ISO27001信息安全管理體系內(nèi)部審核資料匯編

1、2020年度ISO 27001:2013信息安全管理體系內(nèi)部審核資料匯編編 制：XXX審 核：XXX批 準(zhǔn)：XXXXXX網(wǎng)絡(luò)科技有限公司2020年5月第 頁(yè)目 錄信息安全管理體系內(nèi)審年度計(jì)劃2內(nèi)部審核實(shí)施計(jì)劃2關(guān)于開(kāi)展管理體系內(nèi)部審核通知4內(nèi)審員委派通知書(shū)5內(nèi)部審核首次會(huì)議記錄6首次會(huì)議簽到表7內(nèi)部審核檢查表8不符合報(bào)告12內(nèi)部審核末次會(huì)議記錄13末次會(huì)議簽到表14內(nèi)審報(bào)告15不符合工作及糾正措施跟蹤表16信息安全管理體系內(nèi)審年度計(jì)劃編號(hào)：JLWJ-NS-01評(píng)審日期2020年5月11日時(shí)間08:30-17:00地點(diǎn)綜合辦公室審核目的：對(duì)公司進(jìn)行內(nèi)部審核，以驗(yàn)證各部門(mén)信息安全管理體系運(yùn)行的符合

2、性、有效性和適應(yīng)性，查找信息安全管理體系運(yùn)行中的不符合項(xiàng)，提出整改意見(jiàn)，制定糾正措施，是管理層改進(jìn)和完善管理體系的有效手段，為管理評(píng)審和外部審核作準(zhǔn)備。審核依據(jù)：1.管理體系文件（包括管理手冊(cè)、程序文件、管理制度、操作規(guī)程和記錄表格等）；2.國(guó)家或行業(yè)的有關(guān)法律、法規(guī)或標(biāo)準(zhǔn)；3.GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求審核人員：審核組長(zhǎng)：XXX 組員：XXX、XX、XXX、XXX受審核部門(mén)和涉及的要求、內(nèi)容： 此次內(nèi)部審核涉及本公司所覆蓋的全部信息安全管理體系要素，各部門(mén)和全部工作人員要做到全力配合。審核過(guò)程中，涉及到相關(guān)問(wèn)

3、題的部門(mén)和個(gè)人，要在現(xiàn)場(chǎng)做積極有效的配合工作。審核日程安排：1.2020年4月10日制定內(nèi)審計(jì)劃，并上報(bào)給總經(jīng)理審核批準(zhǔn)。2.2020年4月20日由管理者代表委任內(nèi)審組成員。3.2020年4月20日綜合部主任通知各部門(mén)開(kāi)展內(nèi)部審核，并要求各部門(mén)做好準(zhǔn)備。4.2020年5月11日8:30進(jìn)行初次會(huì)議。5.2020年5月11日9:00進(jìn)行現(xiàn)場(chǎng)評(píng)審。6.2020年5月11日16:00進(jìn)行末次會(huì)議。7.2020年5月11日16:50發(fā)布內(nèi)審報(bào)告審核報(bào)告的分發(fā)范圍：此次內(nèi)審工作報(bào)告的分發(fā)范圍為：公司所有部門(mén)審核方法：1.集中審核2.現(xiàn)場(chǎng)審核審核項(xiàng)目： GB/T 22080-2016/ISO/IEC 27

