ISO IEC 27001- 2022 信息安全管理体系内部审核检查记录表 被审核部门: 审核时间: 编写人: 被审核部门确认: 内审员: 管理者代表: 审核依据:ISO IEC 27001 : 2022 信息安全管理体系要求及法律法规要求 条款 标题 审核问题 审核 对象 审核 方式 审核 结果 审核记录 4 组织环境 4. 1 4. 1 理解组织及其环境 1、组织管理者是否了解组织内部可能会影 响信息安全目标实 现的风险? 2、组织管理者是否了解组织外部环境 ,包括行业状况 、相关法律法规要求、利益相关方要求、风险管理过程风险等? 3、组织管理者是否明确组织 的风险管理过程和风险准 则? 4.2 4. 2 理解相关方的需求和期望 1 、组织是否识别了 与组织信息安全有关 的相关方? 2、组织是否明确了 这些相关方与信息 安全有关 要求? (包括法律法规要求和合同要求) 3 哪些要求将通过信息安全管理系统解决? 4 . 3 4 . 3 确定信息安全管理体系的范围 1 、组织的信息安全管 理体系手册中是否有明确管理范围? 2 、组织的适用性声 明,是否针对实际情况做合理删减? 3 、组织对信息安全管 理范围和适用性是 否定期评审? 小组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容? 4 .4 4 . 4 信息安全 管理体系 1 组织应按照本文件的要求,建立、实施、保持并持续改进信息安全 管理体系,包括所需的过程及其相互作用? 5 领导 5 . 1 5 . 1 领导和承诺 1 、组织是否制定了明确的信息安全方针和目标 ,并且这些方针和目标与组织的业务息息相关? 2 、组织的业务中是否整合了信息安全管理要求? 3 、组织为实施信息安全管 理,是否投入了必要的资源? (人、财、物) 4 、组织管理者是否在范围内传达了 信息安全管理的重要性? 5 .2 5 . 2 方 针 1 、组织制定的信息安全方针是否与组织 的业务目标相 一致? 2 、组织制定 的信息安全方针是否与信息 安全目标相 一致? 3 、组织制定的信息安全方针是否可 以体现领导的承诺? 4 、组织制定的方针是否在信息安全管理手册中体现? 队组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。 5.3 5. 3 组织角色、职责和权限 1、管理者是否在组织内建立并传达了 信息安全管理组织架构,并明确其职责和权限? 么管理者是否在组织内分配了报告信息安全管理体系绩效的职...
