《ISO27001 2022版内部审核+管理评审全套资料.docx》由会员分享,可在线阅读,更多相关《ISO27001 2022版内部审核+管理评审全套资料.docx(26页珍藏版)》请在优知文库上搜索。
1、信息安全内部审核计划表编号:ZHKJ-TSMS-4-12版本:A1.0审核目的通过信息安全管理体系审核,检查各部门执行体系文件情况,验证适宜性、充分性、有效性。审核依据ISOIEC27001.20XX标准、管理体系文件、适用性声明、有关法律法规、合同。审核范围与计算机信息系统集成相关的信息安全管理服务审核部门信息安全管理体系覆盖的所有部门审核组序号姓名职责A组长B组员C组员审核时间20XX年11月10日审核日程安排审核组活动安排所涉及的体系要求被审核部门A/B./C8:30-9:00首次会议各部门C组9:00-11:30管理职责:5.1/5.2/A.5.1/A.5.4/5.3/A.5.2/7.
2、1/6.2/7.4/A.5.5/A.5.6管理评审:9.3/A.5.1/10.1/A.5.35管理层13:30-17:00体系建立:4.4/4.3/4.1/4.2/6.1.1/8.1/9.1/A.5.1/A.5.36/7.5/A.5.33/A.5.37/A.5.15A.5.12A.5.136.3风险评估:8.2/6.1.2/6.1.3/8.3/A.5.9/5.23法律法规识别:A.5.31办公区域的物理安全:A.7.1/A.7.2/A.7.3/A.7.4/A.7.5/A.7.6移动介质管理:A.7.10PC机管理:A.5.17/A.8.18/A.8.19/A.8.19/A.5.32/A.7.7
3、/A.8.7/A.8.13文档管理:7.5.3/A.5.13/A.5.33管理运营部信息安全事件管理:A.5.24/A.5.25/A.5.26/A.5.27/A.5.28/A.6.8业务连续性管理:A.5.29/A.5.30/A.8.14内部审核:9.2/10.1/10.2/A.5.35B组9:00-11:00人力资源管理:7.2/A.6.1/A.6.2/A.6.6/A.6.3/7.3/A.6.4/A.6.5/A.5.11/A.5.18/A.5.34/A.5.33人力资源部14:00-16:30企业特殊区域的物理安全(适用于财务室、保密室、档案室等区域):A.7.3/A.7.5密钥(加密狗、U
4、盾)的使用:A.8.24保险柜的使用:A.8.24/A.5.31供应商管理:A5.19/A.5.20/A.5.21/A.5.22/A.5.23/A.8.30财务资产部/采购保障部A、B组9:00-17:00机房环境及设备的管理:A.7.2/A.7.3/A.7.5/A.7.11/A.7.12/A.7.13/A.7.14内外网络的管理:A.5.3/A.8.20/A.8.21/A.5.15/A.8.22/A.8.9/A.8.6/A.8.1/A.5.7/A.8.23/A.8.16用户访问权的管理:A.5.16/A.8.2/A.5.17/A.5.18应用系统服务器的管理:A.8.3/A.6.7/A.8.
5、5/A.5.17/A.8.18/A.8.19/A.5.32/A.8.7/A.8.13/A.8.12/A.7.7/A.8.15/A.8.17/A.8.10对使用中系统的管理:A.8.26/A.8.29/A.8.8/A.5.36/A.8.34/A.8.11应用系统的开发、测试和变更:A.8.26/A.8.27/A.8.25/A.8.32/A.8.31/A.8.24/A.5.31/A.8.29/A.8.33/A.8.4/A.8.28IT设备管理:A.8.32/A.5.10/A.7.8/A.7.13/A.7.14/A.8.1/A.7.10/A.7.9服务项目涉及的信息安全:A.5.8/A.7.9/8.
