某国际知名电煲斗公司ISMS差距分析报告.docx

ISO27001 GAP ANALYSIS REPORT IS027001 差距分析报告 20XX 年 X 月 XX 日提供 、差距分析基本情况: 受评审方基本信息如下 最高管理者（职务） TZCY总经理 联系电话： 000-8400008 传真： 000管理者代表（职务） ZYLZ 受评审方联系人（职 务） ZXT 标准认证系长 受评审方地址 GZ市PY区ZC镇WB基地 1.评审准则：A.信息安全管理体系标准； 适用于组织的与信息安全相关的法律、法规和其他要求； 认证合同； 其它： 2.评审目的：找出公司信息安全现状与ISO27001标准要求之间存在的差距，通过打 进和实施ISMS，以期改进，达到￡027001:2005标准要求。 3.评审范围：电煲斗的设计研发、生产、销售。 涵盖技术部、制造部、商务部、财务部、资材部、品质部、人事部、物 流中心八大部门及其业务活动。 备注: 、差距分析综合评价及建议: 评审组对受评审方所申请的评审范围进行了为期 3 天的现场评审，根据整个评审 过程的情况，总结如下： A5.安全方针： 信息安全方针及评审 问题：已形成的公司信息安全方针，对指导公司实施信息安全工作的开展缺乏 针对性和片面性，没有定期评审； 状况：公司内部已经初步建立了信息安全方针文档：《信息安全基本方针》、 《信息安全管理基本原则》，并指导公司开展信息安全方面的工作；但文件内容没 有涵盖IS027002 : 2007标准要求的信息安全方针的内容，对信息安全方针也没有 定期评审。 改进建议：根据￡027002:2007标准第5.1章的内容，整合公司《信息安全基本 方针》、《信息安全管理基本原则》为《信息安全方针》文件，增加适合但缺少的内容， 并同时考虑公司的业务战略，规定信息安全方针评审的周期和时机并实施。 A6.信息安全组织： 内部组织 问题：组织没有建立管理框架，以有效地启动和管理组织范围内的信息安全的 实施； 状况：没有明确信息安全目标并整合到相关过程中，信息安全职责只有少部分 得到明确的分配和确认，没有识别寻求内外部专家的信息安全建议的需要，每个资 产的保护和执行特定安全过程的职责没有得到有效的识别，新的信息处理设施授权 过程不规范，相应的管理措施也不完善，保密协议内容有待进一步评审和改进，还 没有建立与权威机构、特殊利益团体的联系，信息安全的独立评审大多情况没有进 行，如运行的信息系统、信息安全策略和控制目标等， 改进建议：建立公司及各部门的信息安全目标，进一步明确并分配信息安全职 责，对每一资产确定责任人；进一步健全公司信息安全组织并落实到位；按照 ￡027002:2007标准第A6.1.5适用的内容评审并更新《保密协议》；建立并保持与 政府机构、部门、特殊利益团体、专家安全论坛、行业协会的关系；建立信息安全 定期独立评审制度并实施。 外部组织 问题：与第三方签订协议时往往考虑信息安全要求较少，给信息处理设施、信 息带来安全风险。此控制目标可与 A10中第三方服务交付管理相结合。 状况：与第三方接触时能考虑安全风险，并签订相关协议。但协议内容中对安 全方面的要求不全面、不具体。 改进建议：评审更新公司与外部组织、第三方、顾客接触签订的协议（或合同） 模板内容，明确各种情况的处理要求。 A7.资产管理 资产责任 问题：公司内部未进行系统的资产识别，也未建立信息资产所有者关系，增加 了重要资产的安全风险； 状况：对信息处理设施有关的信息和资产的管理规定得到部分识别，但没有系 统地识别公司资产并指定责任人。 改进建议：公司对信息资产进行系统的识别，并建立信息资产所有者关系（可 与信息分类结合实施），维护和保持《公司重要资产清单》，制定信息及资产使用 管理规定。 信息分类 问题：公司内部对信息和资产分类指导意义不强，不能使重要的信息资产得到 有效的关注和适宜的管理； 状况：公司内部信息保密程度已划分，管理尚未严格按级别来进行，更多的是 依赖个人的意识，且相同的信息和资产不同角色管控措施亦不相同；信息的标识也 不统一。 改进建议：建议结合公司内部信息资产调查，对信息资产进行等级划分，建立 《重要信息资产清单》文件并定期更新，建议信息分类为：对外公开、内部公开、 秘密、机密、绝密，制订并实施一套与组织所米用的分类方案一致的信息标识与处 置程序。 A8.人力资源安全： 雇佣前 问题：公司设定的重要岗位缺少信息安全管理方面的要求； 状况：公司的IT系统管理员、敏感系统管理员、技术部核心人员、保安等岗位 职责缺少信息安全方面的要求；对员工、合同方和第三方用户的安全角色和职责还 没有形成文件；没有识别哪些岗位需要对雇佣人员进行背景调查； 改进建议：对公司重要（或特殊）岗位的职责描述、劳动合同进行评审和更新， 增加