ISO27001:2013审核、检查发现事项通知单
ISO27001内审检查表(ISO27001 2013 )
6.2 信息安全目标和规划实现
1、组织是否建立了信息安全目标? 2、信息安全目标与管理方针是否存在关联? 3、信息安全目标是否可测量? 4、组织建立信息安全目标时,是否考虑了信息安全要求、风险评估和 风险处置结果? 5、信息安全目标是否在组织内被传达? 6、信息安全目标是否定期更新?
7
支持
7.1 资源
1、随机抽样部分雇员和承包方人员,询问其是否明确自己的安全角色 和职责?
信息安全意识,教育和培训
1、组织是否编制有员工培训管理程序? 2、组织是否编制年度的培训计划? 3、组织是否按照不同的岗位制定不同的培训计划? 4、检查年度培训计划中是否包含了信息安全意识培训、岗位技能培训 、相关安全技术培训和组织策略及规程的更新培训? 5、获取当年度信息安全培训和组织策略及规程的更新培训的签到表、 培训记录等,查看当年的信息安全意识培训覆盖率是否达到100%?并 且在必要时,是否将承包方人员加入到其中?
5.2
5.2 方针
1、组织制定的信息安全方针是否与组织的业务目标相一致? 2、组织制定的信息安全方针是否与信息安全目标相一致? 3、组织制定的信息安全方针是否可以体现领导的承诺? 4、组织制定的方针是否在信息安全管理手册中体现? 5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传 达给第三方。
7.4 沟通 7.5 文件记录信息
1、组织是否明确有关信息安全体系在内部和外部沟通的需求?(对象 、时间、频率等方面) 2、组织对于定期和不定期召开的协调会议,是否会形成会议纪要?
7.5.1 总则 7.5.2 创建和更新 7.5.3 文件记录信息的控制
1、组织定义的文件和记录是否包含了信息安全管理体系所要求的文件 和记录? 2、组织定义的文件和记录是否包括组织为有效实施信息安全管理体系 所必要的文件和记录? 3、金融机构总部科技部门制定的安全管理制度是否适用于全机构范 围?分支行科技部门制定的安全管理制度是否仅适用于辖内?
ISO27001:2013信息安全管理体系内部审核检查表
3.检查适用性声明,是否针对实际情况做了合理
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在问题
和依赖关系。
该范围应形成文件化信息并可用。
的删减?
4.4信息安全管理体系
组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系。
1.是否由最高管理者制定了信息安全方针并发布?
2.信息安全方针是否符合标准要求?
3.信息安全方针是否形成文件?
4.信息安全方针是否在组织内得到沟通?
5.3组织的角色,责任和权限
最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以:
a)确保信息安全管理体系符合本标准的要求;
2)评价这些措施的有效性。
1.是否制定了《应对风险和机遇程序文件》?
2,是否制定应对风险和机遇的措施?
6.1.2信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a)建立并维护信息安全风险准则,包括:
1.公司是否建立信息风险评估程序?
2.公司是否进行了风险评估并保留了风险评估
章节
条款
GB/T22080-2016(条文内容)
审核内容
审核记录
检查方式
审核结论
存在)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;
c)识别信息安全风险:
1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d)分析信息安全风险:
ISO27001信息安全管理体系内部审核检查记录表
30
是否对网络服务的安全进行了控制
1.Web访问服务的安全
2.Mail 服务的安全
□符合 □不符合
31
是否有移动介质清单的管理
1.是否有管理清单
2.记录重要信息的外部存贮介质(例如:外置
硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储
备份资料用的备份设备等),是否被保管在带锁
的文件柜中?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
□符合 □不符合
10
门禁权限是否清除了?
□符合 □不符合
11
是否制订规则划分了安全区域?
确认风险评估时是否划分了安全区域等级
□符合 □不符合
12
是否执行了安全区域划分规则?
对不同等级的区域是否有相应措施,措施是否被执行
□符合 □不符合
13
是否制订安全区域出入规则?
