ISO27001-2013及ISO20000-2018最新内部审核全套资料南京廖华答案网

ISO27001-2013及ISO20000-2018最新内部审核全套资料下载本文

文章发布时间 : 2024/10/18 2:24:50星期五

审核组成员任命书

编号：DK-ISMS-P03-R01

根据公司质量手册规定，拟于

2019

年

月

10日—11

日对公司进行

US0270001&ISO20000

信息安全&信息技术服务管理》管理体系内部审核。现

任命XXX为审核组长，XXX为审核组成员，并做以下工作：

组长）；

于2019年12月1。日前提出此次审核计划上报管理者代表审批（审核

2. 于2019年12月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX

2019年12月4日

2019年度内部审核计划

为验证本公司各部门的信息安全管理活动是否符合安全技术-信息安全管理体系要求》

IS027001:2013《信息技术-

US020000-1：2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信

息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：

一、 2019年

12月10日至11日，进行公司第一次《信息安全&信息技术服务》

管理体系内部审核。

二、 2019年12月初，进行公司第一次信息安全管理评审。内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据

实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX 批准：XXX

2019年12月4日

《信息安全&信息技术服务》管理体系内审实施计划

1、评价公司《信息安全&信息技术服务管理》体系是否符18027001:2013《信息技术-安全技术-信息安全管理体系要求》OS020000-1:2018信息技术-审核目的服务管理体系-要求》标准、相关法律法规、《信息安全&信息技术服务管理》体系要求；2、检查本公司《信息安全&信息技术服务管理》体系的适宜性、充分性和有效性 3、寻找《信息安全&信息技术服务管理》体系改进的机会，为第三方认证审核做好准备。审核范围本公司《信息安全&信息技术服务管理》体系覆盖的所有部门和活动。 18027001:2013《信息技术-安全技术-信息安全管理体系要求》18020000-1:2018?信息技术-服务管理体系-要求》:相关的法律法规；信息安全管理体审核依据系文件。审核时间 2019年12月10日-11日审核组审核方式时间 12月10日 9:10-9:30 12月10日9:00-10:00 组长：谢XX组员：王XX 随机抽样调查部门及活动过程及涉及条款首次会议（公司中高层管理人员和审核组全体成员参加）审核员全体各部门察看各部门是否有安全隐患，有无机密信息泄露等现象。 12月10日 10:10-12:00 管理层 ISMS41/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1. ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2 ISMS:8.2/8.3/A6.1-1/A8.1?1/A8.L2/A9.2.5/A943/A11-1-1/A11?L2/A1L2.9/A12.3.1/A1244/A12.6.2/A1 12月10日 13:00-17:00 技术部 6.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:53/8.2/8.5/8.7/8.6/9.4 ISMS:7/8/9/10A6/A7/A8A/AU/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/Al1.1.1/A11.1.2/ 12月10日 9:10-17:00 综合部 A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 ISMS:8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/All.Ll/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/Al 12月11S 9:00-12:00 市场部 6.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:8.2/8.3/8.4/10.1/10.2 12月11日 13:31-15:00 组内沟通补充审核、末次会议（公司中高层管理人员和审核组全体成员参加）全体全体审核员 12月11日 15:10-17:00 注：如有变动以通知时间为准，请各受审核部门配合体系内审工作。

编制/时间：谢XX2019.12.4审核/时间:韩XX2019.12.4批准/时间：贺XX2019.12.4

审核通知书

编号:NS-JL-03

审核的目的：

评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖

所有的部门，运行是否有效。

审核准则：

ISO27001：2013标准/ISO20000-1：2018S标准；

《信息安全&信息技术服务管理手册》和相关法律法规等。

审核日期

2019年12月10日——2019年12月11日

受审核部门

管理层、综合部、市场部、技术部审核组

审核组长：组员：

沟通议题内部审核首次会议会议时间 2019-12-10 主持人记录人参加人员：各部门负责人或代表。沟通内容： 1.开展内部审核的意义。 2. 安排内部审核情况。 3. 安排人员进行残余风险的评估。 4. 外审问题点核查。到会成员部门'职务签到总经理副总经理'管代部门经理客户经理会议签到部门经理研发工程师测试工程师实施工程师部门经理行政人事会计沟通议题内部审核末次会议会议时间 2019-12-11 王XXX 主持人谢XXX 记录人参加人员：各部门负责人或代表沟通内容： 1.对内审的结果进行分析，总结内审中的优缺点。 2. 内审中发现的问题做评价，分析产生的原因和对此进行的纠正措施。 3, 落实纠正措施的实施。 4.总结内审的意义和经验为以后的不断改进打好基础。到会成员部门'职务签到总经理副总经理'管代部门经理客户经理会议签到部门经理研发工程师测试工程师实施工程师部门经理行政人事会计内审检查表

被审核部门审核主题核查要素/条款核查事项核查记录符合项管理层 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1. ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/10.1/10.2 审核成员谢XX 陪同人员审核日期贺XX 2019/12/10 观察项不符合项 4.1 理解组织及其环境现在客户越来越重视本单位的信息安全，要求服务提供商具备一定的信息安全管理水平；目前信息安全威胁不断增加，本组织的核心资产也要进行安全防护，保证核心资产的安全性、保密性、可用性。公司客户对服务提供商的信息安全提出了更高的要求，在公司给客户提供服务的过程中，客户要求保证公司接触到的客户的信息资产的安全。在服务合同中都有相关安全条款。 √ 4.2 理解相关方的需求和期望 √ 4.3 确定了信息安全的组织、业务、物理范围。 a）本公司提供IT服务的物理范围为本公司的办公场所；服务交付地点为公司顾客的办公区域。确定信息安全管理体系范围 b）客户主要为：公司计算机软硬件及信息系统的应用组织； C）主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。信息安全管理体系按ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定，建立、实施、保持和持续改进信息安全管理体系。包含了4级文件：手册、程序文件、管理制度、记录。领导层制定了信息安全方针、目标和计划；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；信息安全管理方针为：数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满尽、o 组织制定了《信息安全职责划分与标准条款对照表》，明确了每个部门角色的职责进行了信息安全风险评估，并针对高优先级的风险制定了处置计划。公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方针目标文件 √ 4.4 √ 5.1 领导力和承诺 √ 5.2 方针组织的角色，职责和权限应对风险和机会的措施目标和实现规划 √ 5.3 √ 6.1 6.2 √ 内审检查表

