文档详情

ISO27001-2022内审检查表案例IS.doc

发布:2025-05-10约1.36万字共14页下载文档
文本预览下载声明

XXXXXX科技有限公司

内部审核检查表

文件编号

审核时间

总页数

XXXX-JL-NS05

2023.06.24

共17页

组长A:XX;组员B:XX;组员C:XX

XXXXXX科技有限公司

ISMS管理体系内部审核

条款

部门

检查内容和结果

对应

不符合项

备注

管理层

信息安全小组

采购部/行政人事部

事业部/项目部

行政人事部/财务部

检查内容

结果

4.1

理解组织及其环境

公司已识别和确定了内部和外部环境

YES

4.2

理解相关方的需求和期望

识别了相关方的需求和期望,与相关方签订有合同或协议,根据合同或协议要求开展业务活动。签订有保密协议。

YES

4.3

确定信息安全管理体系的范围

范围和边界的确定:已经根据公司的特点,组织机构位置、资产和技术,确定了范围、边界、方针、目标

ISMS范围:资质范围内的人力资源服务(人力资源外包服务、人力资源招聘服务、人力资源管理软件、人力资源测评服务、人力资源管理咨询服务、劳务派遣服务、档案管理服务、教育咨询服务)、物业管理服务

YES

4.4

信息安全管理体系

公司对内审中发现的问题制定纠正措施,对不符合要求进行整改并跟踪整改情况,实现持续改进。

YES

5.1

领导和承诺

建立了相应的组织机构,成立了信息安全小组,明确各部门的职责。

建立了信息安全策略和信息安全目标,与公司战略方向一致。

已经将ISMS整合到业务过程中,提供了ISMS运行所需的资源,进行了有效的沟通,经查询,相关人员知晓其管理角色,并获得公司管理层的指导和支持。

YES

5.2

方针

制定信息安全方针:全员参与、控制风险、持续改进、客户信赖

YES

5.3

组织角色。职责和权限

规定了信息安全岗位和职责及权限,包括总经理、管理者代表、信息安全小组、公司员工的安全职责。通过组织培训,对培训效果进行验证各岗位职责、权限明确招聘前培训有文件规定,签订有培训协议,培训合格后签订合同

YES

6.1.1

(应对风险和机会的措施)总则

考虑了内部和外部环境因素、相关方需求和期望,确定了需要应对的风险和机遇。

编制《风险评估控制程序》,制定了接受风险的准则。

规划了应对风险和机会的控制措施,并进行了评价,确保ISMS可达到预期结果。

YES

6.1.2

信息安全风险评估

定义了风险评估过程,编制有《风险评估控制程序》,其中包括风险接受准则、风险评估实施准则,识别了业务过程中信息安全风险和风险责任人,进行了风险分析,确定了风险级别,讽刺处置的优先级。

YES

6.1.3

信息安全风险处置

定义了风险处置过程,编制有《风险处置控制程序》

编制了《风险处置计划》,确定了风险处置的控制措施,残余风险接受得到了批准。

编制有《适用性声明》,包含必要的控制及其选择的合理性说明,对附录A中删减A.8.30条款合理性进行了说明。

YES

6.2

信息安全目标和规划实现

公司确定信息安全方针:全员参与、控制风险、持续改进、客户信赖

信息安全目标:

重大信息安全事件(事故)为零。

客户信息数据泄露的事件数量为零次/年;

信息安全不可接受风险处置率100%;;

信息安全目标与方针保持一致,可测量,考虑了适用的信息安全要求以及风险评估和处置的结果,在公司内部得到有效的沟通,认为方针和目标是符合公司实际情况,有效,目前没有必要进行更新。

公司组织对信息安全方针、目标进行了宣贯培训,明确了如何达到信息安全目标要做什么、由谁负责、什么时候完成、如何评价结果,所需要的资源等。

公司定期对目标进行考核,提供有《各部门分解目标及完成情况》等相关记录。

YES

6.3

变更的策划

公司已制定《变更控制程序》,程序规定当管理体系发生变更时,要进行变更策划、审批、实施、验证进行体系变更。

7.1

(支持)资源

公司租用办公场所,提供有服务器、台式机、笔记本、打印机、一体机、扫描仪、网络设备、通讯设备、服务电话等设备,内部建有局域网、租用电信光纤访问互联网,公司各类管理人员、开发人员、业务人员、服务人员等基本上可以满足ISMS运行需要。

YES

7.2

能力

编制有《培训计划》,实施培训,对培训效果进行评价

2023年进行了员工培训、标准和体系文件培训、业务知识专业培训等,提供有《培训记录》。

对人员进行培训,保存有培训记录,签订有《保密协议》

YES

7.3

意识

显示全部
相似文档