信息安全管理体系审核实践
ISO27000信息安全管理体系审核简介
ISO27000信息安全管理体系审核简介
信息安全是当前各类组织共同关注的话题,如何保障组织的信息安全,在技术手段之上,还可以用什么样的方法来强化安全运营?ISO27001作为信息安全管理体系的国际标准,提供了信息安全管理最佳实践指南。
审核是任何体系成功的关键,对于信息安全管理体系也是一样,体系审核担负着重大的责任并面临着严重的挑战,同时审核也会遇到复杂的问题。
该管理体系审核主要涉及的内容
1.信息安全概述
2.信息及信息安全;CIA目标;信息安全需求来源;信息安全管理
3.风险评估与管理
4.风险管理要素,过程,定量与定性风险评估方法,风险消减
5.ISO27001简介
6.ISO27001标准发展历史、现状和主要内容,ISO27001认证
7.ISO27001内容,PDCA管理模型,ISMS建设方法和过程
8.信息安全管理体系认证。
信息技术信息安全管理体系结合审核
信息技术信息安全管理体系结合审核信息技术信息安全管理体系结合审核一、了解信息技术信息安全管理体系信息技术信息安全管理体系(Information Technology Information Security Management System,以下简称“ISMS”)是企业为了保护信息技术系统和数据安全而建立的一套管理体系。
它包括了一系列组织结构、政策、流程、标准、指南和程序,旨在保护信息技术系统和数据的机密性、完整性和可用性,以及确保对其进行持续的监测、审计和改进。
1. ISMS的概念和原则ISMS的建立是为了确保信息技术系统和数据得到恰当的保护,以防止未经授权的访问、损坏、泄露或破坏。
ISMS包括了一系列的原则,如风险评估、安全政策、组织架构、资源管理、安全控制、监测和改进等。
2. ISMS的优势和重要性ISMS的建立可以帮助企业降低信息技术系统和数据面临的风险,保护企业的品牌声誉和客户信任,促进合规性,并最终提高企业的竞争力和可持续发展能力。
3. ISMS标准国际上,ISMS的标准主要包括ISO/IEC 27001和ISO/IEC 27002两个标准,它们为企业建立、实施和维护ISMS提供了框架和指南。
二、信息技术信息安全管理体系结合审核1. 审核的定义和目的审核是对企业ISMS的有效性和合规性进行评估的过程。
它旨在发现潜在的问题和风险,以及提出改进建议,以确保ISMS得到持续改进和提升。
2. 审核的类型ISMS的审核一般包括内部审核、外部审核和定期审核。
内部审核由企业内部的审核人员进行,外部审核则由独立的第三方机构进行,而定期审核则是对ISMS的定期评估和改进。
3. 审核的流程和方法ISMS的审核流程一般包括准备、实施、报告和跟踪。
审核人员需要了解ISMS的相关文件和记录,进行现场检查和访谈,最终形成审核报告,并跟踪改进的执行情况。
三、个人观点和理解信息技术信息安全管理体系结合审核是企业保护信息技术系统和数据安全的重要环节,通过不断的审核过程,可以及时发现和解决ISMS 中存在的问题和风险,保障企业的信息资产得到充分的保护。
信息安全管理实践ppt课件
什么是信息安全
信息本身的机密性(Confidentiality)、完整性(Integrity) 和可用性(Availability)的保持,即防止防止未经授权使用信 息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
保密性:确保信息没有非授权的泄漏,不 被非授权的个人、组织和计算机程序使用
• 当攻击成本小于攻击可能的获利时,运用保护措施,通过 提高攻击者成本来降低攻击者的攻击动机,如加强访问控 制,限制系统用户的访问对象和行为,降低攻击获利;
• 当风险预期损失较大时,优化系统设计、加强容错容灾以 及运用非技术类保护措施来限制攻击的范围,从而将风险 降低到可接受范围。
2021/6/2
具体的风险控制措施
• 风险转移是指通过使用其它措施来补偿损失 ,从而转移风险,如购买保险等。
