1内审结果通告
内审结束后,审核组长将内审结果以邮件、书面等方式告知受审核方负责人、体系负责人及相关人员。内审结果通告主要内容有:
1) 审核情况总结;
2) 宣读不符合项及其严重程度;
3) 提出纠正时限和验证要求;
4) 宣布审核结论。
内审结束后,审核组长将《审核、检查发现事项通知单》及时发放给受审核部门。
2内审报告编制和分发
审核组长负责组织编写《内部审核报告》,报体系负责人审批。审核报告的主要内容有:审核目的范围及依据、审核日期、审核组成员、审核计划实施情况总结、审核发现(包括不符合项及其分布情况分析)、审核结论等。
审核报告批准后,由信息安全工作小组将《内部审核报告》分发给信息安全管理小组、体系负责人、受审核方及有关部门。
3 纠正措施的实施、跟踪及验证
审核组对受审部门发出《审核、检查发现事项通知单》后,受审核部门立即组织进行原因分析,进行纠正或制订纠正或预防措施,*专人负责整改,并将完成情况报信息安全工作小组,信息安全工作小组对实施结果进行跟踪验证,直至关闭。
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 记录控制要求 2
4.1. 信息安全相关运行记录包括: 2
4.2. 记录模板编制 3
4.3. 记录填写和编制 4
4.4. 记录储存 5
4.5. 记录的保护 5
4.6. 保存期 5
4.7. 记录借阅及处置 6
5. 相关文件 6
1. 目的和范围
为了正确实施记录的标识、储存、保护、检索、保存期限和处置,以提品符合规定要求和信息安全管理体系有效运行的证据,实现其可追溯性和信息安全改进,特制订本制度。
本制度适用于所有与信息安全管理体系运行有关的所有记录的控制管理。
2. 引用文件
1) 《文件控制制度》
3. 职责和权限
1) 总裁办:是记录的归口管理部门,负责记录标识、储存、保护、检索、保存期和处置的管理与控制。
2) 各部门:负责本部门记录的控制和管理。
4. 记录控制要求
4.1. 信息安全相关运行记录包括:
1) 管理评审记录;
2) 内部审核记录;
3) 人力资源教育、培训、技能和经验记录;
4) 监视和测量记录;
5) 风险评价、分析、处理记录;
6) 纠正措施实施结果记录;
7) 预防措施实施结果记录;
8) 信息安全管理体系第二、三层文件规定体系运行产生的其它记录。
A.12.6 A.12.6.1 技术脆弱性的控制 检查、验证技术脆弱性的控制措施。是否更新软件补丁,可以利用脆弱性扫描等工具软件来获得审核证据。
技术脆弱性
管理 A.12.6.2限制软件安装 检查服务器、客户端的软件安装情况
A.12.7 A.12.7.1 信息系统审计控制措施 询问、验证组织对信息系统审计的控制措施情况。
信息系统审计考虑
A.13通信安全
A.13.1 A.13.1.1 网络控制 访问信息安全管理小组等相关部门,验证网络控制措施情况。
网络安全 A.13.1.2 网络服务安全 查阅网络服务协议等相关文件,验证网络服务中的安全要求是否被满足。
管理 A.13.1.3 网络隔离 检查、验证网络间服务、用户等的隔离措施,如划分子网等。
A.13.2 A.13.2.1 信息交换策略和规程 查阅、验证组织的信息交换策略和规程等相关文件。
信息的传输 A.13.2.2 信息传输协议 访问信息安全管理小组,查阅信息传输协议。
A.13.2.3 电子消息 询问、验证对电子邮件等信息发送的安全保护措施。
A.13.2.4 保密性协议 查阅组织与员工、外部相关方等签署的保密性或不泄露协议。
-/gbafcji/-
http://iso9001fsc.b2b168.com