2.从隔离区外是否可以访问区内网络资源
□符合 □不符合
48
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
□符合 □不符合
49
是否制订了信息访问限制策略
访问策略定义文件
□符合 □不符合
50
是否执行了信息访问限制策略
对照文件实地观察实施情况
□符合 □不符合
51
是否对访问策略进行了审核
2. 搬运方法合理性
□符合 □不符合
37
是否按照公司规程实施了电子信息交换
确认是否有电子邮件使用规则,和实施情况(如发送重要文件时是否有文件加密等)
□符合 □不符合
38
是否按照公司规程实施业务信息互联
1.互联网使用的检查。
ISO27001:2013信息安全风险处理计划检查记录表
部门经理
2015-6-24
5
项目文档
各部门
员工盗取
易携带
控制
公司重要文件有相应人员保管,重要文件不随便放置在公共场合,放置加密文件柜、有门禁
各部门
部门经理
2015-6-24
6
所有人员
各部门
工作中断
离职或突发事件
控制
责任分离、合同约束、离职前培训新员工
所有部门
部门经理
2015-6-24
XX科技股份有限公司
信息安全管理体系
信息安全风险处理计划检查记录
(XX-D-01-06)
编 制:杨雪梅
批 准:钟永胜
2015年6月24日
序号
资产名称
责任部门
威胁
薄弱点
处理
方式
风险处理措施
措施责任部门
责任人
检查实施日期
1
公司各类数据
综合部
搬迁遗失或失窃
意外事件
控制
采用移动硬盘、服务器双备份、移动硬盘备份在工作场所外
综合部
刘文惠
2015-6-24
2
服务器
工程部
非授权者入侵
没有设定访问权限
控制
加密设屏保、设置混合口令
工程部
周贵川
2015-6-24
3
管理层电脑
总经办
疏忽或其他因素
不小心遗失
控制
设置混合复杂口令、外出时不携带重要数据、减少外带频次
总经办
钟永胜201Βιβλιοθήκη -6-244存储设备
各部门
病毒攻击
携带病毒
控制
减少使用频次、使用前杀毒扫描、携带机密数据的设备严禁在外部使用
信息安全管理体系ISO27001-2013内审检查表
市场部
审核成员 李子叶 审核日期 2019/9/16
审核主题
8.2\8.3\A15
陪同人员
核查 要素/条款
核查事项
核查记录
符合项
8.2
信 息 安 全 有信息安全风险评估报告,记录了风险评估的时间、人员 √
风险评估 、资产数量、风险数量、优先级等。
8.3
信 息 安 全 有信息安全风险评处置计划,记录了风险评估的时间、人 √
决安全
A.15.1.3 信 息 与 通 查《相关方服务保密协议》,包括信息与通信技术服务以 √ 信 技 术 供 及产品供应链相关的信息安全风险处理要求。
应链
A.15.2.1 供 应 商 服 有相关方服务评审报告。评价供应商在服务过程中的安全 √ 务 的 监 视 情况。
和评审
A.15.2.2 供 应 商 服 目前供应商服务无变更。 务的变更
管理
观察项
不符合项
ቤተ መጻሕፍቲ ባይዱ
风险处置 员、资产数量、风险数量、优先级等。
A.15.1.1
供 应 商 关 有《相关方信息安全管理程序》,规定相关部门应协同行 √ 系 的 信 息 政部识别供应商对信息资产和信息处理设施造成的风险, 安全策略 并在批准供应商访问信息资产和信息处理设施前实施适当
A.15.1.2 在 供 应 商 的 查控 有制 《。 相关方服务保密协议》,所有与外部相关方合作而 √ 协 议 中 解 引起的安全需求或内部控制都应在协议中反映。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001:2013内部审核管理程序
XXXXXXXXX有限责任公司内部审核管理程序[XXXX-B-06]V1.0变更履历1 目的为明确信息安全管理体系内审的实施方法,保证内审定期有效地实施,为管理评审和持续改进提供依据,确保信息安全管理体系的有效运行,特制定本程序。
2 范围本程序适用于本公司信息安全管理体系内部审核(简称:内审)工作的实施和管理。
3 职责3.1 综合部负责制定年度审核计划与每次的审核计划;任命内部审核小组可以进行内审;制定内审检查表以供各部门检查各项活动是否在信息安全保障内;负责管理和监督内审的进行与内审结果的确认。
3.2 其他各部门配合内部审核小组进行内审,对内审中发现的问题进行整改。
4 相关文件《信息安全管理手册》5 程序5.1 年度内审计划5.1.1 计划制定综合部制定年度审核计划,确认当年年度的审核的目的范围,受审部门及受审的时间安排。
交由综合部审批。
5.2 内审5.2.1 内审时机内部审核原则上每年至少进行一次,由综合部制定《内部审核计划》,经总经理批准后实施;若在非内审期内发现特殊情况,如有重要信息安全事件发生,或公司重要业务发生变化,可由综合部申请增加内审的次数,由总经理决定是否进行内审。
5.2.2 任命每次审核前,由综合部发出《审核组长(成员)任命书》,对参加信息安全审核的人员及部门进行任命。
综合部应制定《内部审核计划》及《内部审核方案》,经总经理批准,并由综合部通知被审核部门,被审核部门到时应选派有关人员配合审核。
5.2.3 内部审核员5.2.3.1 资格要求内部审核员必须是熟悉本组织业务和信息系统情况,参加信息安全管理体系内部审核员培训并考核合格的本组织人员。
5.2.3.2 独立性要求内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性。
