《ISO27001 2022版内审检查表+内审记录(分部门).docx》由会员分享,可在线阅读,更多相关《ISO27001 2022版内审检查表+内审记录(分部门).docx(12页珍藏版)》请在优知文库上搜索。
1、信息安全管理体系内审检查表i:JAISNSf6/1爻审核部门VM申被员11申林日期20XX.4.1审核法则180/1氏27。01:2022.体系文件、适用法律法娓中根东款检查内容检在结果1.1理解如织及其环境公司是否有部门椅介.并能充分反应公司内部情况.Sh方景,舞营救出、财务我现、规模及设旅、人力资源徙力、技术优势、如识苏(内部因素)及涉及法神法规和专利技术、市场占有率上整合作伙件及同行的也响、物理边界、信恩来道(外部闪点)?符合1.2理解相关方的需求和期里公司是否收集相关方K求及IWW(上侬及主要供方及客户)包拈:顾客对侑息安全的要求I已与政客或外部供应俄达成的合Eh行业规蒐及标准:和社区
2、团体或非政府81织的协议:法规法案:备忘求:许可.执照或其他授权/式:收管机构发布的制度:条约,公约及个案I和公共机构及顾客的出议I祖织变求I门崽原则或行为双Sh门前蚌示或环境承龙;羽织货约合同的承担义务I不符合(三i公司未Ul别相关方的常求和期能1.3确定信息安全管理体JOUH公司是否有个定义ISMS泡IH的过程?有没U明确的体系范明和边界?是否有对任何范围的划船?符合1.4信思安全管理体系公司形成完挖的体系文件公司性体系文件描逑通用于公司实际情况符合5.1领导力和承诺是否有一个嫡保管理者对IS作的建立、实施与运行、监视与评审、保持和改进,强出承诺的过程?管理名依供承诺的证期是否包括以下内容
3、:8)制定ISMS方知b)蛹保建立ISXS目标和计划:C)建立信息安全的角色和眼Shd)向读阻细传达满足信忌安全目标与符合估息安仝方忖的K要性、法W责任和持续改进的需婪:e)提供足绯的资懑tf)决定接受风险的准则和凤龄的可接受拨!准刻:而确保IsNS内审的执行和ISMS管理评审的执行.符合5.2方针公司是否有个ISNS方针文件?公司的ISVK方的文件是否满足以下要求:1)包括信息安全的目标板栗、俏电安全工作的总方向和康则,2):与志业务要求法律法坦的变求和合同变求I3)与81根开发与惟护IsttS的然略性风险管理.站价一起或保持致:1)建立风险评价准则t5)获得管理者批熊.符合5.3组织的角色
4、,职责和权限公司内各职健职武是否明确?权限分派、沏通和理解是否透立?各肌击间关系加否明确?是否仃颁布令和授权令!符合6.I应对风险和机会的指施公司是否有即确可能所需嘤峻对的双总和机遇?为现定甯要应对的I崂和机当:1.公司花策划信息安全管理体系时,是否考虑内都和外部因素?符合2 .公司在策划信M安全管理体系时,是否在理解相关方需求?公司是否有策划应对应龄和机遇的措地?这些措的可fit是产品及限务的检杳、Ia校和/心、校布、产品及过处设计、纠正措施、设定方法和工作指导书、培训及使用有能力人员等方面.3 .应对M险和机遇的措他也否得到实施和许价措迪的仃效性?6.2倒总安全目标和实现规划管理层信息安金
5、目标是否:1)包括侑息安全的目标框架、信息安全工作的总方向和原则t2)考应业务察求、法律法规的察求和合同察求:3)5组织开发与维护I汕的械略性风阶管理.结合超或保持Stl1)建立风险评价灌则:5)获得管理齐批准.在对这个察求的符合性中骏时,要确保殂恨的ISMS方舒清足上注5个要求.还要注意到方针息安全方计的美系.符合1.1资源公司是否有对为汕足怡总安全辑理体系要求的人力费海、材村、能力、信息、i2ffe等进行评估?2、公司是否识别各种现疔IW构,即为N少不R影聃或达成目标用要什么,以及需要什么揣够?符合7.4沟通1)最瓶管理乔应确保住组织内建立地当的海通过程,并确保对施置WS/职业健康安全体系
