ISO27001-2013最新版信息安全管理体系内部审核全套通用资料（内部审核计划+检查表+内审报告全套资料）

XXX有限公司信息安全管理体系内 审 材 料(ISO/IEC 27001:2013最新版)202X年X月目录1. 202X年度内部审核计划2. 内部审核计划表3. 内部审核会议签到表4. 内审检查表5. 不符合项报告6. 内部审核报告第7页 共 32页年度内部审核计划编号：ISMS-D-03-1审核日期：202X年5月审核目的：验证本公司的ISMS是否符合ISO/IEC27001:2013 版，以及公司信息安全管理体系文件的要求，信息安全管理体系是否得到有效实施，是否具备申请第三方ISO/IEC27001:2013 认证注册的条件。被审核部门：信息安全管理体系所涉及的部门和过程审核依据：ISO/IEC27001:2013；公司ISMS体系手册、文件审核方法：按部门审核。备注：编制/日期： 202X-5-5审批/日期： 202X-5-5内部审核计划表编号：ISMS-D-03-21. 审核目的：验证本公司的ISMS是否符合ISO/IEC27001:2013 版，以及公司信息安全管理体系文件的要求，信息安全管理体系是否得到有效实施，是否具备申请第三方ISO/IEC27001:2005 认证注册的条件。2.审核依据：ISO/IEC27001:2013；公司ISMS体系手册、文件3.审核范围：信息安全管理体系所涉及的部门和过程4.审核时间：202X.5.20 8:00-17:005.审核组成员：*6.现场审核期间被审核方有关人员参加下列活动：首、末次会议：最高管理者及管理者代表和审核有关的管理人员参加。审核活动：按审核日程安排，被审核方有关人员在本岗位。7.审核安排：日期时间安排审核部门审核条款审核人员09-208:0010:00首次会议全体人员10:0016:00总经理，管理者代表，信息安全委员会A.6.1.1,4，5，6，7.1，7.4，8，9，A.5，A.6.1，A.8.2，A.10.1,A.17BC人力资源部A.6.1.1，7.5，10，A.7，A.8，A.9.2，A.10.1，A.11.1,A.11.2,A.12.2,A.12.3,A.13.2,A.16.1.1，A.16.1.2,A.16.1.3,A.18A. 7.1，7.2，7.3C信息管理部A.6.1.1,6.1,8,A.6.2,A.8.1,A.8.3,A.9,A.10,A.11.2,A.12.1-A.12.7,A.13,A.14.1,A.14.2A.14.3,A.16B人力资源部A.6.1.1,A.8.1,A.8.3,A.9.2,A.12.2,A.12.3,A13,A.16.1.1-A.16.1.3 A.15B信息管理部A.6.1.1,A.8.1,A.8.3,A.9.2,A.12.3,A.16.1.1-A.16.1.3B财务部A.6.1.1,A.8.1,A.8.3,A.9.2,A.12.3,A.16.1.1-A.16.1.3C16:00 16:30 审核组总结16:3016:50 与受审核方交换意见16:5017:00末次会议编制： 审核： 批准： 日期：202X.1.10会 议 签 到 表 管理评审 内部审核 其它会议 记录编号：ISMS-D-03-6首次会议末次会议姓 名部门及职务姓 名部门及职务人力资源部人力资源部财务部财务部生产部生产部信息管理部信息管理部总经理总经理管理者代表管理者代表信息管理部信息管理部内部审核不符合报告单位：*有限公司 编号：ISMS-D-03-4受审核部门人力资源部审核员陪同员审核项目 办公安全检查审核日期202X/4/20发出日期202X/4/20验证日期202X/4/22不合格项描述发现电脑标号H006未执行清屏策略。不合格项结论不符合A11.2.9清空桌面和屏幕策略。不合格项性质 严重 一般不合格项确认与承诺以上事实。确认/承诺人：游正义 日期：202X.9.20原因分析人员信息安全意识不强，没有执行清屏策略。纠正/预防措施与完成期限1、立即按照清屏策略进行处理。2、定期检查各部门办公电脑清屏策略执行情况。3、对人员信息安全意识进行培训负责人：游正义 日期：202X.9.20纠正/预防措施验证情况已对不符合进行整改，执行了清屏策略验证人： 刘力平 日期：202X.9.22内部审核报告编号：ISMS-D-03-5审核时间：202X年5月20日审核目的：1、检查本公司信息安全管理体系是否符合ISO 27001:2013标准以及公司信息安全管理手册、程序文件、管理规定及相关法律法规标准的要求。2、检查本公司信息安全管理体系是否得到有效实施和保持。审核依据：1、ISO 27001:2013标准；2、本公司的信息安全管理手册、程序文件、管理规定 ；3、适用的法律法规和标准。