被审核部门审核主题管理层 4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/A5.1.1/A5.1. ITSMS:4.1/4.2/4.3/4.4/5.1/5.2/5.3/6.1/6.2/9.3/10.1/10.2 审核成员谢XXX 陪同人员审核日期贺XXX 2019/2/10 核查要素/条款核查事项核查记录为确保与《信息安全&信息技术服务》管理计划的一致性，公司将服务评审定于与每年的《信息安全&信息技术服务》管理体系管理评审同时进行。有《管理评审控制程序》，管理评审计划、管理评审报告等记录信息安全方针文件已由管理者批准、发布并传递给所有员工和外部相关方。已计划了在管理评审时评审信息安全方针，以确保其持续适宜性、充分性和有效性。为了不断提高《信息安全&信息技术服务》管理体系的适用性、有效性和充分性，在实现IT服务管理方针和目标的活动过程中，坚持对IT服务管理体系各个流程的持续改进。为此本公司建立了《纠正预防措施管理程序》，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生，包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责O 符合项观察项不符合项 9.3 ISMS管理评审 √ A5.1.1 A5.1.2 信息安全方针文件信息安全方针评审 √ √ 10.1 不符合和纠正措施 √ 10.2 持续改进组织建立了持续改进机制。定期识别需改进的地方。被审核部门综合部审核成员廖XXX 审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员张XXX 核查要素/条款 A6.1.5 A.6.2.1 A.6.2.2 A.6.1.3 核查事项项目管理中的信息安全移动设备策略远程工作信息安全职责的分配核查记录所有类型的项目，在项目的策划和执行过程中都考虑了信息安全因素。抽查了一个项目，满足要求 O 符合项观察项不符合项 √ 公司制定了策略和支持性安全措施以管理使用移动设备时带来的风险。目前尚无远程工作的情况。公司在《信息安全管理手册》附录：信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。公司在《用户访问管理程序》中建立了访问控制策略。本公司内部可公开的信息，允许所有服务用户访问。本公司内部部分公开的信息，经访问授权部门认可，访问授权实施部门实施后用户可访问》用户不得访问或尝试访问未经授权的网络、系统、文件和服务。各系统访问授权部门应编制《系统用户访问权限说明书》，明确规定访问规则，对几人共用的账号应明确责任人。公司在《用户访问管理程序》中建立了网络服务安全策略，以确保网络服务安全与服务质量。有《用户授权申请表》，符合要求。访问系统的用户具设置了用户名和口令。对各系统的系统管理员均进行了授权，有授权申请和批准的记录。 √ √ A.9.1.1 访问控制策略 √ A.9.1.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 使用网络服务的策略用户注册用户访问提供特殊权限管理 √ √ √ √ 用户安全鉴别信息的管理系统管理员按照《用户访问管理程序》对被授权访问该系统的用户口令进行分配。用户访问权的复查 √

有用户访问权审查记录，每个月审查一次。 √ 被审核部门综合部审核成员廖XX 审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款 A.9.2.6 A.9.3.1 核查事项撤销或调整访问权限安全鉴别信息的使用信息访问限制安全登录规程口令管理系统特权使用程序的使用核查记录《相关方信息安全管理程序》、《用户访问管理程序》规定了解除、变化调整访问权限的内容。当前王昌T离职- 公司在《用户访问管理程序》和相应的应用管理中明确规定了口令安全选择与使用要求，所有用户应严格遵守。实施口令定期变更策略（一般用户每半年，特权用户口令每季度）。《用户访问管理程序》规定本公司内部可公开的信息不作特别限定，允许所有用户访问。本公司内部部分公开信息，经访问授权部门认可，访问授权实施部门实施后用户方可访问。《用户访问管理程序》规定用户不得访问或尝试访问未经授权的网络、系统、文件和服务。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口令等。《用户访问管理程序》规定了对实用系统的访问控制，有系统实用工具清单。符合项观察项不符合项 √ √ A.9.4.1 A.9.4.2 A.9.4.3 A.9.4.4 A.9.4.5 √ √ 对程序源代码的访问控制《用户访问管理程序》规定不允许任何人以任何方式访问程序源代码。使用密码控制的策略密钥管理文件化的操作规程变更管理 √ A.10.1.1 使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合《信息安全合规性管理程序》的要求。各电子数据文件的形成部门应识别重要数据的加密要求，对需要加密的信息，制定加密方案，经公司总经理批准后严 √ A.10.1.2 A.12.1.1 A.12.1.2 目前尚未发生使用密钥管理的情况公司按照信息安全方针的要求，建立并实施文件化的作业程序，见《信息安全管理体系文件一览表》（《信息安全管理手册》附件）文件化的作业程序的控制执行《文件管理程序》。在变更实施前，由研发部填写《变更申请表》，明确变更的原因、变更范围、变更影响的分析及对策（包括不成功变更的恢爰措施），研发部负责人批准后予以实施。 √

被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项 A.12.1.3 A.12.1.4 A.12.2.1 A.12.3.1 A.12.4.1 A.12.4.2 A.12.4.3 A.12.4.4 A.12.5.1 A.12.6.1 A.12.6.2 A.13.1.1 目前尚无变更发生。容量管理有《容量管理规划》，对服务器存储容量和网络带宽进行了容量规划。开发、测试和运行设施的无此业务分离公司各部门员工都安装杀毒软件，并及时升级病毒库。网管定期进行监督检查。控制恶意软件信息备份事件日志日志信息的保护管理员和操作员日志时钟同步运行系统中软件的安全技术脆弱性管理软件安装限制网络控制 √ √ 公司对重要数据进行了备份。包括源代码等公司建立并保存例外事件或其它安全相关事件的审核日志，以便对将来的调查和访问控制监测提供帮助。审核日志一般通过使用系统检测工具按照事先的设置自动生成。按照《信息系统监控管理程序》，对日志信息进行了保护。系统管理员和操作员的活动也记入了日志，并规定系统管理员不允许删除或关闭其自身活动的日志 O √ 经过检查：公司所有服务器设备和终端、个人计算机均与网络时钟保持了同步。《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的升级、控制措施。 √ 《技术脆弱性管理程序》规定了对技术脆弱性的管理，目前尚未发现技术脆弱性。《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制，制定了允许安装的软件清单。对防火墙、路由器等进行了安全配置，并定期检查网络设备。 √

