体 系 标 准 款 项标 题44.14.1 理解组织及其环境管理者代表是否了解公司的业务以及行业环境访谈4.24.2 理解相关方的需求和期望检查组织是否了解客户合同中的需求访谈4.34.3 确定信息安全管理体系的范围 检查组织的信息安全管理体系手册中是否有明确管理范围检查组织的适用性声明,是否针对实际情况做合理删减访谈4.44.4 信息安全管理体系检查组织是否有正式的信息安全管理体系制度抽样55.15.1 领导和承诺组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。访谈5.25.2 方针是否有文件化的管理方针现场观察5.35.3 组织角色、职责和权限是否建立了的信息安全管理组织,并明确其职责及权限访谈66.16.1.1 总则检查组织是否建立正式的风险评估流程现场观察6.1.2 信息安全风险评估是否建立了风险接受准则现场观察风险评估实施情况现场观察抽样最新一次风险评估内容,检查风险是否识别了责任人,风险级别现场观察6.1.3 信息安全风险处置检查组织的风险处置计划,风险是否都有风险责任人审批,风险处置方式。现场观察6.2 信息安全目标和规划实现检查组织是否建立信息安全目标,信息安全目标与管理方针是否存在关联现场观察77.1 资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。访谈7.2 能力检查组织在岗位说明书中明确信息安全方面的能力要求现场观察检查组织的培训计划,是否有信息安全方面的培训内容现场观察7.3 意识随机访谈各部门员工5人,了解其是否知晓最新的信息安全管理体系及相关制度。访谈7.4 沟通了解组织与相关方沟通的方式,频率以及沟通的记录访谈88.1 运行的规划和控制检查内容详见A5-A1899.1 监视、测量、分析和评价检查组织是否有体系有效性测量流程现场观察9.2 内部审核检查组织是否建立了内审流程现场观察审 核 问 题审 核 方 式支 持运 行 绩 效 评 价适用条款组织环境领导规划6.1 应对风险和机会的措施检查最新的内审活动,是否包含检查清单、检查过程是否有效,对不符项的关闭情况9.3 管理评审检查公司的管评计划检查公司最新的管评活动记录1010.1 不符合和纠正措施检查内容同9.1 9.2A.5 A.5.1 A.5.1.1 信息安全方针 组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。现场观察A.5.1.2 信息安全方针的评审获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评...
