内审计划及不符合项报告.xlsxVIP

内部审核实施计划 表单编号： AQ2D-05-R001 记录序号： 1、审核目的：检查公司信息安全管理体系是否正常运行，评价信息安全管理体系的保密性、完整性、可用性。 2、审核范围：XXXX科技有限公司总部 3、审核准则 3.1 信息安全管理体系要求； 3.2 法律法规的要求； 4、审核分组 第一组 第二组 第三组 第四组 5、审核时间 2014年1月21 6、审核报告发布日期及范围 审核报告将于2014年1月22日发布，发放范围为总经办、各部门、管理者代表及审核组各成员。 7、审核时程表 日期/时间 审核组 部门 质量管理部 IT部 呼叫中心 运维部 营销中心 研发中心 研发项目管理部 行政部 人力资源部 研发测试部 产品部 T-系统部 战略合作部 财务部 2014.1.21 第一组 ▲ 第二组 第三组 第四组 备注：各内审员需要对内审检查表部门专用部门进行编制。 编制/日期： 批准/日期： 不符合项报告及纠正报告单 AQ2D-05-R003 不符合事实描述: (1)组织没有风险评估方法的描述，不符合ISO27001:2005 条款4.2.1 和4.3.1 的要求； (2)某些数据、软件等资产没有被识别，例如：IT 部门中的上述资产，不符合公司《风险评估及控制程序》的 要求； (3)没有风险处置计划；不符合ISO27001:2005 条款4.2.1 的要求； (4)没有对于残余风险的批准，不符合ISO27001:2005 条款4.2.1 的要求。 审核员 / 日期： 不合格项的判定（写出违反管理体系的条款）： (1) 组织没有风险评估方法的描述，不符合 ISO27001:2005 条款 4.2.1 和 4.3.1 的要求； (2) 某些数据、软件等资产没有被识别，例如： IT 部门中的上述资产，不符合公司《风险评估及控制程序》的要求； (3) 没有风险处置计划；不符合 ISO27001:2005 条款 4.2.1 的要求； (4) 没有对于残余风险的批准，不符合 ISO27001:2005 条款 4.2.1 的要求。 不符合程度： □ 严重不符合 ■一般不符合 审核方： 受审方主管： 原因分析： 1、风险评估标准不够细化； 2、IT部遗漏了部分信息资产的统计； 3、对高风险信息资产的处置有应对措施，但没有做成规范性的计划； 4、对残余风险没有按照标准进行流程审批； 5、对信息资产风险的管控措施和管理没有落实到位； 分析人: 日期： 纠正措施： 1、补充完善了《风险评估原则》，制定了可量化的信息资产CIAB分级标准和风险等级标准； 2、增加《风险评估及控制程序》； 3、补充了遗漏的IT信息资产，如公司重要数据和文件的备份磁盘，Adobe正版软件； 4、对风险值在12分（含）以上的信息资产制定了有针对性的风险处置计划； 5、信息安全小组对信息资产的残余风险进行了分析和讨论，确定了持续改进的目标和计划，并已报请公司总经理批准； 完成日期：2014-1-23 责任人： 部门主管： 对采取措施的验证： 结论： ■ 措施有效 □ 需进一步活动 □ 措施无效 （审核员）签字： 现场审核发现，管理评审输入的策划缺少有效性测量的结果。 审核员 / 日期： 不符合标准 ISO 27001:2005 条款 7.2 的要求。 审核方： 对管理评审的理解不够清楚，缺少了有效性测量的结果。 1. 对管理评审的输入输出项做了重新检查，增加了有效性测量的结果； 2. 2014年1月22日重新对信息安全体系补充和不足部分进行了补充内审； 3. 对管理评审的输入和输出项，进行重新评估，并输出《信息安全管理体系管理评审报告》； 完成日期：2014-1-22 责任人： 部门主管： 结论： ■ 措施有效 □ 需进一步活动 □ 措施无效 （审核员）签字： 《系统监视管理规程》中关于时钟同步处理的要求不够充分。《设备管理程序》中关于资产转移的要求不够充分。《系统维护获取、开发与维护程序》中关于开发变更的要求不够充分。 审核员 / 日期： 不符合标准ISO 27001:2005 A15.1.2控制措施的要求。 1、对信息安全的细节把握还不够清楚，部分细节虽然在工作过程中有具体措施，但没有列入到管理规定中； 2、在已有的《变更管理规定》中，包含了对IT资产、操作系统、应用软件的变更管理，但缺少了产品需求和研发变更的管理，属于重大疏漏； 1、在《系统监控管理规定》中增加了关于时钟同步的内容，监控域控的w32time服务。 2、在《设备控制程序》中，补充了对资产转移的规定，资产转移要经过审