信息安全管理体系审核检查表.pdf

信息安全管理体系 审核检查表 1 2020 年 6 月 23 日 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 信息安全管理体系审核指南 标准要求的强制性 ISMS 文件 强制性 ISMS文件 说明 (1) ISMS 方针文件 , 包括 ISMS 的范 根据标准” 4.3.1 ”a) 和 b) 的要求。 围 (2) 风险评估程序 根据” 4.3.1 ”d) 和 e) 的要求 , 要有形成文件的”风险评 估方法的描述”和”风险评估报告”。为了减少文件量 , 可创立一个《风险评估程序》。该程序文件应包括”风险 评估方法的描述” , 而其运行的结果应产生《风险评估报 告》。 (3) 风险处理程序 根据标准” 4.3.1 ”f) 的要求 , 要有形成文件的”风险处理 计划”。因此 , 可创立一个《风险处理程序》。该程序文 件运行的结果应产生《风险处理计划》。 (4) 文件控制程序 根据标准的” 4.3.2 文件控制”的要求 , 要有形成文件 的”文件控制程序”。 (5) 记录控制程序 根据标准的” 4.3.3 记录控制”的要求 , 要有形成文件 的”记录控制程序”。 (6) 内部审核程序 根据标准的” 6 内部 ISMS审核”的要求 , 要有形成文件 的”内部审核程序”。 (7) 纠正措施与预防措施程序 根据标准的” 8.2 纠正措施”的要求 , 要有形成文件的” 纠正措施程序”。根据 ”8.3 预防措施”的要求 , 要有形 成文件的”预防措施程序”。”纠正措施程序”和”预防 措施程序”一般能够合并成一个文件。 (8) 控制措施有效性的测量程序 根据标准的” 4.3.1 g) ”的要求 , 要有形成文件的”控制 措施有效性的测量程序”。 (9) 管理评审程序 ”管理评审”过程不一定要形成文件 , 但最好形成”管理 评审程序”文件 , 以方便实际工作。 (9) 适用性声明 根据标准的” 4.3.1 i) ” 的要求 , 要有形成文件的适用性 声明。 1 2020 年 6 月 23