ISO27001信息安全管理手冊(cè)

iso27001iso27001信息安全治理手冊(cè)信息安全治理手冊(cè)版本號(hào)：V1.0目目錄公布令 1治理者代表授權(quán)書 2企業(yè)概況 3\l“_TOC_250000“信息安全治理方針目標(biāo) 3手冊(cè)的治理 6信息安全治理手冊(cè) 7范圍 7總則 7應(yīng)用 7標(biāo)準(zhǔn)性引用文件 8術(shù)語(yǔ)和定義 8本公司 8信息系統(tǒng) 8計(jì)算機(jī)病毒 8信息安全大事 8相關(guān)方 8信息安全治理體系 9概述 9建立和治理信息安全治理體系 9文件要求 15治理職責(zé) 18治理承諾 18資源治理 18內(nèi)部信息安全治理體系審核 196.1總則 19內(nèi)審籌劃 19內(nèi)審實(shí)施 19治理評(píng)審 217.1總則 21評(píng)審輸入 21評(píng)審輸出 21評(píng)審程序 22信息安全治理體系改進(jìn) 23持續(xù)改進(jìn) 23訂正措施 23預(yù)防措施 23iso27001iso27001信息安全治理手冊(cè)110101為提高我公司的信息安全治理水平，保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)展，防止由于信息安全大事〔信息系統(tǒng)的中斷、數(shù)據(jù)的喪失、敏感信息的泄密〕導(dǎo)致的公司和客戶的損失，我公司《信息技術(shù)-安全技術(shù)-信息安全治理體系要求》國(guó)際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全治理體系，制定了《信息安全治理運(yùn)行、持續(xù)改進(jìn)，表達(dá)企業(yè)對(duì)社會(huì)的承諾。2023年1223日起實(shí)施。企業(yè)全體員工必需遵照?qǐng)?zhí)行。徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全治理方針和目標(biāo)?？偨?jīng)理：2023年12月 23日iso27001iso27001信息安全治理手冊(cè)220202GB/T22080-2023idtISO27001:2023《信息技術(shù)-安全技術(shù)-信息安全治理體系-要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命為我公司信息安全治理者代表。授權(quán)信息安全治理者代表有如下職責(zé)和權(quán)限：體系；負(fù)責(zé)與信息安全治理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理打算；批準(zhǔn)公布程序文件；主持信息安全治理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；行狀況、內(nèi)外部審核狀況。本授權(quán)書自任命日起生效執(zhí)行?？偨?jīng)理：202312月23日iso27001iso27001信息安全治理手冊(cè)10100304本公司建立了信息安全治理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全治理方針如下：一、信息安全治理機(jī)制全面保護(hù)本公司的信息安全。二、信息安全治理組織供給信息安全資源。信息安全治理體系的持續(xù)適宜性和有效性。證信息安全治理體系的有效運(yùn)行。三、人員安全信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)位調(diào)動(dòng)或離職人員，應(yīng)準(zhǔn)時(shí)調(diào)整安全職責(zé)和權(quán)限。對(duì)本公司的相關(guān)方針，要明確安全要求和安全職責(zé)。定期對(duì)全體員工進(jìn)展信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。四、識(shí)別法律、法規(guī)、合同中的安全準(zhǔn)時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，實(shí)行措施，保證滿足安全要求。五、風(fēng)險(xiǎn)評(píng)估1．依據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。應(yīng)依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，實(shí)行相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全大事，應(yīng)馬上依據(jù)規(guī)定的途徑進(jìn)展報(bào)告。告人員反響處理結(jié)果。七、監(jiān)視檢查八、業(yè)務(wù)持續(xù)性2．定期對(duì)業(yè)務(wù)持續(xù)性打算進(jìn)展測(cè)試和更。九、違反信息安全要求的懲罰信息安全目標(biāo)如下：確保每年重大信息安全大事〔事故〕發(fā)生次數(shù)為零。確保單個(gè)重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過(guò)1次，每次中斷時(shí)間不超過(guò)2小時(shí)。確保信息安全大事覺(jué)察率99%、上報(bào)和處理率100%。05051信息安全治理手冊(cè)的批準(zhǔn)2信息安全治理手冊(cè)的發(fā)放、更改、作廢與銷毀記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；各相關(guān)部門依據(jù)受控文件的治理要求對(duì)收到的《信息安全治理手冊(cè)》進(jìn)展使用和保管；行政中心依據(jù)規(guī)定發(fā)放修改后的《信息安全治理手冊(cè)統(tǒng)一處理，確保有效文件的唯一性；3信息安全治理手冊(cè)的換版GB/T22080-2023idtISO27001:20231/3時(shí)，應(yīng)對(duì)《信息安全治理手冊(cè)》進(jìn)展換版。換版應(yīng)在治理評(píng)審時(shí)形成決議，重實(shí)施編制、審批工作。