被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款 A.13.1.2 A.13.1.3 A.13.2.1 核查事项网络服务的安全网络隔离信息交换策略和程序信息交换协议电子消息发送安全要求分析和说明安全开发策略系统变更控制程序核查记录和网络服务提供商（电信）有签订网络服务协议。编制了《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。实现内外网隔离。制定了信息交换程序，规定：在使用电子通信设施进行信息交换时，防止交换的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息;公司互联网的计算机，不得含有涉密的公司建立了《信息交换管理程序》。目前尚无需要签署信息交换协议的情况。公司建立了《信息交换管理程序》包括电子邮件安全使用的策略，并将该策略传达到所有员工予以执行。无此业务《信息系统开发建设管理程序》中规定了软件开发生命周期的安全开发策略。《信息系统开发建设管理程序》中规定了系统变更的控制程序，当前无变更。符合项观察项 √ 不符合项 √ A.13.2.2 A.13.2.3 √ √ √ √ √ A.14.1.1 A.14.2.1 A.14.2.2 A.14.2.3 A.14.2.4

中规定了当操作系统发生更改时，操作系统更改对应用系统的影响应由系操作系统变更后应用的技《信息系统开发建设管理程序》统主管部门进行评审，确保对作业或安全措施无不利影响。目前无操作系统变更。术评审《信息系统开发建设管理程序》中规定了软件包的变更限制策略：公司不鼓励修改软件包，如果有必要确需进行更改，更改提出部门应在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全软件包变更的限制一样的复制软件上进行更改，更改实施前应得到公司领导的授权。被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录《信息系统开发建设管理程序》中规定了安全系统工程原则：在平衡信息安全需求和访问需求的基础上，组织所有架构层（业务、数据、应用和技术）宜考虑安全设计。宜分析新技术的安全风险，并根据己知的攻击模式评审其设计。符合项观察项 √ 不符合项 A.14.2.5 安全系统工程原则安全开发环境系统安全测试系统验收测试保护测试数据策划信息安全连续性 A.14.2.6 A.14.2.8 A.14.2.9 A.14.3.1 无此业务有系统验收测试报告，满足要求。测试数据均不包含敏感信息。有《业务连续性影响分析报告》、《业务连续性管理战略计划》：为达到公司业务的持续性目标，研发部组织有关部门在适当的风险评估的基础上，进行灾难及系统中断影响分析，识别出造成关键业务中断的主要事件及其影响。公司建立并实施《信息业务连续性管理程序》，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。有《业务连续性计划实施方案》和《业务连续性计划实施方案测试报告》》 √ √ √ A.17.1.1 √ A.17.1.2 实施信息安全连续性 A.17.1.3

A.17.2.1 验证、评审和评价信息安有《业务连续性实施评价报告》，每年公司组织有关部门采取适宜的测试方法对《业务连续性管理计划》全连续性进行测试。信息处理设施的可用性研发部负责识别信息系统可用性的业务要求。当使用现有系统架构不能保证可用性时，则考虑冗余 √ √ 被审核部门 7/8/9/10 综合部审核成员审核日期2019/12/11 审核主题 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS: 7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录公司确定并提供了建立、实施、保持和持续改进信息安全管理体系所需资源，包括人、财、工具设备等最高管理者需确保提供并合理配置所需的资源（人力资源，技术资源，信息资源和财务资源），确保承担《信息安全&信息技术服务》管理体系工作的人员具备相应的技能和能力。 a）本公司提供《信息安全&信息技术服务》的物理范围为本公司的办公场所；服务交付地点为公司顾客的办公区域。 b）客户主要为：公司计算机软硬件及信息系统的应用组织； c）主要向外部客户提供与公司计算机软硬件及信息系统相关的信息技术服务。符合项观察项 √ 不符合项 7.1 资源 7.2 能力公司相关部门组织制定并实施《人力资源管理程序》文件。规定了各岗位角色的能力要求。查培训计划，培训记录，培训效果评价记录：体系培训与内审员培训2019年度已实施2019年度培训计划表培训内容：关键岗位人员专项培训管理手册、程序文件及相关文件管理手册、流程管理办法及相关作业文件培训IS020000： 2018/IS027001:2013体系强化培训体系运行关键岗位人员专项培训抽IS020000服务运维、交付流程深入培训记录：培训记录表在内审、管理评审等时机、公司内部人员及外部相关方进行了沟通，有沟通记录。 √ 7.3 意识

7.4 沟通 √ 被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录查文件化的方针目标：手册中定义信息安全方针：数据保密、信息完整、控制风险、持续改进、全员参与、提高绩效、客户满意。 &菰务管理方针：真诚服务、快速响应、及时沟通、持续改进。信息安全目标：公司经营策略，各类机密数据的泄露，遗失类安全事件为零，各类信息设施的可用性达到90%以上；人力资源泄密安全事件为零；公司方案，报价等机密信息的泄露，遗失类安全事件为零；项目的施工方案及客户的资料泄露，遗失类安全事件为零。公司产品的设计方案及产品的相关机密数据的泄露遗失类安全事件为零。；软件源代码、研发资料泄露或遗失类安全事件为零。客户数据泄露、遗失类安全事件为零。每年客户投诉不得多于3次。现场施工设备安装损坏率为零；系统集成现场技术资料泄露、遗失类安全事件为零IT服务管理目标：客户服务满意率＞95%；规范过程，减少中间环节的出错几查文件清单：服务管理手册，公司二级文件23个，覆盖标准要求必须的程序；三级文件12个抽蓄变更管理程序服务报告流程管理办法信息技术服务目录编制，批准，审核符合文件控制程序要求。以上文件加盖受控章。字迹清晰易于识别，现行文件没有经过修订，无文件作废情况发生。符合项观察项 √ 不符合项 7.5 文件化信息 8.1 8.2 8.3 9.1 运行规划和控制信息安全风险评估信息安全风险处置有各种运行记录。详见记录清单。有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。 √ √

