ISO27001-2013内审检查表和内审计划
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO 27001内审检查表
- 抽查被审核对象岗位职责涉及到的日常信息安全记录的输出情况?
- 现场调阅信息安全相应管理文件,查看具体要求的符合性情况?
访谈和体系文件、记录文件
良好
3
A.6.1.1 信息安全的角色和职责
A.6.1.2 责任分割
a) 访谈:
- 是否了解公司的信息安全管理组织?
- 了解日常工作中哪些操作需要进行(信息安全)授权、审批?初步判定其合理性?
A.8.1.4 资产的归还
A.8.2.1 信息的分类
A.8.2.2 信息的标记
A.8.2.3 资产的处理
a) 访谈:
- 是否有梳理部门/个人职责范围内的各类信息资产?
- 调研对信息资产分类、重要性评价的理解情况?
b) 抽查
- 查看部门信息资产清单及重要信息资产分布情况?
- 根据重要信息资产找到对应的责任人,查看重要信息资产保护力度是否足?是否安全使用?
a) 访谈:近 3-6 个月内的新员工
- 是否有签订保密协议?(可结合通过人力资源管理岗位调取的清单)
- 是否有参加信息安全相关的培训?培训了哪些内容?
访谈和体系文件、记录文件
良好
A.7.3.1 任用终止或变化的责任
a) 访谈:(人力资源管理)
- 员工转岗过程中是否有做资产、权限交割控制?
- 员工离职是否有进行资产、权限回收控制?
b) 抽查
- 调取近一年内的转岗员工清单?
- 抽查转岗员工的转岗流转记录?特别关注:岗位权限变更时,产生的权限变更记录。
- 调取近一年内的离职员工清单?
- 抽查离职员工的离职记录?特别关注:资产、权限的回收记录。
访谈和体系文件、记录文件
良好
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
2020年ISO27001-2013信息安全管理体系内审资料
2020年ISO27001-2013信息安全管理体系内审资料原创作者:李柏伦翻版盗卖者必追究责任目录1.信息安全内部审核报告2.内部信息安全管理体系审核方案3.内部信息安全审核计划4.首末次会议记录5.内部信息安全审核检查表6.内部审核记录表(现场)7.内部审核记录表(文件)8.内部审核不符合项报告原创作者:李柏伦翻版盗卖者必追究责ISO27001:2013信息安全管理体系内部审核报告审核目的:检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。
审核依据:ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。
审核范围:ISO27001:2013手册所要求的相关活动及部门。
审核时间:2020年1月6日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求,编制了内审计划及实施计划并按计划进行了实施。
审核小组由4人组成,各分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。
审核组在各部门配合下,按审核计划,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。
审核组审核了包括管理层、各有关职能部等4个职能部门。
审核员发现的不合格项已向受审部门有关人员指明,并由他们确认,审核员还就不合格项与受审部门商讨了纠正措施和方法。
本次审核共提出不符合报告共4份,其中行政部3项,研发部1项。
所涉及的条款详见《内审不符合项(NC)报告》2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行其承诺,管理职责明确,重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。
员工能准确答出公司信息安全方针和目标,体现了全员参与。
但个别职能部门信息安全活动和人员中有责任不到位的情况。
b)建立的信息安全方针和信息安全目标适合于组织的特点,在组织内得到沟通和理解,信息安全目标基本有可测量性;但部分信息安全分目标的适宜性需进一步修改,并应对测算方法作进一步改善;3、审核发现信息安全管理体系文件的建立和实施经现场审核时,其适宜性、充分性和有效性基本满足要求;各部门信息安全体系文件基本能适应各自业务的需求。
ISO27001:2013内部审核方案
1总则为保证公司信息安全管理体系持续有效运行,按照ISO/IEC 27001:2005《信息安全管理体系要求》的要求,依据本公司《信息安全管理手册》及《内部审核管理程序》的规定,制定本《内部审核方案》。
2审核范围2-1本公司信息安全管理体系覆盖的软件开发及外包所需的重要信息系统和服务系统;与所述信息系统有关的活动;与所述信息系统有关的部门和所有正式员工;所述活动、系统及支持性系统包含的全部信息资产。
