ISO27001 2022版內審全套資料（內審計劃+檢查表+審核報告等）

第2頁共2頁信息安全內部審核計劃表編號：ZHKJ-TSMS-4-12版本：A1.0審核目的通過信息安全管理體系審核，檢查各部門執(zhí)行體系文件情況，驗證適宜性、充分性、有效性。審核依據ISO/IEC27001:20XX標準、管理體系文件、適用性聲明、有關法律法規(guī)、合同。審核范圍與計算機信息系統(tǒng)集成相關的信息安全管理服務審核部門信息安全管理體系覆蓋的所有部門審核組序號姓名職責A組長B組員C組員審核時間20XX年11月10日審核日程安排審核組活動安排所涉及的體系要求被審核部門8首次會議各部門C組9:00-11:30管理職責：5.1/5.2/A.5.1/A.5.4/5.3/A.5.2/7.1/6.2/7.4/A.5.5/A.5.6管理評審：9.3/A.5.1/10.1/A.5.35管理層13:30-17:00體系建立：4.4/4.3/4.1/4.2/6.1.1/8.1/9.1/A.5.1/A.5.36/7.5/A.5.33/A.5.37/A.5.15/A.5.12/A.5.13/6.3風險評估：8.2/6.1.2/6.1.3/8.3/A.5.9/5.23法律法規(guī)識別：A.5.31辦公區(qū)域的物理安全：A.7.1/A.7.2/A.7.3/A.7.4/A.7.5/A.7.6移動介質管理：A.7.10PC機管理：A.5.17/A.8.18/A.8.19/A.8.19/A.5.32/A.7.7/A.8.7/A.8.13文檔管理：7.5.3/A.5.13/A.5.33信息安全事件管理：A.5.24/A.5.25/A.5.26/A.5.27/A.5.28/A.6.8業(yè)務連續(xù)性管理：A.5.29/A.5.30/A.8.14內部審核：9.2/10.1/10.2/A.5.35管理運營部B組9:00-11:00人力資源管理：7.2/A.6.1/A.6.2/A.6.6/A.6.3/7.3/A.6.4/A.6.5/A.5.11/A.5.18/A.5.34/A.5.33人力資源部14:00-16:30企業(yè)特殊區(qū)域的物理安全（適用于財務室、保密室、檔案室等區(qū)域）:A.7.3/A.7.5密鑰（加密狗、U盾）的使用：A.8.24保險柜的使用：A.8.24/A.5.31供應商管理：A5.19/A.5.20/A.5.21/A.5.22/A.5.23/A.8.30財務資產部/采購保障部A、B組9:00-17:00機房環(huán)境及設備的管理：A.7.2/A.7.3/A.7.5/A.7.11/A.7.12/A.7.13/A.7.14內外網絡的管理：A.5.3/A.8.20/A.8.21/A.5.15/A.8.22/A.8.9/A.8.6/A.8.1/A.5.7/A.8.23/A.8.16用戶訪問權的管理：A.5.16/A.8.2/A.5.17/A.5.18應用系統(tǒng)服務器的管理：A.8.3/A.6.7/A.8.5/A.5.17/A.8.18/A.8.19/A.5.32/A.8.7/A.8.13/A.8.12/A.7.7/A.8.15/A.8.17/A.8.10對使用中系統(tǒng)的管理：A.8.26/A.8.29/A.8.8/A.5.36/A.8.34/A.8.11應用系統(tǒng)的開發(fā)、測試和變更：A.8.26/A.8.27/A.8.25/A.8.32/A.8.31/A.8.24/A.5.31/A.8.29/A.8.33/A.8.4/A.8.28IT設備管理：A.8.32/A.5.10/A.7.8/A.7.13/A.7.14/A.8.1/A.7.10/A.7.9服務項目涉及的信息安全：A.5.8/A.7.9/8.2/8.3/A.5.9/A.7.3/A.7.6/A.6.2/7.5.3/A.5.13/A.5.33信息傳輸要求:A.5.14/A.8.12智慧城市事業(yè)部/安全質量部A、B、C17:00-17:30末次會議備注：1、在內審實施中各部門要配合內審人員進行內審工作;在內審實施中要避免言語沖突的發(fā)生;內審員對審核結果要及時記錄(無論是否符合),并要被審核部門代表簽字確認。編制：審核：批準：日期：ISMS內審檢查表審核條款各部門審核情況一覽審核詳情備注編號ISO27001章節(jié)審核指南管理層管理運營部智慧城市事業(yè)部財務資產部人力資源部采購保障部安全質量部4組織的背景4組織的背景符合4.1了解組織現狀及背景1、體系文件中對公司的概況是否有介紹。

