ISO27001及ISO0最新内部审核全套资料Word文档下载推荐.docx
《ISO27001及ISO0最新内部审核全套资料Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ISO27001及ISO0最新内部审核全套资料Word文档下载推荐.docx(67页珍藏版)》请在冰点文库上搜索。
审核范围
本公司《信息安全&
信息技术服务管理》体系覆盖的所有部门和活动。
审核依据
18027001:
2013《信息技术-安全技术-信息安全管理体系要求》18020000-1:
2018«
信息技术-服务管理体系-要求》:
相关的法律法规;
信息安全管理体系文件。
审核时间
2019年12月10日-11日
审核组
组长:
谢XX组员:
王XX
审核方式
随机抽样调查
时间
部门及活动
过程及涉及条款
审核员
12月10日
9:
10-9:
30
首次会议(公司中高层管理人员和审核组全体成员参加)
全体
12月10日9:
00-10:
00
各部门
察看各部门是否有安全隐患,有无机密信息泄露等现象。
10:
10-12:
管理层
ISMS41/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.
ITSMS:
4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2
13:
00-17:
技术部
ISMS:
8.2/8.3/A6.1-1/A8.1・1/A8.L2/A9.2.5/A943/A11-1-1/A11・L2/A1L2.9/A12.3.1/A1244/A12.6.2/A1
6.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4
53/8.2/8.5/8.7/8.6/9.4
10-17:
综合部
7/8/9/10A6/A7/A8A/AU/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/Al1.1.1/A11.1.2/
A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4
7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2
12月11S
00-12:
市场部
8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/All.Ll/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/Al
8.2/8.3/8.4/10.1/10.2
12月11日
31-15:
组内沟通
15:
补充审核、末次会议(公司中高层管理人员和审核组全体成员参加)
全体审核员
注:
如有变动以通知时间为准,请各受审核部门配合体系内审工作。
编制/时间:
谢XX2019.12.4审核/时间:
韩XX2019.12.4批准/时间:
贺XX2019.12.4
审核通知书
编号:
NS-JL-03
审核的目的:
评价公司的《信息安全&
信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门,运行是否有效。
审核准则:
ISO27001:
2013标准/ISO20000-1:
2018S标准;
信息技术服务管理手册》和相关法律法规等。
审核日期
2019年12月10日——2019年12月11日
受审核部门
管理层、综合部、市场部、技术部审核组
审核组长:
组员:
沟通议题
内部审核首次会议
会议时间
2019-12-10
主持人
记录人
参加人员:
各部门负责人或代表。
沟通内容:
1.开展内部审核的意义。
2.安排内部审核情况。
3.安排人员进行残余风险的评估。
4.外审问题点核查。
会议签到
到会成员
部门'
职务
签到
总经理
副总经理'
管代
部门经理
客户经理
研发工程师
测试工程师
实施工程师
行政人事
会计
内部审核末次会议
2019-12-11
谢XXX
王XXX
各部门负责人或代表
1.对内审的结果进行分析,总结内审中的优缺点。
2.内审中发现的问题做评价,分析产生的原因和对此进行的纠正措施。
3,落实纠正措施的实施。
4.总结内审的意义和经验为以后的不断改进打好基础。
内审检查表
被审核部门
管理层审核成员
谢XX
审核日期2019/12/10
审核主题
4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.
