ISOIEC27001：2022信息安全内审检查表.docx

内审检查表

编号：HZKJ/IS-JL-23

受审核部门

管理层

负责人

李强

审核员

刘东

审核日期

2023.8.14

ISO/IEC27001条款及要求

审核内容及方法

审核记录

判定

1.组织体系覆盖范围和过程是否有缺失？

无缺失、覆盖全面

符合

2.组织对标准条款是否剪裁？如有，所剪裁条款中过程确凿没有？

在运用信息安全标准时，有不适用条款，已在《适用性声明》中做出不适用说明。

符合

4.1理解组织及其环境

1、询问高管层，公司确定的对经营和战略方向有影响的内、外部因素主要有哪些？对这些内、外部因素的相关信息如何进行监视和评审的？

有无制定相关的公司经营环境有关文件？行业地方的新的法规要求？

组织的内部外部环境状况？有哪些需要应对和管理的风险和机遇？相关的会议纪要？

在策划和建立信息安全管理体系时考虑了以下内容：影响的外部因素有：目前造成影响的外部因素有：行业环境：供应商、竞争对手、替代品；外部环境：外部有：法律法规、经济、社会人口、技术等；内部有：价值、文件、资源因素和能力因素。有形成《组织内部环境识别评审记录》列出了有影响的内外部因素，并制定了方案和措施。

在管理评审会议总结会上有进行了讨论，对措施的有效性进行评价和分析。

已基本识别理解所处环境，能运用到管理体系中。

符合

4.2理解相关方的需求和期望

与组织信息安全管理体系有关的相关方有哪些？相关方有哪些要求？对相关方及其要求的监视和评审如何？法律法规要求的识别？

查《相关方需求和期望清单》公司的相关方包括：政府、顾客、供方、居民、员工等。

识别了相关信息安全相关的法律法规，并确定了符合法律法规要求。

建立相关方期望和需求识别记录，定期进行监视和评审，并及时更新。

符合

4.3确定信息安全管理体系的范围

1、公司是否有明确的信息安全管理体系的边界和范围？并且该范围和边界应是已考虑公司内外部因素、相关方要求和公司产品服务；

2、公司的信息安全管理体系范围是否形成文件，并得到保持？

3、组织有无界定管理体系的范围的文件？

4、确定的地理边界和管理边界有哪些，表述是否准确？

5、有无满足标准要求建立、实施、保持和持续改进管理系统的文件？

公司基于内、外部环境影响和相关方要求，结合公司产品和服务，在管理手册中确定了管理体系的边界和范围，覆盖以下场所四川省成都市办公区场所，确定边界和范围时考虑了内外部因素和相关方的要求及确定的合规性义务。

公司确定体系范围符合标准要求。

本公司根据在本部门运行的实际情况，组织相关部门编制了管理手册和程序文件，以支持管理体系在本公司的运行。

符合

4.信息安全管理体系

公司是否确定信息安全理体系的整个过程，包括：是否确定这些过程所需的输入和期望的输出？是否确定这些过程的顺序和相互作用？是否确定和应用所需的准则和方法（包括监视、测量和相关绩效指标），以确保这些过程有效的运行和控制？是否确定这些过程所需的资源并确保其可用性？是否分派这些过程的职责和权限？是否按照6.1的要求所确定的风险和机遇？是否对前述过程进行评价，是否按实实施变更，以确保实现这些过程的预期结果？是否有改进过程？

查有按照标准要求和企业实际，策划了信息安全体系所需的过程，有制定业务流程图，其中包括：软件开发系统集成过程等。

公司信息安全管理体系包括实现过程、支持过程、绩效评价、和改进过程，采用过程方法加以运作和控制。

支持过程：主要有人力资源、外部供方、工作环境、内外部沟通、文件控制等。

符合

5.1领导和承诺

A.5.1

1、最高管理者是否能证实对管理体系的领导作用和承诺？包括：-确保体系的方针、目标；并与组织环境和战略方向相一致；

-体系要求融入组织业务过程；

-促进使用过程方法和基于风险的思维；

-确保体系所需资源的可用性；-沟通管理体系的重要性和有效性；

-确保体系实现预期效果；

-促进、指导和支持人员为体系的有效性做出贡献；

-推动改进；

2．公司管理方针、目标是否形成文件，由最高管理者批准颁发？

1、公司主要是通过标语、会议、文件学习、培训、等方式，向全体人员传达将环境信息安全方针管理体系要求融