6、的行效性进行沟通.各职能层次向的沟通是如何开展的?咐信息沟通的职志和方法以及时at大事件、句网的沟通是如何开展的?2)是否使用r恰当的沟通形式?开展的忸况,信息是否被有效的利用?3)沟通的内容是否使促进纲织所量活动协调和烬;切环境,嵌业设柒安全体系过程及其有效性?如何邀第内外SJ沟通的过程?“用些记术来注明?外部仃患交流的内容?正面的?负面的(如投诉)?是否及时给出清晰刈么?超否涉及绩效的改进?符合9.1监视、测质、分析和评价公司阚定的儒要相视和测业的财软包括1定义如何Mljit所选控M指施的有效性.即要有个“测爆所选控M指施行效性”的过程:1)规定如何使用这些利依措的对控制措施的行效性进行泅
7、量(或评估):据此.价理疗和员工就可以确定所选控制措施必否实现原计划的控制目标,或实现的程度,2)通过到正、纠正措施、预防措施、改造计划、的陋时汉计分析保料I、;环境/职业健康安全首理体系持或改进的有效性.并确定了信息安全目标;过程馈效指标及总视和(后方法号住频次,公司在伏理手册中对监视、测Ii1.分析和改进过程进行了策划.对确保信息安仝/环境/职业健康安仝管理体系的适宜性、产晶估息安仝的符介性及应用数据分析等方式来实现对伯息安全,玮物皿业ft!旅安全管理体系的改进和提岛避打了筑划.并在实际工作中通过H常的监视和萄Irt对发现的问题及时进行分析、解决,并建立了相应的总总渡过程,就有关信恩安全、
8、环境、职业健康安全。效进行内部和外部信息交流符合9.3管理评中公司是否定期召开管理评中?井在笆理评审中确定体系的运行是否适宜、充分和有效,并与扭乐的成珞方向一效?管理评审愉人资料是否涓足听求?是否包括以为哲理评审采取措施的情况?环境1.l标的实现探收?地织环境缱效方面的信息?资源的充分性?来自招美方的有关借总交流?应对风龄和机遇及取的播施是否有依?有无改进的机会?管理评审输出资料是否满足要求?并保留彬成文件的信巫?体察出进行关的信U?环境目标的实现时需要采取的指施?改进汴理体系V其他业务过积融合的机遇?任何,Jfl双陵略方向相关的结论?符合10.2持续改进公司是否通过多种途径,持续改进ISNS
9、的盯效性捋,包括I1)使用似息安全方针:2)使用安全目标I3)使用甲桢结蹙:符合1)使用监视事件的分析I5)使用纠正法施与预防措施:6使M管理评审.10.3不符合及纠正指地是否方一个确保采取拓施,消除不符合ISMSfJ求的Ki囚的过程?当不符介情况发生时是否侬据刎定的措施进行及时纠正?纠正完成后纠正效果是否经过验证有效?是否形成相应的记求?符合A.5.1信息安全策略总短理是否确保制定与公司目标一致的清晰的怡且安全方针,并乩通过在拉次内发布和俄护信息安全方的来表明对信总安全的支持和承诺.信M安全方计在信县安全哲理M3中描述.(侪思及金筏支卅?由她经理批准发布?符合A.5.2仿&安全的角色和员任信
10、忠安全活动足否由不同部门并R叁相关角色和工作职舟的代混进行办调?符合A.5.3职员分离公司是否第炬的确定所有的信息安全肌或.以,W管理并授权信息安全管理七代衣,全面负而信息安全管理体系的建立、实的与保持工作?对每项申要费产指定伯息安仝费任人符合A5.4管理出由任管理者隹否要求雇员.承包方人员和第三方人员,按胧谟扭融已建立的方针和程序负起安全责任?班织的所在麻员.G8当时,也要包括承包方人员和第三方人员).是否受刎,其工作职能相关的适当的意识培训和方好或略以及规程的定用更新培训;对干安全违规的展公,是杏川个正式的纪冲处理过K1符合A5.2S怡电安全小件的评佑和决策是否要求怡息系雉和收务的所有员工
