什么时间吃饭最伤胃

GBT22080：2016信息安全管理体系全套内审资料年度内审内审实施计划首末次签到表内审检查表不合格报告内审报告2018年内审计划编号：LHXR-JL-008审核目的：检查验证信息安全管理体系运行以来的情况，是否符合GB/T22080-2016标准及信息安全管理体系文件的要求，发现不足，及时纠正，持续改进信息安全管理体系运行的适宜性、充分性和有效性。被审核部门：运维部、综合部、销售部、技术支持部、领导层。审核依据：GB/T22080-2016标准要求；公司信息安全管理体系文件；适用性声明、有关法律法规、。审核范围：与“可信时间戳”运营相关的信息安全管理活动。公司认证范围内的部门、过程和场所。审核要求：内审员检查受审核部门贯彻执行信息安全体系文件要求情况，的正确性、合理性，跟踪不合格项，部门目标分解执行情况，持续改进项目执行情况，以及现场检查。受审核部门应合理安排工作，资料员配合审核。审核方法：依据《内审检查表》进行现场提问方法，收集客观证据对照审核依据进行比较，得出审核结论，对审核发现的不合格项进行纠正和预防措施处理，并由管理者代表进行跟踪验证。审核时间：2018年07月30-31日（2天）内部审核实施计划另发。编制:批准:日期：2018年07月23日内部审核实施计划编号：LHXR-JL-12内审时间2018年07月30-31日共2天内审组长内审的目的：检查信息安全管理体系是否：符合信息安全标准要求；符合确定信息安全管理体系的要求符合策划的安排；得到有效的实施与保持。审核依据：信息安全标准信息安全管理体系文件法律法规合同的要求A内审组成员BC一、首次会议：07月30日8时30至9时共30分钟地点公司会议室部门总经理管理者代表综合部销售部运维部技术支持部姓名二、现场审核计划时间安排：日期受审核方负责人主审内审人员涉及的标准条款号30日全天领导层B4.1-4.4/5.1/5.2/5.3/7.1/7.5/8.1/9.1/9.3/A5.1/A6.1/A8.330日全天技术支持部A5.3/6.2/A6.1/A8.1/A12.2/A14.330日全天销售部C5.3/6.2/A6.2/A8.1/A12.231日全天综合部C5.3/4.2/6.1/6.2/7.2-7.5/8.1-8.3/9.2-9.3/10.1-10.2/A6.1-A6.2/A7.1-A7.3/A8.1/A8.2/A11.1/A12.2/A15.1/A15.2/A16.1/A17.1/A18.1/A18.231日全天运维部B5.3/6.1/6.2/A6.1/A6.2/A9/A10.1/A11.2/A12/A13/A14/A17.2三、末次会议：31日16:30时至17时共30分地点公司会议室参加人员见内审签到表总经理意见：同意签字：日期：2018年07月23日内审首/末次会议签到表编号：LHXR-JL-13首次会议日期：2018.07.30末次会议日期：2018.07.31姓名部门职务姓名部门职务总经理运维部经理管代运维部综合部经理综合部销售部经理销售部技术支持部经理技术支持部备注：内审检查表编号：LHXR-JL-14受审部门最高管理层时间2018年07月30日标准条款审核内容、方法记录评价4.1总要求-详细介绍了公司总体情况，具体见手册企业概况。符合4.2相关方期望已经安排与相关部门进行政策收集，抽查有记录表对于客户的满意度进行定期的回访调查，有调查问卷。符合4.3范围依据公司业务进行了范围的确定，并围绕范围进行了相关风险评估工作。符合4.4建立信息安全管理体系公司依据持续改进的方法进行了体系的建立，应用PDCA的方法。符合5.15.2领导和承诺方针--信息安全方针，信息安全目标和计划得以实施；信息安全的角色和职责均已明确；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进，决定接受风险的准则和风险的可接受等级；符合5.3组织角色、职责和权限建立信息安全的角色和职责——提供《信息安全管理手册》体系推进部门综合部，职责划分基本能够满足要求。向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。符合8A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产，根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据和、软件、硬件、服务、文档、设施、人员、相关方。——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人——提供《用户授权申请表》内容填写符合要求。——目前无资产借用。符合7.1资源的提供——主持管理评审，授权管理者代表组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。