2021/6/2
安全风险系统判断过程
2021/6/2
风险控制具体做法
• 当存在系统脆弱性时,减少或修补系统脆弱性,降低脆弱 性被攻击利用的可能性;
• 当系统脆弱性可利用时,运用层次化保护、结构化设计以 及管理控制等手段,防止脆弱性被利用或降低被利用后的 危害程度;
2021/6/2
风险评估
风险评估主要包括风险分析和风险评价
➢风险分析:全面地识别风险来源及类型;
➢风险评价:依据风险标准估算风险水平,确定风险的 严重性。
➢与信息安全风险有关的因素:
➢资产:是指对组织具有价值的信息资源,是安全策略保护 的对象。
➢威胁:主要指可能导致资产或组织受到损害的安全事件的 潜在因素。
关键活动
输入 资源
·信息输入
标准 ·立法
测量
记录 ·摘要
输出
归纳信息安全管理体系内部审核流程
归纳信息安全管理体系内部审核流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!深入解析:信息安全管理体系的内部审核流程信息安全管理体系(ISMS)的内部审核是确保组织信息安全管理有效性的重要环节。
信息安全管理体系审核指南
信息安全管理体系审核指南随着信息技术的不断发展,信息安全问题日益引起人们的关注。
信息安全管理体系(ISMS)是一种全面的、系统的信息安全管理方法,旨在保护组织的信息资产,确保其机密性、完整性和可用性。
ISMS可以帮助组织有效地管理信息安全风险,提高信息安全水平,增强组织的信誉度和可信度。
为了确保ISMS的有效运行,需要进行定期的审核和评估。
本文将介绍ISMS审核的一般流程和注意事项。
一、ISMS审核流程ISMS审核是指对组织的信息安全管理体系进行全面的、系统的评估,以确定其是否符合相关标准和要求。
ISMS审核一般包括以下步骤:1. 审核计划审核计划是ISMS审核的首要步骤,它需要确定审核的范围、目标、时间表、资源需求和审核方法等。
审核计划应该根据组织的实际情况进行制定,确保审核的全面性和可行性。
2. 审核准备审核准备是ISMS审核的重要步骤,它需要对组织的信息安全管理体系进行全面的了解和分析,以便确定审核的重点和方向。
审核准备还包括与被审核方的沟通和协调,以及收集必要的审核证据和材料。
3. 审核实施审核实施是ISMS审核的核心步骤,它需要按照审核计划和审核准备的要求,对组织的信息安全管理体系进行全面的、系统的审核和评估。
审核实施需要采用多种审核方法,包括文件审核、观察、访谈和测试等。
4. 审核报告审核报告是ISMS审核的最终成果,它需要对审核结果进行全面的、客观的记录和归纳。
审核报告应该包括审核的范围、目标、方法、发现的问题和建议的改进措施等内容。
审核报告还需要根据被审核方的要求,进行机密性和保密性的处理。
5. 改进措施改进措施是ISMS审核的最终目的,它需要根据审核报告的结果,确定必要的改进措施和时间表。
改进措施应该针对发现的问题和不足,采取有效的措施和方法进行改进和完善。
改进措施的实施需要进行跟踪和评估,以确保其有效性和可行性。
二、ISMS审核的注意事项ISMS审核是一项复杂的活动,需要注意以下事项:1. 审核人员的选择和培训审核人员是ISMS审核的关键因素,他们需要具备相关的知识、技能和经验。
信息安全管理体系审核标准
信息安全管理体系审核标准一、引言信息安全是当今社会发展的重要课题,各行各业都离不开信息技术和网络。
但是,随着信息化程度的提高,信息安全问题也逐渐凸显出来。
为了更好地保护信息资产和确保信息系统的安全运行,建立和遵循信息安全管理体系是必不可少的。
本文将从信息安全管理体系的建立与审核标准进行探讨。
二、信息安全管理体系建立的目的和原则1. 目的信息安全管理体系的主要目的是确保信息的机密性、完整性和可用性。
通过建立科学合理的体系,保护信息资产的安全,防范和减少信息安全风险,并提高组织对信息安全的管理水平。
2. 原则(1)全员参与:信息安全管理是全员的责任,需要每个员工都参与其中,形成全员参与的工作氛围。
