《ISO27001:2022版内部审核+管理评审全套资料.docx》由会员分享,可在线阅读,更多相关《ISO27001:2022版内部审核+管理评审全套资料.docx(39页珍藏版)》请在优知文库上搜索。
1、IS027001:2022版信息安全体系内部审核全套最新资料目录一、20XX年度内部审核计划二、内部审核计划三、审核计划表U!内审首末次会议签到表五、内审检查表六、不符合项报告七、内部审核报告XXX有限公司20XX年度内部审核计划审核日期:20XX年6月15日6月16日审核目的:(1)检查本公司信息安全管理体系是否符合ISO27001:2022标准及公司信息安全管理手册和程序文件的要求。(2)检查本公司信息安全管理体系是否得到有效实施和保持。被审核部门:涉及15027001:2022标准的各职能部门。审核依据:1、ISO27001:2022标准;2、本公司的信息安全管理手册和程序文件;3、适用
2、的法律法规和标准。审核方法:采取集中式审核及现场抽查和验证。备注:XXX有限公司内部审核计划1 .审核目的:(1)检查本公司信息安全管理体系是否符合ISO27001:2022标准及公司信息安全管理手册和程序文件的要求。(2)检查本公司信息安全管理体系是否得到有效实施和保持。2 .审核依据:(1) ISO27001:2022标准;(2)本公司的信息安全手册和程序文件;(3)适用的法律法规和标准。3 .审核范围:与信息安全有影响的所有部门和活动。4 .审核时间:20XX年6月15日16日5 .审核组成员:审核组长:.XXX审核员:B.邢XXXC.XXX6 .现场审核期间被审核方有关人员参加下列活动
3、:首、末次会议:最高管理者及管理者代表和审核有关的管理人员参加。审核活动:按审核日程安排,被审核方有关人员在本岗位。7 .审核安排:见附页审核计划。8、备注:编制:XXX日期:20XX/6/14XXX有限公司审核计划日期时间受审部门审核要素主持人6月15日8:008:30首次会议各审核人员及受审部门主管内审组长9:0010:00管理层4.1、4.2、4.3、4.4、5.1、5.2、5.3、6.2、9.1、9.2、9.3、10.1、10.2A5/A6/A7B10:0012:00市场部8.1、8.2、8.391OA11A14:0015:00行政部6.1、7.1、7.2、7.3、7.4、7.58C1
4、5:0016:00综合运营管理部8.1、8.2、8.391OA11B6月16口8:3010:30数据中心8.1、8.2、8.3、9.1、9.2、9.3、10.k10.2A8A9A1OA11A12/A13A14A15/A16/A17/A18A10:3012:00风控中心8.18,2、8.3A9/A10/A11C14:0015:00财务部8.1、8.2、8.3A9/A10/AUC15:0016:00末次会议各审核人员及受审部门主管内审组长制表:XXX审批:XXX日期:20XX年6月14日XXX有限公司内部审核报告审核时间:202X年6月1516日审核目的:1、检查本公司信息安全管理体系是否符合IS
5、o27001:2022标准以及公司信息安全管理手册和程序文件及相关法律法规标准的要求。2、检查本公司信息安全管理体系是否得到有效实施和保持。审核依据:1、ISO27001:2022标准;2、本公司的信息安全管理手册和程序文件;3、适用的法律法规和标准。审核组成员:审核组长:XXX组审核员:XXX、XXX审核范围:涉及ISO27001:2022体系的各职能部门。审核经过及结果:本次信息安全管理体系内部审核是本公司建立并实施ISO27001信息安全管理体系后的第一次全面的审核。使用了两天时间,对体系文件涉及的各个部门进行了审核检查,仔细检查各部门体系文件的执行情况。在审核过程中各部门负责人认真重视
6、,积极配合,使得内审工作顺利进行。内审员在审核前编制了详细的审核检查表,在审核过程中通过查、看、问的手段,收集记录了体系运行符合与不符合的证据,开出了1项不符项,为一般不符合项。具体内容参见不符合项报告。1、对体系文件的评价:(1)体系文件基本上符合IS02700L2022标准及国家法律法规的要求。(2)整套体系文件较好地适应本公司实际,且与质量管理体系进行了一定的整合。2、对体系运作的评价:(1)公司领导都具有较高的信息安全意识,工作思路清晰。中层领导普遍对本公司实施IS027001:2022标准有正确的认识态度,但主管以下员工对体系文件的熟悉程度还有待提高。(2)信息安全方针得到大力宣传和
7、贯彻,信息安全相关观念已逐步深入人心。本公司多项信息安全目标基本达到。(3)体系自试运行以来,在战略发展部的组织下对各部门相关人员进行了文件培训I,对体系推行起到积极作用。在公司领导的重视和各部门配合下,顺利完成了本次内部审核,找出了不足,提出了纠正改善措施,为体系有效实施打下了良好的基础。(4)体系符合性评价从各部门的查核情况来看,还有这些存在着这些问题:a、办公电脑的安全使用方面应加强;b、对相关记录填写的完整性应加强。(5)体系有效性评价员工的信息安全意识较以往有提高,按要求办事的自觉性有较大的提高,这些方面都反映出体系的实施较为有效,但尚存在以下问题和需进一步改进的内容:c、员工培训应