2、有沒有明確的體系范圍和邊界？

3、手冊中對客戶的要求是否有識別？

4、完整的體系文件？YESNANANANANANA符合4.2理解相關方的需求和期望YESNANANANANANA符合4.3確定信息安全管理體系的范圍YESNANANANANANA符合4.4ISMSYESNANANANANANA符合5領導力5.1領導力和承諾1、管理者對ISMS做出哪些承諾？

2、管理者為ISMS提供哪些資源？

3、管理者對ISMS的重要性是否給予傳達。

4、頒布令和授權令YESNANANANANANA符合5.2方針YESNANANANANANA符合5.3組織角色、職責和承諾YESNANANANANANA符合6規(guī)劃6.1應對風險和機會的措施6.1.1總則1、ISMS建立時間？

2、方針目標？

3、風險評估？

4、適用性條款？

5、風險處置計劃？YESNANANANANANA符合6.1.2信息安全風險評估YESNANANANANANA符合6.1.3信息安全風險處置YESNANANANANANA符合6.2信息安全目標和規(guī)劃實現1、信息安全方針包含信息安全目標或設置信息安全目標提供框架？YESNANANANANANA符合6.3變更的策劃YESNANANANANANA符合7支持7.1資源提供了體系建立需要的資源YESNANANANANANA符合7.2能力對體系內的工作者有能力的評價NANANANAYESNANA符合7.3意識對體系內的工作者有安全意識的培訓NANANANAYESNANA符合7.4溝通是否有相應的溝通管理程序NANANANAYESNANA符合7.5文件記錄信息7.5.1總則體系所需要的文件和記錄完整NAYESNANANANANA符合7.5.2創(chuàng)建和更新1、組織是否編制了文件控制規(guī)程？

2、組織是否遵循文件控制規(guī)程？NAYESNANANANANA符合7.5.3文件記錄信息的控制NAYESNANANANANA符合8運行8.1運行的規(guī)劃和控制管理者是否確保在其職責范圍內的所有安全程序都能得到正確執(zhí)行？NAYESYESYESYESYESNA符合8.2信息安全風險評估1、體系文件有運行中風險評估的觸發(fā)條件及固定周期

2、實施風險處置計劃？NAYESYESYESYESYESNA符合8.3信息安全風險處置NAYESYESYESYESYESNA符合9績效評價9.1監(jiān)視、測量、分析和評價1、通過哪些方式監(jiān)控體系運行，持續(xù)改進ISMS有效性？NAYESNANANANANA符合9.2內部審核1、體系中對內審有明確要求NAYESNANANANANA符合9.3管理評審1、體系中對管理評審有明確要求YESNANANANANANA符合10改進10.1不符合和糾正措施1、是否有糾正措施控制程序？NAYESNANANANANA符合10.2持續(xù)改進1、是否有對持續(xù)改進的時間及跟蹤要求？NAYESYESYESYESYESYES符合A.5組織控制A.5.1信息安全的策略集信息安全方針文件是否由管理者批準、發(fā)布？YESNANANANANANA符合A.5.2信息安全角色和職責信息安全活動是否由不同部門并具備相關角色和工作職責的代表進行協(xié)調？YESNANANANANANA符合A.5.3職責分離所有信息安全職責是否有清晰的定義YESNANANANANANA符合A.5.4管理者職責管理者是否要求雇員、承包方人員和第三方人員，按照該組織已建立的方針和程序負起安全責任？YESNANANANANANA符合A.5.5與職能機構的聯系組織是否保持與政府相關部門的適當的聯系？NAYESNANANANANA符合A.5.6與特定相關方的聯系組織是否與特殊利益團體、安全專家組和專業(yè)協(xié)會保持適當的聯系？NAYESNANANANANA符合A.5.7威脅情報NANAYESNANANANA符合A.5.8項目管理中的信息安全組織是否對其管理信息安全的方法與實踐（及信息安全控制目標與控制措施、方針、過程和程序），按既定的時間間隔（或當安全實施發(fā)生重大變化時）進行獨立評審？NANAYESNANANANA符合A.5.9信息和其它相關資產清單是否所有重要資產都進行了登記，建立了清單文件并加以維護？