监视、测量、分析和评价通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.L1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录审核员参与制订了审核计划，风险评估人员识别了资产、脆弱性、威胁和影响，评估了风险，针对高风险制定了风险处置计划。符合项观察项 √ 不符合项 9.2 内部审核提供：内审计划。查内审条款，覆盖所有条款，与职能分配表一致。没有出现审核自己部门的情况. 为了不断提高《信息安全&信息技术服务》管理体系的适用性、有效性和充分性，在实现IT服务管理方针和目标的活动过程中，坚持对IT服务管理体系各个流程的持续改进。为此本公司建立了《纠正预防措施管理程序》，采取纠正和预防措施，分析并消除不不符合项产生的原因，防止不符合的再发生，包括对改进的识别、记录、评估、审批、优先级管理、测量和报告的权限和职责。。组织建立了持续改进机制。定期识别需改进的地方。查月采购合同、查供应商服务报告项目预算表项目名称，包括公摊费用，原材料，项办公用品与耗材，设备采购与折旧，差旅费，外协费用，任务分包，设备与设施的租金，书籍文献的采购，资料设计制作与出版印刷，招待费具体费用略 IT服务预算及预算管理流程报告预算超支过多KPI指标检查由于物价上涨，导致项目实际发生费用超过预算。改进计划涿进财务预算按财务流程要求公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责在职责分配时，分割了冲突的责任和职责范围，以降低未授权或无意的修改或者不当使用组织资产与相关部门保持联系。 √ 10.1 不符合和纠正措施 10.2 ITSMS:8.4 持续改进供应商管理 √ ITSMS:8.4 服务的预算与核算 A.6.1.1 A.6.1.2 A.6.1.3 信息安全角色和职责责任分割与政府部门的联系 √ √ √

被审核部门 7/8/9/10 综合部审核成员审核日期2019/12/11 审核主题 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4ITSMS: 7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款 A.6.1.4 A.7.1.1 A.7.1.2 A.7.2.1 A.7.2.2 A.7.2.3 A.7.3.1 A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 A.8.2.1 A.8.2.2 A.8.2.3 A.8.3.1 A.8.3.2 核查事项与特定相关方的联系审查任用条款和条件管理职责核查记录公司建立信息安全顾问，必要时聘请了外部专家。规定录用前查人员的个人相关背景、资历和相关检查，对于不符合安全要求的不得录用。查聘用人选由行政部上报公司相关人员审批，由最后的审批结果向聘用人员发放聘用通知书，并签订了劳动合同和保密协议根据公司业务要求，明确关键工作岗位及任职要求并依据建立的方针和程序来应用安全。符合项观察项 √ √ √ √ √ √ √ √ √ √ √ √ 不符合项信息安全意识、教育和培行政部负责制定的公司《员工年度培训计划》，公司的所有员工，适当时还包括合作方和第三方用户，发训现已接受适当的意识培训并定期向它们传达组织更新的方针和程序，以及工作任务方面的新纪律处理过程任用终止或职责变更资产清单资产责任人资产的允许使用资产的归还信息分类信息标识资产处理可移动介质的管理介质的处置公司未有安全违规的雇员。查看相关文件，发现第三方用户完成服务时，进行明确终止责任的沟通。保存有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人提供《用户授权申请表》，满足要求。有程序文件规定：在员工离职前应收回保密文件，退还身份证件和使用组织的所有资产，并执行财信息资产分为：数据、软件、服务、硬件、文档、设施、相关方、人员信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。现场查：信息都按程序要求进行了识别和标记；有《商业秘密管理程序》，规定了建立处理和储存信息的程序来保护这些信息免于未经授权的泄露有移动介质授权使用记录，对U盘、移动硬盘等移动介质的使用情况进行了记录。有《介质管理程序》，规定含有敏感信息或重要信息的介质在不需要或再使用时，处置部门应按照

√ √ √ 被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录要求采取安全可靠处置的方法将其信息清除。为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司符合项观察项不符合项 A.8.3.3 A.11.1.1 A.11.1.2 A.11.1.3 A.11.1.4 A.11.1.5 A.11.1.6 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.2.5 A.11.2.6 A.11.2.7 A.11.2.8 A.11.2.9 A12.7.1 物理介质传输物理安全边界物理入口控制 √ √ √ 有外来人员登记表。办公室、房间和设施的安查办公室、房间和设备，都进行了安全防护。全保护外部和环境威胁的安全防公司规定：外来人员来本公司参观或对大楼进行拍摄，须报请行政部批准，安全周界的大门下班后应关紧，行政部负责管理。应将备用设备、备品备件和备份存储介质放置在一定安全距离以外，以护在安全区域工作公司明确规定员工、第三方人员在有关安全区域工作的基本安全要求（如避免在第三方人员未被监交接区公司设有接待前台，供接待临时访问人员。按文件规定执行，由研发部负责笔记本电脑、台式机、服务器、打印机的安置和保护。设备安置和保护一提供《个人计算机配备一览表》、《计算机配置说明书》。支持性设施布缆安全设备维护一有空调等保护设备，设置了自动喷淋头，规定不允许在办公环境吸烟。大厦配备有双回路变电一现场查看网线和电源线情况，符合要求。一自体系文件实施以来，设备未出现故障，但备有《设备维护记录》表格。 √ √ √ √ √ √ 资产的移动一笔记本均有《笔记本电脑授权表》组织场所外的设备安全使用笔记本电脑离开办公场所应经授权，见《个人计算机管理程序》。离开办公场所的设备应考虑设备的安全处置或再利用《信息处理设施管理程序》规定：信息处理设施实施大修、升级、停用或报废前由使用部门和个人无人值守的用户设备现场查编号：YJ-028的PC机时，有设置屏保。清空桌面和屏幕策略现场查编号：YJ-028的PC机时，桌面保持干净信息系统审计的控制正式审核之前，审核组明了确技术性审核的项目与要求，防止审核活动本身造成不必要的安全风险 √ √ √ √ √

