信息安全管理體系監(jiān)視測(cè)量計(jì)劃及結(jié)果

信息安全管理體系ISO27001:2013監(jiān)視測(cè)量計(jì)劃及結(jié)果3錄一、信息安全內(nèi)外部溝通計(jì)劃表二、有效性測(cè)量實(shí)施計(jì)劃三、信息安全監(jiān)視和測(cè)量表四、信息安全管理體系測(cè)試結(jié)果表信息安全內(nèi)外部溝通計(jì)劃表編號(hào)類(lèi)別內(nèi)容影響溝通的因素聯(lián)系對(duì)象負(fù)責(zé)人溝通方式外部溝通1客戶(hù)顧客對(duì)項(xiàng)目滿意度“?間把控不及時(shí)，隱私泄漏，開(kāi)發(fā)內(nèi)容不滿后企業(yè)張小波與顧客簽訂保密協(xié)議，派專(zhuān)人解決顧客抱怨的問(wèn)題。時(shí)間上嚴(yán)格把控。項(xiàng)目的每一階段與客戶(hù)溝通項(xiàng)目?jī)?nèi)容，全心全意的為客戶(hù)解決問(wèn)題2供應(yīng)商供應(yīng)商評(píng)價(jià)交貨/、及時(shí)，產(chǎn)品不達(dá)標(biāo)供應(yīng)商XXX嚴(yán)把質(zhì)量關(guān)，每一季度對(duì)供方評(píng)審，對(duì)供貨/、及時(shí)質(zhì)量不達(dá)標(biāo)的供應(yīng)商小予錄用4物業(yè)公司重要信息設(shè)備、資料物業(yè)安全管理不當(dāng)、「1禁破解密碼或因火災(zāi)等因素造成設(shè)備、資料丟失物業(yè)方XXX與物業(yè)簽訂保障協(xié)議，每月評(píng)審一次內(nèi)部溝通1人力資源信息安全培訓(xùn)人員，沒(méi)有任何的培訓(xùn)下，操作不當(dāng)，造成影響系統(tǒng)的信息丟失；培訓(xùn)人員覆蓋率/、達(dá)標(biāo)綜合管理部張小波每月制定培訓(xùn)計(jì)劃，保證每次培訓(xùn)無(wú)缺勤人員；與員工簽訂安全保密協(xié)議2商業(yè)機(jī)密機(jī)密信息泄露的事態(tài)不得發(fā)生獲取用戶(hù)名及密碼，造成隱私泄漏技術(shù)部嚴(yán)玉成定期培訓(xùn)，培養(yǎng)工作人員規(guī)范的系統(tǒng)使用行為，提升系統(tǒng)應(yīng)用效率，降低非法應(yīng)用造成的系統(tǒng)威脅3外部服務(wù)網(wǎng)絡(luò)中斷受到攻擊或者各種病毒木馬的威脅技術(shù)部嚴(yán)玉成每月一次檢查交換機(jī)是否設(shè)置正常并對(duì)關(guān)鍵文件進(jìn)行保存4技術(shù)服務(wù)病母爆發(fā)系統(tǒng)崩潰，系統(tǒng)資料丟失技術(shù)部嚴(yán)玉成及時(shí)更新數(shù)據(jù)庫(kù)，對(duì)于，齒毒或者惡意代碼等需要下載相應(yīng)補(bǔ)丁有效性測(cè)量實(shí)施計(jì)劃一、目的本文件主要目的是實(shí)施的信息安全控制措施測(cè)量的職責(zé)、方法和程序，測(cè)量控制措施的有效性，為公司領(lǐng)導(dǎo)的工作安排和決策提供參考。二、適用范圍本文件適用于公司管理體系運(yùn)行中所涉及的部門(mén)、業(yè)務(wù)和人員。三、職責(zé)和權(quán)限信息安全小組負(fù)責(zé)本文件的建立和評(píng)審。內(nèi)部審核小組等相關(guān)部門(mén)和人員按照本文件的要求執(zhí)行。四、測(cè)量方法針對(duì)不同的內(nèi)容，采用兩類(lèi)測(cè)量方法：觀察驗(yàn)證和系統(tǒng)工具檢測(cè)。測(cè)量流程根據(jù)測(cè)量計(jì)劃，由內(nèi)審小組區(qū)分不同類(lèi)型的控制措施，選擇測(cè)量方法，編制詳細(xì)的測(cè)量檢查表。五、有效性測(cè)量周期一般情況有效性測(cè)量每半年進(jìn)行一次。當(dāng)實(shí)際需要時(shí)可以臨時(shí)進(jìn)行有效性測(cè)量。六、有效性測(cè)量結(jié)果匯報(bào)與審批軟件部應(yīng)將有效性測(cè)量結(jié)果匯報(bào)給管理者代表進(jìn)行審核，由最高管理者進(jìn)行審批附表1控制措施測(cè)量方法A.5安全方針A.5.1信息安全方針A.5.1.1信息安全方針文件審核ISMS方針文件訪問(wèn)管理者（或管理者代表）、員工、或相關(guān)方人員（如必要），了