與信息處理設施有關的所有信息和資產，是否由指定的部門或者人員承擔責任？NAYESNANANANANA符合A.5.10信息和其他相關資產的可接受使用與信息處理設施有關的信息和資產的可接受使用規(guī)則，是否確定形成了文件并加以實施？NAYESNANANANANA符合A.5.11資產歸還所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，是否歸還他們使用的所有組織資產？NAYESNANANANANA符合A.5.12信息的分級信息是否按照其對組織的價值、法律要求、敏感性和關鍵性進行分類？NAYESNANANANANA符合A.5.13信息的標記是否按照所采納的分類機制建立和實施一組合適的信息標記規(guī)程？NAYESNANANANANA符合A.5.14信息傳輸為了保護通過使用各種類型的通信設施的信息交換，是否有正式的交換策略、規(guī)程和控制措施？NANAYESNANANANA符合在組織和外部之間進行信息/軟件交換時，是否有交換協(xié)議？NANAYESNANANANA符合包含在電子消息發(fā)送中的信息是否給予適當的保護？NANAYESNANANANA符合A.5.15訪問控制訪問控制策略是否建立并形成文件？

是否基于業(yè)務和訪問的安全要求進行評審？NANAYESNANANANA符合是否對網絡進行分區(qū)域管理？或用戶是否僅能訪問已獲專門授權使用的服務？NANAYESNANANANA符合A.5.16身份管理是否有正式的用戶注冊與注銷程序，授權和撤銷對所有信息系統(tǒng)和服務的訪問？（對系統(tǒng)有訪問權限的員工或簽約員工進行抽樣檢查）NANAYESNANANANA符合A.5.17身份驗證信息安全鑒別信息，如口令的分配是否有一個正式的管理過程進行控制？NANAYESNANANANA符合是否要求用戶在選擇和使用安全鑒別信息時，如口令，遵循良好的安全習慣？NANAYESNANANANA符合口令管理系統(tǒng)是否交互式的并能夠確保優(yōu)質的口令？（推薦系統(tǒng)測試用戶的口令管理）NANAYESNANANANA符合A.5.18訪問權限無論什么類型的用戶，在對其分配或撤銷所有系統(tǒng)和服務的權限時，是否有一個正式的用戶訪問開通流程？NANAYESNANANANA符合資產所有者應定期對用戶的訪問權進行復查？NANAYESNANANANA符合所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權，是否在任用、合同或協(xié)議終止時，刪除，或在變化時調整？NANAYESNANANANA符合A.5.19供應商關系中的信息安全是否與供應商協(xié)商并記錄信息安全的要求，以減少供應商訪問信息資產帶來的風險？NANANAYESNANANA符合A.5.20在供應商協(xié)議中的強調信息安全是否與供應商建立并協(xié)商所有信息安全相關要求，并實施？NANANAYESNANANA符合A.5.21ICT供應鏈的信息安全管理供應商協(xié)議是否包括信息、通信技術服務和產品供應鏈的相關信息安全風險？NANANAYESNANANA符合A.5.22供應商服務的監(jiān)控、審查和變更管理對供應商提供的服務、報告和記錄，是否定期的進行監(jiān)視、評審和審核？NANANAYESNANANA符合是否管理服務提供的變更（包括保持和改進現有的信息安全策略、規(guī)程和控制措施，并考慮到業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估）？NANANAYESNANANA符合A.5.23使用云服務的信息安全公司是否使用云服務？是否與服務商簽訂有服務協(xié)議NAYESNANANANANA符合A.5.24信息安全事件管理策劃和準備是否建立了對安全事件做出快速、有效和有序反應的職責和程序？NAYESNANANANANA符合A.5.25信息安全事態(tài)的評估與決策是否對信息安全事態(tài)進行評估，以決定他們是否被歸類為信息安全事件？NAYESNANANANANA符合A.5.26信息安全事件響應對于信息安全事件是否按照已建立的職責和規(guī)程，快速、有效、有序的響應？NAYESNANANANANA符合A.5.27從信息安全事件中學習是否有一套能夠量化和監(jiān)視信息安全事件的類型、數量和代價的機制？NAYESNANANANANA符合A.5.28證據收集當信息安全事件涉及到訴訟（民事的或刑事的），需要進一步對個人或者組織進行起訴時，是否收集、保留和呈遞證據，這些證據要符合相關管轄區(qū)域對證據的要求？