11、、分同方和第:方用户都滞察报告他们观察到的或杯胡的条缭段耿务中的任何安全弱点?是否对信忠安全在布进忏评估,以决定他们足否被仃亮为信息安全事件?符介A5.26应时信且安全国故信强安全事故发生时.是否枳报采取应对指诙?所;R双指能应对信息安全4件无收时是否及时进行调整?是否建立有效制度应Wfft以安个M故?符合A5.27从信总安全事故中吸取枚训而丁俗用安全事件是否按照已建立的职费和规程,快速、有效、有序的响应?时于己处理的信息安全第枚是否飙蛔人员对W枚的原囚进行分析并制定防止再次发运的设定?t否财估息安仝小件处理过程进行回想分析.并优化处理过程?符合A5.35信息安全独立审是否IW定价把安全独立审
12、有相关,以阿便信息安全审过职能部门不受相关利益力因米干扰?符合A5.36悟息安全策略、规则和标准的遵从性是否定期率或是否符合阻织的倡用安全策略、专虺策略、规则和标准?符合信息安全管理体系内审检查表i:JAISNSf6/2爻审核部门申被员XXX申林日期20XX.4.1审核法则180/1氏27。01:2022.体系文件、适用法律法娓中根东款检查内容检在结果5.3组织ff角色.职浙卬权限公司内各职位职贵是否明确?权限分源,沟通和理解必否适宜?&职资何关系是否明确?是否句欲布令和按钮令?符合6.2信息安全目标和实现就划标合管理St信息安全目标是否ID包括伯恩安全的目标框架、值息安全工作的总方向和原则:
13、2)等也财务要求法律法观的要求和合同要求I3)与殂投开发与维护I海的被略性风险管理.站台一起或保持一致:1)建立风嗓评价准则I5)获得管理者批於.在对这个要求的符合性审核时,要跑保组期的ISMS力景病足上述5个要求.还要注意到IS5力计与伯划安全方针的关廉.符合7.2能力是否对从小影响信息安全管现活动的部门、层次、岗位人员进行了识别.对卷类人员所需的教育、培训、技低和经验提出了代求?针对鬻求心否提出了培训计脑(包括特殊:种、工作人员)或果取其他推施并也加实施?通过何种方式Iu勿培训确保员工意识到所从事活动的相关性和有要性,并为实现信息安全HFMl标懵出贡就?是否适当地保存/.培训.技能、经验的
14、记录?我培训需求是否合理?是否按计磔实施?通过充机关记MIft证计划完成饰况,抽代相关培训WifIfridSi.。依效有关的人员和与合规性仃关的人员的能力娈求“照咤?徒力安求描述中行无对人员甘当的教育、培训或捏为要求.确保员工能蜉胜任?有无相应挤施荻得所芾健h.如何评价描施仃效性?存无相应的记录证明人员能力?符合7.3SUl1、公司员工及各相关方是否知眺公司信息安全方针、信息安全目标2、公司员工及各相关方是否明册“1接受产片和不合格”产拈和腹势的如识和理解.以及当产丛和服务不流足视惹时.谈如何去做.3、公司是否侪息安全体后有相关沟通过印.现场双察员工是否知晓诉理体系方针和U标?员工是否知晓共对
15、行理体廉的贡献?员工是否知晓不符合音理体系娶求的后果?符合7.沟通M高管理者应也保在加恨内建立适当的沟通过程,并a保时版(环境/肌业ft!战安全体条的仃效性进行沟通,各职能层次间的沟遹是窗何开照的?对伯息沟通的职费利方法以及对里人里件、何区的沟西是如何开展的?2)是否使用了恰当的沟通形式?开展的情况.信息是有理疗效的利用?3)沟通的内容是否能促进州织质履活动伊剧和旗fit/环嵯/职业电城安仝体系过程及其仃效性?如何狗划内外部沟通的过程?有哪些记录来证明?外部伯息交流的内容?正IM的?负面的(如投诉)?是否及时比出徜晰到复?是杏涉及绩效的改进?符合7.5形成攵件的信息7S1总则公司是否按标准要来和按公司情况形成侦Ift髀理体系文件佑息?并保持和保用这些攵件信息?加何进行文件的分发、存储、更新、保锢和处世等?如何识别外部文件,文件是如何保灶
免费区 