4、001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求覆蓋的所有要素?？偨?jīng)理批示：批準(zhǔn)實(shí)施 批準(zhǔn)人：XXXXX 日 期：2020年4月10日 編制：綜合部 2020年4月10日內(nèi)審實(shí)施計(jì)劃編號(hào)：JLWJ2020-NS-02日期實(shí)施時(shí)間項(xiàng)目工作內(nèi)容2020年5月11日8:309:00首次會(huì)議介紹內(nèi)審組成員、內(nèi)審目的、內(nèi)審分組、內(nèi)審流程9:0012:00集中和現(xiàn)場(chǎng)審核內(nèi)審人員分組根據(jù)內(nèi)審查驗(yàn)表進(jìn)行集中審核和現(xiàn)場(chǎng)審核13:0015:30集中和現(xiàn)場(chǎng)審核內(nèi)審人員分組根據(jù)內(nèi)審查驗(yàn)表進(jìn)行集中審核和現(xiàn)場(chǎng)審核15:3016:00出具不符合報(bào)告2組人員對(duì)檢查記錄進(jìn)行匯總，對(duì)審核中出現(xiàn)的不符合項(xiàng)出具不符合報(bào)告1

5、6:0017:00末次會(huì)議發(fā)布內(nèi)審中檢查出的不符合項(xiàng)目，針對(duì)不符合項(xiàng)目進(jìn)行討論，提出整改內(nèi)容責(zé)任化和整改意見(jiàn)，限定整改期限。發(fā)布內(nèi)審報(bào)告。編制：綜合部XXX網(wǎng)絡(luò)科技有限公司文件XX發(fā)202014號(hào)關(guān)于開(kāi)展管理體系內(nèi)部審核通知公司各部門(mén)：為確保本公司建立的信息安全管理體系能夠 持續(xù)有效的運(yùn)行，經(jīng)公司會(huì)議研究，總經(jīng)理批準(zhǔn)，公司決定于2020年5月11日對(duì)公司的信息安全管理體系開(kāi)展一次年度內(nèi)審活動(dòng)，以便及時(shí)查找出在信息安全管理體系運(yùn)行中的不符合工作情況。請(qǐng)各部門(mén)接到通知后做好準(zhǔn)備工作，確保通過(guò)內(nèi)部審核的檢查工作，爭(zhēng)取取得良好的效果。 XXX網(wǎng)絡(luò)科技有限公司 2020年4月20日內(nèi)審員委派通知書(shū)根據(jù)公

6、司本年度的內(nèi)部審核計(jì)劃，現(xiàn)委派XXX為內(nèi)審組組長(zhǎng)，成員XX、XXX、XXX、XX。內(nèi)審組按照GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求中要素要求對(duì)公司信息安全管理體系進(jìn)行審核。內(nèi)審時(shí)間：2020年5月11日 管理者代表：XX 2020年4月20日內(nèi)部審核首次會(huì)議記錄編號(hào)：JLWJ2020-NS-03主持人XXX受審部門(mén)公司所有部門(mén)時(shí)間2020.5.11 8:30參會(huì)人見(jiàn)簽到表內(nèi)審組成員組長(zhǎng)：XXXX 成員：XXXX會(huì)議記錄：1.會(huì)議內(nèi)容：2020年度管理體系例行內(nèi)部審核首次會(huì)議2.確定聯(lián)系人：各部門(mén)在接受審核時(shí)，分別指定1-2

7、名陪同人員協(xié)助。3.內(nèi)審組分工內(nèi)審組分為2組，1組成員主要負(fù)責(zé)對(duì)體系文件（管理手冊(cè)、程序文件、操作規(guī)程、記錄表格等）進(jìn)行檢查。2組成員主要負(fù)責(zé)對(duì)現(xiàn)場(chǎng)（業(yè)務(wù)流程等）進(jìn)行檢查。4.內(nèi)部審核目的、依據(jù)和范圍： 內(nèi)部審核目的：對(duì)公司進(jìn)行內(nèi)部審核，以驗(yàn)證公司各部門(mén)管理體系運(yùn)行的符合性、有效性和適應(yīng)性，查找管理體系運(yùn)行中的不符合項(xiàng)，提出整改意見(jiàn)，制定糾正措施，是管理層改進(jìn)和完善管理體系的有效手段，為管理評(píng)審和外部審核作準(zhǔn)備。 內(nèi)部審核依據(jù)：依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求、相關(guān)法律法規(guī)、相關(guān)標(biāo)準(zhǔn)和公司管理體系文件作為本次審核