NAYESNANANANANA符合A.5.29中斷期間的信息安全為了解決組織的業(yè)務持續(xù)性所需的信息安全要求，組織是否開發(fā)和維持一個用于整個組織的業(yè)務持續(xù)性管理過程？和計劃？NANAYESNANANANA符合A.5.30ICT為業(yè)務連續(xù)性做好準備是否按照程序和控制的要求，實施了信息安全連續(xù)性管理過程和計劃？NANAYESNANANANA符合連續(xù)性計劃是否進行定期驗證、評審和更新，以確保其有效性？（可查看是否有演練和測試）NANAYESNANANANA符合A.5.31法律、法規(guī)、監(jiān)管和合同要求對每一個信息系統(tǒng)和組織，適用的所有相關法律法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，都明確地進行了定義，形成了文件并保持更新？NAYESNANANANANA符合使用密碼控制措施時，是否遵從相關的協(xié)議和法律法規(guī)？NAYESNANANANANA符合A.5.32知識產權在使用具有知識產權的材料和具有所有權的軟件產品時，為了符合法律、法規(guī)和合同要求，組織是否實施了適當的規(guī)程？NAYESNANANANANA符合A.5.33記錄的保護為了滿足法律、法規(guī)、合同和業(yè)務要求，是否防止重要的記錄遺失、毀壞和偽造？NAYESNANANANANA符合A.5.34隱私和個人可識別信息保護是否有依照相關的法律法規(guī)要求和合同要求，確保數據保護和隱私？NAYESNANANANANA符合A.5.35信息安全獨立審核是否有獨立評審的規(guī)程并實施？NAYESNANANANANA符合A.5.36信息安全策略、規(guī)程和標準合規(guī)管理者是否確保在其職責范圍內的所有安全程序都能得到正確執(zhí)行？YESNANANANANANA符合A.5.37文件化的操作規(guī)程操作程序是否形成了文件、加以保持并可為所有需要的用戶使用？NAYESNANANANANA符合A.6人員控制A.6.1審查對所有任用的候選者、承包方人員和第三方人員，是否按照相關法律法規(guī)、道德規(guī)范、業(yè)務要求、被訪問的信息類別和已察覺的風險，進行背景調查和驗證？NANANANAYESNANA符合A.6.2任用條款及條件雇員、承包方人員和第三方人員是否簽署了任用合同的條款和條件（這些條款和條件應聲明他們和組織的信息安全職責）NANANANAYESNANA符合A.6.3信息安全意識、教育和培訓組織的所有雇員，（適當時，也要包括承包方人員和第三方人員），是否受到與其工作職能相關的適當的意識培訓和方針策略以及規(guī)程的定期更新培訓NANANANAYESNANA符合A.6.4違規(guī)處理過程對于安全違規(guī)的雇員，是否有一個正式的紀律處理過程？NANANANAYESNANA符合A.6.5任用終止或變更的責任任用終止或任用變更的職責是否清晰地做出了定義和分配？NANANANAYESNANA符合A.6.6保密或不泄露協(xié)議保密協(xié)議是否得到識別和定期評審？（查看保密協(xié)議）NANANANAYESNANA符合A.6.7遠程工作組織是否開發(fā)和實施有關控制遠程工作活動的策略、操作計劃和規(guī)程？NANAYESNANANANA符合A.6.8報告信息安全事態(tài)是否有適當的途徑報告信息安全事態(tài)？NAYESNANANANANA符合是否要求信息系統(tǒng)和服務的所有員工、合同方和第三方用戶都需要報告他們觀察到的或懷疑的系統(tǒng)或服務中的任何安全弱點？NAYESNANANANANA符合A.7物理控制A.7.1物理安全邊界是否有用于保護包含信息和信息處理設施的區(qū)域的安全周邊（如墻、門禁卡或受管理的接待臺等屏障）？NAYESNANANANANA符合A.7.2物理入口為了確保只有已被授權人員才允許訪問，安全區(qū)域是否通過合適的入口控制措施加以保護？（現場檢查訪問記錄，并可能測試用戶進入安全區(qū)域的符合性。）NAYESNANANANANA符合A.7.3辦公室、房間和設施的安全是否為辦公室、房間和設施設計并采取物理安全措施？（現場檢查辦公室、房間和設施的保護情況）NAYESNANANANANA符合A.7.4物理安全監(jiān)控公司入口和重要區(qū)域是否安裝有監(jiān)控系統(tǒng)？監(jiān)控信息的獲取是否設置管理權限NAYESNANANANANA符合A.7.5外部和環(huán)境威脅的安全防護對由火災、洪水、地震、爆炸、社會動蕩和其他形式的自然災難或人為災難引起的損害，是否設計與采取了物理保護措施？（現場檢查針對外部威脅和環(huán)境威脅的安全防護情況）NAYESNANANANANA符合A.7.6在安全區(qū)域工作是否設計和應用了用于安全區(qū)域工作的物理保護和指南？