ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx
- 文档编号:1328710
- 上传时间:2022-10-20
- 格式:DOCX
- 页数:33
- 大小:28.32KB
ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx
《ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系内部审核和管理评审资料汇编.docx(33页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理体系内部审核和管理评审资料汇编
2020年度ISO27001:
2013信息安全
管理体系内部审核资料汇编
编制:
XXX
审核:
XXX
批准:
XXX
XXX网络科技有限公司
2020年5月
信息安全管理体系内审年度计划2
内部审核实施计划2
关于开展管理体系内部审核通知4
内审员委派通知书5
内部审核首次会议记录6
首次会议签到表7
内部审核检查表8
不符合报告12
内部审核末次会议记录13
末次会议签到表14
内审报告15
不符合工作及纠正措施跟踪表16
信息安全管理体系内审年度计划
编号:
JLWJ-NS-01
评审日期
2020年5月11日
时间
08:
30-17:
00
地点
综合办公室
审核目的:
对公司进行内部审核,以验证各部门信息安全管理体系运行的符合性、有效性和适应性,查找信息安全管理体系运行中的不符合项,提出整改意见,制定纠正措施,是管理层改进和完善管理体系的有效手段,为管理评审和外部审核作准备。
审核依据:
1.管理体系文件(包括管理手册、程序文件、管理制度、操作规程和记录表格等);
2.国家或行业的有关法律、法规或标准;
3.GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》
审核人员:
审核组长:
XXX组员:
XXX、XX、XXX、XXX
受审核部门和涉及的要求、内容:
此次内部审核涉及本公司所覆盖的全部信息安全管理体系要素,各部门和全部工作人员要做到全力配合。
审核过程中,涉及到相关问题的部门和个人,要在现场做积极有效的配合工作。
审核日程安排:
1.2020年4月10日制定内审计划,并上报给总经理审核批准。
2.2020年4月20日由管理者代表委任内审组成员。
3.2020年4月20日综合部主任通知各部门开展内部审核,并要求各部门做好准备。
4.2020年5月11日8:
30进行初次会议。
5.2020年5月11日9:
00进行现场评审。
6.2020年5月11日16:
00进行末次会议。
7.2020年5月11日16:
50发布内审报告
审核报告的分发范围:
此次内审工作报告的分发范围为:
公司所有部门
审核方法:
1.集中审核
2.现场审核
审核项目:
GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》覆盖的所有要素。
总经理批示:
批准实施
批准人:
XXXXX日期:
2020年4月10日
编制:
综合部2020年4月10日
内审实施计划
编号:
JLWJ2020-NS-02
日期
实施时间
项目
工作内容
2020年5月11日
8:
30~9:
00
首次会议
介绍内审组成员、内审目的、内审分组、内审流程
9:
00~12:
00
集中和现场审核
内审人员分组根据内审查验表进行集中审核和现场审核
13:
00~15:
30
集中和现场审核
内审人员分组根据内审查验表进行集中审核和现场审核
15:
30~16:
00
出具不符合报告
2组人员对检查记录进行汇总,对审核中出现的不符合项出具不符合报告
16:
00~17:
00
末次会议
发布内审中检查出的不符合项目,针对不符合项目进行讨论,提出整改内容责任化和整改意见,限定整改期限。
发布内审报告。
编制:
综合部
XXX网络科技有限公司文件
XX发[2020]14号
关于开展管理体系内部审核通知
公司各部门:
为确保本公司建立的信息安全管理体系能够持续有效的运行,经公司会议研究,总经理批准,公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动,以便及时查找出在信息安全管理体系运行中的不符合工作情况。
请各部门接到通知后做好准备工作,确保通过内部审核的检查工作,争取取得良好的效果。
XXX网络科技有限公司
2020年4月20日
内审员委派通知书
根据公司本年度的内部审核计划,现委派XXX为内审组组长,成员XX、XXX、XXX、XX。
内审组按照GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。
内审时间:
2020年5月11日
管理者代表:
XX
2020年4月20日
内部审核首次会议记录
编号:
JLWJ2020-NS-03
主持人
XXX
受审部门
公司所有部门
时间
2020.5.118:
30
参会人
见签到表
内审组成员
组长:
XXXX成员:
XXXX
会议记录:
1.会议内容:
2020年度管理体系例行内部审核首次会议
2.确定联系人:
各部门在接受审核时,分别指定1-2名陪同人员协助。
3.内审组分工
内审组分为2组,1组成员主要负责对体系文件(管理手册、程序文件、操作规程、记录表格等)进行检查。
2组成员主要负责对现场(业务流程等)进行检查。
4.内部审核目的、依据和范围:
内部审核目的:
对公司进行内部审核,以验证公司各部门管理体系运行的符合性、有效性和适应性,查找管理体系运行中的不符合项,提出整改意见,制定纠正措施,是管理层改进和完善管理体系的有效手段,为管理评审和外部审核作准备。
内部审核依据:
依据GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》、相关法律法规、相关标准和公司管理体系文件作为本次审核依据。
内部审核范围:
GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》相关要素。
5.内部审核的方法和程序:
采取听取汇报、现场查看、提问、查阅资料等方式对各部门的管理体系和业务操作规范性进行全面考核。
审核程序按公司程序文件《内部审核控制程序》进行。
6.确定内审的日程安排:
日程安排依照内审实施计划进行,公司对日程安排无异议。
7.本次审核重点:
管理体系的符合性、有效性和适应性,生产工作是否按照体系运行。
记录人:
XXXX时间:
2020年5月11日
首次会议签到表
编号:
JLWJ2020-NS-04
会议地点
会议室
会议时间
2020年5月11日
参会人员
签名
序号
姓名
序号
姓名
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
备注
内部审核检查表
编号:
JLWJ2020-NS-05
审核人员
XXX、XX
时间
2020年5月11日
标准条款
审核内容
审核记录
评价
4.1理解组织及其背景
1.是否确定与其目标和战略方向相关并影响其实现信息安全管理体系预期结果的各种外部和内部因素?
