2020年ISO27001-2013信息安全管理体系内审资料

原创作者：李柏伦 翻版盗卖者必追究责任

2020年ISO27001-2013信息安全管理体系内审资料 原创作者：李柏伦 翻版盗卖者必追究责任 目 录 1.信息安全内部审核报告 2.内部信息安全管理体系审核方案 3.内部信息安全审核计划 4.首末次会议记录 5.内部信息安全审核检查表 6.内部审核记录表（现场） 7.内部审核记录表（文件） 8.内部审核不符合项报告 原创作者：李柏伦 翻版盗卖者必追究责

公司内部资料

第 1 页 共 33 页

原创作者：李柏伦 翻版盗卖者必追究责任 ISO27001:2013信息安全管理体系内部审核报告

审核目的： 检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。 审核依据： ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。 审核范围： ISO27001:2013手册所要求的相关活动及部门。 审核时间： 2020年1月6日 1、现场审核情况概述 本次审核按信息安全手册及《内部审核管理程序》要求，编制了内审计划及实施计划并按计划进行了实施。 审核小组由4人组成，各分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。审核组在各部门配合下，按审核计划，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。审核组审核了包括管理层、各有关职能部等4个职能部门。 公司内部资料

第 2 页 共 33 页

原创作者：李柏伦 翻版盗卖者必追究责任 审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。本次审核共提出不符合报告共4份，其中行政部3项，研发部1项。所涉及的条款详见《内审不符合项（NC）报告》 2、体系综合评价 a) 最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。员工能准确答出公司信息安全方针和目标，体现了全员参与。但个别职能部门信息安全活动和人员中有责任不到位的情况。 b) 建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解，信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善； 3、审核发现 信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。但在本次内审中仍发现一些存在问题： a. 行政部： ? 检查行政部某电脑 密码设置过于简单，密码长度及复杂度不符合公司规定的要求。 b. 研发部： 公司内部资料

第 3 页 共 33 页