内审检查表_表格类模板_表格模板_实用文档

内审检查表_表格类模板_表格模板_实用文档

ID:43330455

大小:347.71 KB

页数:24页

时间:2019-10-01

内审检查表_表格类模板_表格模板_实用文档_第1页
内审检查表_表格类模板_表格模板_实用文档_第2页
内审检查表_表格类模板_表格模板_实用文档_第3页
内审检查表_表格类模板_表格模板_实用文档_第4页
内审检查表_表格类模板_表格模板_实用文档_第5页
资源描述:

《内审检查表_表格类模板_表格模板_实用文档》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、编号:JSNK/TR-03-06-2013内审检查表序号:01受审核部门蠶者代表、综合管审核日期2015226-27标准要求4.2建立和管理ISMS审核内容及审核方式4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS部门负责人费小强、王金梅审核员徐渠记录1、范围和边界:业务范围:软件开发与服务;组织范围:研发部、技术支持中心、综合管理部;覆盖地址:江苏省扬州市祁江北路雍华府贵园1幢1002。2、确立方针:积极预防、全面管理、控制风险、保障安全3、方针确立的依据及要求:1)公司发展总方向和原则2)

2、法律法规要求、安全义务3)建立和保持ISMS4)建立风险评价的准则5)管理者批准4、建立文件:《信息安全管理手册》1份、信息安全管理程序文件40个、各类策略74个、管理制度5个、应急预案1个,记录119份5、未对标准要求条款进行删减;对附录A的应用见《适用性声明指南》1、成立了以总经理为组长,各部门经理参加的风险评估小组。2、形成文件:《信息安全风险控制程序》3、风险评估流程:评估准备一A识别评价资产一►识别威胁一>识别评价防护措施—»估计可能性和影响—A计算、评价风险—>编写风险评估报告4、其它具体要求见《信息安全风险评

3、估报告》。评价4.2.4保持和改进ISMS1、形成文件:《内部审核控制程序》、《管理评审控制程序》、《纠正措施控制程序》、《预防措施控制程序》、《信息安全风险控制程序》《信息处理设施维护控制程序》、《信息系统监控控制程序》、《恶意软件控制程序》2、形成记录:《内部审核检查表》、《管理评审报告》、《纠正措施报告》、《预防措施报告》、《信息资产风险评估表》、《风险处理计划表》、《信息安全风险评估报告》、《残余风险评估报告沢《软件开发系统(子系统)、重要网络设备点检记录》、《日志审核记录》、《人工查杀病毒记录》、《信息安全事件调

4、查处理报告》3、以上文件和记录的详细内容见正本。公司将通过风险评估,以及对不合格的纠正措施、预防措施的执行过程中,不断寻求改进1SMS的机会并加以实施。4.3文件要求4.3.1总贝94.2.3文件控制4.3.3记录控制1、文件:《信息安全管理手册》、《文件控制程序》、《记录控制程序》2、记录:《信息安全文件一览表》、《信息安全管理文件审批表》、《文件发放/回收登记表》、《外来文件一览表》、《文件修改通知》、《安全记录一览表》、《记录借阅登记表》、《记录销毁记录表》在《信息安全管理手册》中规定了公司的信息安全方针和信息安全目

5、标3、共编制《信息安全管理手册》1份、信息安全管理程序文件41个、各类策略74个、管理制度5个、应急预案1个,并作记录120份。公司对外来文件已进行登记。4、公司各类文件发布前已得到审批,并按规定发放到各个部门,现均为A版,没有修改和作废5、根据标准附录A,依据公司实际编制《适用性申明》6、根据信息风险管理的需要,编制《信息安全风险评估报告》,报告中规定了风险识别、评估、处理等的具体要求7、公司已对以上编制的文件进行了逐份审批,文件均为A版,没有修改、收回、作废等情况,文件上已标识受控状态和保密等级8、除外来文件和记录,各

6、类文件已发放到各部门,并由部门负责人实施签收9、各类记录已由记录填写部门分类装订保存9ISMS内部审核ISMS内部审核按照计划的时间间隔进行ISMS内部审核,以确定其ISMS的控制目标、控制措施、过程和规程1、文件:《内部审核控制程序》2、记录:《内部审核方案》、《内部审核计划》、《内部审核员评定表》、《不符合项报告》、《内部审核报告》、《不符合项分布表》、《内部审核报告发放记录》3、已编制《内部审核方案》、《内部审核计划》等记录,対内部审核覆盖范围、审核时间、条款、审核员分工等进行了安排a)符合本标准和相关法律法规的要求

7、b)符合己确定的信息安全要求c)得到有效地实施和保持d)按预期执行4、公司计划安排两次内部审核,第一次审核覆盖所有信息资产、活动、区域,力求满足标准条款以及附录A的要求;第二次审核内容则包括第一次审核不符合项的验证、部分标准条款的进一步运用和新增信息资产和活动等5、审核依据:GB/T22080-2008idtISO/IEC27001:2005信息安全法律法规;公司编制的各类文件6、木次审核组成员由公司三名内审员组成,审核日期为2012年12月15-16B两天,审核计划覆盖各部门的职责要求10.1持续改进1、文件:《纠正措施

8、控制程序》、《预防措施控制程序》2、记录:《纠正措施控制报告》、《信息安全分析报告》、《预防措施报告》3、公司通过对信息安全风险的分析,依据信息安全的重要度,制定、执行针对信息安全的管控措施,改进信息安全管理过程4、不断的完善软件系统的功能、性能10.2纠正措施1、文件:《纠正措施控制程序》2、记录:《

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。