（現場檢查安全區(qū)域的保護狀況）NAYESNANANANANA符合A.7.7清理桌面和屏幕是否采取清空桌面文件，可移動存儲介質的策略和清空信息處理設施屏幕的策略？（現場檢查用戶的清空桌面和屏幕設置）NAYESNANANANANA符合A.7.8設備選址和保護設備的安置或保護，是否在可減少由環(huán)境威脅和危險所造成的各種風險以及未授權訪問的機會？（現場檢查設備的安置和保護情況，并可能需要系統(tǒng)測試保護措施是否適當）NANAYESNANANANA符合A.7.9組織場所外的資產安全對于組織場所的設備，是否考慮了工作在組織場所以外的不同風險，而采取安全措施？（可能測試組織場所外的設備安全狀況，如移動設備的加密）NANAYESNANANANA符合A.7.10存儲介質是否有適當的可移動介質的管理程序？NAYESNANANANANA符合對于不再需要的介質，是否使用正式的程序可靠并安全地處置？NAYESNANANANANA符合當包含信息的介質在組織的物理邊界以外運送時，是否有防范未授權的訪問、不當使用或毀壞的措施？NAYESNANANANANA符合A.7.11支持性設施對于支持性設施的失效而引起的電源故障和其它中斷，設備是否能夠免于受到影響？（現場檢查并可能需要測試支持性設施的保護措施）NANAYESNANANANA符合A.7.12布纜安全是否可以保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或者損壞？（現場檢查供電和通信電纜的布線狀況）NANAYESNANANANA符合A.7.13設備維護為了確保設備持續(xù)的可用性和完整性，對設備是否予以正確的維護？NANAYESNANANANA符合A.7.14設備的安全處置或再利用為了確保在處置之前，任何敏感信息和注冊軟件已經被刪除或安全地寫覆蓋，是否對包含儲存介質的設備的所有項目進行核查？（現場檢查并可能測試設備處置或重用情況）NANAYESNANANANA符合A.8技術控制A.8.1用戶終端設備是否有正式的策略并且采用適當的安全措施，以防止使用移動計算和通信設施時所造成的風險？NANAYESNANANANA符合用戶是否確保無人值守的用戶設備由適當的保護？NANAYESNANANANA符合A.8.2特許訪問權是否限制和控制特殊權限的分配及使用？NANAYESNANANANA符合A.8.3信息訪問限制用戶對信息和應用系統(tǒng)功能的訪問，是否依照已確定的訪問控制策略進行限制？NANAYESNANANANA符合A.8.4源代碼的訪問是否限制訪問程序源代碼？NANAYESNANANANA符合A.8.5安全的身份驗證訪問操作系統(tǒng)是否通過安全登錄規(guī)程加以控制？NANAYESNANANANA符合A.8.6容量管理為了確保所需要的系統(tǒng)性能，是否對資源的使用進行監(jiān)視和調整，并對未來的容量需求做出規(guī)劃？（可能需要測試系統(tǒng)性能和資源容量）NANAYESNANANANA符合A.8.7惡意軟件防范是否有對惡意代碼的控制措施（包括惡意代碼的監(jiān)測、預防和恢復）？是否有適當的提高用戶安全意識的規(guī)程？NANAYESNANANANA符合A.8.8技術脆弱性管理是否及時了解和獲得有關現有信息系統(tǒng)的技術脆弱性信息？對信息系統(tǒng)的技術脆弱性是否進行評價，并采取處理相關的風險的適當措施？NANAYESNANANANA符合是否進行技術符合性評審，以確保信息系統(tǒng)是符合信息安全政策和標準的？（可檢查是否有滲透測試、脆弱性評估）NANAYESNANANANA符合A.8.9配置管理公司是否建立配置數據庫？是否定期對配置項進行檢查？NANAYESNANANANA符合A.8.10信息刪除公司是否制定有數據刪除手段？對不需要的敏感數據刪除時是否有刪除記錄？NANAYESNANANANA符合A.8.11數據屏蔽公司使用那些數據屏蔽的技術？NANAYESNANANANA符合A.8.12數據泄露防護公司制定有什么策略防止數據處理、存儲或傳輸敏感信息？公司的防泄漏工具有哪些？NANAYESNANANANA符合A.8.13信息備份是否按照已設的備份策略，定期備份和測試信息和軟件？（推薦測試信息備份和恢復過程，如嘗試一次恢復操作）NANAYESNANANANA符合A.8.14信息處理設施的冗余信息處理設施是否有足夠的冗余，以確保可用性的要求？NANAYESNANANANA符合A.8.15記錄日志是否對用戶活動、異常情況、故障和信息安全事態(tài)的審計日志進行記錄？并定期對事件日志進行評審？NANAYESNANANANA符合為了防止篡改和未授權的訪問，記錄日志的設施和日志信息是否加以保護？