2-2 组织信息安全管理体系的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)3审核准则3-1 ISO/IEC 27001:2005《信息安全管理体系要求》;3-2 本公司信息安全管理手册、信息安全方针、信息安全目标及程序;3-3 相关的法律法规及其它要求;4 资源4-1 公司的管理体系内审员-共2名,具备一定的专业知识和信息安全管理体系内审工作能力。
4-2信息安全管理小组组长,经过总经理任命授权,直接领导并主持公司信息安全管理体系的内审工作。
5 内部审核的管理活动首信息安全管理小组组长主持内审工作,公司信息安全内审委员会负责内审的具体事务和资料管理。
公司内审活动包括:5-1 组织内审员学习法规、标准、规范、和体系文件;5-2 制定公司内审计划;5-3 组织内审员做好内审前的准备工作(了解背景资料,写出检查大纲,准备记录表格等);5-4 内审实施过程(按照内审计划执行);5-5 内审结果-纠正措施的跟踪与验证;5-6 内审资料的汇总及归档;5-7 将内审报告输入管理评审。
6 内审的时间安排6-1 两次内审之间隔期不得超过12个月;6-2 每年至少进行一次内审;当遇到下列情况时,可以增加内审的次数:一,公司内外情况发生重大变化时;二,局部薄弱环节;三,对于外审的准备。
6-3 每一次内审活动,必须查看相关的现场;当遇到特殊情况时,可以间隔式地安排内审日程。
7 内审方案的评审与更新7-1 内审方案须经评审、批准后,方可实施;7-2 当公司内外环境、采用的管理标准发生变化时,对审核方案须进行更新。
ISO27001信息安全管理体系内审全套资料
ISO 27001-2013信息安全管理体系内审全套资料(含内审计划、内审检查表、内审报告)东莞市XXXX有限公司2017年度内部审核计划编号:ISMS-4030序号:20170103-1审核目的:验证公司内部信息安全管理体系是否符合要求,为保证质量体系有效运行及不断得到完善提供依据。
审核范围:所有与信息安全管理有关的人员、部门和岗位。
审核依据:ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动说明:1.审核可以按ISO27001-2013标准集中审核,也可以按部门分月份进行审核,但必须覆盖全部信息安全职责部门和岗位,必须符合ISO27001-2013标准.2.计划在某月份被审核的部门,由内审计划编制者在表内对应处作上“√”的符号,表示该部门在某月将被审核。
编制:XXX 审核:批准:日期:2017-1-4 日期:2017-1-4 日期:2017-1-4受审核部门:陪同人员:审核员:审核日期:信息安全管理体系内部审核检查表东莞XXXX有限公司2017年信息安全内审结论报告编号:ISMS-4034状态:受控编制人:日期:审批人:日期:➢审核目的检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。
➢审核依据ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。
➢审核范围ISO27001:2013手册所要求的相关活动及部门。
➢审核时间2017年12月20日~ 2017年12月22日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求,编制了内审计划及实施计划并按计划进行了实施。
审核小组由2人组成,各分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。
审核组在各部门配合下,按审核计划,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001-2013内审检查表范例
纪律处理过程 任用的终止或变化 任用终止或变化的责任 资产管理 对资产负责 资产清单 资产责任人 资产的允许使用 信息分类 信息的分类 信息的标记 资产的处理 资产的归还 介质处理 可移动介质的管理 介质的处置 物理介质传输 访问控制 访问控制的业务要求 访问控制策略 网络服务的使用政策 用户访问管理 用户注册和注销
检查组织是否制定了奖惩规则; 获取当年奖惩记录 获取当年离职离岗或转岗人员清单; 随机抽样四份离职或转岗记录,检查所有控制环节是否都被有效实施;
抽样