(2)风险导向:有效的管理风险是信息安全管理体系的核心,要对组织内的各种风险进行全面评估和有效控制。
(3)持续改进:信息安全管理体系的建立是一个不断改进的过程,需要不断的监控评审和优化,确保其始终符合业务需求和最新的安全标准。
三、信息安全管理体系建立的步骤1. 规划(1)明确目标:确定信息安全管理体系的最终目标,例如提高信息资产的安全性、减少信息安全事件的发生等。
(2)风险评估:对组织内的信息资产和业务进行风险评估,确定重要的信息资源和潜在的威胁和风险。
(3)制定策略和计划:根据风险评估的结果,制定相应的信息安全策略和计划,包括技术措施、组织管理措施等。
2. 实施(1)建立信息安全管理团队:组建专业的信息安全管理团队,负责推进信息安全管理体系的实施和运行。
(2)编制相关文件:制定信息安全管理体系的文件,包括政策、流程、操作规范等,确保信息安全管理的稳定性和可操作性。
(3)培训与宣传:开展信息安全管理培训和宣传工作,提升全员的信息安全意识和技能。
3. 监控(1)内部审核:定期对信息安全管理体系进行内部的自查和审核,及时发现问题并进行改进。
(2)指标度量与监测:制定评价指标和度量方法,对信息安全管理体系的运行进行监测和测量,及时掌握其运行情况。
信息安全管理体系审核指南27007
信息安全管理体系审核指南27007引言:信息安全管理体系审核指南(ISO/IEC 27007)是一项重要的国际标准,它为组织提供了在信息安全管理体系(ISMS)下进行审核的指导和要求。
本文将介绍ISO/IEC 27007标准的背景、目的、适用范围以及审核的关键要素。
一、背景随着信息技术的迅猛发展,信息安全问题日益凸显。
为了保护组织的信息资产免受各种威胁,国际标准化组织(ISO)和国际电工委员会(IEC)联合制定了ISO/IEC 27001信息安全管理体系标准。
为了确保ISMS的有效实施和持续改进,ISO/IEC 27007标准应运而生。
二、目的ISO/IEC 27007标准的目的是为ISMS的审核提供指南,帮助审核员进行专业、合规的审核。
通过审核,组织能够评估自身ISMS的有效性,并采取必要的措施加以改进。
同时,ISO/IEC 27007标准也有助于提高组织的信息安全水平,建立信任和合作关系。
三、适用范围ISO/IEC 27007标准适用于任何规模和类型的组织,无论其信息资产的特点和所处的行业。
无论是公共机构、私营企业还是非盈利组织,都可以通过ISO/IEC 27007标准来进行ISMS的审核。
四、审核的关键要素1. 审核目标:审核目标应明确,与组织的战略目标和ISMS的目的一致。
审核员应了解组织的特点和需求,以便制定合适的审核计划。
2. 审核范围:审核的范围应明确界定,包括审核的过程、部门、活动和技术。
审核员需要与组织的管理层和相关人员密切合作,以确保范围的准确性和全面性。
3. 审核计划:审核计划应详细列出审核的时间表、地点、人员和资源等。
审核员应根据ISO/IEC 27007标准的要求,制定合理的审核计划,并与组织的管理层协商确定。
4. 审核准备:审核员应在实施审核之前进行充分的准备工作,包括熟悉ISO/IEC 27001和ISO/IEC 27007标准,收集组织的相关文件和记录,并与组织的管理层进行沟通。
信息安全管理体系的最佳实践与案例分析
信息安全管理体系的最佳实践与案例分析信息安全是当今数字时代面临的重要挑战之一。
信息安全管理体系的建立与实施对于保护组织的关键信息资产以及维护公众的信任至关重要。
本文将探讨信息安全管理体系的最佳实践,并结合实际案例进行分析。
一、引言信息安全管理体系是一个包含策略、流程、程序和技术控制的框架,旨在保护组织的机密性、完整性和可用性,并合规性地处理信息资产。
一个完善的信息安全管理体系可以帮助组织识别潜在的安全风险,并实施相应的控制措施以减少风险。
二、信息安全管理体系的最佳实践1. 制定信息安全政策信息安全政策是一个组织的信息安全管理体系的基础。