解他們對(duì)ISMS方針和目標(biāo)的理解和貫徹狀況。A.5.1.2信息安全方針的評(píng)審查閱ISMS方針文件的評(píng)審和修訂記錄。A.6/息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全角色和職責(zé)查閱信息安全職責(zé)分配或描述等方面的文件。A.6.1.2責(zé)任分割訪問(wèn)組織的信息安全管理機(jī)構(gòu)，包括其職責(zé)。A.6.1.3與政府部門(mén)的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu)，詢(xún)問(wèn)與相關(guān)信息安全專(zhuān)家、專(zhuān)業(yè)協(xié)會(huì)、學(xué)會(huì)等聯(lián)絡(luò)情況。A.6.1.4與特定相美方的聯(lián)系訪問(wèn)信息安全管理機(jī)構(gòu)，詢(xún)問(wèn)與相關(guān)政府部門(mén)的聯(lián)絡(luò)情況。A.6.1.5項(xiàng)目管理中的信息安全查閱風(fēng)險(xiǎn)評(píng)估A.6.2移動(dòng)設(shè)備和遠(yuǎn)程工作A.6.2.1移動(dòng)設(shè)備策略查閱相關(guān)管理程序A.6.2.2遠(yuǎn)程工作訪問(wèn)遠(yuǎn)程工作日至處理或存儲(chǔ)的信息A.7人力資源安全A.7.1任用前A.7.1.1審查審核組織的人力資源要求A.7.1.2任用條款及條件查看相關(guān)用工合同A.7.2任用中A.7.2.1管理職責(zé)訪問(wèn)管理者（或管理者代表），驗(yàn)證對(duì)員工提出的信息安全方面的要求。A.7.2.2信息安全意識(shí)、教育和培訓(xùn)查閱培訓(xùn)計(jì)劃和培訓(xùn)記錄。A.7.2.3紀(jì)律處理過(guò)程訪問(wèn)組織信息安全管理機(jī)構(gòu)、人力資源等相關(guān)部門(mén)，以及查閱信息安全獎(jiǎng)懲制度。A.7.3任用的終止或變化A.7.3.1任用職責(zé)的終止或變更訪問(wèn)組織信息安全管理機(jī)構(gòu)，了解和驗(yàn)證組織的員工和第三方人員等在任用結(jié)束后的信息安全要求。A.8資產(chǎn)管理A.8.1資產(chǎn)職責(zé)A.8.1.1資產(chǎn)清單審核組織的信息資產(chǎn)清單和關(guān)鍵信息資產(chǎn)清單A.8.1.2資產(chǎn)責(zé)任主體A.8.1.3資產(chǎn)的可接受使用訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解對(duì)信息資產(chǎn)使用的控制。A.8.1.4資產(chǎn)歸還查閱歸還清單A.8.2信息分級(jí)A.8.2.1信息的分級(jí)訪問(wèn)組織信息安全管理機(jī)構(gòu)或IT相關(guān)部門(mén)，了解組織信息資產(chǎn)的分類(lèi)和標(biāo)識(shí)情況，并在各部門(mén)進(jìn)行驗(yàn)證。A.8.2.2信息的標(biāo)記A.8.2.3資產(chǎn)的處理A.8.3介質(zhì)處理A.8.3.1移動(dòng)介質(zhì)的管理訪問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，驗(yàn)證對(duì)可移動(dòng)介質(zhì)的管理是否滿足安全要求。