被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A1244/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款 A.13.2.4 A.15.1.1 A.15.1.2 A.15.1.3 A.15.2.1 A.15.2.2 A.10.4.1 A.16.1.1 A.16.1.2 A.16.1.3 A.16.1.4 A.16.1.5 A.16.1.6 A.16.1.7 核查事项保密或不泄露协议供应商关系的信息安全策略在供应商协议中解决安全信息与通信技术供应链供应商服务的监视和评审供应商服务的变更管理对恶意代码的控制措施职责和规程报告信息安全事态报告信息安全弱点信息安全事态的评估和决策信息安全事件的响应从信息安全事件中学习证据的收集核查记录查员工有签署《员工保密协议》。查公司与外部相关方有签暑《相关方保密协议》。符合项观察项 √ √ 不符合项有《相关方信息安全管理程序》，规定相关部门应协同行政部识别供应商对信息资产和信息处理设施造成的风险，并在批准供应商访问信息资产和信息处理设施前实施适当的控制。查有《相关方服务保密协议》，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中查《相关方服务保密协议》，包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要有相关方服务评审报告。评价供应商在服务过程中的安全情况。目前供应商服务无变更。现场测试扫描，没有发现病毒。《信息安全事件管理程序》规定：行政部在接到报告后应迅速做出响应，各相关部门应即使按要求《信息安全事件管理程序》规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向目前尚无相关报告。《信息安全事件管理程序》规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威目前尚无相关报告。《信息安全事件管理程序》规定：事件责任部门使用商定的信息安全事态和事件分级尺度评估每个目前尚未发生。《信息安全事件管理程序》规定：事件响应的首要目标是重新回到“正常的安全水平”，然后启动目前尚未发生。《信息安全事件管理程序》规定：事故发生以后，主管部门应对事故发生的原因、类型、损失进行目前尚未发生。《信息安全事件管理程序》规定：事件责任部门应对事件原因进行分析，必要时，采取纠正措施， √ √ √ √

√ 被审核部门综合部审核成员审核日期2019/12/11 审核主题 7/8/9/10 A6/A7/A8A/A11/A15/A18/8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/A11.1. 2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 ITSMS:7.1/7.2/7.3/7.4/7.5/8.1/8.2/8.3/8.4/8.5/8.6/8.7/9.1/9.2/10.1/10.2 陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项 A.18.1.1 A.18.1.2 A.18.1.3 A.18.1.4 A.18.1.5 A.18.2.1 目前尚未发生。可用的法律和合同要求的查看相关法律法规，发现已获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道识别进行补充。知识产权查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合同约定保护知识产权。现场查看记录，记录根据不同类型进行妥善保存，重要文档应得到相应的保存措施，以满足法律发规、记录的保护合同和业务的要求。个人可识别信息的隐私和信息处理与个人数据与信息有关的部门已按照有关规定，对个人信息进行妥善管理与保护保护密码控制措施的规则信息安全的独立评审符合安全策略和标准根据保护公司机密数据的要求，已正确应用加密技术行政部负责组织和策划内部审核，根据策划的时间间隔，或者有特殊情况时，对组织管理信息安全的方法及其实施情况进行独立评审。查看《内部审核记录》，发现审核的范围覆盖与信息安全管理体系有关的所有部门与安全区域，确保职责范围内的所有安全程序正确完成，依从安全方针和标准。查看电脑，发现利用漏洞扫描等工具对网络系统进行技术性检查，技术性审核在被监督的情况下进行，每次审核的范围覆盖与信息安全管理体系有关的所有部门与安全区域，确保职责范围内的所有安全程序正确完成，依从安全方针和标准。 √ √ √ √ √ √ A.18.2.2 √ A.18.2.3 技术符合性评审 √

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款核查事项核查记录 1. 根据公司总体战略规划及年度经营目标；符合项观察项不符合项 √ 5.3 职责围绕公司制订的产品计划，制订公司各产品的年度产品开发计划，并按计划生成各个阶段的开发文档。 3. 对公司现有产品与市场部沟通，进行销售跟踪； 4. 根据市场反馈情报资料，及时在设计上进行改良，调整不理想因素，使产品适应市场需求，增加竞争力；5.负责组织产品设计过程中的设计评审，技术验证和技术确认； 6. 负责相关技术的制定、审批、归档和保管； 7. 建立健全技术档案管理制度； 8. 负责与设计开发有关的新理念、新技术、等情报资料的收集、整理、归档。 9. 技术服务及合同的执行。 2. ISMS:8.2 信息安全风险评估

有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。 √ 被审核部门技术部 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 审核成员审核日期2019/2/10 审核主题 1.2/A18.1.3/A18.1.4 核查要素/条款 ITSMS:8.5 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查事项核查记录符合项观察项不符合项设计和转换新的或变更的服无论是客户方还是内部发起的新业务和变更业务（包括服务的中止），公司IT服务管理体务系均要求基于合理的成本和可接受的服务质量进行新业务服务交付方案的设计，考虑因素包括：组织人员、流程，技术以及商业影响等方面。新业务或变更业务的实施需要由管理层计划并批准。计划的实施必须具备充足的资金、资源以满足业务需求。计划必须涵盖的内容：（1）新业务或变更业务需求描述，服务等级水平说明，工作内容说明，符合业务变更的相关协议陈述等；（2）（3）（4）（5）（6）预算以及时间进度表；实施、运行和维护过程中的角色和职责；现存业务管理架构的变更；同客户及相关方的沟通及协商； √