8、继续加强,特别是有效性;d、文件执行的力度方面应加强落实(各部门要加强文件的培训工作)。审核结论:从本次内审来看我司的信息安全管理体系较为有效,但仍须进一步完善提高,真正提升公司的信息安全管理水平。纠正措施:对于审核中发现的不合格项,由管理者代表组织确认责任部门,各部门应“举一反三”地实施系统性的纠正措施,以消除不合格,并且应识别潜在的不合格,采取必要的预防措施。审核员对各部门的纠正情况进行跟踪验证,对于确有困难的,应完成编制纠正措施计划,报管理者代表审批。记录整理及报告:由综合部负责对内审相关资料的整理、归档并上报管理者代表,由管理者代表对资料进行审查,上报管理评审。附件:1、202X年度内
9、部审核计划2、内部审核计划3、内审检查表4内部审核不符合报告备注:编制/日期:XX202X年6月16日审批/日期:XXXXX有限公司内部审核不符合报告受审核部门综合运营管理出访m部审核员XXX陪同员XXX审核项目内审检查审核日期20XX.6.15发出日期20XX.6.16验证日期20XX/6/17不合格项描述1、现场抽查发现综合运营管理部HC-PC-04电脑未张贴信息资产标签。不合格项结论1不符合公司A.8.2.2信息标记要求不合格项性质口严重J一般不合格项确认与承诺以上事实。确认/承诺人:XXX日期:20XX.6.16原因分析1、相关人员疏忽,未及时张贴资产标签。纠正/预防措施与完成期限1、
10、立即张贴资产标签。2、检查其他信息资产是否有类似情况,如果发生,则立即改正。负责人:XXX日期:20XX.6.17纠正/预防措施验证情况已经按照要求进行整改。验证人:XXX日期:20XX.6.17审核日期:20XX.6.15姓名部门职务签到行政部经理市场部经理综合运营管理部经理财务部经理风控中心经理数据中心经理总经理总经理审核日期:20XX.6.16姓名部门职务签到行政部经理市场部经理综合运营管理部经理财务部经理风控中心经理数据中心经理总经理总经理XXX有限公司内部审核检查表条款部门结果NG(不符合项)整改期限备注综合管理部市场部行政部管理层检查内容方法检查内容不符合项描述I.I理解组织及其环
11、境NAXAXAYES4.2理解相关方的需求和期望NAXAXAYES询问经理实施运行ISMS的情况局域网的控制,外部上网的控制,内外网分离,抽查资产识别的情况:识别了本部门资产的情况,编制了信息资产登记表,并分析了重要度编制了风险评估表作废资料的粉碎处理签订有保密协议档案有专人管理,并登记资料的交接借阅归档情况,有灭火器防病毒软件每天升级病毒包报送信息有流程的规定,财务的信息披露由总经理批准,盖章的文件必须经过总经理批准信息分离控制,设立不同的岗位,岗位间信息不完全共享文档账本凭证的管理,专人负责,有权限批准才能查阅编制了风险处置计划,并经过批准,目标已经完成,控制措施已全部按计划完成。抽查资产
12、识别的情况:识别了本部门资产的情况,编制了资产清单,并分析了重要度编制了风险评估表签订有保密协议4.3确定信息安全管理体系的范围NANANAYES查信息管理体系的情况确立了信息安全体系范围4.4信息安全管理体系NAXAXANA查保持和改进ISMS的情况每年内审发现的问题采取相应的纠正措施,此次内审结束后,对各部门不符合要进行整改并跟踪整改情况,持续改进。5.1领导和承诺NAXAXAYES询问经理文件总体情况,查记录文件主要包括:手册方针目标范围程序等资产清单、风险评估方法和风险评估报告风险处置计划适用性声明记录若干查上述文件均可以提供,并且经过审批。5.2方针NAXAXANA询问经理文件如何进
13、行控制抽查相关记录确定管理方针:防御信息风险,保证信息业务安全5.3组织角色。职责和权限NAXAXAYES询问经理人员培训1意识和能力的控制情况人员培训主要是对员工进行培训1,每年编制培训计划,实施培训1,对培训效果进行验证各岗位职责、权限明确招聘前培训有文件规定,签订有培训协议,培训合格后签订合同6.1.1(应对风险和机会的措施)总则NAXAXANA询问组长管理承诺的情况根据信息安全标准要求,建立方针,制订了目标建立了相应的组织机构,成立了信息安全管理小组,明确各部门的职责对全员进行了信息安全管理方面的培训1,明确满足信息安全目标方针法律责任和持续改进的重要性确保外来人员不进入办公区和生产区,确保物理区域安全制订信息安全风险控制程序,制订了接受风险的准则和风险可接受的级别6.1.2信息安全风险评估NANANANA查信息安全风险评估情况建立了相应的组织机构,成立了信息安全小组,明确各部门的职责组织了全员进行资产识别与风险评估6.1.3信息安全风险处置NA