条款:4.3.3 记录控制
a. 记录要加以建立与保持 l 是否有一个建立与保持记录的过程?
b. 记录要加以保护与控制 l 是否有一个保护与控制记录的过程?
c. ISMS要考虑相关法律法规要求和合同义务 l ISMS是否考虑了相关法律法规要求和合同义务?
d. 记录要保持清晰、易于识别和检索 l 记录是否保持清晰、易于识别和检索?
e. 记录的控制要形成文件, 并加以实施 l 记录的控制是否形成了文件?
f. 记录要保留ISMS过程的执行情况,和所有重大安全事故的执行情况 l 记录是否保留了ISMS过程的执行情况?
l 记录是否保留了所有重大安全事故的执行情况?
1内审结果通告
内审结束后,审核组长将内审结果以邮件、书面等方式告知受审核方负责人、体系负责人及相关人员。内审结果通告主要内容有:
1) 审核情况总结;
2) 宣读不符合项及其严重程度;
3) 提出纠正时限和验证要求;
4) 宣布审核结论。
内审结束后,审核组长将《审核、检查发现事项通知单》及时发放给受审核部门。
2内审报告编制和分发
审核组长负责组织编写《内部审核报告》,报体系负责人审批。审核报告的主要内容有:审核目的范围及依据、审核日期、审核组成员、审核计划实施情况总结、审核发现(包括不符合项及其分布情况分析)、审核结论等。
审核报告批准后,由信息安全工作小组将《内部审核报告》分发给信息安全管理小组、体系负责人、受审核方及有关部门。
3 纠正措施的实施、跟踪及验证
审核组对受审部门发出《审核、检查发现事项通知单》后,受审核部门立即组织进行原因分析,进行纠正或制订纠正或预防措施,*专人负责整改,并将完成情况报信息安全工作小组,信息安全工作小组对实施结果进行跟踪验证,直至关闭。
1.目的和范围 2
2.引用文件 2
3.职责和权限 2
4.管理内容及控制要求 2
4.1文件的分类 2
4.2文件编制 3
4.3文件标识 3
4.4文件的发放 5
4.5文件的控制 5
4.6文件的更改 5
4.6.1文件更改申请 5
4.6.2文件更改的审批或评审 5
4.6.3文件更改的实施 5
4.6.4版本控制 6
4.7文件的评审 6
4.8文件的作废 6
4.9外来文件的管理 7
4.10文件的归档 7
5.相关记录 7