它应该清晰明确地规定组织内部信息安全的目标和责任,并明确管理层对信息安全的重视程度。
合适的信息安全政策应该适应组织的需求并遵循相关的法律法规和标准。
2. 风险评估与管理在信息安全管理体系中,风险评估与管理是一个关键的环节。
组织应当识别、评估和量化潜在的风险,并采取适当的控制措施以减少风险。
这包括加密数据、备份重要信息、实施访问控制等。
3. 员工教育与培训员工教育与培训是信息安全管理体系中的重要环节。
组织应该向员工提供必要的信息安全意识培训,并确保他们了解和遵守组织的信息安全政策和操作规程。
此外,组织还应定期测试员工的安全意识和技能。
4. 安全事件响应与恢复即使有了完善的安全控制措施,安全事件仍然不可避免。
因此,组织应该制定应对安全事件的响应计划,并确保能够及时、有效地恢复受影响的系统和数据。
安全事件的调查与分析也是进一步改进信息安全管理体系的重要手段。
三、案例分析:ABC公司的信息安全管理体系ABC公司是一家中型企业,经营业务涉及到大量的客户隐私数据和公司商业机密。
为了保护这些重要信息,ABC公司决定建立一个信息安全管理体系。
首先,ABC公司制定了一份详尽的信息安全政策,明确规定了员工对信息资产的保护责任以及信息安全的工作原则。
该政策得到了高层管理层的支持,并与公司的战略目标相一致。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理体系审核实践-----引导企业逐步全方位加强信息安全管理推荐机构:北京新世纪检验认证有限公司案例交流人:宋鹏一、受审核方背景1、受审核组织:北京国双科技有限公司2、认证领域及审核性质:信息安全管理体系初次审核3、现场审核时间:2018年3月28-30日4、审核人员:宋鹏(组长)罗海鹰(组员)李孟显(组员)文艺杰(组员)汪莹(一部)(实习组员)5、组织主要产品服务:北京国双科技有限公司经过一阶段审核后,确认经营地址位于北京市海淀区双榆树小区知春路76号翠宫饭店写字楼8层、9层A区、10层、11层、12层和14层,其主要业务过程是云计算企业级大数据分析和人工智能解决方案提供商,主要为司法,新媒体(如网络电视台,OTT视频点播)主要做节目播出效果检测,同时也为政府部门提供相应产品,同时公司的所有业务都在信息安全管理体系范围内;此次认证范围是:与基于大数据与人工智能技术的软件开发、技术运维、技术咨询、系统集成服务相关的信息安全管理;适用性声明:Q/ISMS-A-03版本:A/0;SOA文件中只删减了A14.2.7一条控制措施;二、审核过程1、审核准则与目的此次审核是应我公司的委派实施的第三方审核,审核过程依据国标GB/T22080-2016/ISO/IEC27001:2013,公司的信息安全管理体系文件以及适应的法律法规(参见受审核组织收集的法律法规清单);审核的主要目的是评价组织信息安全管理体系的建立、运行的符合性及有效性,以确定能否推荐认证注册。
2、受审核组织结构与信息安全职责公司由领导层、技术部、运营管理部、财务部、商业事业群、政企业务部组成,在此基础上成立信息安全小组,统一组织领导公司的信息安全体系的实施,由管代任组长定期向最高管理者汇报ISMS 运行情况;其中:1)领导层/信息安全小组负责组织实施管理体系的策划、实施、运行、检测和改进,具体体现在ISMS职责分配、文件的审批、信息安全风险管控、内审和管理评审实施等;2)技术部负责软件开发与技术运维过程,公司IT网络(含机房和IDC机房)以及计算机设备管理过程的信息安全管理;3)运营管理部运营管理部主要负责公司运营支持过程,分别由行政部、人力资源部、法务部、合同部、知识产权部、公关部和市场部组成。