A.8.3.2介質(zhì)的處置訪問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，驗(yàn)證對(duì)介質(zhì)的處置是否滿足安全要求。A.8.3.3物理介質(zhì)的轉(zhuǎn)移查閱相關(guān)記錄A.9訪問(wèn)控制A.9.1訪問(wèn)控制的業(yè)務(wù)要求A.9.1.1訪問(wèn)控制策略查閱訪問(wèn)控制策略等相關(guān)文件。

A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)查閱訪問(wèn)服務(wù)記錄A.9.2用戶(hù)訪問(wèn)管理A.9.2.1用戶(hù)注冊(cè)和注銷(xiāo)查閱用戶(hù)注冊(cè)、注銷(xiāo)的流程等相關(guān)文件。A.9.2.2用戶(hù)訪問(wèn)配置檢查、驗(yàn)證用戶(hù)口令的管理控制措施。A.9.2.3特殊訪問(wèn)權(quán)限管理詢(xún)問(wèn)、驗(yàn)證超級(jí)用戶(hù)等特殊權(quán)限的管理控制措施。A.9.2.4用戶(hù)的秘密鑒別信息管理查閱秘密鑒別信息記錄。A.9.2.5用戶(hù)訪問(wèn)權(quán)限的復(fù)查查閱用戶(hù)訪問(wèn)權(quán)的復(fù)查、評(píng)審記錄。A.9.2.6訪問(wèn)權(quán)限的移除或調(diào)整查詢(xún)員工和外部用戶(hù)對(duì)信息和信息處理設(shè)施訪問(wèn)記錄A.9.3用戶(hù)職責(zé)A.9.3.1秘密鑒別信息的使用檢查驗(yàn)證用戶(hù)口令使用情況。A.9.4系統(tǒng)和應(yīng)用訪問(wèn)控制A.9.4.1信息訪問(wèn)限制檢查、驗(yàn)證操作系統(tǒng)的訪問(wèn)登錄控制A.9.4.2安全登錄規(guī)程檢查、驗(yàn)證操作系統(tǒng)的安全登錄控制。A.9.4.3口令管理系統(tǒng)檢查、驗(yàn)證操作系統(tǒng)的口令管理系統(tǒng)A.9.4.4特權(quán)實(shí)用程序的使用查閱應(yīng)用控制措施A.9.4.5程序源代碼的訪問(wèn)控制檢查、驗(yàn)程序源代碼的訪問(wèn)記錄A.10.密碼A.10.1密碼控制A.10.1.1使用密碼控制的策略詢(xún)問(wèn)信息安全管理機(jī)構(gòu)、IT等相關(guān)部門(mén)，是否使用密碼控制。A.10.1.2密鑰管理詢(xún)問(wèn)、驗(yàn)證密鑰管理的措施。A.11物理和環(huán)境安全A.11.1安全區(qū)域A.11.1.1物理安全邊界結(jié)合ISMS范圍文件，訪問(wèn)相關(guān)部門(mén)，了解組織的物理邊界控制，出入口控制，辦公室防護(hù)等措施和執(zhí)行情況。如調(diào)閱監(jiān)控錄像資料等。A.11.1.2物理入口控制A.11.1.3辦公室、房間和設(shè)施的安全保護(hù)A.11.1.4外部和環(huán)境威脅的安全防護(hù)詢(xún)問(wèn)、驗(yàn)證組織防止火災(zāi)、洪水、地震、爆炸和其他形式的災(zāi)害的防范情況。A.11.1.5在安全區(qū)域工作詢(xún)問(wèn)、驗(yàn)證組織安全區(qū)域內(nèi)的物理防護(hù)。A.11.1.6交接區(qū)詢(xún)問(wèn)、驗(yàn)證組織公共訪問(wèn)、交接區(qū)內(nèi)的防護(hù)措施A.11.2設(shè)備A.11.2.1設(shè)備安置和保護(hù)詢(xún)問(wèn)、驗(yàn)證組織設(shè)備安置和保護(hù)措施。查閱機(jī)房管理規(guī)定等相關(guān)文件。