8、依據(jù)。 內(nèi)部審核范圍：GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求相關(guān)要素。5.內(nèi)部審核的方法和程序：采取聽(tīng)取匯報(bào)、現(xiàn)場(chǎng)查看、提問(wèn)、查閱資料等方式對(duì)各部門(mén)的管理體系和業(yè)務(wù)操作規(guī)范性進(jìn)行全面考核。審核程序按公司程序文件內(nèi)部審核控制程序進(jìn)行。6.確定內(nèi)審的日程安排：日程安排依照內(nèi)審實(shí)施計(jì)劃進(jìn)行，公司對(duì)日程安排無(wú)異議。7.本次審核重點(diǎn)：管理體系的符合性、有效性和適應(yīng)性，生產(chǎn)工作是否按照體系運(yùn)行。記錄人： XXXX 時(shí)間：2020年5月11日首次會(huì)議簽到表編號(hào)：JLWJ2020-NS-04會(huì)議地點(diǎn)會(huì)議室會(huì)議時(shí)間2020年5月11日參會(huì)人

9、員簽名序號(hào)姓名序號(hào)姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)部審核檢查表編號(hào)：JLWJ2020-NS-05審核人員XXX、XX時(shí)間2020年5月11日標(biāo)準(zhǔn)條款審核內(nèi)容審核記錄評(píng)價(jià)4.1理解組織及其背景 1.是否確定與其目標(biāo)和戰(zhàn)略方向相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的各種外部和內(nèi)部因素？1.確定了內(nèi)部和外部因素，見(jiàn)內(nèi)部外部因素分析表符合4.2理解相關(guān)方的需求和期望 1.是否確定信息安全體系相關(guān)方？2.是否確定了相關(guān)方的要求？1.有確定信息安全體系相關(guān)方，見(jiàn)

10、相關(guān)方需求和期望登記表2.確定了相關(guān)方的要求，見(jiàn)相關(guān)方需求和期望登記表符合4.3確定信息安全管理體系的范圍 1.檢查信息安全管理管理體系手冊(cè)是否有明確范圍？是否批準(zhǔn)發(fā)布？2.確定以上內(nèi)容時(shí)，是否考慮了內(nèi)外部因素、相關(guān)方要求？3.檢查適用性聲明，是否針對(duì)實(shí)際情況做了合理的刪減？1.查了管理手冊(cè)，有明確范圍，管理手冊(cè)是經(jīng)審核發(fā)布了的。2.管理體系范圍考慮了內(nèi)外部因素、相關(guān)方要求。3.檢查了適用性聲明，做了合理的刪減。符合4.4信息安全管理體系1.公司是否建立了信息安全管理體系？1.建立了信息安全管理體系。符合5.1領(lǐng)導(dǎo)和承諾1.管理層是否制定了信息安全方針和目標(biāo)？2.信息安全方針和目標(biāo)是否和公司戰(zhàn)

11、略方向一致？3.公司現(xiàn)有資源是否滿(mǎn)足信息安全管理體系？4.是否溝通有效的信息安全管理及符合信息安全管理體系要求的重要性？5.管理層是否履行自己的職責(zé)，保證信息安全達(dá)到預(yù)期結(jié)果，是否做出了承諾？6.是否指導(dǎo)并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)？7.是否發(fā)布公司管理人員、部門(mén)的職責(zé)和權(quán)限？管理人員和部門(mén)是否履行其職責(zé)？1.制定了信息安全方針和目標(biāo)，見(jiàn)管理手冊(cè)0.5方針、目標(biāo)2.信息安全方針和目標(biāo)與公司戰(zhàn)略方向一致。3.公司現(xiàn)有資源滿(mǎn)足公司信息安全管理體系。4.通過(guò)宣傳、培訓(xùn)教育、會(huì)議等方式進(jìn)行溝通信息安全管理的重要性，有相關(guān)會(huì)議記錄、培訓(xùn)記錄。5.管理層做出了承諾，見(jiàn)承諾書(shū)，管理層履行