负责公司的人事、行政、法律法规合规评价、合同管理、对外公关以及市场品牌宣传过程管理等;4)财务部负责公司财务预决算、财务报表、报税等工作,并保证财务数据的可用、准确和安全;5)商业事业群领完成公司下达的区域销售任务指标,在市场部门配合下制定产品、解决方案的销售计划和方法;保证客户信息安全;6)政企业务部负责承接系统集成、咨询服务项目,售前方案部门将所有材料,包括完整的设计(或施工)方案、设备订购详单交给该系统集成项目的项目经理;并且在项目实施过程中保证相关方的信息安全;3、受审核组织的管理特点与审核方式受审核组织人员相对较多有近200人,组织结构分工明确,特别是管理过程的信息化程度较高。
使用gitlab系统、OA系统、邮箱系统、HR系统、客服信息管理系统、合同管理系统和用友财务系统等分别管理着软件开发、办公过程、人事管理等过程中的信息安全管理;公司有上级公司的隶属关系,和上级公司在一起办公;上级公司有独立的办公区域;公司在识别相关方以及相关方的信息安全要求时给予识别;公司的组织结构中的各个部门工作职责相对独立,工作过程中的职责交叉较少,技术部和商业事业群直接保持灵活的人员随着项目进程流动的现状;此次审核过程中审核组成员坚持采用问、看、查三种方式实施有效审核:问:采用与部门领导或信息安全员进行座谈,了解部门的主要职责和工作流程以及责任人;同时了解部门的信息资产情况,即在工作过程中使用哪些信息资产、责任人是谁?以及信息资产的领用、使用、带出、回换、报废等事宜;看:不但通过座谈了解情况,还要查阅信息安全管理相关证据;例如:1)查阅信息资产识别表,确认所审核的部门管辖的信息资产是否识别的齐全?2)查阅计算机操作:账户、口令、清屏、杀毒、高危漏洞等管理是否满足标准要求?3)查阅本部门关键数据备份证据,是否满足备份策略的要求?等等注:对信息化管理程度较高的受审核方,在查阅证据过程中尽量采信信息系统的记录;查:通过“问“了解到的情况和”看“获知的证据,经过分析后与审核准则对比,形成审核发现最终得出审核结论;对各个部门的审核都是通过了解部门职责与工作流程基础上,从巡查本部门所管辖的信息资产入手,对各项信息资产的信息安全风险管理实施有效审核。
4、ISMS具体实施1)ISMS 建立与运行基于市场以及内部管理的需要,受审核组织引进了ISMS管理体系,并于2017.9.1建立了一套独立的信息安全管理体系文件,现场审核时企业提供了对组织内部、外部信息安全需要的识别,提供了识别证据;在文件中制定的信息安全方针、目标通过多种渠道进行了有效宣传;在公司的走廊中粘贴有信息安全宣传画(方针、目标、注意事项等);按照文件规定进行了内审、管理评审;公司领导对ISMS建立与运行较为重视,成立了一个近20人的信息安全小组,由各部门领导或安全员组成,主要负责规划、监督、检查公司的ISMS运行,定期向总经理汇报ISMS运行情况。
按照ISMS文件要求每个部门进行了信息资产的识别以及风险评价,信息安全小组统一制定风险处置计划并实施后进行了二次评价;形成残余风险报告交予总经理批准;2)现场审核重点和领域,以及审核中关注到的信息安全风险管控的特点公司信息安全管理体系文件中的SOA文件只删除了A14.2.7一个控制措施,标准中其余的113条信息安全风险控制措施都已选择;在审核过程发现受审核方结合实际针对不同的信息安全风险采取了有效的管控措施:物理安全:企业每个楼层的入口都有门禁,在两个楼层的电梯间设有前台和保安;关键的办公区内部也有门禁系统,同时安装有覆盖全域的视频监控系统;整个楼宇安装了消防系统,办公环境内和机房内同时放置了大量的灭火设备,但机房内不是气体灭火器。
审核组就该监控系统的时钟与企业进行了询问,同时关注到门禁卡和门禁系统权限的管理,现场进入机房查看相关信息安全的物理环境的管理,并进行了实际查看和取证。
虽然受审核组织与上级单位在一起办公,内部的物理空间进行了有效隔离,物理边界清晰可辨;审核组在一阶段审核后将经营地址进行了重新定义;将9层办公区区分为A/B两个区,以及没有包含13层办公区;网络安全:组织的网络分成办公网络和产品服务网络,办公网络和产品服务网络分别部署在公司的内部和IDC机房,从而实现办公网络与服务网络物理分离。