A.11.2.2支持性設(shè)施詢(xún)問(wèn)、驗(yàn)證組織支持性設(shè)施（例如供水、供電、溫度調(diào)節(jié)等）的運(yùn)行情況。查閱機(jī)房溫濕度記錄等。A.11.2.3布纜好詢(xún)問(wèn)IT等相關(guān)部門(mén)在布線方面是否符合相關(guān)國(guó)家標(biāo)準(zhǔn)，并驗(yàn)證。A.11.2.4設(shè)備維護(hù)詢(xún)問(wèn)、驗(yàn)證組織設(shè)備維護(hù)情況，查閱設(shè)備維護(hù)記錄。A.11.2.5資產(chǎn)的移動(dòng)詢(xún)問(wèn)、驗(yàn)證對(duì)資產(chǎn)的移動(dòng)的安全防護(hù)措施。A.11.2.6組織場(chǎng)所外的設(shè)備與資產(chǎn)安全詢(xún)問(wèn)、驗(yàn)證組織對(duì)場(chǎng)所外的設(shè)備的安全保護(hù)措施。A.11.2.7設(shè)備的安全處置或再利用詢(xún)問(wèn)、驗(yàn)證電腦等設(shè)備報(bào)廢后的處理流程，是否滿足規(guī)定的要求。A.11.2.8無(wú)人值守的用戶(hù)設(shè)備查詢(xún)相關(guān)記錄A.11.2.9清空桌面和屏幕策略查看相關(guān)電腦A.12操作安全A.12.1操作規(guī)程和職責(zé)A.12.1.1文件化的操作規(guī)程查閱相關(guān)設(shè)備操作程序文件，操作記錄等。

A.12.1.2變更管理查閱和驗(yàn)證信息系統(tǒng)的變更控制。A.12.1.3容量管理查詢(xún)驗(yàn)證容量管理記錄A.12.1.4開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境的分離訪問(wèn)IT、研發(fā)等部門(mén)，驗(yàn)證開(kāi)發(fā)、測(cè)試和運(yùn)行設(shè)施的分離狀況。A.12.2惡意代碼防范A.12.2.1惡意代碼的控制檢查計(jì)算機(jī)病毒等惡意代碼防范軟件，及代碼庫(kù)的更新情況。可以在眾多電腦中抽查。查閱病毒等惡意代碼事件記錄。A.12.3備份A.12.3.1信息備份查閱備份策略等相關(guān)文件。抽查備份介質(zhì)，并要求測(cè)試、驗(yàn)證。A.12.4日志和監(jiān)視A.12.4.1事態(tài)日志查閱系統(tǒng)的事態(tài)日忐信息。A.12.4.2日志信息的保護(hù)詢(xún)問(wèn)、驗(yàn)證日志信息的包括措施。A.12.4.3管理員和操作員日志查閱、驗(yàn)證管理員和操作員日志。A.12.4.4時(shí)鐘同步檢查、驗(yàn)證時(shí)鐘同步措施。A.12.5運(yùn)行軟件控制A.12.5.1運(yùn)行系統(tǒng)的軟件安裝檢查運(yùn)行系統(tǒng)軟件安裝控制規(guī)程A.12.6技術(shù)脆弱性管理A.12.6.1技術(shù)脆弱性的管理檢查、驗(yàn)證技術(shù)脆弱性的控制措施。是否更新軟件補(bǔ)丁，可以利用脆弱性掃描等工具軟件來(lái)獲得審核證據(jù)。A.12.6.2軟件安裝限制查看用戶(hù)安裝軟件的規(guī)則A.12.7信息系統(tǒng)審計(jì)的考慮A.12.7.1信息系統(tǒng)審計(jì)的控制詢(xún)問(wèn)、驗(yàn)證組織對(duì)信息系統(tǒng)審計(jì)的控制措施情況A.13通信安全A.13.1網(wǎng)絡(luò)安全管理A.13.1.1網(wǎng)絡(luò)控制詢(xún)問(wèn)控制網(wǎng)絡(luò)以保護(hù)系統(tǒng)A.13.1.2網(wǎng)絡(luò)服務(wù)的安全查看網(wǎng)絡(luò)協(xié)議A.13.1.3網(wǎng)絡(luò)隔離查閱隔離信息服務(wù)、用戶(hù)及信息系統(tǒng)A.13.2信息傳輸A.13.2.1信息傳輸策略和規(guī)程查閱傳輸策略、規(guī)