12、了相關(guān)職能。6.對(duì)為信息安全管理體系做出貢獻(xiàn)的人員做出獎(jiǎng)勵(lì)，制定了獎(jiǎng)罰制度。7.在管理手冊(cè)、員工手冊(cè)發(fā)布了相關(guān)職責(zé)和權(quán)限，相關(guān)人員履行了相應(yīng)職能。符合5.2方針1.是否由最高管理者制定了信息安全方針并發(fā)布？2.信息安全方針是否符合標(biāo)準(zhǔn)要求？3.信息安全方針是否形成文件？4.信息安全方針是否在組織內(nèi)得到溝通？1.信息安全方針是由最高管理者制定并發(fā)布，見(jiàn)管理手冊(cè)0.5方針、目標(biāo)。2.信息安全方針?lè)螴SO 27001的要求。3.形成了文件，見(jiàn)管理手冊(cè)0.5方針、目標(biāo)符合5.3組織的角色，責(zé)任和權(quán)限1.是否發(fā)布公司管理人員、部門(mén)的職責(zé)和權(quán)限？2.是否建立了組織機(jī)構(gòu)圖和職能分配表？3.部門(mén)負(fù)責(zé)人是否在

13、管理評(píng)審時(shí)報(bào)告信息安全管理體系績(jī)效？1.發(fā)布了相關(guān)職責(zé)和權(quán)限，見(jiàn)管理手冊(cè)和員工手冊(cè)和上墻職責(zé)。2.建立了組織機(jī)構(gòu)圖和職能分配表，見(jiàn)管理手冊(cè)附錄。3.部門(mén)負(fù)責(zé)人在管理評(píng)審時(shí)報(bào)告了信息安全管理體系績(jī)效，見(jiàn)部門(mén)的管理體系運(yùn)行報(bào)告。符合6.1.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施總則1.是否建立了應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇控制程序程序文件？2.是否制定應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施？1.建立了程序文件。2.制定了應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施。符合6.1.2信息安全風(fēng)險(xiǎn)評(píng)估1.公司是否建立信息風(fēng)險(xiǎn)評(píng)估程序文件？2.公司是否進(jìn)行了風(fēng)險(xiǎn)評(píng)估并保留了風(fēng)險(xiǎn)評(píng)估過(guò)程？3.抽查2份信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，是否識(shí)別了風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)責(zé)任人？1.建立了程序文件。2.

14、公司進(jìn)行了風(fēng)險(xiǎn)評(píng)估并保留了記錄，見(jiàn)風(fēng)險(xiǎn)評(píng)估記錄、風(fēng)險(xiǎn)評(píng)估報(bào)告。3.抽查了信息安全評(píng)估報(bào)告，有識(shí)別風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)責(zé)任人。符合6.1.3信息安全風(fēng)險(xiǎn)處置1.公司是否建立了信息風(fēng)險(xiǎn)處理程序文件？2.是否制定了信息安全風(fēng)險(xiǎn)處理計(jì)劃？3.查看是否有信息風(fēng)險(xiǎn)處理記錄？1.建立了程序文件。2.制定了信息安全風(fēng)險(xiǎn)處理計(jì)劃。3.有信息風(fēng)險(xiǎn)處理記錄，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行了處理符合6.2信息安全目的及其實(shí)現(xiàn)的規(guī)劃1.公司和部門(mén)是否建立信息安全目標(biāo)？2.信息安全目標(biāo)是否符合標(biāo)準(zhǔn)要求？3.信息安全目標(biāo)是否經(jīng)過(guò)批準(zhǔn)發(fā)布？4.是否定期檢查目標(biāo)完成情況？5.是否策劃了達(dá)到信息安全目標(biāo)的方案？6.是否統(tǒng)計(jì)目標(biāo)完成情況，并進(jìn)行評(píng)價(jià)