两个网络都设有网络安全设备:防火墙、核心交换机等,办公网络设有上网行为管理器等;办公网络中设有Vlan,将部门之间进行了逻辑隔离;上级组织的网络是独立的办公网络,不与受审核组织共用;基于与部门领导和工作人员的沟通,了解到以上情况后,审核组从网络资产的识别、网络拓扑图的规划、网络设备的策略设置等多方面进行了详细的审核和取证。
设备操作安全:公司的信息处理设备都是从运营管理部领出,同时包括所有设备在进行采购、发放、回收、报废等操作后在系统中的录入,设备在发放之前由网络管理员进行必要设置;离职人员进行交接后将设备归还运营管理部,网络管理员按规定将数据清除;审核组在审核现场大量提取了各类设备的处置的证据,并与设备管理人员进行了处置结果是否有效的确认,通过设备管理人员,在公司的办公系统中进行了抽样。
在设备管理过程的审核中,审核组通过现场抽查计算机操作(账户、口令、屏保、清屏、杀毒、漏洞补丁等)都满足组织的信息安全管理要求,没有发现异常;公司对设备带出进行了风险评估,制定了管理制度,配置笔记本电脑的岗位设备可以带出公司无需审批,配置台式机的岗位不得带出设备;由于公司使用信息系统管理比较普及,办公过程较少使用移动介质交换信息;从审核过程抽查结果来看,抽查的移动介质没有发现公司数据信息;信息系统安全:公司在办公过程中使用gitlab、OA、邮箱系统、门禁系统、HR系统、客服信息管理系统、合同管理系统和用友财务系统;现场按照相关策略要求,分别检查了上述系统账户设置、权限分配、特权账户管理、数据备份和定期复查等控制措施;审核组对上述系统的权限做了全方位的审核。
通过审核,发现对信息系统的管理分成两级:网络管理员负责服务器操作系统和网络可用,各个信息系统责任部门指定专人承担系统管理员职责,系统管理员负责账户、权限、口令、备份等管理事项;软件开发安全:受审核组织制定了软件开发管理流程,并在流程中强化了信息安全要求;从现场审核确认软件开发流程基本采用瀑布模型,现场抽查了两个软件研发项目,基本满足审核准则要求;数据信息安全:公司的数据信息基本都是采用信息系统管理,对数据访问通过系统的账户、权限进行分配管理,强化了数据备份机制,对关键数据实现本地和异地双备份;数据进行交换传输时要求使用企业邮箱,保持一定的可追溯性;公司的纸质文档(例如合同)由运营管理部专人管理,保存在带锁的文件柜中,交接、借阅等有记录可查;审核组针对备份过程、备份后的管理、备份操作的日志管理等方面进行了审核和抽样。
供应商安全:公司对供应商在合同中提出了信息安全要求,并定期进行了评价,没有发现违规事项;人员安全:组织对人员的信息安全管理主要采用签署保密协议;在审核中发现部分人员的保密协议签署的主体是上级单位,现场提示企业可能存在法律风险,第三方人员进入现场时也存在管理上的不足,有接触公司敏感信息的风险,就以上可能存在的问题在末次会议上与最高领导进行了交流;三、审核发现经过审核组内部交流一致认为,基于现场与受审核方交流以机收集到的相关证据,受审核方的信息安全管理体系运行满足审核准则的要求;此次审核除上述发现的受审核方做得满足审核准测要求的地方,还发现了有待改进的地方,共开出4个书面不符合项,还有一些可能存在信息安全风险或对风险控制措施有漏洞的地方在末次会议中进行口头交流,并未开出书面的观察项;1、不符合项:1)查阅办公机房没有发现适用的灭火器,不符合标准A11.1.4要求;主要是管理人员缺少对消防知识和必要的检查;企业购置了新的气体灭火器,并请厂家进行了必要的培训,制定了定期巡查制度;2)检查公司各个楼层的视频监控系统相互之间的时间不一致,相差约10多分钟;不符合标准A12.4.4要求通过末次会议现场交流,受审核方提高了信息安全认识,懂得视频监控系统是事件追溯的主要技术手段,追溯过程通常是以时间为依据,因此时间同步对视频监控系统至关重要;设置每个楼层的监控主机的NTP自动同步时间服务器修正所有楼层的监控时钟;企业更新《物理环境安全控制程序》,将对视频监控管理要求内容进行添加,将对视频监控的时间检查列为日常检查内容;3)现场查看离职人员焦本然的门禁卡,已丢失,进一步查看门禁管理系统权限控制,未能删除。