5.2.4 资格评定综合部选择符合内部审核条件的人员填写《内部审核员评定表》,由综合部组织各部门代表评定。
5.2.5 考评要求信息安全管理体系内部审核员为关键岗位,应按《信息安全重要岗位评定表》进行考评。
ISO27001-2013信息安全管理体系内部审核检查表`
ISO27001-2013信息安全管理体系内部审核检查表`被审核部门:审核时间:2020.01.06 编写人:被审核部门代表确认:内审员:管理者代表:审核依据:ISO27001:2013 及法律法规要求条款标题审核问题审核对象审核方式审核结果审核记录4 组织环境4.1 4.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.2 4.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.3 4.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.4 4.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?5 领导5.1 5.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.2 5.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。
ISO27001-2013内审检查表范例
纪律处理过程 任用的终止或变化 任用终止或变化的责任 资产管理 对资产负责 资产清单 资产责任人 资产的允许使用 信息分类 信息的分类 信息的标记 资产的处理 资产的归还 介质处理 可移动介质的管理 介质的处置 物理介质传输 访问控制 访问控制的业务要求 访问控制策略 网络服务的使用政策 用户访问管理 用户注册和注销
检查组织是否制定了奖惩规则; 获取当年奖惩记录 获取当年离职离岗或转岗人员清单; 随机抽样四份离职或转岗记录,检查所有控制环节是否都被有效实施;
抽样
抽样Leabharlann 获取组织的信息资产清单; 检查信息资产清单是否每年都进行更新; 检查资产清单中各类信息资产是否都指定了责任人; 抽样5份重要的信息资产,验证已定义的信息资产责任人是否与实际相符; 了解组织重要系统或数据是否定义了访问规则;检查系统及数据访问的审批或授权 记录。 检查信息资产相关制度,组织是否已定义了资产分类分级的标准; 检查信息资产清单,各类信息资产是否依照规则进行了分类和分级; 随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级 检查信息资产相关制度,制度中是否已明确制定了资产的处理措施; 随机抽取本年度4份离职单,查看物品归还情况 现场观察移动存储使用和管控与制度是否相符 ; 检查是否建立介质消磁管理办法,并按要求定期进行回顾与更新; 抽查4份介质报废的审批及处置记录 存有重要信息的介质传送时有哪些策略 抽样策略的实施情况
现场观察 现场观察
随机抽样4名新入职员工的入职材料,检查员工入职前,背景调查的相关记录. 检查这4名新入职员工的劳动合同及是否签署了保密协议。 随机抽样5名员工,检查是否了解其工作职责。 获取组织年度的培训计划; 检查年度培训计划中是否包含了信息安全意识培训; 获取当年度信息安全培训的签到表、培训记录
ISO27001-2013信息安全管理手册(GBT 22080-2016)
XXXX有限公司信息安全管理手册ISO27001:2013 编制:审核:批准:信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。
6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。
9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一:信息安全组织架构映射表 (40)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
ISO27001:2013内审检查表(含附属各个部门EXCEL表)
陪同人员
核查记录 有信息安全风险评估报告,记录了风险评估的时间、人员、资产数量、风险数 量、优先级等。 有信息安全风险评处置计划,记录了风险评估的时间、人员、资产数量、风险 数量、优先级等。 公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管 理者代表,全面负责ISMS的建立、实施与保持工作。 有《信息安全资产清单》和《重要信息资产清单》,信息资产包括数据、软件 、硬件、服务、文档、设施、人员、相关方。 有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。 有用户访问权审查记录。 所有计算机用户在使用口令时应遵循以下原则:所有活动帐号都必须有口令保 护,所有系统初始默认口令必须更改,用户定期变更口令等。 公司安全区域分类:特别安全区域、一般区域,本部门为特别安全区域。 公司规定:公司人员上下班出入刷卡,外来人员必须进行外来人员登记后等待 接待,若需进入公司办公区域,由接待人员陪同方可进入。
文件编号:CDTY-RPZ-17
被审核部 门 市场部 审核成员
版本号:A
审核日期 2015/12/2