4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/10.1/10.2
陪同人员
贺XX
核查
核查事项
核查记录
符合项
观察项
不符合项
要素/条款
4.1
理解组织及其环境
现在客户越来越重视本单位的信息安全,要求服务提供商具备一定的信息安全管理水平;
目前信息安全威胁不断增加,本组织的核心资产也要进行安全防护,保证核心资产的安全性、保密性、可用性。
√
4.2
理解相关方的需求和期望
公司客户对服务提供商的信息安全提出了更高的要求,在公司给客户提供服务的过程中,客户要求保证公司接触到的客户的信息资产的安全。
在服务合同中都有相关安全条款。
4.3
确定信息安全管理体系范围
确定了信息安全的组织、业务、物理范围。
a)本公司提供IT服务的物理范围为本公司的办公场所;
服务交付地点为公司顾客的办公区域。
b)客户主要为:
公司计算机软硬件及信息系统的应用组织;
C)主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。
4.4
信息安全管理体系
按ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。
包含了4级文件:
手册、程序文件、管理制度、记录。
5.1
领导力和承诺
领导层制定了信息安全方针、目标和计划;
建立信息安全的角色和职责;
向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
提供充分的资源,以建立、实施、运作、监视、评审、保持并改进,决定接受风险的准则和风险的可接受等级;
5.2
方针
信息安全管理方针为:
数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满尽、o
5.3
组织的角色,职责和权限
组织制定了《信息安全职责划分与标准条款对照表》,明确了每个部门角色的职责
6.1
应对风险和机会的措施
进行了信息安全风险评估,并针对高优先级的风险制定了处置计划。
6.2
目标和实现规划
公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件
审核日期2019/2/10
贺XXX
核查要素/条款
9.3
ISMS管理评审
为确保与《信息安全&
信息技术服务》管理计划的一致性,公司将服务评审定于与每年的《信息安全&
信息技术服务》管理体系管理评审同时进行。
有《管理评审控制程序》,管理评审计划、管理评审报告等记录
A5.1.1
信息安全方针文件
信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。
A5.1.2
信息安全方针评审
已计划了在管理评审时评审信息安全方针,以确保其持续适宜性、充分性和有效性。
10.1
不符合和纠正措施
为了不断提高《信息安全&
信息技术服务》管理体系的适用性、有效性和充分性,在实现IT服务管理方针和目标的活动过程中,坚持对IT服务管理体系各个流程的持续改进。
为此本公司建立了《纠正预防措施管理程序》,采取纠正和预防措施,分析并消除不不符合项产生的原因,防止不符合的再发生,包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责O
10.2
持续改进
组织建立了持续改进机制。
定期识别需改进的地方。
综合部审核成员
廖XXX
审核日期2019/12/11
7/8/9/10
A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1.
2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4
张XXX
A6.1.5
项目管理中的信息安全
所有类型的项目,在项目的策划和执行过程中都考虑了信息安全因素。
抽查了一个项目,满足要求
O
A.6.2.1
移动设备策略
公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。
A.6.2.2
远程工作
目前尚无远程工作的情况。
A.6.1.3
信息安全职责的分配
公司在《信息安全管理手册》附录:
信息安全管理职责明细表里明确了信息安全职责。
公司设立信息安全管理者代表,全面负责ISMS的建立、实施与保持工作。
A.9.1.1
访问控制策略
公司在《用户访问管理程序》中建立了访问控制策略。
本公司内部可公开的信息,允许所有服务用户访问。
本公司内部部分公开的信息,经访问授权部门认可,访问授权实施部门实施后用户可访问》用户不得访问或尝试访问XX的网络、系统、文件和服务。
各系统访问授权部门应编制《系统用户访问权限说明书》,明确规定访问规则,对几人共用的账号应明确责任人。
A.9.1.2
使用网络服务的策略
公司在《用户访问管理程序》中建立了网络服务安全策略,以确保网络服务安全与服务质量。
A.9.2.1
用户注册
有《用户授权申请表》,符合要求。
A.9.2.2
用户访问提供
访问系统的用户具设置了用户名和口令。
A.9.2.3
特殊权限管理
对各系统的系统管理员均进行了授权,有授权申请和批准的记录。
A.9.2.4
用户安全鉴别信息的管理
系统管理员按照《用户访问管理程序》对被授权访问该系统的用户口令进行分配。
A.9.2.5
用户访问权的复查
有用户访问权审查记录,每个月审查一次。
廖XX
A.9.2.6
撤销或调整访问权限
《相关方信息安全管理程序》、《用户访问管理程序》规定了解除、变化调整访问权限的内容。
