ISO27001-2022内审检查表案例IS.doc
XXXXXX科技有限公司
内部审核检查表
文件编号
审核时间
总页数
XXXX-JL-NS05
2023.06.24
共17页
组长A:XX;组员B:XX;组员C:XX
XXXXXX科技有限公司
ISMS管理体系内部审核
条款
部门
检查内容和结果
对应
不符合项
备注
管理层
信息安全小组
采购部/行政人事部
事业部/项目部
行政人事部/财务部
检查内容
结果
4.1
理解组织及其环境
★
○
○
○
○
公司已识别和确定了内部和外部环境
YES
4.2
理解相关方的需求和期望
★
○
○
○
○
识别了相关方的需求和期望,与相关方签订有合同或协议,根据合同或协议要求开展业务活动。签订有保密协议。
YES
4.3
确定信息安全管理体系的范围
★
○
○
○
○
范围和边界的确定:已经根据公司的特点,组织机构位置、资产和技术,确定了范围、边界、方针、目标
ISMS范围:资质范围内的人力资源服务(人力资源外包服务、人力资源招聘服务、人力资源管理软件、人力资源测评服务、人力资源管理咨询服务、劳务派遣服务、档案管理服务、教育咨询服务)、物业管理服务
YES
4.4
信息安全管理体系
★
○
○
○
○
公司对内审中发现的问题制定纠正措施,对不符合要求进行整改并跟踪整改情况,实现持续改进。
YES
5.1
领导和承诺
★
○
○
○
○
建立了相应的组织机构,成立了信息安全小组,明确各部门的职责。
建立了信息安全策略和信息安全目标,与公司战略方向一致。
已经将ISMS整合到业务过程中,提供了ISMS运行所需的资源,进行了有效的沟通,经查询,相关人员知晓其管理角色,并获得公司管理层的指导和支持。
YES
5.2
方针
★
○
○
○
○
制定信息安全方针:全员参与、控制风险、持续改进、客户信赖
YES
5.3
组织角色。职责和权限
★
★
★
★
★
规定了信息安全岗位和职责及权限,包括总经理、管理者代表、信息安全小组、公司员工的安全职责。通过组织培训,对培训效果进行验证各岗位职责、权限明确招聘前培训有文件规定,签订有培训协议,培训合格后签订合同
YES
6.1.1
(应对风险和机会的措施)总则
★
★
○
○
○
考虑了内部和外部环境因素、相关方需求和期望,确定了需要应对的风险和机遇。
编制《风险评估控制程序》,制定了接受风险的准则。
规划了应对风险和机会的控制措施,并进行了评价,确保ISMS可达到预期结果。
YES
6.1.2
信息安全风险评估
○
★
○
○
○
定义了风险评估过程,编制有《风险评估控制程序》,其中包括风险接受准则、风险评估实施准则,识别了业务过程中信息安全风险和风险责任人,进行了风险分析,确定了风险级别,讽刺处置的优先级。
YES
6.1.3
信息安全风险处置
○
★
○
○
○
定义了风险处置过程,编制有《风险处置控制程序》
编制了《风险处置计划》,确定了风险处置的控制措施,残余风险接受得到了批准。
编制有《适用性声明》,包含必要的控制及其选择的合理性说明,对附录A中删减A.8.30条款合理性进行了说明。
YES
6.2
信息安全目标和规划实现
★
★
★
★
★
公司确定信息安全方针:全员参与、控制风险、持续改进、客户信赖
信息安全目标:
重大信息安全事件(事故)为零。
客户信息数据泄露的事件数量为零次/年;
信息安全不可接受风险处置率100%;;
信息安全目标与方针保持一致,可测量,考虑了适用的信息安全要求以及风险评估和处置的结果,在公司内部得到有效的沟通,认为方针和目标是符合公司实际情况,有效,目前没有必要进行更新。
公司组织对信息安全方针、目标进行了宣贯培训,明确了如何达到信息安全目标要做什么、由谁负责、什么时候完成、如何评价结果,所需要的资源等。
公司定期对目标进行考核,提供有《各部门分解目标及完成情况》等相关记录。
YES
6.3
变更的策划
★
★
○
○
○
公司已制定《变更控制程序》,程序规定当管理体系发生变更时,要进行变更策划、审批、实施、验证进行体系变更。
7.1
(支持)资源
★
○
○
○
○
公司租用办公场所,提供有服务器、台式机、笔记本、打印机、一体机、扫描仪、网络设备、通讯设备、服务电话等设备,内部建有局域网、租用电信光纤访问互联网,公司各类管理人员、开发人员、业务人员、服务人员等基本上可以满足ISMS运行需要。
YES
7.2
能力
○
○
○
○
★
编制有《培训计划》,实施培训,对培训效果进行评价
2023年进行了员工培训、标准和体系文件培训、业务知识专业培训等,提供有《培训记录》。
对人员进行培训,保存有培训记录,签订有《保密协议》
YES
7.3
意识
○
○