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546备注内部审核检查表审核人员XXX、XX时间 2020年5月11日标准条款审核内容审核记录评价4.1理解组织及其背景1.是否确定与其目标和战略方向相关并影响其实现信息安全管理体系预期结果的各种外部和内部因素？1.确定了内部和外部因素，见《内部外部因素分析表》符合4.2理解相关方的需求和期望是否确定信息安全体系相关方？是否确定了相关方的要求？有确定信息安全体系相关方，见《相关方需求和期望登记表》确定了相关方的要求，见《相关方需求和期望登记表》符合4.3确定信息安全管理体系的范围检查信息安全管理管理体系手册是否有明确范围？是否批准发布？确定以上内容时，是否考虑了内外部因素、相关方要求？检查适用性声明，是否针对实际情况做了合理的删减？查了管理手册，有明确范围，管理手册是经审核发布了的。管理体系范围考虑了内外部因素、相关方要求。检查了适用性声明，做了合理的删减。符合4.4信息安全管理体系1.公司是否建立了信息安全管理体系？1.建立了信息安全管理体系。符合5.1领导和承诺管理层是否制定了信息安全方针和目标？信息安全方针和目标是否和公司战略方向一致？公司现有资源是否满足信息安全管理体系？是否沟通有效的信息安全管理及符合信息安全管理体系要求的重要性？管理层是否履行自己的职责，保证信息安全达到预期结果，是否做出了承诺？是否指导并支持相关人员为信息安全管理体系的有效性做出贡献？是否发布公司管理人员、部门的职责和权限？管理人员和部门是否履行其职责？1.制定了信息安全方针和目标，见管理手册0.5方针、目标2.信息安全方针和目标与公司战略方向一致。公司现有资源满足公司信息安全管理体系。通过宣传、培训教育、会议等方式进行沟通信息安全管理的重要性，有相关会议记录、培训记录。管理层做出了承诺，见承诺书，管理层履行了相关职能。对为信息安全管理体系做出贡献的人员做出奖励，制定了奖罚制度。在管理手册、员工手册发布了相关职责和权限，相关人员履行了相应职能。符合5.2方针是否由最高管理者制定了信息安全方针并发布？信息安全方针是否符合标准要1.信息安全方针是由最高管理者制定并发布，见管理手册0.5方针、目标。符合审核人员XXX、XX时间 2020年5月11日标准条款审核内容审核记录评价求？信息安全方针是否形成文件？信息安全方针是否在组织内得到沟通？信息安全方针符合ISO27001的要求。形成了文件，见管理手册0.5方针、目标5.3组织的角色，责任和权限是否发布公司管理人员、部门的职责和权限？是否建立了组织机构图和职能分配表？部门负责人是否在管理评审时报告信息安全管理体系绩效？发布了相关职责和权限，见管理手册和员工手册和上墙职责。建立了组织机构图和职能分配表，见管理手册附录。部门负责人在管理评审时报告了信息安全管理体系绩效，见部门的管理体系运行报告。符合6.1.1应对风险和机会的措施一总则是否建立了《应对风险和机遇控制程序》程序文件？是否制定应对风险和机遇的措施？建立了程序文件。制定了应对风险和机遇的措施。符合6.1.2信息安全风险评估公司是否建立信息风险评估程序文件？公司是否进行了风险评估并保留了风险评估过程？抽查2份信息安全风险评估报告，是否识别了风险等级和风险责任人？建立了程序文件。公司进行了风险评估并保留了记录，见风险评估记录、风险评估报告。抽查了信息安全评估报告，有识别风险等级和风险责任人。符合6.1.3信息安全风险处置公司是否建立了信息风险处理程序文件？是否制定了信息安全风险处理计划？查看是否有信息风险处理记录？建立了程序文件。制定了信息安全风险处理计划。有信息风险处理记录，对信息安全风险进行了处理符合6.2信息安全目的及其实现的规划公司和部门是否建立信息安全目标？信息安全目标是否符合标准要求？信息安全目标是否经过批准发布？是否定期检查目标完成情况？是否策划了达到信息安全目标的方案？是否统计目标完成情况，并进行评价分析？建立了信息安全目标，见管理手册0.5方针、目标。信息安全目标符合标准要求。信息安全目标经批准发布。综合部定期对目标完成情况进行检查，有检查记录。制定了达到信息安全目标的方案。综合部统计了目标完成情况，并进行了分析评价，见《目标完成情况统计表》和分析评价记录。符合7.1资源1.公司资源是否满足信息安全管1.公司资源充足，满足公司信息符合

审核人员XXX、XX时间 2020年5月11日标准条款审核内容审核记录评价理体系？2.是否建立了人力资源、信息处理设施等资源的管理程序文件？安全管理体系需求。2.建立相关资源管理程序文件。7.2能力公司是否对员工进行了培训教育？是否对员工进行了能力确认？培训是否进行了有效性评价？是否有培训记录和能力确认记录？对员工进行了培训教育。对员工进行了能力确认。培训进行了有效性评价。有相关记录。符合7.3意识1.各部门随机抽查2名员工，询问公司的信息安全方针、不符合信息安全管理体系会带来什么样的影响？1.各部门抽查了2名员工，技术部XX,和业务部XX回答不完整。不符合7.4沟通抽问5名员工，沟通信息安全管理体系相关内容的沟通方式？沟通内容？什么情况下沟通？由谁来沟通？沟通对象？是否有相关沟通记录？抽查并了解沟通情况。重要沟通有相关记录。符合7.5.1文件化信息一总则是否建立《文件控制程序》？