最新最完整版ISO27001信息安全管理体系内审全套资料

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

ISO27001:2023信息安全管理体系管理评审资料1. 概述本文档是 Security Management System，ISMS）的管理评审资料。

通过对ISMS进行定期的管理评审，可以确保组织的信息安全控制措施符合国际标准，并提供持续改进的机会。

2. 管理评审流程2.1 目的和范围本节介绍了ISMS管理评审的目的和范围。

主要目的是确保ISMS的有效运行和持续改进，范围包括对信息安全策略、资产管理、访问控制、风险管理等方面的审查。

2.2 评审准备本节详细描述了ISMS管理评审前的准备工作，包括确定评审对象、制定评审计划、收集评审所需文件等。

2.3 评审执行本节介绍了评审执行的步骤和方法，包括对相关文件进行审查、与相关人员进行访谈、检查现场等。

2.4 评审记录和问题提出本节说明了如何记录评审过程中的观察、发现和问题，并提出改进建议。

2.5 评审结论和报告本节总结了评审的结论，并制作评审报告，包括对ISMS的优势和改进机会进行分析和说明。

3. 管理评审检查清单和工具3.1 审查文件清单本节列出了ISMS管理评审中需要审查的文件清单，包括信息安全策略、风险评估报告、保护控制框架等。

3.2 访谈指南本节提供了访谈指南，指导评审人员与相关人员进行有效的访谈，并获取必要的信息。

3.3 检查清单本节提供了用于检查现场的清单，包括对实际安全控制措施的检查和验证。

4. 附录4.1 缩写词汇表本节提供了常用缩写词的解释和定义，便于评审人员理解和使用。

4.2 参考文献本节列出了ISMS管理评审过程中参考的相关标准和文献。

5. 结论本文档提供了ISO27001:2023信息安全管理体系管理评审的资料，帮助组织有效实施和持续改进信息安全管理体系。

通过定期的管理评审，可以确保组织的信息安全控制措施符合国际标准，以应对不断变化的威胁和风险。

最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号：A/0受控状态： ■ 受 控 □ 非受控日期： 2019年1月8日 实施日期： 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司** 《信息安全管理手册》。

2021年ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）信息安全管理体系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

2020年ISO27001-2013信息安全管理体系内审资料原创作者：李柏伦翻版盗卖者必追究责任目录1.信息安全内部审核报告2.内部信息安全管理体系审核方案3.内部信息安全审核计划4.首末次会议记录5.内部信息安全审核检查表6.内部审核记录表（现场）7.内部审核记录表（文件）8.内部审核不符合项报告原创作者：李柏伦翻版盗卖者必追究责ISO27001:2013信息安全管理体系内部审核报告审核目的：检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。

审核依据：ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。

审核范围：ISO27001:2013手册所要求的相关活动及部门。

审核时间：2020年1月6日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组由4人组成，各分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

审核组审核了包括管理层、各有关职能部等4个职能部门。

审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。

本次审核共提出不符合报告共4份，其中行政部3项，研发部1项。

所涉及的条款详见《内审不符合项（NC）报告》2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

但个别职能部门信息安全活动和人员中有责任不到位的情况。

b)建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解，信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善；3、审核发现信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年5月目录信息安全管理体系内审年度计划 (2)内部审核实施计划 (2)关于开展管理体系内部审核通知 (4)内审员委派通知书 (5)内部审核首次会议记录 (6)首次会议签到表 (7)内部审核检查表 (8)不符合报告 (12)内部审核末次会议记录 (13)末次会议签到表 (14)内审报告 (15)不符合工作及纠正措施跟踪表 (16)信息安全管理体系内审年度计划内审实施计划编制：综合部XXX网络科技有限公司文件XX发[2020]14号关于开展管理体系内部审核通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，经公司会议研究，总经理批准，公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动，以便及时查找出在信息安全管理体系运行中的不符合工作情况。

请各部门接到通知后做好准备工作，确保通过内部审核的检查工作，争取取得良好的效果。

XXX网络科技有限公司2020年4月20日内审员委派通知书根据公司本年度的内部审核计划，现委派XXX为内审组组长，成员XX、XXX、XXX、XX。

内审组按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。

内审时间：2020年5月11日管理者代表：XX 2020年4月20日内部审核首次会议记录记录人： XXXX 时间：2020年5月11日首次会议签到表内部审核检查表不符合报告内部审核末次会议记录记录人：时间：年月日末次会议签到表内审报告不符合工作及纠正措施跟踪表2020年度ISO 27001:2013信息安全管理体系管理评审资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年11月目录管理评审计划表 (2)关于开展管理评审通知 (3)管理评审输入报告 (4)管理评审会议记录 (9)管理评审报告 (10)管理评审签到表 (11)不符合/潜在不符合及纠正/预防措施表 (12)管理评审计划表2020年10月15日 2020 年10月16日XXX网络科技有限公司文件XX发[2020]25号关于开展管理评审通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，公司定于2020年11月11日在会议室展开2020年度管理评审，以便及时查找出在管理体系运行中的不符合工作情况。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

ISO 27001-2013信息安全管理体系内审全套资料（含内审计划、内审检查表、内审报告）东莞市XXXX有限公司2017年度内部审核计划编号：ISMS-4030序号：20170103-1审核目的：验证公司内部信息安全管理体系是否符合要求，为保证质量体系有效运行及不断得到完善提供依据。