当前王昌T离职-
A.9.3.1
安全鉴别信息的使用
公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求,所有用户应严格遵守。
实施口令定期变更策略(一般用户每半年,特权用户口令每季度)。
A.9.4.1
信息访问限制
《用户访问管理程序》规定本公司内部可公开的信息不作特别限定,允许所有用户访问。
本公司内部部分公开信息,经访问授权部门认可,访问授权实施部门实施后用户方可访问。
A.9.4.2
安全登录规程
《用户访问管理程序》规定用户不得访问或尝试访问XX的网络、系统、文件和服务。
A.9.4.3
口令管理系统
所有计算机用户在使用口令时应遵循以下原则:
所有活动帐号都必须有口令保护,所有系统初始默认口令必须更改,用户定期变更口令等。
A.9.4.4
特权使用程序的使用
《用户访问管理程序》规定了对实用系统的访问控制,有系统实用工具清单。
A.9.4.5
对程序源代码的访问控制
《用户访问管理程序》规定不允许任何人以任何方式访问程序源代码。
A.10.1.1
使用密码控制的策略
使用密码控制措施来保护信息,使用密码时,应基于风险评估,确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,并符合《信息安全合规性管理程序》的要求。
各电子数据文件的形成部门应识别重要数据的加密要求,对需要加密的信息,制定加密方案,经公司总经理批准后严
A.10.1.2
密钥管理
目前尚未发生使用密钥管理的情况
A.12.1.1
文件化的操作规程
公司按照信息安全方针的要求,建立并实施文件化的作业程序,见《信息安全管理体系文件一览表》(《信息安全管理手册》附件)文件化的作业程序的控制执行《文件管理程序》。
A.12.1.2
变更管理
在变更实施前,由研发部填写《变更申请表》,明确变更的原因、变更范围、变更影响的分析及对策(包括不成功变更的恢爰措施),研发部负责人批准后予以实施。
目前尚无变更发生。
A.12.1.3
容量管理
有《容量管理规划》,对服务器存储容量和网络带宽进行了容量规划。
A.12.1.4
开发、测试和运行设施的分离
无此业务
A.12.2.1
控制恶意软件
公司各部门员工都安装杀毒软件,并及时升级病毒库。
网管定期进行监督检查。
A.12.3.1
信息备份
公司对重要数据进行了备份。
包括源代码等
A.12.4.1
事件日志
公司建立并保存例外事件或其它安全相关事件的审核日志,以便对将来的调查和访问控制监测提供帮助。
审核日志一般通过使用系统检测工具按照事先的设置自动生成。
A.12.4.2
日志信息的保护
按照《信息系统监控管理程序》,对日志信息进行了保护。
A.12.4.3
管理员和操作员日志
系统管理员和操作员的活动也记入了日志,并规定系统管理员不允许删除或关闭其自身活动的日志
A.12.4.4
时钟同步
经过检查:
公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。
A.12.5.1
运行系统中软件的安全
《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的升级、控制措施。
A.12.6.1
技术脆弱性管理
《技术脆弱性管理程序》规定了对技术脆弱性的管理,目前尚未发现技术脆弱性。
A.12.6.2
软件安装限制
《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制,制定了允许安装的软件清单。
A.13.1.1
网络控制
对防火墙、路由器等进行了安全配置,并定期检查网络设备。
A.13.1.2
网络服务的安全
和网络服务提供商(电信)有签订网络服务协议。
A.13.1.3
网络隔离
编制了《网络拓扑图》,描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。
实现内外网隔离。
A.13.2.1
信息交换策略和程序
制定了信息交换程序,规定:
在使用电子通信设施进行信息交换时,防止交换的信息被截取、备份、修改、误传以及破坏;
保护以附件形式传输的电子信息;
公司互联网的计算机,不得含有涉密的
A.13.2.2
信息交换协议
公司建立了《信息交换管理程序》。
目前尚无需要签署信息交换协议的情况。
A.13.2.3
电子消息发送
公司建立了《信息交换管理程序》包括电子邮件安全使用的策略,并将该策略传达到所有员工予以执行。
A.14.1.1
安全要求分析和说明
A.14.2.1
安全开发策略
《信息系统开发建设管理程序》中规定了软件开发生命周期的安全开发策略。
A.14.2.2
系统变更控制程序
《信息系统开发建设管理程序》中规定了系统变更的控制程序,当前无变更。
A.14.2.3
操作系统变更后应用的技术评审
《信息系统开发建设管理程序》中规定了当操作系统发生更改时,操作系统更改对应用系统的影响应由系统主管部门进行评审,确保对作业或安全措施无不利影响。
目前无操作系统变更。
A.14.2.4
软件包变更的限制
《信息系统开发建设管理程序》中规定了软件包的变更限制策略:
公司不鼓励修改软件包,如果有必要确需进行更改,更改提出部门应在实施前进行风险评估,确定必须的控制措施,保留原始软件,并在完全一样的复制软件上进行更改,更改实施前应得到公司领导的授权。
A.14.2.5
安全系统工程原则
《信息系统开发建设管理程序》中规定了安全系统工程原则:
在平衡信息安全需求和访问需求的基础上,组