15、分析？1.建立了信息安全目標(biāo)，見(jiàn)管理手冊(cè)0.5方針、目標(biāo)。2.信息安全目標(biāo)符合標(biāo)準(zhǔn)要求。3.信息安全目標(biāo)經(jīng)批準(zhǔn)發(fā)布。4.綜合部定期對(duì)目標(biāo)完成情況進(jìn)行檢查，有檢查記錄。5.制定了達(dá)到信息安全目標(biāo)的方案。6.綜合部統(tǒng)計(jì)了目標(biāo)完成情況，并進(jìn)行了分析評(píng)價(jià)，見(jiàn)目標(biāo)完成情況統(tǒng)計(jì)表和分析評(píng)價(jià)記錄。符合7.1資源1.公司資源是否滿(mǎn)足信息安全管理體系？2.是否建立了人力資源、信息處理設(shè)施等資源的管理程序文件？1.公司資源充足，滿(mǎn)足公司信息安全管理體系需求。2.建立相關(guān)資源管理程序文件。符合7.2能力1.公司是否對(duì)員工進(jìn)行了培訓(xùn)教育？2.是否對(duì)員工進(jìn)行了能力確認(rèn)？3.培訓(xùn)是否進(jìn)行了有效性評(píng)價(jià)？4.是否有培訓(xùn)記錄和

16、能力確認(rèn)記錄？1.對(duì)員工進(jìn)行了培訓(xùn)教育。2.對(duì)員工進(jìn)行了能力確認(rèn)。3.培訓(xùn)進(jìn)行了有效性評(píng)價(jià)。4.有相關(guān)記錄。符合7.3意識(shí)1.各部門(mén)隨機(jī)抽查2名員工，詢(xún)問(wèn)公司的信息安全方針、不符合信息安全管理體系會(huì)帶來(lái)什么樣的影響？1.各部門(mén)抽查了2名員工，技術(shù)部XX，和業(yè)務(wù)部XX回答不完整。不符合7.4溝通1.抽問(wèn)5名員工，溝通信息安全管理體系相關(guān)內(nèi)容的溝通方式？溝通內(nèi)容？什么情況下溝通？由誰(shuí)來(lái)溝通？溝通對(duì)象？2.是否有相關(guān)溝通記錄？1.抽查并了解溝通情況。2.重要溝通有相關(guān)記錄。符合7.5.1文件化信息總則1.是否建立文件控制程序？2.是否具備了標(biāo)準(zhǔn)要求的所有文件化信息？1.建立了程序文件。2.具備了IS

17、O27001要求的文件化信息。符合7.5.2文件化信息-創(chuàng)建和更新1.創(chuàng)建和更新文件是否是否符合標(biāo)準(zhǔn)要求？1.各部門(mén)按文件控制程序創(chuàng)建和更新文件。符合7.5.3文件化信息的控制1.文件化信息是否進(jìn)行了管理？2.文件化信息是否進(jìn)行了保存并得到了充分的保護(hù)？3.電子文檔是否進(jìn)行了備份？4.保密電子文件是否得到了加密？并進(jìn)行了保護(hù)？5.外來(lái)文件是否進(jìn)行了受控管理？1.對(duì)文件進(jìn)行了管理，綜合部負(fù)責(zé)文件的管理。2.對(duì)需求保存的文件進(jìn)行了保存，文件放置于文件柜內(nèi)，重要文件放置于保險(xiǎn)柜進(jìn)行保護(hù)。3.電子文檔都進(jìn)行了備份。4.保密電子文件進(jìn)行了加密，并進(jìn)行了備份。5.外來(lái)文件進(jìn)行了受控，見(jiàn)受控文件一覽表符合8