4信息安全治理手冊(cè)的掌握——受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；圍以外的其他相關(guān)人員。b《信息安全治理手冊(cè)》有書面文件和電子文件。信息安全治理手冊(cè)信息安全治理手冊(cè)范圍總則〔確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)展有效治理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全治理體系文件、持續(xù)改進(jìn)信息安全治理體系的有效性，特制定本手冊(cè)。應(yīng)用本信息安全治理手冊(cè)規(guī)定了DXC的信息安全治理體系要求、治理職責(zé)、內(nèi)部審核、治理評(píng)審和信息安全治理體系改進(jìn)等方面內(nèi)容。本信息安全治理手冊(cè)適用于DXC業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全治理4.2.2.1刪減說(shuō)明A標(biāo)準(zhǔn)性引用文件以下文件中的條款通過(guò)本《信息安全治理手冊(cè)》的引用而成為本《信息安全治理手冊(cè)》用于本信息安全治理手冊(cè)?！缎畔⒓夹g(shù)-安全技術(shù)-信息安全治理體系-要求》GB/T22081-2023idtISO27002:2023《信息技術(shù)-安全技術(shù)-信息安全治理有用規(guī)章》術(shù)語(yǔ)和定義GB/T22080-2023idtISO27001:2023本公司DXCDXC所屬各部門。信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕構(gòu)成的，且依據(jù)肯定的應(yīng)用目標(biāo)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并信息安全大事的反動(dòng)有害信息和涉密信息的傳播大事、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密大事。相關(guān)方供方、銀行、用戶、電信等。信息安全治理體系概述本公司在軟件開(kāi)發(fā)、經(jīng)營(yíng)、效勞和日常治理活動(dòng)中，按GB/T22080-2023idtISO27001:2023《信息技術(shù)-安全技術(shù)-信息安全治理體系-要求》規(guī)定，參照《信息技術(shù)-安全技術(shù)-信息安全治理有用規(guī)章》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全治理體系。信息安全治理體系使用的過(guò)程基于圖1所示的PDCA模型。籌劃籌劃相關(guān)方建立ISMS相關(guān)方實(shí)施ISMSISMS處置信息安全期望ISMS信息安全治理檢查1信息安全治理體系模型建立和治理信息安全治理體系建立信息安全治理體系信息安全治理體系的范圍和邊界息安全治理體系的范圍包括：本公司涉及軟件開(kāi)發(fā)、營(yíng)銷、效勞和日常治理的業(yè)務(wù)系統(tǒng)；與所述信息系統(tǒng)有關(guān)的活動(dòng)；與所述信息系統(tǒng)有關(guān)的部門和全部員工；所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：A〔標(biāo)準(zhǔn)性附錄〕《信息安全治理體系組織機(jī)構(gòu)圖》。物理范圍：系的物理范圍和信息安全邊界。2B〔標(biāo)準(zhǔn)性附錄〕《辦公場(chǎng)所平面圖》。信息安全治理體系的方針0.4該信息安全方針?lè)弦韵乱螅簽樾畔踩繕?biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；與組織戰(zhàn)略和風(fēng)險(xiǎn)治理相全都的環(huán)境下，建立和保持信息安全治理體系；建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；經(jīng)最高治理者批準(zhǔn)。為實(shí)現(xiàn)信息安全治理體系方針，本公司承諾：信息安全的治理職責(zé)識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；系的持續(xù)有效性；d〕承受先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；制定并保持完善的業(yè)務(wù)連續(xù)性打算，實(shí)現(xiàn)可持續(xù)進(jìn)展。風(fēng)險(xiǎn)評(píng)估的方法的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。識(shí)別風(fēng)險(xiǎn)性要求進(jìn)展了量化賦值，形成了《資產(chǎn)識(shí)別清單》。同時(shí)，依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估治理程序》，識(shí)別了對(duì)這些資產(chǎn)的威逼、可能被威逼利分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)評(píng)估治理程序》，承受人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)展賦值；針對(duì)每一項(xiàng)威逼、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的掌握措施，判定安全失效發(fā)生的可能性，并進(jìn)展賦值；依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估治理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估治理程序》及風(fēng)險(xiǎn)承受準(zhǔn)則，推斷風(fēng)險(xiǎn)為可承受或需要處理。識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇該打算明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處置策略。