程和控制措施A.13.2.2信息傳輸協(xié)議查看傳輸協(xié)議A.13.2.3電子消息發(fā)送查閱傳輸策略、規(guī)程和控制措施A.13.2.4保密或不泄露協(xié)議查看保密協(xié)議A.14系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)A.14.1信息系統(tǒng)的安全要求A.14.1.1信息安全要求分析和說(shuō)明查看信息系統(tǒng)的要求中應(yīng)包括信息安全相關(guān)要求A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護(hù)查閱公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.2開(kāi)發(fā)和支持過(guò)程中的安全A.14.2.1安全的開(kāi)發(fā)策略A.14.2.2系統(tǒng)變更控制規(guī)程查閱變更控制等相關(guān)文件。A.14.2.3運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審查閱操作運(yùn)行平臺(tái)變更后對(duì)應(yīng)用的技術(shù)評(píng)審記錄。A.14.2.4軟件包變更的限制詢(xún)問(wèn)對(duì)軟件包變更的限制措施。

A.14.2.5安全的系統(tǒng)工程原則查閱軟件和系統(tǒng)開(kāi)發(fā)規(guī)則A.14.2.6安全的開(kāi)發(fā)環(huán)境P查詢(xún)安全開(kāi)發(fā)環(huán)境A.14.2.8系統(tǒng)安全測(cè)試進(jìn)行安全測(cè)試A.14.2.9系統(tǒng)驗(yàn)收測(cè)試查詢(xún)驗(yàn)收測(cè)試方案和相關(guān)準(zhǔn)則A.14.3測(cè)試數(shù)據(jù)A.14.3.1測(cè)試數(shù)據(jù)的保護(hù)A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全A.15.1.1供應(yīng)商關(guān)系的信息安全策略查看與供應(yīng)商信息安全要求A.15.1.2在供應(yīng)商協(xié)議中解決安全查看供應(yīng)商相關(guān)的信息安全要求A.15.1.3信息與通信技術(shù)供應(yīng)鏈查詢(xún)供應(yīng)鏈相關(guān)的信息安全風(fēng)險(xiǎn)處理要求A.15.2供應(yīng)商服務(wù)父付管理A.15.2.1供應(yīng)商服務(wù)的監(jiān)視和評(píng)審查看供應(yīng)商服務(wù)交付記錄A.15.2.2供應(yīng)商服務(wù)的變更營(yíng)埋:查閱和驗(yàn)證信息系統(tǒng)的變更控制。A.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)A.16.1.1職貝和規(guī)程查閱信息安全事件管理程序等相關(guān)文件。A.16.1.2報(bào)告信息安全事態(tài)查閱信息安全事件報(bào)告記錄A.16.1.3報(bào)告信息安全弱點(diǎn)查閱安全弱點(diǎn)報(bào)告記錄A.16.1.4信息安全事態(tài)的評(píng)估和決策查看信息安全事態(tài)評(píng)估記錄A.16.1.5信息安全事件的響應(yīng)r查看響應(yīng)信息安全事件規(guī)程A.16.1.6從信息安全事件中學(xué)習(xí)查閱信息安全事件學(xué)習(xí)和總結(jié)記錄A.16.1.7證據(jù)的收集詢(xún)問(wèn)、驗(yàn)證事件處理過(guò)程中的證據(jù)收集的措施。