第2頁共2頁信息安全內部審核計劃表編號：ZHKJ-TSMS-4-12版本：A1.0審核目的通過信息安全管理體系審核，檢查各部門執行體系文件情況，驗證適宜性、充分性、有效性。審核依據ISO/IEC27001:20XX標準、管理體系文件、適用性聲明、有關法律法規、合同。審核范圍與計算機信息系統集成相關的信息安全管理服務審核部門信息安全管理體系覆蓋的所有部門審核組序號姓名職責A組長B組員C組員審核時間20XX年11月10日審核日程安排審核組活動安排所涉及的體系要求被審核部門8首次會議各部門C組9:00-11:30管理職責：5.1/5.2/A.5.1/A.5.4/5.3/A.5.2/7.1/6.2/7.4/A.5.5/A.5.6管理評審：9.3/A.5.1/10.1/A.5.35管理層13:30-17:00體系建立：4.4/4.3/4.1/4.2/6.1.1/8.1/9.1/A.5.1/A.5.36/7.5/A.5.33/A.5.37/A.5.15/A.5.12/A.5.13/6.3風險評估：8.2/6.1.2/6.1.3/8.3/A.5.9/5.23法律法規識別：A.5.31辦公區域的物理安全：A.7.1/A.7.2/A.7.3/A.7.4/A.7.5/A.7.6移動介質管理：A.7.10PC機管理：A.5.17/A.8.18/A.8.19/A.8.19/A.5.32/A.7.7/A.8.7/A.8.13文檔管理：7.5.3/A.5.13/A.5.33信息安全事件管理：A.5.24/A.5.25/A.5.26/A.5.27/A.5.28/A.6.8業務連續性管理：A.5.29/A.5.30/A.8.14內部審核：9.2/10.1/10.2/A.5.35管理運營部B組9:00-11:00人力資源管理：7.2/A.6.1/A.6.2/A.6.6/A.6.3/7.3/A.6.4/A.6.5/A.5.11/A.5.18/A.5.34/A.5.33人力資源部14:00-16:30企業特殊區域的物理安全（適用于財務室、保密室、檔案室等區域）:A.7.3/A.7.5密鑰（加密狗、U盾）的使用：A.8.24保險柜的使用：A.8.24/A.5.31供應商管理：A5.19/A.5.20/A.5.21/A.5.22/A.5.23/A.8.30財務資產部/采購保障部A、B組9:00-17:00機房環境及設備的管理：A.7.2/A.7.3/A.7.5/A.7.11/A.7.12/A.7.13/A.7.14內外網絡的管理：A.5.3/A.8.20/A.8.21/A.5.15/A.8.22/A.8.9/A.8.6/A.8.1/A.5.7/A.8.23/A.8.16用戶訪問權的管理：A.5.16/A.8.2/A.5.17/A.5.18應用系統服務器的管理：A.8.3/A.6.7/A.8.5/A.5.17/A.8.18/A.8.19/A.5.32/A.8.7/A.8.13/A.8.12/A.7.7/A.8.15/A.8.17/A.8.10對使用中系統的管理：A.8.26/A.8.29/A.8.8/A.5.36/A.8.34/A.8.11應用系統的開發、測試和變更：A.8.26/A.8.27/A.8.25/A.8.32/A.8.31/A.8.24/A.5.31/A.8.29/A.8.33/A.8.4/A.8.28IT設備管理：A.8.32/A.5.10/A.7.8/A.7.13/A.7.14/A.8.1/A.7.10/A.7.9服務項目涉及的信息安全：A.5.8/A.7.9/8.2/8.3/A.5.9/A.7.3/A.7.6/A.6.2/7.5.3/A.5.13/A.5.33信息傳輸要求:A.5.14/A.8.12智慧城市事業部/安全質量部A、B、C17:00-17:30末次會議備注：1、在內審實施中各部門要配合內審人員進行內審工作;在內審實施中要避免言語沖突的發生;內審員對審核結果要及時記錄(無論是否符合),并要被審核部門代表簽字確認。編制：審核：批準：日期：ISMS內審檢查表審核條款各部門審核情況一覽審核詳情備注編號ISO27001章節審核指南管理層管理運營部智慧城市事業部財務資產部人力資源部采購保障部安全質量部4組織的背景4組織的背景符合4.1了解組織現狀及背景1、體系文件中對公司的概況是否有介紹。