审核组长：*审核组成员：*审核范围：涉及ISO 27001:2013体系的各职能部门审核经过及结果：本次内审利用一天时间，由内审组长主持，对公司各部门所涉及的条款进行了审核。审核组召开了首/末次会议，审核组按计划的安排顺序进行了审核，开出了1条不符项，主要是电脑未执行清屏策略，具体内容参见不符合项报告。1、对体系文件的评价：（1）体系文件基本上符合ISO27001：2013标准及国家法律法规的要求。（2）整套体系文件较好地适应本公司实际，且与质量管理体系进行了一定的整合。2、对体系运作的评价：（1）公司领导都具有较高的信息安全意识，工作思路清晰。中层领导普遍对本公司实施ISO27001：2013标准有正确的认识态度，但主管以下员工对体系文件的熟悉程度还有待提高。（2）信息安全方针得到大力宣传和贯彻，信息安全相关观念已逐步深入人心。本公司多项信息安全目标基本达到。（3）体系自试运行以来，在策划部的组织下对各部门相关人员进行了文件培训，对体系推行起到积极作用。在公司领导的重视和各部门配合下，顺利完成了本次内部审核，找出了不足，提出了纠正改善措施，为体系有效实施打下了良好的基础。（4）体系符合性评价从各部门的查核情况来看,还有这些存在着这些问题：a、 办公电脑的安全使用方面应加强；b、 对相关记录填写的完整性应加强。（5）体系有效性评价员工的信息安全意识较以往有提高，按要求办事的自觉性有较大的提高，这些方面都反映出体系的实施较为有效，但尚存在以下问题和需进一步改进的内容：c、 员工培训应继续加强，特别是有效性；文件执行的力度方面应加强落实（各部门要加强文件的培训工作）。审核结论：从本次内审来看我司的信息安全管理体系较为有效，但仍有需要改进的空间。针对本次内审中发现的不合格项，其主要原因是体系建立时间不久，大家对相关的流程和规定缺乏足够认识，为此，公司内部应组织有针对性的培训，加强大家对信息安全管理体系的了解。纠正措施：对于审核中发现的不合格项，由管理者代表组织确认责任部门，各部门应“举一反三”地实施系统性的纠正措施，以消除不合格，并且应识别潜在的不合格，采取必要的预防措施。审核员对各部门的纠正情况进行跟踪验证，对于确有困难的，应完成编制纠正措施计划，报管理者代表审批。记录整理及报告：由人力资源部负责对内审相关资料的整理、归档并上报管理者代表，由管理者代表对资料进行审查，上报管理评审。备注：编制/日期： 202X.5.20审批/日期： 202X.5.21条款号核 查 问 题符合性核 查 说 明4.组织环境4.1 理解组织及其环境组织是否确定与其意图相关且影响其达到ISMS预期结果能力的外部和内部情况？4.2 理解相关方的需求和期望组织是否确定：a) 与 ISMS 有关的相关方？b) 这些相关方的信息安全要求？4.3 明确信息安全管理体系的范围组织是否通过确定ISMS的边界和适用性来建立其范围？组织在确定范围时是否考虑：a) 在 4.1 中涉及的外部和内部因素？b) 在 4.2 中涉及的要求？c) 组织活动与其他组织的活动之间的接口和依赖关系？ d) 该范围是否为可获得的存档信息？4.4 信息安全管理体系组织是否根据本国际标准的要求，建立，实施，保持和持续改进一个信息安全管理体系？5 领导5.1 领导和承诺最高管理者是否通过以下方式来证明其在ISMS方面的领导力和承诺：a) 确保已经为信息安全管理体系制定了方针和目标并确保方针和目标与组织的战略方向是一致的？b) 确保信息安全管理体系的要求纳入组织的业务过程中？c) 确保信息安全管理体系所需的资源可用？d) 就信息安全管理的有效性和符合 ISMS 要求的重要性进行传达？e) 确保信息安全管理体系达到预期结果？f) 指导和支持员工为 ISMS 的有效性作贡献？g) 推动持续改进？h) 支持其他相关管理角色在其职责领域内展示其领导作用和承诺。？5.2 方针最高管理者是否建立信息安全方针？该方针：a) 符合组织的宗旨；b) 包含信息安全目标（见 6.2）或为信息安全目标的制定提供框架；c) 包含满足适应信息安全要求的承诺；d) 包含对 ISMS 进行持续改进的承诺；信息安全方针是否：e) 为可获得的存档信息？f) 在组织内部传达？适当时使相关方能够获得？5.3 组织角色、职责和权力最高管理者是否该确保相关角色的职责和权限在组织内部被授权和传达？最高管理者应分配职责和职权以：a) 确保信息安全管理体系符合本国际标准的要求？b) 向最高管理者报告 ISMS 的绩效？6 计划6.1 处置风险和机遇 6.1.1总则当进行ISMS策划时，组织是否考虑4.1提到的因素和4.2提到的要求？并确定需要应对的风险和机会以：a) 确保信息安全管理体系能够达到预期结果；b) 防止或减少不良影响；c) 实现持续改进；组织是否策划：d) 应对风险和机会的措施？e) 如何：1） 将这些措施在 ISMS 的过程中进行整合和实施？2） 评估这些措施的有效性？6.1.2信息安全风险评估组织是否定义并应用一个信息安全风险评估的过程