适 用 条 款体 系 标 准 款项44.14.1 理解组织及其环境1、组织管理者是否了解组织内部可能会影响信息安全目标实现的风险?2、组织管理者是否了解组织外部环境,包括行业状况、相关法律法规要求、利益相关方要求、风险管理过程风险等?3、组织管理者是否明确组织的风险管理过程和风险准则?4.24.2 理解相关方的需求和期望1、组织是否识别了与组织信息安全有关的相关方?2、组织是否明确了这些相关方与信息安全有关要求?(包括法律法规要求和合同要求)4.34.3 确定信息安全管理体系的范围1、组织的信息安全管理体系手册中是否有明确管理范围?2、组织的适用性声明,是否针对实际情况做合理删减?3、组织对信息安全管理范围和适用性是否定期评审?4、组织制定的信息安全管理体系是否已经涵盖安全管理活动中的各类管理内容?4.44.4 信息安全管理体系1、组织是否建立、实施、保持、持续改进信息安全管理体系制度?2、信息安全制度有安全策略、管理制度、操作规程等构成?55.15.1 领导和承诺1、组织是否制定了明确的信息安全方针和目标,并且这些方针和目标与组织的业务息息相关?2、组织的业务中是否整合了信息安全管理要求?3、组织为实施信息安全管理,是否投入了必要的资源?(人、财、物)4、组织管理者是否在范围内传达了信息安全管理的重要性?5.25.2 方针1、组织制定的信息安全方针是否与组织的业务目标相一致?2、组织制定的信息安全方针是否与信息安全目标相一致?3、组织制定的信息安全方针是否可以体现领导的承诺?4、组织制定的方针是否在信息安全管理手册中体现?5、组织制定的方针是否已经传达给全体员工?并且在适当的时候也传达给第三方。组 织 环 境领 导被 审 核 部 门 :被 审 核 部 门 代表确认:审 核 依据: ISO27001:2013审 核 对象审 核 方式审 核 问题审 核 结果审 核 时间:内审 员:标 题5.35.3 组织角色、职责和权限1、管理者是否在组织内建立并传达了信息安全管理组织架构,并明确其职责和权限?2、管理者是否在组织内分配了报告信息安全管理体系绩效的职责和权限?3、组织是否定期审查审批事项、及时更新需授权的审批事项、审批部门、审批人等信息?66.16.1.1 总则1、组织是否基于内外部环境和相关方要求等外部环境识别需要应对的风险和改进机会?6.1.2 信息安全风险评估1、组织是否定义并执行了风险评估过程?2、组织是否定义了风险接受准则?3、组织是否保留了所有风险...