A.17業(yè)務(wù)連續(xù)性管理的信息安全方面A.17.1/息安全的連續(xù)性A.17.1.1規(guī)劃/息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.2實(shí)施信息安全連續(xù)性查閱連續(xù)性管理等相關(guān)文件。A.17.1.3驗(yàn)證、評(píng)審和評(píng)價(jià)信息安全連續(xù)性檢查、驗(yàn)證組織對(duì)業(yè)務(wù)連續(xù)，生計(jì)劃的測(cè)試、保持，查閱測(cè)試記錄等。A.17.2冗余A.17.2.1信息處理設(shè)施的可用性p查閱信息處理設(shè)施相關(guān)文件A.18符合性A.18.1符合法律和合同要求A.18.1.1可用的法律和合同要求的識(shí)別查閱組織識(shí)別的適用的信息安全法律法規(guī)。A.18.1.2知識(shí)產(chǎn)權(quán)詢(xún)問(wèn)、驗(yàn)證組織知識(shí)產(chǎn)權(quán)保護(hù)措施。A.18.1.3記錄的保護(hù)詢(xún)問(wèn)、查閱組織對(duì)相關(guān)記錄的保護(hù)措施。A.18.1.4個(gè)人身份信息的隱私和保護(hù)詢(xún)問(wèn)組織對(duì)數(shù)據(jù)和個(gè)人隱私的包括措施。A.18.1.5密碼控制規(guī)則詢(xún)問(wèn)、驗(yàn)證組織密碼控制措施情況。A.18.2信息安全評(píng)審A.18.2.1信息安全的獨(dú)立評(píng)審檢查信息安全管理方法及其實(shí)施情況A.18.2.2符合安全策略和標(biāo)準(zhǔn)檢查、驗(yàn)證遵守信息安全策略、規(guī)程等情況。A.18.2.3技術(shù)符合性評(píng)審詢(xún)問(wèn)、驗(yàn)證組織是否定期進(jìn)行技術(shù)符合性檢查，查閱檢查記錄等。信息安全監(jiān)視和測(cè)量表監(jiān)視和測(cè)量?jī)?nèi)容監(jiān)視和測(cè)量過(guò)程達(dá)到的目的監(jiān)視和測(cè)量項(xiàng)目監(jiān)視和測(cè)量辦法監(jiān)視和策略周期責(zé)任部門(mén)監(jiān)視和測(cè)量結(jié)果評(píng)價(jià)周期評(píng)價(jià)人信息安全管理體系體系運(yùn)行有效、通過(guò)外審檢查、不留驗(yàn)證/、符合項(xiàng)信息安全管理體系運(yùn)行有效性?xún)?nèi)審、管評(píng)、監(jiān)督檢查每年1次綜合管理部每年1次張小波在件開(kāi)發(fā)一次通過(guò)評(píng)審，滿足項(xiàng)目開(kāi)發(fā)總要求開(kāi)發(fā)過(guò)程受控，評(píng)審狀況開(kāi)發(fā)計(jì)劃完成情況監(jiān)督和檢查按項(xiàng)目開(kāi)發(fā)計(jì)劃技術(shù)部項(xiàng)目完成后嚴(yán)玉成，購(gòu)采購(gòu)產(chǎn)品滿足信息安全要求采購(gòu)受控情況、進(jìn)貨合格率、使用中發(fā)現(xiàn)的涉及信息安全的問(wèn)題檢查合同在合格供方內(nèi)，要求明確，對(duì)采購(gòu)品進(jìn)行分類(lèi)統(tǒng)計(jì)每季度綜合管理部每季度張小波與顧客有關(guān)過(guò)程把握客戶(hù)需求，及時(shí)提供產(chǎn)品和服務(wù)，滿足顧客顧客保密性抱怨次數(shù)、合同保密性評(píng)審進(jìn)行顧客保密性滿意度調(diào)查、分析；對(duì)完成合同進(jìn)行檢查、統(tǒng)計(jì)每年銷(xiāo)售部每年曹H澎言息設(shè)備管理使用適宜設(shè)備交換機(jī)是否設(shè)置正常、系統(tǒng)是否安全對(duì)信息安全設(shè)備定期檢查，修復(fù)，升級(jí)每月技術(shù)部每月嚴(yán)玉成言息設(shè)備管理使用適宜設(shè)備交換機(jī)是否設(shè)置正常、系統(tǒng