8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1 审核主题 .1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1 .2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 核查 核查事项 要素/条款 8.2 信息安全风险评估 8.3 信息安全风险处置 A.6.1.1 信息安全角色和职责
符合项 √ √ √
观察项
不符合项
A.8.1.1
资产清单
√
A.8.1.2 A.9.2.5 A.9.4.3
资产责任主体 用户访问权限的复查 口令管理系统
ISO27001:2013内审检查表
42 43 44 45 46
47 48
49 50 51 52 53 54 55
56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72
是否确定了风险的等级? 是否评价信息安全风险? 是否根据已建立的准则,判断风险是否可接 受或需要处理? 是否为实施风险处置确定己分析风险的优先 级? 组织是否定义并应用信息安全风险处置过 程? 在考虑风险评估结果的前提下是否选择了适 当的信息安全风险处置选项? 是否为实施所选择的信息安全风险处置选 项,确定所有必需的控制措施? 是否将所确定的控制措施与附录A的控制措 施进行比较,以核实没有遗漏必要的控制措 施? 适用性声明包含必要的控制措施是否有合理 性说明? 是 否 对 附 录 A 中控 制 目 标 和 控 制 措施 的删 减,以及删减的理由? 是否制定信息安全风险处置计划? 是否获得风险负责人对信息安全风险处置计 划以及接受信息安全残余风险的批准? 组织是否在相关职能和层次上建立信息安全 目标? 组织是否保留关于信息安全目标的文件化信 息? 信息安全目标是否与信息安全方针一致? 信息安全目标是否可测量(如可行)? 信息安全目标是否考虑适用的信息安全要求 以及风险评估和风险处置结果? 信息安全目标是否被传达? 信息安全目标是否适当时进行更新? 组织在规划如何实现其信息安全目标时是否 确定了要做什么? 组织在规划如何实现其信息安全目标时是否 确定了需要的资源? 组织在规划如何实现其信息安全目标时是否 确定了相关负责人? 组织在规划如何实现其信息安全目标时是否 确定了完成时间? 组织在规划如何实现其信息安全目标时是否 确定了评价结果的方法?
序号
ISO/IEC27001信息安全管理体系要求 核查问题 条款号 符合性 检查结果
ISO IEC27001-2013信息安全管理体系内部审核检查表
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
检查组织的信息安全管理体系手册中是否有明确管理范围
检查组织的适用性声明,是否针对实际情况做合理删减
访谈
4.4
4.4 信息安全管理体系
检查组织是否有正式的信息安全管理体系制度
抽样
5
领导
5.1
5.1 领导和承诺
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
访谈
5.2
5.2 方针
访谈
7.2 能力
检查组织在岗位说明书中明确信息安全方面的能力要求
现场观察
检查组织的培训计划,是否有信息安全方面的培训内容
现场观察
7.3 意识
随机访谈各部门员工5人,了解其是否知晓最新的信息安全管理体系及相关制度。
访谈
7.4 沟通
了解组织与相关方沟通的方式,频率以及沟通的记录
访谈
8
运行
8.1 运行的规划和控制
任用中
A.7.2.1
管理职责
随机抽样5名员工,检查是否了解其工作职责。
抽样
A.7.2.2
信息安全意识,教育和培训
获取组织年度的培训计划;
检查年度培训计划中是否包含了信息安全意识培训;
获取当年度信息安全培训的签到表、培训记录
22080-2016-ISO27001-2013信息安全管理体系纠正和预防措施控制程序
纠正和预防措施控制制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 持续改进 (3)5. 纠正措施制度 (3)5.1.信息的收集和汇总分析 (3)5.2.下达任务 (4)5.3.纠正措施的实施 (4)5.4.监督和效果验证 (4)6. 预防措施制度 (5)6.1.分析潜在不符合项的原因 (5)6.2.预防措施的实施 (5)6.3.监督和验证 (6)7. 实施策略 (6)8. 相关记录 (7)1.目的和范围为了对信息安全管理体系运行出现的不符合事项(信息安全事故、审核中出现的不符合等)或潜在不符合事项进行分析、纠正,并为防止潜在不符合项的发生,采取预防措施,以消除造成实际或潜在的不符合项的原因,持续改进信息安全管理体系,特制定纠正和预防措施管理制度。
本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2008/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《文件控制制度》5)《信息安全交流控制制度》3.职责和权限1)信息安全工作小组:●负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因,并跟踪验证纠正预防措施实施情况;●负责与相关部门共同制定纠正预防措施。
2)各部门:负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
4.持续改进1)为了消除不符合项或潜在的不符合项的产生,所采取的纠正、预防措施应与问题大小和风险程度相适应,以最佳的成本获得满足信息安全管理体系的要求。