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮掌握措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧合麥p風(fēng)險(xiǎn)〔通過(guò)適當(dāng)?shù)恼莆沾胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性〕；〔/剩余風(fēng)險(xiǎn)〕；躲避風(fēng)險(xiǎn)〔打算不進(jìn)展引起風(fēng)險(xiǎn)的活動(dòng)，從而避開(kāi)風(fēng)險(xiǎn)〕；轉(zhuǎn)移風(fēng)險(xiǎn)〔通過(guò)購(gòu)置保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)〕。選擇掌握目標(biāo)與掌握措施息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門〔見(jiàn)《適用性聲明》〕：信息安全掌握目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。GB/T22080-2023idtISO27001:2023《信息技術(shù)AGB/T22081-2023idtISO27002:2023《信息技術(shù)-安全技術(shù)-信息安全治理有用規(guī)章》。本公司依據(jù)信息安全治理的需要，可以選擇標(biāo)準(zhǔn)之外的其他掌握措施。對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高治理者的批準(zhǔn)。最高治理者通過(guò)本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全治理體系進(jìn)展了授權(quán)。適用性聲明〔SoA〕。該聲明包括以下方面的內(nèi)容：a)所選擇掌握目標(biāo)與掌握措施的概要描述，以及選擇的緣由；A說(shuō)明〔本公司未涉及此項(xiàng)業(yè)務(wù)〕。實(shí)施及運(yùn)作信息安全治理體系下活動(dòng)：措施的優(yōu)先級(jí)；信息安全職責(zé)；實(shí)施所選擇的掌握措施，以實(shí)現(xiàn)掌握目標(biāo)的要求；有效性以得出可比較的、可重復(fù)的結(jié)果；f)對(duì)信息安全體系的運(yùn)作進(jìn)展治理；對(duì)信息安全所需資源進(jìn)展治理；實(shí)施掌握程序，對(duì)信息安全大事〔或征兆〕進(jìn)展快速反響。信息安全組織機(jī)構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)-信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全治理體系方必要的資源。行?！矃f(xié)調(diào)會(huì)〕的方式，進(jìn)展信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動(dòng)的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估、信息分類；識(shí)別重大的威逼變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威逼的暴露；評(píng)估信息安全掌握措施實(shí)施的充分性和協(xié)調(diào)性；有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；當(dāng)?shù)拇胧?。信息安全職?zé)和權(quán)限全治理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全治理體系必要的程序并維持其有效運(yùn)行；報(bào)告。信息安全保密義務(wù)；C〔標(biāo)準(zhǔn)性附錄〕《信息安全治理職責(zé)明細(xì)表》和相應(yīng)的程序文件?！舶ò踩\(yùn)行的各種掌握程序〕的要求實(shí)施信息安全掌握措施。監(jiān)視與評(píng)審信息安全治理體系〔大事〕報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等掌握措施并報(bào)告結(jié)果以實(shí)現(xiàn)：準(zhǔn)時(shí)覺(jué)察處理結(jié)果中的錯(cuò)誤、信息安全體系的事故〔大事〕和隱患；c)使治理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)到達(dá)預(yù)期的結(jié)果；e)積存信息安全方面的閱歷。依據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反響，由總經(jīng)理主持，每年至少一次7應(yīng)準(zhǔn)時(shí)進(jìn)展風(fēng)險(xiǎn)評(píng)估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過(guò)程；已識(shí)別的威逼；實(shí)施掌握的有效性；外部大事，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。67考慮監(jiān)視和評(píng)審活動(dòng)的覺(jué)察，更安全打算。保持與持續(xù)改進(jìn)信息安全治理體系我公司開(kāi)展以下活動(dòng)，以確保信息安全治理體系的持續(xù)改進(jìn)：實(shí)施每年治理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的工程；依據(jù)《內(nèi)部審核治理程序》、《訂正措施治理程序》、《預(yù)防措施治理程序》的要〔大事〕的閱歷教訓(xùn)，不斷改進(jìn)安全措施的有效性；通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行狀況與結(jié)果進(jìn)展有效的溝通。包的要求等；對(duì)信息安全目標(biāo)及分解進(jìn)展適當(dāng)?shù)闹卫?，確保改進(jìn)到達(dá)預(yù)期的效果。