6、2/8.3/A.5.9/A.7.3/A.7.6/A.6.2/7.5.3/A.5.13/A.5.33信息传输要求:A.5.14/A.8.12智慧城市事业部/安全质量部A、B、C17:00-17:30末次会议备注:1、在内审实施中各部门要配合内审人员进行内审工作;2、在内审实施中要避免言语冲突的发生;3、内审员对审核结果要及时记录(无论是否符合),并要被审核部门代表签字确认。编制:审核:批准:日期:ISMS内审检查表审核条款各部门审核情况一览审核详情备注编号IS027001章节审核指南管理层管理运营部智慧城市事业部财务资产部人力资源部采购保障部安全质量部4组织的背景4组织的背景符合4.1了解组织现
7、状及背景1、体系文件中对公司的概况是否有介绍。2、有没有明确的体系范围和边界?3、手册中对客户的要求是否有识别?4、完整的体系文件?YESNANANANANANA符合4.2理解相关方的需求和期望YESNANANANANANA符合4.3确定信息安全管理体系的范围YESYESNANANANANANA符合4.4ISMSNANANANANANA符合5领导力5.1领导力和承诺1、管理者对ISMS做出哪些承诺?2、管理者为ISMS提供哪些资源?3、管理者对ISMS的重要性是否给予传达。4、颁布令和授权令YESNANANANANANA符合5.2方针YESNANANANANANA符合5.3组织角色、职责和承诺
8、YESNANANANANANA符合6皿6.1应对风险和机会的措施6.1.1总则1、ISMS建立时间?2、方针目标?3、风险评估?4、适用性条款?5、风险处置计划?YESNANANANANANA符合6.1.2信息安全风险评估YESYESNANANANANANA符合6.1.3信息安全风险处置NANANANANANA符合6.2信息安全目标和规划实现1、信息安全方针包含信息安全目标或设置信息安全目标提供框YESNANANANANANA符合架?6.3变更的策划YESNANANANANANA符合7支持7.1资源提供了体系建立需要的资源YESNANANANANANA符合7.2能力对体系内的工作者有能力的评价
9、NANANANAYESNANA符合7.3意识对体系内的工作者有安全意识的培训NANANANAYESNANA符合7.4沟通是否有相应的沟通管理程序NANANANAYESNANA符合7.5文件记录信息7.5.1总则体系所需要的文件和记录完整NAYESNANANANANA符合7.5.2创建和更新1、组织是否编制了文件控制规程?NAYESNANANANANA符合7.5.3文件记录信息的控制2、组织是否遵循文件控制规程?NAYESNANANANANA符合8运行8.1运行的规划和控制管理者是否确保在其职责范围内的所有安全程序都能得到正确执行?NAYESYESYESYESYESNA符合8.2信息安全风险评估
10、1、体系文件有运行中风险评估的触发条件及固定周期NAYESYESYESYESYESNA符合8.3信息安全风险处置2、实施风险处置计划?NAYESYESYESYESYESNA符合9绩效评价9.1监视、测量、分析和评价1、通过哪些方式监控体系运行,持续改进ISMS有效性?NAYESNANANANANA符合9.2内部审核1、体系中对内审有明确要求NAYESNANANANANA符合9.3管理评审1、体系中对管理评审有明确要求YESNANANANANANA符合10改进10.1不符合和纠正措施1、是否有纠正措施控制程序?NAYESNANANANANA符合10.2持续改进1、是否有对持续改进的时间及跟踪要求
11、?NAYESYESYESYESYESYES符合A.5组织控制A.5.1信息安全的策略集信息安全方针文件是否由管理者批准、发布?YESNANANANANANA符合A.5.2信息安全角色和职责信息安全活动是否由不同部门并具备相关角色和工作职责的代表进行协调?YESNANANANANANA符合A.5.3职责分离所有信息安全职责是否有清晰的定义YESNANANANANANA符合A.5.4管理者职责管理者是否要求雇员、承包方人员和第三方人员,按照该组织已建立的方针和程序负起安全责任?YESNANANANANANA符合,5.5与职能机构的联系组织是否保持与政府相关部门的适当的联系?NAYESNANANAN
12、ANA符合A.5.6与特定相关方的联系组织是否与特殊利益团体、安全专家组和专业协会保持适当的联系?NAYESNANANANANA符合A.5.7威胁情报NANAYESNANANANA符合A.5.8项目管理中的信息安全组织是否对其管理信息安全的方法与实践(及信息安全控制目标与控制措施、方针、过程和程序),按既定的时间间隔(或当安全实施发生重大变化时)进行独立评审?NANAYESNANANANA符合A.5.9信息和其它相关资产清单是否所有重要资产都进行了登记,建立了清单文件并加以维护?与信息处理设施有关的所有信息和资产,是否由指定的部门或者人员承担责任?NAYESNANANANANA符合A.5.10信息和其他相关资产的可接受使用与信息处理设施有关的信息和资产的可接受使用规则,是否确定形成了文件