2、有沒有明確的體系范圍和邊界？

3、手冊中對客戶的要求是否有識別？

4、完整的體系文件？YESNANANANANANA符合4.2理解相關方的需求和期望YESNANANANANANA符合4.3確定信息安全管理體系的范圍YESNANANANANANA符合4.4ISMSYESNANANANANANA符合5領導力5.1領導力和承諾1、管理者對ISMS做出哪些承諾？

2、管理者為ISMS提供哪些資源？

3、管理者對ISMS的重要性是否給予傳達。

4、頒布令和授權令YESNANANANANANA符合5.2方針YESNANANANANANA符合5.3組織角色、職責和承諾YESNANANANANANA符合6規劃6.1應對風險和機會的措施6.1.1總則1、ISMS建立時間？

2、方針目標？

3、風險評估？

4、適用性條款？

5、風險處置計劃？YESNANANANANANA符合6.1.2信息安全風險評估YESNANANANANANA符合6.1.3信息安全風險處置YESNANANANANANA符合6.2信息安全目標和規劃實現1、信息安全方針包含信息安全目標或設置信息安全目標提供框架？YESNANANANANANA符合6.3變更的策劃YESNANANANANANA符合7支持7.1資源提供了體系建立需要的資源YESNANANANANANA符合7.2能力對體系內的工作者有能力的評價NANANANAYESNANA符合7.3意識對體系內的工作者有安全意識的培訓NANANANAYESNANA符合7.4溝通是否有相應的溝通管理程序NANANANAYESNANA符合7.5文件記錄信息7.5.1總則體系所需要的文件和記錄完整NAYESNANANANANA符合7.5.2創建和更新1、組織是否編制了文件控制規程？

2、組織是否遵循文件控制規程？NAYESNANANANANA符合7.5.3文件記錄信息的控制NAYESNANANANANA符合8運行8.1運行的規劃和控制管理者是否確保在其職責范圍內的所有安全程序都能得到正確執行？NAYESYESYESYESYESNA符合8.2信息安全風險評估1、體系文件有運行中風險評估的觸發條件及固定周期

2、實施風險處置計劃？NAYESYESYESYESYESNA符合8.3信息安全風險處置NAYESYESYESYESYESNA符合9績效評價9.1監視、測量、分析和評價1、通過哪些方式監控體系運行，持續改進ISMS有效性？NAYESNANANANANA符合9.2內部審核1、體系中對內審有明確要求NAYESNANANANANA符合9.3管理評審1、體系中對管理評審有明確要求YESNANANANANANA符合10改進10.1不符合和糾正措施1、是否有糾正措施控制程序？NAYESNANANANANA符合10.2持續改進1、是否有對持續改進的時間及跟蹤要求？NAYESYESYESYESYESYES符合A.5組織控制A.5.1信息安全的策略集信息安全方針文件是否由管理者批準、發布？YESNANANANANANA符合A.5.2信息安全角色和職責信息安全活動是否由不同部門并具備相關角色和工作職責的代表進行協調？YESNANANANANANA符合A.5.3職責分離所有信息安全職責是否有清晰的定義YESNANANANANANA符合A.5.4管理者職責管理者是否要求雇員、承包方人員和第三方人員，按照該組織已建立的方針和程序負起安全責任？YESNANANANANANA符合A.5.5與職能機構的聯系組織是否保持與政府相關部門的適當的聯系？NAYESNANANANANA符合A.5.6與特定相關方的聯系組織是否與特殊利益團體、安全專家組和專業協會保持適當的聯系？NAYESNANANANANA符合A.5.7威脅情報NANAYESNANANANA符合A.5.8項目管理中的信息安全組織是否對其管理信息安全的方法與實踐（及信息安全控制目標與控制措施、方針、過程和程序），按既定的時間間隔（或當安全實施發生重大變化時）進行獨立評審？NANAYESNANANANA符合A.5.9信息和其它相關資產清單是否所有重要資產都進行了登記，建立了清單文件并加以維護？