18、.1運(yùn)行規(guī)劃和控制1.針對(duì)風(fēng)險(xiǎn)是否制定了控制計(jì)劃？2.正對(duì)達(dá)到信息安全目標(biāo)是否制定了計(jì)劃？1.制定了控制計(jì)劃。2.制定了實(shí)現(xiàn)目標(biāo)的計(jì)劃。符合8.2信息安全風(fēng)險(xiǎn)評(píng)估1.是否按計(jì)劃，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估？2.是否有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告？1.按照計(jì)劃，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。2.有信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。符合8.3信息安全風(fēng)險(xiǎn)處置1.是否實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃？2.是否保留了信息安全處理記錄？1.實(shí)施了信息安全風(fēng)險(xiǎn)處置計(jì)劃。2.保留了信息安全處理記錄。符合9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)1.是否建立了監(jiān)視和測(cè)量控制程序？2.是否有監(jiān)視、測(cè)量評(píng)價(jià)記錄？1.

19、建立了程序文件。2.有評(píng)價(jià)記錄。符合9.2內(nèi)部審核1.是否組織進(jìn)行內(nèi)審審核？2.是否按策劃的時(shí)間間隔進(jìn)行內(nèi)部審核？3.內(nèi)部審核是否審核了標(biāo)準(zhǔn)要求？4.不符合項(xiàng)是否采取了措施，去年內(nèi)審整改是否都完成了？5.內(nèi)審情況是否形成文件化進(jìn)行保存？1.正在進(jìn)行內(nèi)部審核，去年也進(jìn)行了內(nèi)部審核。2.每年至少進(jìn)行1次內(nèi)部審核，2次審核間隔不超過(guò)12個(gè)月。3.內(nèi)部審核符合ISO27001要求。4.對(duì)不符合項(xiàng)制定了糾正/預(yù)防措施，去年內(nèi)部審核不符合項(xiàng)已經(jīng)整改完成，5.內(nèi)審活動(dòng)的資料進(jìn)行了文件化保存。符合9.3管理評(píng)審1.是否組織管理評(píng)審？2.是否按策劃的時(shí)間間隔進(jìn)行管理評(píng)審？3.管理評(píng)審輸入信息是否齊全？4.管理評(píng)

20、審輸出信息是否齊全？5.管理評(píng)審相關(guān)記錄是否文件化保存？1.去年組織了管理評(píng)審，今年暫未進(jìn)行，計(jì)劃將在7月份進(jìn)行。2.每年至少進(jìn)行1次管理評(píng)審，2次審核間隔不超過(guò)12個(gè)月。3.去年管理評(píng)審輸入信息齊全。4.去年管理評(píng)審輸出信息齊全。5.管理評(píng)審相關(guān)記錄進(jìn)行了文件化保存。符合10.1不符合及糾正措施1.是否建立了糾正/預(yù)防措施控制程序？2.公司正對(duì)評(píng)審出現(xiàn)不符合項(xiàng)和其他不符合發(fā)生時(shí)，是否采取措施？3.是否對(duì)糾正措施進(jìn)行驗(yàn)證？1.建立了程序文件。2.對(duì)不符合采取了糾正/預(yù)防措施。3.對(duì)糾正措施進(jìn)行了驗(yàn)證，有追蹤報(bào)告。符合10.2持續(xù)改進(jìn)1.公司進(jìn)行了哪些改進(jìn)措施？改進(jìn)措施是否有效？1.具體見(jiàn)管理評(píng)

21、審改進(jìn)措施及驗(yàn)證記錄，改進(jìn)措施有一定效果。符合不符合報(bào)告編號(hào)：JLWJ2020-NS-06審核部門(mén)技術(shù)部、業(yè)務(wù)部部門(mén)負(fù)責(zé)人XXX、XX內(nèi)審人員XXX審核日期2020年5月11日不符合事實(shí)描述：技術(shù)部員工XX，和業(yè)務(wù)部員工XX對(duì)公司信息安全方針不熟悉、對(duì)不符合的信息安全管理體系會(huì)帶來(lái)什么樣的影響不夠了解。不符合標(biāo)準(zhǔn)條款：GB/T 22080-2016/ISO/IEC 27001:2013 7.3意識(shí)不符合原因：?jiǎn)T工對(duì)GB/T 22080-2016/ISO/IEC 27001:2013的要求理解不夠到位，公司培訓(xùn)教育、宣傳力度不夠。 部門(mén)負(fù)責(zé)人： 2020年5月11日 對(duì)信息安全管理體系影響：不能