1.确定了内部和外部因素,见《内部外部因素分析表》
符合
4.2理解相关方的需求和期望
1.是否确定信息安全体系相关方?
2.是否确定了相关方的要求?
1.有确定信息安全体系相关方,见《相关方需求和期望登记表》
2.确定了相关方的要求,见《相关方需求和期望登记表》
符合
4.3确定信息安全管理体系的范围
1.检查信息安全管理管理体系手册是否有明确范围?
是否批准发布?
2.确定以上内容时,是否考虑了内外部因素、相关方要求?
3.检查适用性声明,是否针对实际情况做了合理的删减?
1.查了管理手册,有明确范围,管理手册是经审核发布了的。
2.管理体系范围考虑了内外部因素、相关方要求。
3.检查了适用性声明,做了合理的删减。
符合
4.4信息安全管理体系
1.公司是否建立了信息安全管理体系?
1.建立了信息安全管理体系。
符合
5.1领导和承诺
1.管理层是否制定了信息安全方针和目标?
2.信息安全方针和目标是否和公司战略方向一致?
3.公司现有资源是否满足信息安全管理体系?
4.是否沟通有效的信息安全管理及符合信息安全管理体系要求的重要性?
5.管理层是否履行自己的职责,保证信息安全达到预期结果,是否做出了承诺?
6.是否指导并支持相关人员为信息安全管理体系的有效性做出贡献?
7.是否发布公司管理人员、部门的职责和权限?
管理人员和部门是否履行其职责?
1.制定了信息安全方针和目标,见管理手册0.5方针、目标
2.信息安全方针和目标与公司战略方向一致。
3.公司现有资源满足公司信息安全管理体系。
4.通过宣传、培训教育、会议等方式进行沟通信息安全管理的重要性,有相关会议记录、培训记录。
5.管理层做出了承诺,见承诺书,管理层履行了相关职能。
6.对为信息安全管理体系做出贡献的人员做出奖励,制定了奖罚制度。
7.在管理手册、员工手册发布了相关职责和权限,相关人员履行了相应职能。
符合
5.2方针
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
1.信息安全方针是由最高管理者制定并发布,见管理手册0.5方针、目标。
2.信息安全方针符合ISO27001的要求。
3.形成了文件,见管理手册0.5方针、目标
符合
5.3组织的角色,责任和权限
1.是否发布公司管理人员、部门的职责和权限?
2.是否建立了组织机构图和职能分配表?
3.部门负责人是否在管理评审时报告信息安全管理体系绩效?
1.发布了相关职责和权限,见管理手册和员工手册和上墙职责。
2.建立了组织机构图和职能分配表,见管理手册附录。
3.部门负责人在管理评审时报告了信息安全管理体系绩效,见部门的管理体系运行报告。
符合
6.1.1应对风险和机会的措施—总则
1.是否建立了《应对风险和机遇控制程序》程序文件?
2.是否制定应对风险和机遇的措施?
1.建立了程序文件。
2.制定了应对风险和机遇的措施。
符合
6.1.2信息安全风险评估
1.公司是否建立信息风险评估程序文件?
2.公司是否进行了风险评估并保留了风险评估过程?
3.抽查2份信息安全风险评估报告,是否识别了风险等级和风险责任人?
1.建立了程序文件。
2.公司进行了风险评估并保留了记录,见风险评估记录、风险评估报告。
3.抽查了信息安全评估报告,有识别风险等级和风险责任人。
符合
6.1.3信息安全风险处置
1.公司是否建立了信息风险处理程序文件?
2.是否制定了信息安全风险处理计划?
3.查看是否有信息风险处理记录?
1.建立了程序文件。
2.制定了信息安全风险处理计划。
3.有信息风险处理记录,对信息安全风险进行了处理
符合
6.2信息安全目的及其实现的规划
1.公司和部门是否建立信息安全目标?
2.信息安全目标是否符合标准要求?
3.信息安全目标是否经过批准发布?
4.是否定期检查目标完成情况?
5.是否策划了达到信息安全目标的方案?
6.是否统计目标完成情况,并进行评价分析?
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 内部 审核 管理 评审 资料汇编