與信息處理設施有關的所有信息和資產，是否由指定的部門或者人員承擔責任？NAYESNANANANANA符合A.5.10信息和其他相關資產的可接受使用與信息處理設施有關的信息和資產的可接受使用規則，是否確定形成了文件并加以實施？NAYESNANANANANA符合A.5.11資產歸還所有的雇員、承包方人員和第三方人員在終止任用、合同或協議時，是否歸還他們使用的所有組織資產？NAYESNANANANANA符合A.5.12信息的分級信息是否按照其對組織的價值、法律要求、敏感性和關鍵性進行分類？NAYESNANANANANA符合A.5.13信息的標記是否按照所采納的分類機制建立和實施一組合適的信息標記規程？NAYESNANANANANA符合A.5.14信息傳輸為了保護通過使用各種類型的通信設施的信息交換，是否有正式的交換策略、規程和控制措施？NANAYESNANANANA符合在組織和外部之間進行信息/軟件交換時，是否有交換協議？NANAYESNANANANA符合包含在電子消息發送中的信息是否給予適當的保護？NANAYESNANANANA符合A.5.15訪問控制訪問控制策略是否建立并形成文件？

是否基于業務和訪問的安全要求進行評審？NANAYESNANANANA符合是否對網絡進行分區域管理？或用戶是否僅能訪問已獲專門授權使用的服務？NANAYESNANANANA符合A.5.16身份管理是否有正式的用戶注冊與注銷程序，授權和撤銷對所有信息系統和服務的訪問？（對系統有訪問權限的員工或簽約員工進行抽樣檢查）NANAYESNANANANA符合A.5.17身份驗證信息安全鑒別信息，如口令的分配是否有一個正式的管理過程進行控制？NANAYESNANANANA符合是否要求用戶在選擇和使用安全鑒別信息時，如口令，遵循良好的安全習慣？NANAYESNANANANA符合口令管理系統是否交互式的并能夠確保優質的口令？（推薦系統測試用戶的口令管理）NANAYESNANANANA符合A.5.18訪問權限無論什么類型的用戶，在對其分配或撤銷所有系統和服務的權限時，是否有一個正式的用戶訪問開通流程？NANAYESNANANANA符合資產所有者應定期對用戶的訪問權進行復查？NANAYESNANANANA符合所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權，是否在任用、合同或協議終止時，刪除，或在變化時調整？NANAYESNANANANA符合A.5.19供應商關系中的信息安全是否與供應商協商并記錄信息安全的要求，以減少供應商訪問信息資產帶來的風險？NANANAYESNANANA符合A.5.20在供應商協議中的強調信息安全是否與供應商建立并協商所有信息安全相關要求，并實施？NANANAYESNANANA符合A.5.21ICT供應鏈的信息安全管理供應商協議是否包括信息、通信技術服務和產品供應鏈的相關信息安全風險？NANANAYESNANANA符合A.5.22供應商服務的監控、審查和變更管理對供應商提供的服務、報告和記錄，是否定期的進行監視、評審和審核？NANANAYESNANANA符合是否管理服務提供的變更（包括保持和改進現有的信息安全策略、規程和控制措施，并考慮到業務系統和涉及過程的關鍵程度及風險的再評估）？NANANAYESNANANA符合A.5.23使用云服務的信息安全公司是否使用云服務？是否與服務商簽訂有服務協議NAYESNANANANANA符合A.5.24信息安全事件管理策劃和準備是否建立了對安全事件做出快速、有效和有序反應的職責和程序？NAYESNANANANANA符合A.5.25信息安全事態的評估與決策是否對信息安全事態進行評估，以決定他們是否被歸類為信息安全事件？NAYESNANANANANA符合A.5.26信息安全事件響應對于信息安全事件是否按照已建立的職責和規程，快速、有效、有序的響應？NAYESNANANANANA符合A.5.27從信息安全事件中學習是否有一套能夠量化和監視信息安全事件的類型、數量和代價的機制？NAYESNANANANANA符合A.5.28證據收集當信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或者組織進行起訴時，是否收集、保留和呈遞證據，這些證據要符合相關管轄區域對證據的要求？