ISMS:8.3 信息安全风险处置人力资源，技术以及培训的需求；（7）服务标准以及新业务运作达到的预期结果；新（变更）业务的实施必须根据变更管理流程，查适当的变更请求（RFC）o同时应进行实施后的核查，以检查新服务的成果是否达到了计划的要求。 ——见《服务变更记录单》 ——未发生己存在的服务管理框架和服务的更改。 ——人力资源能满足要求。 ——《服务变更记录单》中有体现技能和培训需求有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、 √ 被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS:9.4 核查事项服务报告核查记录一提供《服务报告流程管理各程序》根据服务级别协议(SLA)向客户提供正确的服务信息和服务结果；向内部相关人员提供信息和趋势分析结果；识别待改进项并通报给相应的流程经理；监控服务报告的及时性。收集各流程定期的各类报告。基本符合。 -- 提供《服务报告信息收集登记表》登记表中有序号、报告产生部门、报告模板、报告要求、报告周期、报告数据来源、报告数据收集方法、报告数据收集人员、报告撰写人员、报告审批要求、报告分发要求的相关信息。基本符合。 ——提供《服务管理报告》。 ——报告中有当前存在的问题说明，基本符合。 ——服务报告中的发现巳作为服务改进计划的输入。基本符合。 ——提供《可用性流程管理办法》、妇T服务连续性流程管理办法》基本符合。一可用性和服务连续性的需求应基于业务计划、SLAs和风险评估来确定。需求应包括访问权和响应次数，以及系统部件的端对端可用性。基本符合。符合项观察项不符合项 √

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS:8.7 核查事项服务连续性和可用性管理核查记录一查《可用性流程管理程序》、《IT服务连续性流程管理程序》基本符合。一可用性和服务连续性的需求应基于业务计划、SLAs和风险评估来确定。问权和响应次数，以及系统部件的端对端可用性。基本符合。 ——查《可用性计划》计划共包括6章内容，基本符合。二查可用性计划的评审记录，基本符合。 ——查《连续性计划》计划共包括9方面的内容，基 ——查连续性计划的评审记录，基本符合。 -- 体系运行以来，目前没有业务环境没有发生重大变化。基本符合。 ——查《可用性计划》计划中有变更管理，基本符合 O 符合项观察项不符合项一查《可用性管理流程报告》可用性管理流程报告中没有可用性测量记录。一一查《连续性计划》、《联系人清单》基本符合。二查《连续性计划》的测试情况。

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS:8.2.6 核查事项配置管理核查记录 ——查《容量流程管理程序》 1）使用恰当的资源，在恰当的时间，以恰当的成本查恰当的服务； 2）确保组织机构在任何时间拥有足够的能力以满足当前和未来业务的需求。 ——查《容量计划》计划包括4个方面的内容，基本符合。斐。《能力计划》中包含关键服务能力现状及分析、关键服务能力计划的内容。一一查《容量计划》。《容量计划》有说明服务升级所定义的时间表、阀值和成本。）《容量计划》有说明预期的服务升级、变更请求、新技术和技术能力的效果。《容量计划》有说明预计外部变更的影响。《容量计划》中有差异分析的数据分析。符合项观察项不符合项 √

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS:8.6 核查事项解决与完成核查记录一查《事件流程管理程序》；事件管理流程涉及财务（资金）管理、营销管理、安全研发管理、协同办公、人力资源管理、物资管理、项目管理事件管理流程不涉及尚处于开发或测试中的系统和应用。 ——提供《事件记录单》对事件进行了记录。 ——程序中己规定了所有事件的记录、优先级、分类、更新、调整、解决方案和正式关闭。基本符合。 ——每月都会和客户进行沟通，提供沟通记录。《事件流程管理报告》会保存在服务器上，会给每个员工相应的访问权限。 ——《事件记录单》中进行了分类。事件按照五级分类，其中一级分类为办公系统终端、基础设施、网络、主机、安全系统、基础应用、业务应用。当影响范围为全体或紧急程度为特急时，此类事件可认为是重大事件，需按照紧急事件流程进行处理。符合项观察项不符合项 √

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS86.3 核查事项问题管理核查记录 ——查《问题流程管理各程序》 1）分析并确定事件的根本原因，找到最终解决方案，以防止此类事件； 2）确保问题分派了正确支持人员，提高解决率； 3）根据问题优先级合理分派IT资源； 4）对事件记录做趋势性分析，主动查预防性措施；基本符合。己对识别的问题进行了记录。建立程序以识别、最小化或避免服务问题的影响。程序己规定所有问题的记录、优先级、分类、更新、调整、解决和关闭。 ——查《预防措施表》，基本符合。 -- 口述：是按照变更流程进行记录中有解决方案的说明。通过问题记录单进行管理。 ——问题记录单作为服务改进计划的输入符合项观察项不符合项 √

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 ITSMS82.6 核查事项配置管理核查记录一查《变更流程管理程序》；《发布流程管理程序》；《配置流程管理程序》一使用Excel表格运用超链接进行配置管理。基本符合。服务定义财务资产统计流程的接口，每个流程文件里均有接口描述。查《CMDB》表中己经定义配置项和组成要素。基本符合。 CMDB中已经记录了每个被定义的项目一一查《配置流程配置项管理规定》文件中定义了识别、控制和跟踪被识别的服务和构架组件的版本说明。一查《CMDB》目前CMDB中有配置项的唯一标识记录。相关的配置项没有进行唯一标识。提供变更记录基本按文件要求执行。CMDB中没有对配置项进行基线发布。 ——数字的配置项统一放在专用的服务器上，专人专管。一所有配置项都有唯一标识和记录在CMDB中。相关人员根据工作需要设置访问权限，可以访问配置项的状态、版本、位置、相关变更、问题和相关文档。基本符合。但配置项的访问控制权限不清晰。此事实不符合根据IS020000-1：2018中规定的“配置管理应提供识别、控制与追踪服务和基础设施的可识别部件版本的机制”的要求.不符合——查《配置管理检查审计报告》报告中有问题记录。基本符合。符合项观察项不符合项 √

被审核部门技术部 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 审核成员审核日期2019/2/10 审核主题 1.2/A18.1.3/A18.1.4 核查要素/条款 ITSMS:8.5.1 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查事项变更管理核查记录一查《变更流程管理程序》；《配置流程管理程序》服务和架构变更有清晰定义的和文件化的范围一查《变更记录单》所有的变更请求被记录和分类。但是没有评估其风险、影响和业务利益。（观察项）变更管理流程没有包括变更不成功时的修订和补救方式。（观察项）——查《变更记录单》记录单有审批，基本符合。 ——查《变更记录单》变更实施后，没有评审所有变更的成功与否。（观察项）文件中已对交付、分发和跟踪等进行了规定。基本符合。符合项观察项不符合项 √ ITSMS:8.5.3 发布和部署管理一查《发布流程管理程序》文件中已说明发布版本的频率和类型查《发布计划》一查《发布申请单》有发布日期、交付、相关变更请求、知名错误和问题。基本符合发布记录单中有测试结果说明，基本符合。 √ A.6.1.1 信息安全角色和职责公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。 A.8.1.1 资产清单

