HRBank-ISMS-02-07D-V1.0 内部审核报告.docxVIP

密级：内部公开 HRBank-ISMS-02-07D-V1.0 第 PAGE 1页共 NUMPAGES 4页 内部审核报告 审核时间 审核范围 审核领域 审核要点 审核结果分析 建议解决方案或纠正预防措施 优点 待改进点 5 信息安全方针 依据业务要求和相关法律法规提供管理指导并支持信息安全。 6 信息安全组织 管理组织范围内信息安全，保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。 7 资产管理 实现和保持对组织资产的适当保护，确保信息受到适当级别的保护。 8 人力资源安全 确保员工、内部协作人员和第三方人员理解其职责、知悉信息安全威胁和利害关系、他们的职责和义务，并准备好在其正常工作过程中支持组织的安全方针，确保员工、内部协作人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 9 物理和环境安全 防止对组织场所和信息的未授权物理访问、损坏和干扰，防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。 10 通信和操作管理 确保正确、安全的操作信息处理设施，实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准，实施容量管理，防范恶意代码和移动代码，实施备份，实施网络安全管理，防止介质遭受未授权泄露、修改、移动或销毁以及业务活动的中断，保持软件交换的安全，检测未经授权的信息处理活动。 11 访问控制 控制对信息的访问，确保授权用户访问信息系统，防止未授权用户对信息和信息处理设施的访问、损害或窃取，防止对网络服务、操作系统和应用系统的未授权访问，确保使用移动计算和远程工作设施时的信息安全。 12 信息系统获取、开发和维护 通过密码方法保护信息的保密性、真实性或完整性，确保系统文件的安全，维护应用系统软件和信息的安全，降低利用公布的技术脆弱性导致的风险。 13 信息安全事件管理 确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施，确保采用一致和有效的方法对信息安全事件进行管理 14 业务连续性管理 防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复 15 符合性 避免违反任何法律、法令、法规或合同义务以及任何安全要求，确保系统符合组织的安全策略及标准，将信息系统审计过程的有效性最大化，干扰最小化。 审核员意见： 签字 年 月 日 审核组长意见： 签字 年 月 日 质量经理意见： 签字 年 月 日 管理者代表意见： 签字 年 月 日