NAYESNANANANANA符合A.5.29中斷期間的信息安全為了解決組織的業務持續性所需的信息安全要求，組織是否開發和維持一個用于整個組織的業務持續性管理過程？和計劃？NANAYESNANANANA符合A.5.30ICT為業務連續性做好準備是否按照程序和控制的要求，實施了信息安全連續性管理過程和計劃？NANAYESNANANANA符合連續性計劃是否進行定期驗證、評審和更新，以確保其有效性？（可查看是否有演練和測試）NANAYESNANANANA符合A.5.31法律、法規、監管和合同要求對每一個信息系統和組織，適用的所有相關法律法規和合同要求，以及為滿足這些要求組織所采用的方法，都明確地進行了定義，形成了文件并保持更新？NAYESNANANANANA符合使用密碼控制措施時，是否遵從相關的協議和法律法規？NAYESNANANANANA符合A.5.32知識產權在使用具有知識產權的材料和具有所有權的軟件產品時，為了符合法律、法規和合同要求，組織是否實施了適當的規程？NAYESNANANANANA符合A.5.33記錄的保護為了滿足法律、法規、合同和業務要求，是否防止重要的記錄遺失、毀壞和偽造？NAYESNANANANANA符合A.5.34隱私和個人可識別信息保護是否有依照相關的法律法規要求和合同要求，確保數據保護和隱私？NAYESNANANANANA符合A.5.35信息安全獨立審核是否有獨立評審的規程并實施？NAYESNANANANANA符合A.5.36信息安全策略、規程和標準合規管理者是否確保在其職責范圍內的所有安全程序都能得到正確執行？YESNANANANANANA符合A.5.37文件化的操作規程操作程序是否形成了文件、加以保持并可為所有需要的用戶使用？NAYESNANANANANA符合A.6人員控制A.6.1審查對所有任用的候選者、承包方人員和第三方人員，是否按照相關法律法規、道德規范、業務要求、被訪問的信息類別和已察覺的風險，進行背景調查和驗證？NANANANAYESNANA符合A.6.2任用條款及條件雇員、承包方人員和第三方人員是否簽署了任用合同的條款和條件（這些條款和條件應聲明他們和組織的信息安全職責）NANANANAYESNANA符合A.6.3信息安全意識、教育和培訓組織的所有雇員，（適當時，也要包括承包方人員和第三方人員），是否受到與其工作職能相關的適當的意識培訓和方針策略以及規程的定期更新培訓NANANANAYESNANA符合A.6.4違規處理過程對于安全違規的雇員，是否有一個正式的紀律處理過程？NANANANAYESNANA符合A.6.5任用終止或變更的責任任用終止或任用變更的職責是否清晰地做出了定義和分配？NANANANAYESNANA符合A.6.6保密或不泄露協議保密協議是否得到識別和定期評審？（查看保密協議）NANANANAYESNANA符合A.6.7遠程工作組織是否開發和實施有關控制遠程工作活動的策略、操作計劃和規程？NANAYESNANANANA符合A.6.8報告信息安全事態是否有適當的途徑報告信息安全事態？NAYESNANANANANA符合是否要求信息系統和服務的所有員工、合同方和第三方用戶都需要報告他們觀察到的或懷疑的系統或服務中的任何安全弱點？NAYESNANANANANA符合A.7物理控制A.7.1物理安全邊界是否有用于保護包含信息和信息處理設施的區域的安全周邊（如墻、門禁卡或受管理的接待臺等屏障）？NAYESNANANANANA符合A.7.2物理入口為了確保只有已被授權人員才允許訪問，安全區域是否通過合適的入口控制措施加以保護？（現場檢查訪問記錄，并可能測試用戶進入安全區域的符合性。）NAYESNANANANANA符合A.7.3辦公室、房間和設施的安全是否為辦公室、房間和設施設計并采取物理安全措施？（現場檢查辦公室、房間和設施的保護情況）NAYESNANANANANA符合A.7.4物理安全監控公司入口和重要區域是否安裝有監控系統？監控信息的獲取是否設置管理權限NAYESNANANANANA符合A.7.5外部和環境威脅的安全防護對由火災、洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難引起的損害，是否設計與采取了物理保護措施？（現場檢查針對外部威脅和環境威脅的安全防護情況）NAYESNANANANANA符合A.7.6在安全區域工作是否設計和應用了用于安全區域工作的物理保護和指南？