审核范围：所有与信息安全管理有关的人员、部门和岗位。

审核依据：ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动说明：1.审核可以按ISO27001-2013标准集中审核，也可以按部门分月份进行审核，但必须覆盖全部信息安全职责部门和岗位，必须符合ISO27001-2013标准.2.计划在某月份被审核的部门，由内审计划编制者在表内对应处作上“√”的符号，表示该部门在某月将被审核。

编制：XXX 审核：批准：日期：2017-1-4 日期：2017-1-4 日期：2017-1-4受审核部门：陪同人员：审核员：审核日期：信息安全管理体系内部审核检查表东莞XXXX有限公司2017年信息安全内审结论报告编号：ISMS-4034状态：受控编制人：日期：审批人：日期：➢审核目的检查公司信息安全管理体系是否符合ISO27001：2013的要求及有效运行。

➢审核依据ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。

➢审核范围ISO27001:2013手册所要求的相关活动及部门。

➢审核时间2017年12月20日~ 2017年12月22日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组由2人组成，各分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

ISO27001产品概述；ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。

该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

条件：1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；3) 至少完成一次内部审核，并进行了有效的管理评审；4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

材料1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。

ISO27001信息安全管理体系管理评审整套资料汇编文件清单1管理评审计划2管理评审报告3管理评审会议记录4管理评审纠正预防措施计划表5技术部管理评审材料6销售部管理评审材料7综合管理部管理评审材料管理评审计划ISMS-0107-JL01 编号：202103为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》的要求，公司在2021年3月30日进行管理评审。

本次会议由总经理负责主持，管理者代表、公司各部门负责人参加。

本次管理评审的内容包括：1.信息安全管理体系审核和评审的结果；2.相关方的反馈；3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；4.预防和纠正措施的状况；5.风险评估没有充分强调的脆弱性或威胁；6.有效性测量的结果；7.内审不符合项的跟踪验证；8.任何可能影响信息安全管理体系的变更；9.改进的建议；参加管理评审的部门应该按照计划要求准备本部门在信息安全管理体系实施中有关材料，并在会议上汇报。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━编制：***审核：*** 批准：***日期：2021.03.25 日期：2021.03.25 日期：2021.03.25深圳市****科技有限公司管理评审报告ISMS-0107-JL04编制：审核：批准：2021年03月30日为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》和2021年度管理评审计划的要求，于2021年03月30日在公司召开了 2021年度管理评审会议。

本次会议由总经理负责主持，公司各部门负责人均参加。

本次管理评审的内容包括：1.信息安全管理体系审核和评审的结果；2.相关方的反馈；3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；4.预防和纠正措施的状况；5.风险评估没有充果；分强调的脆弱性或威胁；6.有效性测量的结7.内审不符合项的跟踪验证；8.任何可能影响信息安全管理体系的变更；9．对策略集适宜性、充分性和有效性进行评审。

IS027001-2013管理评审计划管理评审目的/范围：目的：通过信息安全管理体系评审，检查各部门执行体系的情况，验证适宜性、充分性、有效性。

范围：适用于评审组织的ISMS,包括信息安全方针和信息安全目标的评审。

IS027001-2013管理评审输入报告汇总拟定参与人：行政部、研发部、管代、总经理拟定时间：2017年10月15日拟定地点：公司会议室管理层：1安全方针和目标是正在实现过程中，考虑到刚刚实行体系暂不作调整。

过去3个月中所取得的业绩比较良好，目标经考核基本能实现；2管理人员和监督人员过去3个月中管理与监督的状况基本达到预期要求；3管理体系运行受控a.最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

但个别职能部门信息安全活动和人员中有责任不到位的情况。

b.建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解,信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善。

行政部：1、员工培训教育在本年度进行了5次培训，培训结果基本满意。

2、需要不断提高员工的信息安全意识。

3、畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的意见反馈。

4、物理防范措施受条件所限只能满足最低要求，控制还算得当，未出现严重违反公司相关制度情况。

5、内外部员工的保密协议已经签署完毕，第三方的保密合同正在落实完善过程中。

6、体系组织结构合理，能覆盖全公司各个部门，岗位职责明确，相关书面材料尚在进一步调整过程。

研发部：1尽快完成支持业务可持续性设备的科学演练，在演练过程中需要考虑信息安全。

2加强人员对纠正预防措施处理意见的学习，提高本公司纠正预防能力3风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁得到减缓和消除现状均能接受。

审核组成员任命书编号：DK-ISMS-P03-R01根据公司质量手册规定，拟于2019年12月10日—11日对公司进行US0270001&ISO20000信息安全&信息技术服务管理》管理体系内部审核。

现任命XXX为审核组长，XXX为审核组成员，并做以下工作：1.于2019年12月1。

日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年12月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX2019年12月4日2019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013《信息技术-安全技术-信息安全管理体系要求》US020000-1：2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、2019年12月10日至11日，进行公司第一次《信息安全&信息技术服务》管理体系内部审核。

二、2019年12月初，进行公司第一次信息安全管理评审。

内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX批准：XXX2019年12月4日《信息安全&信息技术服务》管理体系内审实施计划编制/时间：谢XX2019.12.4审核/时间:韩XX2019.12.4批准/时间：贺XX2019.12.4审核通知书编号:NS-JL-03 审核的目的：评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门，运行是否有效。

审核准则：ISO27001：2013标准/ISO20000-1：2018S标准；《信息安全&信息技术服务管理手册》和相关法律法规等。