NANAYESNANANANA符合系統(tǒng)管理員和系統(tǒng)操作員的活動是否寫入日志中？NANAYESNANANANA符合A.8.16監(jiān)控活動公司是否對網絡、系統(tǒng)和應用程序等異常行為進行監(jiān)控？是否定期監(jiān)控記錄進行評審？監(jiān)控工具清單？資源的使用情況？是否建立了系統(tǒng)正常行為的基線？NANAYESNANANANA符合A.8.17時鐘同步公司或安全域內的所有相關信息處理設施的時鐘，是否使用已設的精確時間源進行同步？NANAYESNANANANA符合A.8.18特權實用程序的使用對于可能超越系統(tǒng)和應用程序控制措施的實用工具的使用，是否加以限制并嚴格控制？NANAYESNANANANA符合A.8.19在操作系統(tǒng)上安裝軟件在運行系統(tǒng)上安裝軟件方面，是否有程序或控制措施？NANAYESNANANANA符合用戶安裝軟件是否有規(guī)程進行控制？NANAYESNANANANA符合A.8.20網絡安全為了防止威脅的發(fā)生，維護使用網絡的系統(tǒng)和應用程序的安全?NANAYESNANANANA符合A.8.21網絡服務的安全是否有網絡服務協(xié)議，網絡服務協(xié)議是否包括安全特性、服務級別以及所有網絡服務的管理要求？NANAYESNANANANA符合A.8.22網絡隔離是否在網絡上對信息服務、用戶和信息系統(tǒng)進行隔離控制？NANAYESNANANANA符合A.8.23網頁過濾是否設置有網頁過濾策略？是否進行了黑白名單設置？NANAYESNANANANA符合A.8.24加密技術的使用是否開發(fā)和實施使用密碼控制措施來保護信息的策略？NANAYESNANANANA符合是否有密鑰管理以支持組織使用密碼技術？NANAYESNANANANA符合A.8.25安全開發(fā)生命周期是否有建立軟件或系統(tǒng)的開發(fā)規(guī)則？NANAYESNANANANA符合A.8.26應用程序安全要求為了防止欺詐活動、合同爭議以及未授權的泄漏和修改，包含在公共網絡的應用服務信息，是否受到保護？NANAYESNANANANA符合在應用服務上交易的信息是否受保護，以防止不完全傳輸、錯誤路由、未授權的消息篡改、未授權的泄露、未授權的消息復制或重放？NANAYESNANANANA符合A.8.27安全系統(tǒng)架構和工程原則工程安全系統(tǒng)原則是否被建立？并應用到任何信息系統(tǒng)開發(fā)工作中？NANAYESNANANANA符合A.8.28安全編碼是否制定有安全編碼規(guī)則？是否對代碼進行安全檢查？NANAYESNANANANA符合A.8.29開發(fā)和驗收中的安全測試是否進行安全功能測試？NANAYESNANANANA符合是否建立了新建信息系統(tǒng)、系統(tǒng)更新、版本升級驗收測試規(guī)程和標準？NANAYESNANANANA符合A.8.30外包開發(fā)是否管理和監(jiān)視外包軟件的開發(fā)？NANAYESNANANANA符合A.8.31開發(fā)、測試和生產環(huán)境的分離為了減少未授權訪問（或更改）運行系統(tǒng)的風險，開發(fā)設施、測試設施和運行測試是否彼此分離開？（可能需要測試開發(fā)、測試和運行設施是否分離）NANAYESNANANANA符合在整個系統(tǒng)開發(fā)生命周期的系統(tǒng)開發(fā)和集成工作中，是否建立了適當的安全開發(fā)環(huán)境？NANAYESNANANANA符合A.8.32變更管理對信息處理設施和系統(tǒng)的變更是否加以控制？（推薦測試信息處理設施或系統(tǒng)的變更過程）NANAYESNANANANA符合在對信息系統(tǒng)的變更控制方面，是否有正式的變更控制規(guī)程？NANAYESNANANANA符合在操作系統(tǒng)變更后，為了確保對組織的運行和安全沒有負面影響，是否對關鍵的業(yè)務應用系統(tǒng)進行評審和測試？NANAYESNANANANA符合對軟件包的修改，是否只限于必要的變更？對所有的變更是否加以嚴格控制？NANAYESNANANANA符合A.8.33測試信息測試數據是否進行過選擇并保護和控制？NANAYESNANANANA符合A.8.34審計測試期間信息系統(tǒng)的保護為了最小化造成業(yè)務過程中斷的風險，對涉及運行系統(tǒng)核查的審計要求和活動，是否進行了謹慎地規(guī)劃并獲得批準？NANAYESNANANANA符合ISMS內審組任命書為了使公司信息安全管理體系內審工作的順利進行，選派合格的內審員，特委任以下人員分別擔任內審組長及內審員,負責履行有關內審活動中的各項工作。具體人員安排如下:

內審組長：

內審員：

特此任命！

總經理：

日期：20XX.11.1信息安全內部會議記錄會議議題內部審核首次會議會議時間20XX.11.10主持人記錄人參加人員：各部門負責人或代表。主要內容：1、介紹審核目的、依據和范圍2、簡單介紹審核的程序和方法3、確認審核所需的資源4、介紹有關審核活動的相關規(guī)定(如不符合項分類、跟蹤方式、審核結果等)會議簽到

信息安全內部會議記錄會議議題內部審核末次會議會議時間20XX.11.10主持人記錄人參加人員：各部門負責人或代表。溝通內容：重申審核目的、依據和范圍、重申審核是抽樣調查活動。簡述審核過程，對內審的結果進行分析，總結內審中的優(yōu)缺點。落實糾正措施的實施。總結內審的意義和經驗為以后的不斷改進打好基礎。會議簽到內審不符合項報告及糾正報告被審核部門第組共1頁第1頁審核員審核陪同不符合項說明：不符合項性質：￡一般￡嚴重被審核部門：審核員：日期：年月日原因分析：不符合處置方案：負責人：完成日期：年月日防止再發(fā)生的糾正措施實施：負責人：年月日糾正措施跟蹤情況：繼續(xù)跟蹤審核員：日期：年月日備注：內部審核報告編號：ZHKJ-TSMS-4-16審核目的驗證公司的信息安全管理活動是否符合ISO/IEC27001:20XX標準要求；驗證公司的信息安全管理活動是否符合相關法律法規(guī)的要求；驗證公司的信息安全管理活動是否符合信息安全管理體系文件要求；驗證公司信息安全管理體系的有效性。審核范圍審核依據ISO/IEC270