（現場檢查安全區域的保護狀況）NAYESNANANANANA符合A.7.7清理桌面和屏幕是否采取清空桌面文件，可移動存儲介質的策略和清空信息處理設施屏幕的策略？（現場檢查用戶的清空桌面和屏幕設置）NAYESNANANANANA符合A.7.8設備選址和保護設備的安置或保護，是否在可減少由環境威脅和危險所造成的各種風險以及未授權訪問的機會？（現場檢查設備的安置和保護情況，并可能需要系統測試保護措施是否適當）NANAYESNANANANA符合A.7.9組織場所外的資產安全對于組織場所的設備，是否考慮了工作在組織場所以外的不同風險，而采取安全措施？（可能測試組織場所外的設備安全狀況，如移動設備的加密）NANAYESNANANANA符合A.7.10存儲介質是否有適當的可移動介質的管理程序？NAYESNANANANANA符合對于不再需要的介質，是否使用正式的程序可靠并安全地處置？NAYESNANANANANA符合當包含信息的介質在組織的物理邊界以外運送時，是否有防范未授權的訪問、不當使用或毀壞的措施？NAYESNANANANANA符合A.7.11支持性設施對于支持性設施的失效而引起的電源故障和其它中斷，設備是否能夠免于受到影響？（現場檢查并可能需要測試支持性設施的保護措施）NANAYESNANANANA符合A.7.12布纜安全是否可以保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或者損壞？（現場檢查供電和通信電纜的布線狀況）NANAYESNANANANA符合A.7.13設備維護為了確保設備持續的可用性和完整性，對設備是否予以正確的維護？NANAYESNANANANA符合A.7.14設備的安全處置或再利用為了確保在處置之前，任何敏感信息和注冊軟件已經被刪除或安全地寫覆蓋，是否對包含儲存介質的設備的所有項目進行核查？（現場檢查并可能測試設備處置或重用情況）NANAYESNANANANA符合A.8技術控制A.8.1用戶終端設備是否有正式的策略并且采用適當的安全措施，以防止使用移動計算和通信設施時所造成的風險？NANAYESNANANANA符合用戶是否確保無人值守的用戶設備由適當的保護？NANAYESNANANANA符合A.8.2特許訪問權是否限制和控制特殊權限的分配及使用？NANAYESNANANANA符合A.8.3信息訪問限制用戶對信息和應用系統功能的訪問，是否依照已確定的訪問控制策略進行限制？NANAYESNANANANA符合A.8.4源代碼的訪問是否限制訪問程序源代碼？NANAYESNANANANA符合A.8.5安全的身份驗證訪問操作系統是否通過安全登錄規程加以控制？NANAYESNANANANA符合A.8.6容量管理為了確保所需要的系統性能，是否對資源的使用進行監視和調整，并對未來的容量需求做出規劃？（可能需要測試系統性能和資源容量）NANAYESNANANANA符合A.8.7惡意軟件防范是否有對惡意代碼的控制措施（包括惡意代碼的監測、預防和恢復）？是否有適當的提高用戶安全意識的規程？NANAYESNANANANA符合A.8.8技術脆弱性管理是否及時了解和獲得有關現有信息系統的技術脆弱性信息？對信息系統的技術脆弱性是否進行評價，并采取處理相關的風險的適當措施？NANAYESNANANANA符合是否進行技術符合性評審，以確保信息系統是符合信息安全政策和標準的？（可檢查是否有滲透測試、脆弱性評估）NANAYESNANANANA符合A.8.9配置管理公司是否建立配置數據庫？是否定期對配置項進行檢查？NANAYESNANANANA符合A.8.10信息刪除公司是否制定有數據刪除手段？對不需要的敏感數據刪除時是否有刪除記錄？NANAYESNANANANA符合A.8.11數據屏蔽公司使用那些數據屏蔽的技術？NANAYESNANANANA符合A.8.12數據泄露防護公司制定有什么策略防止數據處理、存儲或傳輸敏感信息？公司的防泄漏工具有哪些？NANAYESNANANANA符合A.8.13信息備份是否按照已設的備份策略，定期備份和測試信息和軟件？（推薦測試信息備份和恢復過程，如嘗試一次恢復操作）NANAYESNANANANA符合A.8.14信息處理設施的冗余信息處理設施是否有足夠的冗余，以確保可用性的要求？NANAYESNANANANA符合A.8.15記錄日志是否對用戶活動、異常情況、故障和信息安全事態的審計日志進行記錄？