是否具备了标准要求的所有文件化信息？建立了程序文件。具备了IS027001要求的文件化信息。符合7.5.2文件化信息-创建和更新1.创建和更新文件是否是否符合标准要求？1.各部门按《文件控制程序》创建和更新文件。符合7.5.3文件化信息的控制文件化信息是否进行了管理？文件化信息是否进行了保存并得到了充分的保护？电子文档是否进行了备份？保密电子文件是否得到了加密？并进行了保护？外来文件是否进行了受控管理？对文件进行了管理，综合部负责文件的管理。对需求保存的文件进行了保存，文件放置于文件柜内，重要文件放置于保险柜进行保护。电子文档都进行了备份。保密电子文件进行了加密，并进行了备份。外来文件进行了受控，见《受控文件一览表》符合8.1运行规划和控制针对风险是否制定了控制计划？正对达到信息安全目标是否制定了计划？制定了控制计划。制定了实现目标的计划。符合8.2信息安全风险评估1.是否按计划，或当重大变更提出或发生时，执行信息安全风险评估？1.按照计划，或当重大变更提出或发生时，执行信息安全风险评估。符合

审核人员XXX、XX时间 2020年5月11日标准条款审核内容审核记录评价2.是否有信息安全风险评估报告？2.有信息安全风险评估报告。8.3信息安全风险处置是否实施信息安全风险处置计划？是否保留了信息安全处理记录？实施了信息安全风险处置计划。保留了信息安全处理记录。符合9.1监视、测量、分析和评价是否建立了《监视和测量控制程序》？是否有监视、测量评价记录？建立了程序文件。有评价记录。符合9.2内部审核是否组织进行内审审核？是否按策划的时间间隔进行内部审核？内部审核是否审核了标准要求？不符合项是否采取了措施，去年内审整改是否都完成了？内审情况是否形成文件化进行保存？正在进行内部审核，去年也进行了内部审核。每年至少进行1次内部审核，2次审核间隔不超过12个月。内部审核符合IS027001要求。对不符合项制定了纠正/预防措施，去年内部审核不符合项已经整改完成，内审活动的资料进行了文件化保存。符合9.3管理评审是否组织管理评审？是否按策划的时间间隔进行管理评审？管理评审输入信息是否齐全？管理评审输出信息是否齐全？管理评审相关记录是否文件化保存？去年组织了管理评审，今年暂未进行，计划将在7月份进行。每年至少进行1次管理评审，2次审核间隔不超过12个月。去年管理评审输入信息齐全。去年管理评审输出信息齐全。管理评审相关记录进行了文件化保存。符合10.1不符合及纠正措施是否建立了《纠正/预防措施控制程序》？公司正对评审出现不符合项和其他不符合发生时，是否采取措施？是否对纠正措施进行验证？建立了程序文件。对不符合采取了纠正/预防措施。对纠正措施进行了验证，有追踪报告。符合10.2持续改进1.公司进行了哪些改进措施？改进措施是否有效？1.具体见《管理评审改进措施及验证记录》，改进措施有一定效果。符合不符合报告审核部门技术部、业务部部门负责人XXX、XX内审人员XXX审核日期2020年5月110不符合事实描述：技术部员工XX,和业务部员工XX对公司信息安全方针不熟悉、对不符合的信息安全管理体系会带来什么样的影响不够了解。不符合标准条款:GB/T22080-2016/IS0/IEC27001:20137.3意识不符合原因:员工对GB/T22080-2016/IS0/IEC27001:2013的要求理解不够到位，公司培训教育、宣传力度不够。部门负责人：2020年5月11日对信息安全管理体系影响：不能充分意识公司信息安全方针和信息安全管理体系的重要性，可能造成员工没有责任心，对工作不负责，会损坏公司信息安全管理体系。内审组长：2020年5月11日内部审核末次会议记录主持人管理者代表受审部门公司所有部门 时间 2020.5.1116:30参会人见签到表内审组成员组长：XXX 成员：XXX、XXX、XX会议记录：会议内容：2020年度管理体系例行内部审核末次会议由内审组长汇报此次内审发现了1项不符合项。由管理者代表对技术部和业务部负责人进行了批评，该项整改由业务部和技术部负责人进行整改，管理者代表要求技术部和业务部负责人于2020年5月13日前整改完毕，并提出了整改建议。技术部和业务部负责人对内审发现的问题作出回应，提出了整改措施，并承诺2天内完成整改措施。记录人： 时间：年月曰末次会议签到表会议地点会议室 会议时间 2020年5月11日参会人员签名序号姓名序号姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546备注内审报告审核目的对公司进行内部审核，以验证各部门信息安全管理体系运行的符合性、有效性和适应性，查找信息安全管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。审核范围公司所有部门审核依据管理体系文件（包括管理手册、程序文件、管理制度、操作规程和记录表格等）；国家或行业的有关法律、法规或标准；GB/T22080-2016/IS0/IEC27001：2013＜信息技术安全技术信息安全管理体系要求》）审核组长审核组XXX XXX、XXX审核日期2020.5.11成贝参加人员：见签到表审核过程概述：为了审核公司信息安全管理体系运行情况，对其运行的符合性、有效性和适应性进行了验证，本公司于2020年5月11日按照内审检查表要素对