湛江ISO27001认证 ISO27000认证 咨询到位 审核顺畅需要那些材料

深圳汉墨管理咨询有限公司

条款 5.2.2
a. 组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力 l 是否有一个确保分配有ISMS职责的所有人员都具有完成所要求任务的能力的过程？
b. 组织要确保所有相关人员意识到其信息安全活动的重要性 l 是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程？
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核 l 是否有一个定期进行内部ISMS审核的过程？
(2) 制定审核方案 l 是否有一个审核方案？
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性，以及以往审核的结果？
(3) 定义审核的准则、范围、频次和方法 l 审核的准则、范围、频次和方法是否定义?
(4) 审核员的选择，审核的实施要确保审核过程的客观公正 l 审核员的选择，审核的实施是否确保审核过程的客观公正？
(5) 审核员不准审核自己的工作 l 是否审核员审核了自己的工作？
(6) 形成内审程序文件 l 是否有定义内审职责和要求方面的内审程序文件？
(7) 采取纠正措施 l 是否有一个确保受审部门的责任管理者及时采取措施，消除“已发现的不符合事项及其产生的原因”的过程？
(8) 跟踪纠正措施 l 是否有一个对纠正措施的跟踪活动？
l 跟踪活动是否包括验证和验证结果的报告？

操作安全
1. 信息处理和通信设施的系统活动须具备成文的制度规范，例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。
2. 确保每一个信息系统都能够识别容量要求，确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。
3. 建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防护控制，并提高员工的防范意识。
4. 根据备份策略对数据进行备份并定期对备份数据进行有效性测试。
5. 在选用介质时应当考虑备份的信息需要保存的周期长短，保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介，为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏，应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。
6. 应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别，处置和标记所有介质。明确防止未授权人员访问的限制要求，并根据制造商的存储规范来保存介质，同时，清晰**记数据的所有拷贝，以引起数据所有者的关注。
7. 应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题，重要的审计日志需要被存档保存，审计日志包括用户ID、日期、时间和关键事态等细节，以及系统配置、特殊权限、系统实用工具和应用程序的使用。

A.12操作安全
A.12.1 A.12.1.1 文件化的操作规程 查阅相关设备操作规定，操作记录等。
操作规程和职责 A.12.1.2 变更管理 查阅和验证信息系统的变更控制。
A.12.1.3容量管理 访查阅系统建设前的容量规划记录。
A.12.1.4开发、测试和运行设施分离 访问在线运维人员，验证开发、测试和运行设施的分离状况。
A.12.2防范恶意和移动代码 A.12.2.1 控制恶意代码 检查计算机病毒等恶意代码防范软件，及代码库的更新情况。可以在众多电脑中抽查。
查阅病毒等恶意代码事件记录。
A.12.3 备份 A.12.3.1 信息备份 查阅备份策略等相关文件，抽查备份介质，并要求测试、验证。
A.12.4日志和监视 A.12.4.1 查阅重要系统的日志信息。
事件日志
A.12.4.2 日志信息的保护 询问、验证日志信息的包括措施。
A.12.4.3 管理员和操作员日志 查阅、验证管理员和操作员日志。
A.12.4.4 时钟同步 检查、验证时钟同步措施。
A.12.5 A.12.5.1 运行软件的控制 询问、验证对运行软件的控制措施。

b) 组织要定期评审ISMS有效性 l 是否有符合此要求 “ISMS有效性的定期评审”的过程？
c) 组织要测量控制措施的有效性 l 是否有到位的“测量控制措施的有效性” 的过程或程序？
d) 组织要评审风险评估 l 是否有到位的“评审风险评估” 的过程或程序？
l “评审风险评估” 的过程是否考虑了“6方面的变化”？
e) 组织要执行定期的ISMS内部审核 l 是否有到位的定期的“ISMS内部审核”过程或程序？
f) 组织要执行定期的ISMS管理评审 l 是否有到位的定期的“ISMS管理评审”过程或程序？
g) 组织要更新信息安全计划 l 组织是否参考监视和评审活动的发现，而“更新信息安全计划”？
h) 组织要维护ISMS事件和行动措施的纪录 l 是否有到位的“维护ISMS事件和行动措施的纪录”的过程？
条款：4.2.4 保持和改进ISMS
a) 组织要实施ISMS改进 l 是否有到位的“实施ISMS改进”的过程？
b) 组织要采取适当的纠正措施和预防措施 l 是否有到位的“纠正措施和预防措施”的过程？
l 是否有到位的吸取其它组织和本组织的安全经验教训的过程？
c) 组织要向所有相关方交流ISMS的措施和改进状况 l 是否有向所有相关方交流ISMS改进的过程？
d) 组织要确保ISMS的改进达到预期目标 l 是否有确保ISMS的改进达到了预期目标的过程？