并定期對事件日志進行評審？NANAYESNANANANA符合為了防止篡改和未授權的訪問，記錄日志的設施和日志信息是否加以保護？NANAYESNANANANA符合系統管理員和系統操作員的活動是否寫入日志中？NANAYESNANANANA符合A.8.16監控活動公司是否對網絡、系統和應用程序等異常行為進行監控？是否定期監控記錄進行評審？監控工具清單？資源的使用情況？是否建立了系統正常行為的基線？NANAYESNANANANA符合A.8.17時鐘同步公司或安全域內的所有相關信息處理設施的時鐘，是否使用已設的精確時間源進行同步？NANAYESNANANANA符合A.8.18特權實用程序的使用對于可能超越系統和應用程序控制措施的實用工具的使用，是否加以限制并嚴格控制？NANAYESNANANANA符合A.8.19在操作系統上安裝軟件在運行系統上安裝軟件方面，是否有程序或控制措施？NANAYESNANANANA符合用戶安裝軟件是否有規程進行控制？NANAYESNANANANA符合A.8.20網絡安全為了防止威脅的發生，維護使用網絡的系統和應用程序的安全?NANAYESNANANANA符合A.8.21網絡服務的安全是否有網絡服務協議，網絡服務協議是否包括安全特性、服務級別以及所有網絡服務的管理要求？NANAYESNANANANA符合A.8.22網絡隔離是否在網絡上對信息服務、用戶和信息系統進行隔離控制？NANAYESNANANANA符合A.8.23網頁過濾是否設置有網頁過濾策略？是否進行了黑白名單設置？NANAYESNANANANA符合A.8.24加密技術的使用是否開發和實施使用密碼控制措施來保護信息的策略？NANAYESNANANANA符合是否有密鑰管理以支持組織使用密碼技術？NANAYESNANANANA符合A.8.25安全開發生命周期是否有建立軟件或系統的開發規則？NANAYESNANANANA符合A.8.26應用程序安全要求為了防止欺詐活動、合同爭議以及未授權的泄漏和修改，包含在公共網絡的應用服務信息，是否受到保護？NANAYESNANANANA符合在應用服務上交易的信息是否受保護，以防止不完全傳輸、錯誤路由、未授權的消息篡改、未授權的泄露、未授權的消息復制或重放？NANAYESNANANANA符合A.8.27安全系統架構和工程原則工程安全系統原則是否被建立？并應用到任何信息系統開發工作中？NANAYESNANANANA符合A.8.28安全編碼是否制定有安全編碼規則？是否對代碼進行安全檢查？NANAYESNANANANA符合A.8.29開發和驗收中的安全測試是否進行安全功能測試？NANAYESNANANANA符合是否建立了新建信息系統、系統更新、版本升級驗收測試規程和標準？NANAYESNANANANA符合A.8.30外包開發是否管理和監視外包軟件的開發？NANAYESNANANANA符合A.8.31開發、測試和生產環境的分離為了減少未授權訪問（或更改）運行系統的風險，開發設施、測試設施和運行測試是否彼此分離開？（可能需要測試開發、測試和運行設施是否分離）NANAYESNANANANA符合在整個系統開發生命周期的系統開發和集成工作中，是否建立了適當的安全開發環境？NANAYESNANANANA符合A.8.32變更管理對信息處理設施和系統的變更是否加以控制？（推薦測試信息處理設施或系統的變更過程）NANAYESNANANANA符合在對信息系統的變更控制方面，是否有正式的變更控制規程？NANAYESNANANANA符合在操作系統變更后，為了確保對組織的運行和安全沒有負面影響，是否對關鍵的業務應用系統進行評審和測試？NANAYESNANANANA符合對軟件包的修改，是否只限于必要的變更？對所有的變更是否加以嚴格控制？NANAYESNANANANA符合A.8.33測試信息測試數據是否進行過選擇并保護和控制？NANAYESNANANANA符合A.8.34審計測試期間信息系統的保護為了最小化造成業務過程中斷的風險，對涉及運行系統核查的審計要求和活動，是否進行了謹慎地規劃并獲得批準？NANAYESNANANANA符合ISMS內審組任命書為了使公司信息安全管理體系內審工作的順利進行，選派合格的內審員，特委任以下人員分別擔任內審組長及內審員,負責履行有關內審活動中的各項工作。具體人員安排如下:

內審組長：

內審員：

特此任命！

總經理：

日期：20XX.11.1信息安全內部會議記錄會議議題內部審核首次會議會議時間20XX.11.10主持人記錄人參加人員：各部門負責人或代表。主要內容：1、介紹審核目的、依據和范圍2、簡單介紹審核的程序和方法3、確認審核所需的資源4、介紹有關審核活動的相關規定(如不符合項分類、跟蹤方式、審核結果等)會議簽到

信息安全內部會議記錄會議議題內部審核末次會議會議時間20XX.11.10主持人記錄人參加人員：各部門負責人或代表。溝通內容：重申審核目的、依據和范圍、重申審核是抽樣調查活動。簡述審核過程，對內審的結果進行分析，總結內審中的優缺點。落實糾正措施的實施。總結內審的意義和經驗為以后的不斷改進打好基礎。會議簽到內審不符合項報告及糾正報告被審核部門第組共1頁第1頁審核員審核陪同不符合項說明：不符合項性質：￡一般￡嚴重被審核部門：審核員：日期：年月日原因分析：不符合處置方案：負責人：完成日期：年月日防止再發生的糾正措施實施：負責人：年月日糾正措施跟蹤情況：繼續跟蹤審核員：日期：年月日備注：內部審核報告編號：ZHKJ-TSMS-4-16審核目的驗證公司的信息安全管理活動是否符合ISO/IEC27001:20XX標準要求；驗證公司的信息安全管理活動是否符合相關法律法規的要求；驗證公司的信息安全管理活動是否符合信息安全管理體系文件要求；驗證公司信息安全管理體系的有效性。審核范圍審核依據ISO/IEC27001:20XX標準；適用的信息安全法律法規；公司的信息安全管理體系文件。審核日期20XX年11月10日審核組成員審核情況：本次審核按信息安全及信息技術服務管理手冊及《內部審核管理程序》要求，編制了內審計劃及實施計劃并按計劃進行了實施。審核小組3人分別按要求編制了《內部審核檢查表》；內審計劃事先也送達受審核部門。審核組在各部門配合下，按審核計劃進行審核，分別到部門、現場，采用面談、現場觀察、抽查信息安全體系文件及信息安全體系運行產生的記錄等方法，進行了抽樣調查和認真細致的檢查。審核組審核了包括總經理、管代、各有關職能部門。審核發現：信息安全管理體系文件的建立和實施經現場審核時，其適宜性、充分性和有效性基本滿足要求；各部門信息安全體系文件基本能適應各自業務的需求。本次內審中未發現不符合項。公司通過對信息資產、過程的監視和測量，內審、管理評審，糾正、預防措施，數據分析等有系統的獲得與信息安全有直接關系的信息，進行分析并用于持續改進信息安全管理體系的有效性。對信息安全管理體系運行的總結：公司的信息安全管理手冊基本滿足ISO/IEC27001:20XX標準的要求，有能力證明自身的ISMS管理，能向顧客證明管理是有效的。公司文件化信息安全管理手冊基本得到實施，發展趨勢總的來說是好的，但發展仍不平衡，特別是在相關流程文件還存在某些描述與實際運行不符的情況。公司信息安全服務方針和信息安全服務目標基本得到實現，現有信息安全服務管理體系是有效的。具備自我發現自我改進的能力，持續改進。