文件要求總則本公司信息安全治理體系文件包括：文件化的信息安全方針、掌握目標(biāo)，在《信息安全治理手冊(cè)》中描述；《信息安全治理手冊(cè)》〔本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)〕；本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估治理程序》、《業(yè)務(wù)持續(xù)性治理程序》、《訂正措施治理程序》等支持性程序；程序》、《內(nèi)部審核治理程序》等；為確保有效籌劃、運(yùn)作和掌握信息安全過(guò)程所制定的文件化操作程序；體系要求的記錄類文件；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；〔SOA〕。文件掌握行政中心制定并實(shí)施《文件和資料治理程序》，對(duì)信息安全治理體系所要求的文件進(jìn)展治理。對(duì)《信息安全治理手冊(cè)》、程序文件、治理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全治理作廢、回收等治理工作做出規(guī)定，以確保在使用場(chǎng)所能夠準(zhǔn)時(shí)獲得適用文件的有效版本。文件掌握應(yīng)保證：文件公布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)展評(píng)審、更并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得相關(guān)文件的最版本；確保文件保持清楚、易于識(shí)別；終的銷毀；確保外來(lái)文件得到識(shí)別；確保文件的分發(fā)得到掌握；防止作廢文件的非預(yù)期使用；假設(shè)因任何目的需保存作廢文件時(shí)，應(yīng)對(duì)其進(jìn)展適當(dāng)?shù)臉?biāo)識(shí)。記錄掌握信息安全治理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。行政中心定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。4.2ISMS相關(guān)的安全事故〔大事〕的記錄。各部門應(yīng)依據(jù)《記錄治理程序》的要求實(shí)行適當(dāng)?shù)姆绞酵桩?dāng)保管信息安全記錄。ISMS主管部門總經(jīng)理主管部門總經(jīng)理治理者代表行政中心工程中客服中心手冊(cè)條款信息安全治理體系8總體要求▲△△△△ISMS▲▲▲▲4ISMS▲▲▲▲監(jiān)視和評(píng)審ISMS▲△△△保持和改進(jìn)ISMS▲△△△文件掌握△▲△△記錄掌握△▲△△5治理承諾▲△△△治理職資源供給▲△△△責(zé)培訓(xùn)意識(shí)和力量▲▲△△6ISMS▲▲△△7ISMS▲△▲△△持續(xù)改進(jìn)▲▲▲△△訂正措施▲▲△△改進(jìn)預(yù)防措施▲△▲△△A5安全方針▲△△△A6信息安全組織▲△△△A7資產(chǎn)治理▲▲△△A8人力資源治理▲▲△△A9物理和環(huán)境安全▲▲△△A10通訊和操作治理▲△▲△A11訪問(wèn)掌握▲△▲△信息系統(tǒng)的獵取開(kāi)發(fā)和 △ ▲ △A12 ▲維護(hù)A13信息安全事故治理▲▲△△A14業(yè)務(wù)持續(xù)性治理▲△▲△A15符合性▲▲△△治理職責(zé)治理承諾治理體系的承諾供給證據(jù)：建立信息安全方針(見(jiàn)本手冊(cè)第0.4章)；確保信息安全目標(biāo)得以制定〔0.4承受風(fēng)險(xiǎn)處理打算》及相關(guān)記錄〕；建立信息安全的角色和職責(zé)〔見(jiàn)本手冊(cè)附錄E〕；要性；5.2記錄)；確保內(nèi)部信息安全治理體系審核〔見(jiàn)本手冊(cè)第6章〕得以實(shí)施；7〕。資源治理資源的供給安全治理體系工作的員工的力量是勝任的，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全治理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；通過(guò)正確應(yīng)用所實(shí)施的全部掌握來(lái)保持充分的安全；必要時(shí)進(jìn)展評(píng)審，并對(duì)評(píng)審的結(jié)果實(shí)行適當(dāng)措施；培訓(xùn)、意識(shí)和力量責(zé)的全部人員，都必需有力量執(zhí)行所要求的任務(wù)?？梢酝ㄟ^(guò)：確定擔(dān)當(dāng)信息安全治理體系各工作崗位的職工所必要的力量；c)評(píng)價(jià)所實(shí)行措施的有效性；d)保存教育、培訓(xùn)、技能、閱歷和資格的記錄。何為實(shí)現(xiàn)信息安全治理體系目標(biāo)做出奉獻(xiàn)。內(nèi)部信息安全治理體系審核總則確定其信息安全治理體系的掌握目標(biāo)、掌握措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；內(nèi)審籌劃案進(jìn)展籌劃。應(yīng)編制內(nèi)審年度打算，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，行政中心應(yīng)編制內(nèi)審打算，確定審核的準(zhǔn)則、范圍、日程和審核組。審內(nèi)審實(shí)施應(yīng)按審核打算的要求實(shí)施審核，包括：a〕進(jìn)展首次會(huì)議，明確審核的目的和范圍，承受的方法和程序；b〕實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)展溝通；c〕進(jìn)展對(duì)檢查內(nèi)容進(jìn)展分析，召開(kāi)內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見(jiàn)和不符合報(bào)告；d〕審核組長(zhǎng)編制審核報(bào)告。門的訂正措施的實(shí)施狀況進(jìn)展跟蹤、驗(yàn)證。依據(jù)《記錄治理程序》的要求，保存審核記錄。內(nèi)部審核報(bào)告，應(yīng)作為治理評(píng)審的輸入之一。治理評(píng)