被审核部门技术部审核成员审核日期2019/2/10 审核主题 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款 A.8.L2 A.9.2.5 A.9.4.3 核查事项资产责任主体用户访问权限的复查口令管理系统核查记录有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。有用户访问权审查记录。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口令等。公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。现场查PC机，桌面保持干净公司对重要数据进行了备份。经查：个人计算机均与网络时钟保持了同步。《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制，制定了允许安装的软件清单。《信息安全事件管理程序》规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向行政部报告，行政部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前尚无相关报告。《信息安全事件管理程序》规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按《技术薄弱点管理程序》及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。目前尚无相关报告。符合项观察项 √ √ √ 不符合项 A.11.1.1 A.11.1.2 A.11.2.9 A.12.3.1 A.12.4.4 A.12.6.2 A.16.1.2 物理安全边界物理入口控制清空桌面和屏幕策略信息备份时钟同步软件安装限制报告信息安全事态 √ √ √ √ √ √ A.16.1.3 报告信息安全弱点 √

被审核部门技术部审核成员审核日期2019/2/10 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/AU.1.1/A11. 1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1.1/A18. 审核主题 1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.2/8.5/8.7/8.6/9.4 陪同人员核查要素/条款核查事项核查记录符合项观察项不符合项 A.18.1.1 可用的法律和合同要求的识查看相关法律法规，发现己获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。别 √ A.18.1.2 知识产权查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合同约定保护知识产权。现场查看记录，记录根据不同类型进行妥善保存，重要文档应得到相应的保存措施，以满足法律发规、合同和业务的要求。 √ A.18.1.3 记录的保护 √ A.18.1.4 个人可识别信息的隐私和保信息处理与个人数据与信息有关的部门已按照有关规定，对个人信息进行妥善管理与保护护 √

内审检查表

彳场竞争发展状况，提出改进方案和措施；当资2、收集和分析本行业销售和料，对客户群进行透彻的分析；亍均目的，确定销售目标，制定销售计划。 3、负责收集、整理、归纳客寻、的收集范围 J 为预防措施的实施。 4、完成公司下达的销售任务丁合同，签订SLAS,保证与客户的承诺在服务目 5、根据公司战略确定市场信律客户业务需求，管理客户关系。方 6、负责与本部门相关的改责效。执行投诉管理流程，分析评审顾客满意度进』 7、负责洽谈业务，与客户签据分析、改进等服务质量管理的活动。 i录范围内。 8、组织顾客满意度调查，了# 、负责客户沟通，评审服务内审检查表

被审核部门市场部审核成员王洪飞审核日期2019/12/11 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/ AU.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1. 审核主题核查要素/条款 1/A18.1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.3 陪同人员何素萍核查事项核查记录各厂佝JE2nx/j? 日常运维业务关系经理用户可以通过EMIL提交需求和建议，及时掌握用户所需，了解不足，采取纠正改进措施。每位有需求或建议的外部用户和内部用户。每季福末业务关系经理定期对部分用户部门进行反馈调查了解用户对IT的需求、建议和满意程度按客户满意度调查计划安排的用户部门或用户群每半年完成一次全面调查每月底服务级别经理/业务关系经理通过服务报告向客户通报服务级别情况根据服务报告对当月的SLA履行情况进行回顾公司内部日常沟通机制每周五，公司组织召开公司服务安全协调例会，由公司领导、各部门负责人参加，及时沟通当前服务运行情况及安全状况。公司外部日常沟通机制每月末，公司主要领导参加公司月服务安全协调例会，及时与客户和主管部门沟通当前信息系统运行维护中的当前运行和安全情况。沟通记录单沟通内容会议主题：顾客服务需求会议时间：2019-9-26会议地点：会议室召集部门：公司各部门主持人：韩东晖沟通摘要：客户要求1.极高的信息关联度 2. 高度适应性，可单机使用也可网络使用； 3. 丰富的查询手段和快速的查询响应速度； 4. 按不同要求形成的各类报表； 5. 多部门可共同使用，统一信息。 6. 服务的极时应客户签字确认 O 符合项观察项不符合项 ITSMS:8.3 业务关系管理

内审检查表

被审核部门市场部审核成员审核日期2019/12/11 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/ AU.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1. 审核主题核查要素/条款 1/A18.1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.3 陪同人员核查事项核查记录查服务目录和服务级别：信息技术服务目录服务组件包括：报表控件在线填报控件软件外包公司开发、测试服务器部署概要项目环境配置表版本计划数据库设计原则数据库设计场景分解清单基本符合要求查客户评审记录：SLA签订后，每月评审一次参与方：客户经理，项目经理，客户评审内容，上一周期的服务基本满足服务目标要求。查服务目标完成情况：设计原型输出按计划完成未到系统开发阶段，无统计设计说明书符合需求要求。查SLA,服务目标，客户评审记录，服务绩效评价，符合要求。在公司服务目录范围内。无内部团体提供的服务，无服务变更。符合项观察项不符合项 ITSMS:8.3.3 服务级别管理 √ ISMS:8.2 ISMS:8.3 信息安全风险评估信息安全风险处置信息安全角色和职责有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。 √ √ A.6.1.1 √