通過本次內審，審核組認為公司的信息安全服務管理體系基本符合ISO/IEC27001:20XX標準要求，信息安全管理手冊、程序文件，能夠得以有效的實施，可以看出，體系的運行是基本符合的、有效的，能滿足信息技術服務策劃的要求。內審的策劃、間隔和實施范圍、深度及驗證是適宜的；糾正、預防措施對防止不合格再發生基本滿足要求。其他事項：以體系文件為依據，建議各部門對本部門員工要經常宣講體系文件，使各項信息安全服務活動都能按體系文件的要求執行，納入標準的軌道，保證體系運行的持續有效。信息安全服務文件和記錄是體系運行的重要依據，各部門都要重視。建議各部門把程序文件所列的信息安全服務記錄的表式逐一整理，在實際運行中逐項落實，糾正原來不符合要求的表式，對所發的文件和所收到的文件按程序規定，進行簽發、收錄登記，使文件和記錄盡快趨于完善。對控制目標的測量雖有良好的評價結果，但測量深度有待進一步加強，各分管職能人員要經常深入檢查控制措施的落實情況，以形成良好的習慣，促使管理工作上臺階。進一步建立和健全自我教育、自我評審、自我改進、自我完善的機制，經常對照體系文件與已有關的條款，查錯堵漏。在貫徹落實標準方面，各部門還有待進一步加強培訓力度。各部門與信息安全管理體系有關的各個環節的管理人員和操作人員，都要針對性地學習與已有有關的文件內容，找出目前工作與信息安全管理體系文件要求的差距，進行整改。審核組長：20XX年11月11日管理層意見：同意簽署：20XX年11月11日ISO27001：2022最新版管理評審全套資料目錄管理評審計劃管理評審會議記錄管理評審報告管理評審糾正預防措施計劃表管理評審通知單評審會議時間：20XX年6月22日評審會議地點：公司會議室參加人員：總經理、管理者代表、各部門負責人及相關人員評審內容要點：1.本公司的組織結構2.本公司的安全方針和目標3.IT服務管理體系運行情況（由管理者代表準備報告在管理評審會議上匯報）。4.內審結果（由管理者代表在管理評審會議上匯報）。5.顧客反饋信息、顧客投訴及抱怨（由業務管理部在管理評審會議上進行具體匯報）。6.資源是否充分。7.糾正/預防措施的實施有效性。8.改進的建議（由參加管理評審會議的人員在評審會上提出）。編制：XXX批準：XX日期：20XX.6.21管理評審計劃評審目的：對本公司建立的信息安全管理體系和IT服務管理體系進行評審，以確保其持續的適宜性、充分性和有效性。評審參加部門和人員：總經理、管理者代表、各部門負責人評審內容：（1）內部審核的結果；（2）各類安全控制措施的制定、執行情況；（3）服務過程的實施情況；（4）實施預防和糾正措施的狀況；（5）相關方的反饋；（6）管理體系改進情況；（7）有效性測量的結果；（8）可能影響管理體系的變更；（9）改進的建議。評審準備工作要求：（1）管理者代表匯報現階段ISMS和IT服務管理體系運行情況，包括內審的情況。由管理者代表審核，報總經理。（2）綜合部負責根據評審內容要求，組織評審資料的收集。要求各部門準備參加評審會議的討論提綱等必要的文件，評審資料由管理者代表確認。（3）各部門著重準備下述內容的匯報提綱：——本部門IT服務和信息安全措施執行的情況；——ISMS和IT服務管理體系過程的情況匯報；—