抽样Leabharlann 获取组织的信息资产清单; 检查信息资产清单是否每年都进行更新; 检查资产清单中各类信息资产是否都指定了责任人; 抽样5份重要的信息资产,验证已定义的信息资产责任人是否与实际相符; 了解组织重要系统或数据是否定义了访问规则;检查系统及数据访问的审批或授权 记录。 检查信息资产相关制度,组织是否已定义了资产分类分级的标准; 检查信息资产清单,各类信息资产是否依照规则进行了分类和分级; 随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级 检查信息资产相关制度,制度中是否已明确制定了资产的处理措施; 随机抽取本年度4份离职单,查看物品归还情况 现场观察移动存储使用和管控与制度是否相符 ; 检查是否建立介质消磁管理办法,并按要求定期进行回顾与更新; 抽查4份介质报废的审批及处置记录 存有重要信息的介质传送时有哪些策略 抽样策略的实施情况
现场观察 现场观察
随机抽样4名新入职员工的入职材料,检查员工入职前,背景调查的相关记录. 检查这4名新入职员工的劳动合同及是否签署了保密协议。 随机抽样5名员工,检查是否了解其工作职责。 获取组织年度的培训计划; 检查年度培训计划中是否包含了信息安全意识培训; 获取当年度信息安全培训的签到表、培训记录
ISOIEC27002013信息安全管理体系内部审核检查表
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责?以及对 自己信息安全职责的明确程度?信息安全职责的分配是否 与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或 负责人
现场观察
检查内容详见A5-A18
9
绩效评价
9.1监视、测量、分析和评 价
检查组织是否有体系有效性测量流程
现场观察
9.2内部审核
检查组织是否建立了内审流程
现场观察
检查最新的内审活动,是否包含检查清单、检查过程是否有 效,对不符项的关闭情况
9.3管理评审
检查公司的管评计划
检查公司最新的管评活动记录
10
改进
10.1不符合和纠正措施
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目 标与公司的业务是否相关。
现场Байду номын сангаас察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对 信息安全方针的达成情况进行了评审。
A.6
5.2方针
是否有文件化的管理方针
现场观察
5.3
5.3组织角色、职责和权限
是否建立了的信息安全管理组织,并明确其职责及权限
访谈
6
规划
6.1
6.1应对风险和机会的措施
6.1.1总则
检查组织是否建立正式的风险评估流程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.2/8.3/A6.1.1/A6.1.5/A6.2.2/A9.1.1-A9.2.6/A9.3.1-A9.4.5/A10.1.1/A10.1.2/A11.1.1-A13.2.3/A14.1.1/A14.2.1-14.2.6/14.2.8-14.3.1/A16.1.1-A18.2.3/
第一组
5月16日11:00-12:00
审核范围
本公司信息安全管理体系覆盖的所有部门和活动。
审核依据
GB/T22080-2016 idt ISO27001:2013标准;相关的法律法规;信息安全管理体系文件。
审核时间
2020年5月15日-16日
审核组
第一组:王群燕第二组:李惠
审核方式
随机抽样调查
时间
部门
及活动
过程及涉及条款
审核员
5月15日9:10-9:30
信息安全管理体系ISO27001:2013内审实施计划AXBJLXZ25
审核目的
评价公司信息安全管理体系是否符GB/T22080-2016 idt ISO27001:2013标准、相关法律法规、信息安全管理体系要求;2、检查本公司质量管理体系的适宜性、充分性和有效性3、寻找质量管理体系改进的机会,为第三方认证审核做好准备。
财务部
8.2/8.3
第二组
5月16日8:00-11:0
人力资源部
ISMS体系建立/实施/监视
资产识别与责任、风险评估与处置、残余风险、内审、管评、文控、人事管理、安全区域管理、网络管理、安全事件、纠正预防与改进、内外部相关方、法律法规适宜性。
7/8/9/10 A6/A7/A8
第二组
5月16日13:10-16:30
商务部
8.2/8.3/A15
第一组
5月16日
16:31-16:00
组内沟通
全体
5月16日
16:10-17:20
补充审核、末次会议﹝公司中高层管理人员和审核组全体成员参加﹞
全体审核员
注:如有变动以通知时间为准,请各受审核部门配合体系内审工作。
编制/时间:王群燕2020.5.15审核/时间:饶德志2020.5.15批准/时间:饶德波2020.5.15
首次会议﹝公司中高层管理人员和审核组全体成员参加﹞
全体
5月15日9:00-10:00
各部门
察看各部门是否有安全隐患,有无机密信息泄露等现象。
第一组
5月15日10:1/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1.
第一组
5月15日13:00-17:00