内审检查表

被审核部门市场部审核成员王洪飞审核日期2019/12/11 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/ AU.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1. 审核主题核查要素/条款 A.8.1.1 A.8.1.2 A.9.2.5 A.9.4.3 A.11.1.1 A.11.1.2 A.11.2.9 A.12.3.1 A.12.4.4 A.12.6.2 1/A18.1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.3 陪同人员何素萍核查事项资产清单资产责任主体用户访问权限的复查口令管理系统物理安全边界物理入口控制清空桌面和屏幕策略信息备份时钟同步软件安装限制核查记录有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。有用户访问权审查记录。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口令等。公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。现场查PC机，桌面保持干净公司对重要数据进行了备份。经查：个人计算机均与网络时钟保持了同步。《软件管理程序》、《个人计算机管理程序》规定了对系统中软件的控制，制定了允许安装的软件清单。《信息安全事件管理程序》规定：安全事情、事故一经发生，事情、事故发现者、责任者应立即向行政部报告，行政部应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前尚无相关报告。《信息安全事件管理程序》规定：各部门及全体员工应按照要求及时识别安全弱点及可能的安全威胁，一旦发现应按《技术薄弱点管理程序》及时向有关人员或部门报告并记录，主管部门或安全管理负责人应采取有效的预防措施，防止威胁的发生。符合项观察项不符合项 √ √ √ √ √ √ √ 、/ √ √ A.16.1.2 报告信息安全事态 √ A.16.1.3 报告信息安全弱点 √

内审检查表

被审核部门市场部审核成员审核日期2019/12/11 8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1.1/ AU.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1.2/A16.1.3/A18.1. 审核主题核查要素/条款 1/A18.1.2/A18.1.3/A18.1.4 ITSMS:5.3/8.3 陪同人员核查事项核查记录目前尚无相关报告。符合项观察项不符合项 A.18.1.1 A.18.1.2 A.18.1.3 可用的法律和合同要求的识别查看相关法律法规，发现已获取相关的国家及地方最新信息安全法律法规及其他要求，并通过相关渠道进行补充。知识产权记录的保护查看相关法律法规，符合相关法律法规，尊重知识产权按法律、法规和合同约定保护知识产权。现场查看记录，记录根据不同类型进行妥善保存，重要文档应得到相应的保存措施，以满足法律发规、合同和业务的要求。 √ √ √ A.18.1.4 个人可识别信息的隐私和保护信息处理与个人数据与信息有关的部门已按照有关规定，对个人信息进行妥善管理与保护 √ 内部审核报告

验证公司的信息安全&信息技术服务管理体系是否符合15027001:2013《信息技术-安全技术-信息安全管理体系要求》妇S020000-1:2018信息技术-服务管理体系-要求》标准要求；验证公司的信息安全&信息技术服务管理体系是否符合相审核目的关法律法规的要求；验证公司的信息安全&信息技术服务管理活动是否符合信息安全管理体系文件要求；验证公司信息安全&信息技术服务管理体系的有效性。审核范围信息安全&信息技术服务管理体系的所有流程和活动。 15027001:2013《信息技术-安全技术-信息安全管理体系要求》审核依据 US020000-1:2018信息技术-服务管理体系-要求》标准；适用的信息安全&信息技术服务管理法规；公司的信息安全&信息技术服务管理体系文件。审核日期审核组成员 2019年12月100-2019年12月11日审核情况：本次审核按《内部审核计划》进行，审核覆盖了公司信息安全&信息技术服务管理体系覆盖的所有流程和活动。审核中共发现不符合项2项，见不符合项报告。对公司信息安全管理体系运行的评价：

公司已按15027001:2013《信息技术-安全技术-信息安全管理体系要求》

US020000-1:2018信息技术-服务管理体系-要求》标准建立和实施了文件化的信息

安全&信息技术服务管理体系，通过内部审核认为，公司建立的信息俺不去管理体系符合15027001:2013?信息技术-安全技术-信息安全管理体系要求》《IS020000T:2018 信息技术-服务管理体系-要求》标准的要求，符合适用的信息安全&信息技术服务管理法规的要求，运行基本正常有效，但在实施方面还存在一些问题，需要持续改进。

审核组长：XXXXX2019年12月11日

总经理意见：

签署:XXX2019年12月11日

内审不合格报告单

受审核部门综合部不合格事实描述：

查见综合部1台电脑没有设置开机密码及屏幕保护。

以上事实不符合标准“A94.3口令管理系统\：所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改，用户定期变更口宙。

审核日期2019年12月10H-llH

不合格类型（程序）：A（体系性）口B（实施性）ElC（效果性）口不合格程度: A严重口般回审核人员：

被审核部门见证人：

B一

原因分析和纠正、预防措施：

该电脑负责人对信息管理体系理解及执行不到位。纠正措施：对该电脑设置开机密码及屏幕保护，检查公司其他电月尚无此种现象；对该电脑负责人实施ISO27001体系培训。

责任部门负责人（签字）：XXXXX2019年2月11日

审核员认可：同意原因分析与纠正、预防措施

签字：XXXX2019年12月12日

管代审批：同意原因分析与纠正、预防措施

签字：XXXX2019年12月12日

纠正、预防措施验证情况：

该不符合己得到纠正，预防措施可行

内审不合格报告单

受审核部门技术部不合格事实描述：

配置项的访问控制权限不清晰。此事实不符合根据IS020000-1：2018中9.1规定的 “配置管理应提供识别、控制与追踪服务和基础设施的可识别部件版本的机制”的要求。

审核日期2019年12月10H-llH

不合格类型（程序）：A（体系性）口B（实施性）13C（效果性）口不合格程度

审核人员：

A严重口 B一般E1

被审核部门见证人：

原因分析和纠正、预防措施：

原因分析：体系运行初期，对个别标准条款理解尚不成熟，在配置项访问权限分配时未按IS020000-1：2018中8.2.6和流程文件相关规定的要求明确配置项的访问控制权限。

纠正措施：责令立即按相关标准条款和流程文件要求建立配置项访问控制权限一览表。对配置管理规定的文件要求进行培训。

责任部门负责人（签字）：XXXX2019年2月11日

审核员认可：同意原因分析与纠正、预防措施

签字：XXXX2019年12月12日

管代审批：同意原因分析与纠正、预防措施

签字：XXXXX2019年12月12日

纠正、预防措施验证情况：

该不符合已得到纠正，预防措施可行

Word文档下载：ISO27001-2013及ISO20000-2018最新内.doc

搜索更多:ISO27001-2013及ISO20000-2018最新内