6-ISO27001 2022版内部审核报告.docx

内部审核报告编号：ZHKJ-TSMS-4-16审核目的验证公司的信息安全管理活动是否符合IS0/IEC27001:20XX标准要求；验证公司的信息安全管理活动是否符合相关法律法规的要求；验证公司的信息安全管理活动是否符合信息安全管理体系文件要求；验证公司信息安全管理体系的有效性。审核范围审核依据IS0/IEC27001:20XX标准；适用的信息安全法律法规；公司的信息安全管理体系文件。审核日期20XX年11月10日审核组成员审核情况：本次审核按信息安全及信息技术服务管理手册及内部审核管理程序要求，编制了内审计划及实施计划并按计划进行了实施。审核小组3人分别按要求编制了内部审核检查表；内审计划事先也送达受审核部门。审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。审核组审核了包括总经理、管代、各有关职能部门。审核发现：信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。本次内审中未发现不符合项。公司通过对信息资产、过程的监视和测量，内审、管理评审，纠正、预防措施，数据分析等有系统的获得与信息安全有直接关系的信息，进行分析并用于持续改进信息安全管理体系的有效性。对信息安全管理体系运行的总结：1、公司的信息安全管理手册基本满足IS0/IEC27001:20XX标准的要求，有能力证明自身的ISMS管理，能向顾客证明管理是有效的。2、公司文件化信息安全管理手册基本得到实施，发展趋势总的来说是好的，但发展仍不平衡，特别是在相关流程文件还存在某些描述与实际运行不符的情况。3、公司信息安全服务方针和信息安全服务目标基本得到实现，现有信息安全服务管理体系是有效的。4、具备自我发现自我改进的能力，持续改进。5、通过本次内审，审核组认为公司的信息安全服务管理体系基本符合IS0/IEC27001:20XX标准要求，信息安全管理手册、程序文件，能够得以有效的实施,可以看出，体系的运行是基本符合的、有效的，能满足信息技术服务策划的要求。6、内审的策划、间隔和实施范围、深度及验证是适宜的；7、纠正、预防措施对防止不合格再发生基本满足要求。其他事项:1、以体系文件为依据，建议各部门对本部门员工要经常宣讲体系文件，使各项信息安全服务活动都能按体系文件的要求执行，纳入标准的轨道，保证体系运行的持续有效。2、信息安全服务文件和记录是体系运行的重要依据，各部门都要重视。建议各部门把程序文件所列的信息安全服务记录的表式逐一整理，在实际运行中逐项落实，纠正原来不符合要求的表式，对所发的文件和所收到的文件按程序规定，进行签发、收录登记，使文件和记录尽快趋于完善。3、对控制目标的测量虽有良好的评价结果，但测量深度有待进一步加强，各分管职能人员要经常深入检查控制措施的落实情况，以形成良好的习惯，促使管理工作上台阶。4、进一步建立和健全自我教育、自我评审、自我改进、自我完善的机制，经常对照体系文件与已有关的条款，查错堵漏。5、在贯彻落实标准方面，各部门还有待进一步加强培训力度。6、各部门与信息安全管理体系有关的各个环节的管理人员和操作人员，都要针对性地学习与已有有关的文件内容，找出目前工作与信息安全管理体系文件要求的差距，进行整改。审核组长：20XX年11月11日管理层意见：同意签署：20XX年11月11日