2022版27001内审检查表-.docxVIP

信息安全管理体系内审检查表 受审核部门：管理层 审核准则：ISO/IEC27001:2022，体系文件、适用法律法规 审核日期：2023.4.10 审核员： *** 审核条款 检查内容 检查结果 4.1理解组织及其环境 公司是否有部门简介，并能充分反应公司内部情况，如：背景、经营范围、财务表现、规模及设施、人力资源能力、技术优势、知识等（内部因素）及涉及法律法规和专利技术、市场占有率、主要合作伙伴及同行的影响、物理边界、信息渠道（外部因素）？ 符合 4.2 理解相关方的需求和期望 公司是否收集相关方需求及期望(上级及主要供方及客户) 包括：?顾客对信息安全的要求；已与顾客或外部供应商达成的合同；行业规范及标准；和社区团体或非政府组织的协议；法规法案；备忘录；许可，执照或其他授权形式；监管机构发布的制度；条约，公约及草案；和公共机构及顾客的协议；组织要求；自愿原则或行为规范；自愿标示或环境承诺；组织契约合同的承担义务； 符合 4.3 确定信息安全管理体系范围 公司是否有一个定义ISMS范围的过程？ 有没有明确的体系范围和边界？ 是否有对任何范围的删减？ 符合 4.4 信息安全管理体系 公司形成完整的体系文件 公司性体系文件描述适用于公司实际情况 符合 5.1 领导力和承诺 是否有一个确保管理者对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺的过程？ 管理者提供承诺的证据是否包括以下内容： 制定ISMS方针； 确保建立ISMS目标和计划； 建立信息安全的角色和职责； 向该组织传达满足信息安全目标与符合信息安全方针的重要性、法律责任和持续改进的需要； 提供足够的资源； 决定接受风险的准则和风险的可接受级别准则； 确保ISMS内审的执行； 进行ISMS管理评审。 符合 受审核部门：管理层 审核准则：ISO/IEC27001:2022，体系文件、适用法律法规 审核日期：2023.4.10 审核员： *** 审核条款 检查内容 检查结果 5.2 方针 公司是否有一个ISMS方针文件？ 公司的ISMS方针文件是否满足以下要求： 1) 包括信息安全的目标框架、信息安全工作的总方向和原则； 2) 考虑业务要求、法律法规的要求和合同要求； 3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4) 建立风险评价准则； 5) 获得管理者批准。 符合 5.3 组织的角色，职责和权限 公司内各职位职责是否明确？ 权限分派、沟通和理解是否适宜？ 各职责间关系是否明确？ 是否有颁布令和授权令？ 符合 6.1 应对风险和机会的措施 公司是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇： 1、公司在策划信息安全管理体系时，是否考虑内部和外部因素？ 2、公司在策划信息安全管理体系时，是否有理解相关方需求？ 公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。 2.应对风险和机遇的措施是否得到实施和评价措施的有效性？ 符合 6.2 信息安全目标和实现规划 公司信息安全目标是否： 1) 包括信息安全的目标框架、信息安全工作的总方向和原则； 2) 考虑业务要求、法律法规的要求和合同要求； 3) 与组织开发与维护ISMS的战略性风险管理，结合一起或保持一致； 4) 建立风险评价准则； 5) 获得管理者批准。 在对这个要求的符合性审核时，要确保组织的ISMS方针满足上述5个要求。还要注意到ISMS方针与信息安全方针的关系。 符合 受审核部门：管理层 审核准则：ISO/IEC27001:2022，体系文件、适用法律法规 审核日期：2023.4.10 审核员： *** 审核条款 检查内容 检查结果 7.1 资源 公司是否有对为满足信息安全管理体系要求的人力资源、材料、能力、信息、设施等进行评估？ 2、公司是否识别各种现有制约，即为减少不良影响或达成目标需要什么，以及需要什么措施？ 符合 9.3 管理评审 公司是否定期召开管理评审？并在管理评审中确定体系的运行是否适宜、充分和有效，并与组织的战略方向一致？管理评审输入资料是否满足要求？是否包括以为管理评审采取措施的情况？环境目标的实现程度？组织环境绩效方面的信息？资源的充分性？来自相关方的有关信息交流？应对风险