)是否安全對(duì)信息安全設(shè)備定期檢查，修復(fù)，升級(jí)沒(méi)月技術(shù)部每月嚴(yán)玉成當(dāng)案管理確保技術(shù)資料及時(shí)完整歸檔，無(wú)任何泄露信息信息安全關(guān)鍵文件保存對(duì)關(guān)鍵文件定期檢查每季度綜合管理部每季度張小波人力資源管理從事影響信息安全工作人員的能力能夠勝任人員規(guī)范的系統(tǒng)使用行為、人員信息安全意識(shí)對(duì)員工進(jìn)行信息安全內(nèi)容考核；對(duì)培訓(xùn)后效性評(píng)定每月綜合管理部每月張小波財(cái)務(wù)信息管理了解體系運(yùn)行情況，確保重要信息無(wú)泄露是否受到攻擊或者各種病毒木馬的威脅定期檢查，形成分析報(bào)告每月綜合管理部每月XXX信息安全管理體系測(cè)試結(jié)果報(bào)告測(cè)試評(píng)審日期：2021年3月20日測(cè)試評(píng)審目的：分析外審前信息安全工作完成情況，評(píng)價(jià)管理體系的適宜性、充分性、有效性，明確本年度工作目標(biāo)，提出改進(jìn)措施、建議，確保信息安全方針、目標(biāo)的實(shí)現(xiàn)和滿足法律法規(guī)和客戶(hù)的需求。測(cè)試評(píng)審內(nèi)容：①安全方針和目標(biāo)是否正在實(shí)現(xiàn)，過(guò)去3個(gè)月中所取得的業(yè)績(jī)是否達(dá)至八完成或超過(guò)安全方針和目標(biāo)的要求；②管理人員和監(jiān)督人員過(guò)去1個(gè)月中管理與監(jiān)督的狀況，是否達(dá)到預(yù)期要求；③管理體系運(yùn)行是否受控、是否有效（近期內(nèi)審結(jié)果）；④糾正措施和預(yù)防措施執(zhí)行情況如何；⑤聽(tīng)取資源充分性報(bào)告；⑥風(fēng)險(xiǎn)評(píng)估中提出的薄弱點(diǎn)或威脅；⑦客戶(hù)反饋意見(jiàn)的匯總分析；⑧員工培訓(xùn)教育情況分析報(bào)告；⑨客戶(hù)投訴及其處理情況匯總；⑩改進(jìn)的建議；?其他日常管理議題。評(píng)審組成員：XXX張小波嚴(yán)玉成評(píng)審意見(jiàn)和結(jié)論：1、本公司按照ISO27001:2013的要求建立的管理體系全面覆蓋了計(jì)算機(jī)軟件開(kāi)發(fā)生產(chǎn)活動(dòng)；從運(yùn)行以來(lái)，管理體系得到了不斷地改進(jìn)與完善，總體運(yùn)行情況良好。2、《ISMS手冊(cè)》規(guī)定的本公司的安全方針、目標(biāo)，符合準(zhǔn)則要求和本公司實(shí)際情況，通過(guò)努力正在逐步實(shí)現(xiàn)。3、《ISMS手冊(cè)》中所列的控制項(xiàng)（133項(xiàng)參數(shù)或指標(biāo)）是真實(shí)的。與之相關(guān)聯(lián)的機(jī)構(gòu)和崗位設(shè)置是合理的，機(jī)構(gòu)及崗位的職責(zé)分工明確，切實(shí)可行；與之相關(guān)聯(lián)的人力資源和設(shè)備資源配置是充分的、合理的；與之相關(guān)聯(lián)的物理環(huán)境條件是符合要求的；各個(gè)要素、各個(gè)程序和各個(gè)環(huán)節(jié)之間的銜接循環(huán)是封閉的。4、管理體系運(yùn)行以來(lái)，管理及監(jiān)督人員開(kāi)展了有效的工作，監(jiān)督管理工作有明顯成效。下半年共進(jìn)行了1次內(nèi)審，內(nèi)審覆蓋了本公司所有管理活動(dòng)和技術(shù)活動(dòng)，內(nèi)審共發(fā)現(xiàn)1個(gè)不符合項(xiàng)，這些問(wèn)題均已得到了糾正；糾正措施執(zhí)行情況良好。5、采用附錄A中的11類(lèi)控制方式，存在少量的一些問(wèn)題（