22、充分意識(shí)公司信息安全方針和信息安全管理體系的重要性，可能造成員工沒(méi)有責(zé)任心，對(duì)工作不負(fù)責(zé)，會(huì)損壞公司信息安全管理體系。 內(nèi)審組長(zhǎng)： 2020年5月11日內(nèi)部審核末次會(huì)議記錄編號(hào)：JLWJ2020-NS-07主持人管理者代表受審部門(mén)公司所有部門(mén)時(shí)間2020.5.11 16:30參會(huì)人見(jiàn)簽到表內(nèi)審組成員組長(zhǎng)：XXX 成員：XXX、XXX、XX會(huì)議記錄：1.會(huì)議內(nèi)容：2020年度管理體系例行內(nèi)部審核末次會(huì)議2.由內(nèi)審組長(zhǎng)匯報(bào)此次內(nèi)審發(fā)現(xiàn)了1項(xiàng)不符合項(xiàng)。3.由管理者代表對(duì)技術(shù)部和業(yè)務(wù)部負(fù)責(zé)人進(jìn)行了批評(píng)，該項(xiàng)整改由業(yè)務(wù)部和技術(shù)部負(fù)責(zé)人進(jìn)行整改，管理者代表要求技術(shù)部和業(yè)務(wù)部負(fù)責(zé)人于2020年5月13日前整

23、改完畢，并提出了整改建議。4.技術(shù)部和業(yè)務(wù)部負(fù)責(zé)人對(duì)內(nèi)審發(fā)現(xiàn)的問(wèn)題作出回應(yīng)，提出了整改措施，并承諾2天內(nèi)完成整改措施。記錄人： 時(shí)間： 年 月 日第 頁(yè)末次會(huì)議簽到表編號(hào)：JLWJ2020-NS-08會(huì)議地點(diǎn)會(huì)議室會(huì)議時(shí)間2020年5月11日參會(huì)人員簽名序號(hào)姓名序號(hào)姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)審報(bào)告編號(hào)：JLWJ2020-NS-09審核目的對(duì)公司進(jìn)行內(nèi)部審核，以驗(yàn)證各部門(mén)信息安全管理體系運(yùn)行的符合性、有效性和適應(yīng)性，查找信息安全管理體系運(yùn)行中的不符

24、合項(xiàng)，提出整改意見(jiàn)，制定糾正措施，是管理層改進(jìn)和完善管理體系的有效手段，為管理評(píng)審和外部審核作準(zhǔn)備。審核范圍公司所有部門(mén)審核依據(jù)1.管理體系文件（包括管理手冊(cè)、程序文件、管理制度、操作規(guī)程和記錄表格等）；2.國(guó)家或行業(yè)的有關(guān)法律、法規(guī)或標(biāo)準(zhǔn)；3.GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求）審核組長(zhǎng)XXX審核組成員XXX、XXX審核日期2020.5.11參加人員：見(jiàn)簽到表審核過(guò)程概述：為了審核公司信息安全管理體系運(yùn)行情況，對(duì)其運(yùn)行的符合性、有效性和適應(yīng)性進(jìn)行了驗(yàn)證，本公司于2020年5月11日按照內(nèi)審檢查表要素對(duì)公司所有部門(mén)進(jìn)行了審核，并出具了不符合項(xiàng)報(bào)告，組織了首次和末次會(huì)議，提出了整改建議和