适 用 条 款体 系 标 准 款项44
1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险
2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等
3、组织管理者是否明确组织的风险管理过程和风险准则
2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方
2、组织是否明确了这些相关方与信息安全有关要求
(包括法律法规要求和合同要求)4
3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围
2、组织的适用性声明,是否针对实际情况做合理删减
3、组织对信息安全管理范围和适用性是否定期评审
4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容
4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度
2、信息安全制度有安全策略、管理制度、操作规程等构成
1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关
2、组织的业务中是否整合了信息安全管理要求
3、组织为实施信息安全管理,是否投入了必要的资源
(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性
2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致
2、组织制定的信息安全方针是否与信息安全目标相一致
3、组织制定的信息安全方针是否可以体现领导的承诺
4、组织制定的方针是否在信息安全管理手册中体现
5、组织制定的方针是否已经传达给全体员工
并且在适当的时候也传达给第三方
被 审 核 部 门 :被 审 核 部 门 代表确认:审 核 依据: ISO27001:2013审 核 对象审 核 方式审 核 问题审 核 结果审 核 时间:内审 员:标 题组织环境