——设备资源能满足要求，未来设备相应的增加时，未来有人员增加计划。符合8.1运行规划和控制对于公司信息安全体系运行进行了规划和控制。符合9.1监视、测量、分析和评价本公司通过实施不定时间间隔的安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查（如IDS）、控制措施有效性测量等手段，进行信息安全绩效及体系有效性的测量，并报告结果以实现体系有效性。符合9.3ISMS管理评审——有制定体系实施以来的第一次管理评审计划。符合10改进对不可接受风险进行了处置符合A5.1信息安全方针文件信息安全方针文件应由管理者批准、发布并传递给所有员工和外部相关方。符合A6.1内部组织有明确的组织结构，各部门分工明确，体系运行已建立推进小组。有相关方管理程序，与政府等部门保持联系符合A.8.3.1A.8.3.2A.8.3.3可移动介质的管理介质的处置物理介质传输提供可移动介质授权使用清单1份。——有申请部门、申请人、部门审核人、申请介质类型、申请使用数量、申请使用时间、行政审核人、行政批示、经办人。——目前无介质处置。符合内审检查表编号：LHXR-JL-14受审部门综合部时间2018年07月31日标准条款审核内容、方法记录评价5.3组织角色、职责和权限建立信息安全的角色和职责——提供《信息安全管理手册》符合体系推进部门综合部，职责划分基本能够满足要求。向组织传达满足信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。4.2相关方期望综合部与相关部门进行政策收集，抽查有记录表对于客户的满意度进行定期的回访调查，有调查问卷。符合4.4建立信息安全管理体系公司依据持续改进的方法进行了体系的建立，应用PDCA的方法。符合6.2信息安全目标及其实现规划组织制定了信息安全目标，并对目标实现进行了规划。符合7.1资源的提供组织协调建立、实施、运作、监视、评审、保持和改进ISMS体系。——设备资源能满足要求，未来设备相应的增加时，未来有人员增加计划。符合7.2-4培训、意识、沟通组织进行了信息安全体系学习培训，并评价了员工的信息安全意识，协调进行公司沟通及员工沟通。没有提供防病毒培训的记录。不符合7.5.1文件管理手册：2018年4月20日发布生效，形成程序文件，汇总作业文件，汇总记录表格。1、管理手册内有信息技术服务及信息安全方针、目标。2、外来文件中有收集相关的法律法规。6、《适用性声明》A/0版，对删减进行了说明。符合7.5.2文件控制文件发布有编制人、批准人签字，标明文件保密级别，通过邮件发布，有发生人员列表，邮件发送后需回复反馈。符合7.5.3记录控制抽查有《记录控制程序》，记录有控制，统一保存。符合内审检查表编号：LHXR-JL-14受审部门综合部时间2018年07月31日标准条款审核内容、方法记录评价8.1运行规划和控制对于公司信息安全体系运行进行了规划和控制。符合6.18A.8.1应对风险和机会的措施规划和控制风险评估风险处置资产清单资产所有权资产的可接受使用资产的归还针对风险和机会制定了措施。公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产，根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据和、软件、硬件、服务、文档、设施、人员、相关方。——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人——提供《用户授权申请表》内容填写符合要求。——提供了资产归还的记录表。符合9.2内审正在进行符合9.3管理评审正在策划中符合10改进对不可接受风险进行了处置符合A6.1内部组织有明确的组织结构，各部门分工明确，体系运行已建立推进小组。符合A6.2移动设备及远程办公远程办公可以访问，有权限控制，SVN不能远程访问。符合A7人力资源管理对公司人力资源进行管理，有招聘制度，任用，离职制度，全部签署保密协议。符合A8.2分类指南信息的标记和处理——提供《信息资产管理制度》信息资产分为数据、软件、硬件、文档、服务、人员等类。现场查：程序文件和手册为受控文件，文件头保密/期限栏目中明确了保密级别。符合A.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理安全周边物理入口控制办公室、房间和设施的安全保护外部环境威胁的安全防护在安全区域工作交接区安全——现场查公司接待室，——公司入口有服务器一台，有监控。——现场查《外来人员来访》，登记信息包含：来访人员姓名，时间，单位，身份证，事由，被访人。符合A.12.2控制恶意软件符合安装了小毒软件。A15供应商管理有供应商评价准则，和供应商签署有相关协议。有供应商评价记录。符合A.16.1职责和规程报告信息安全事态报告信息安全弱点评估和确定信息安全事态信息安全事件响应对信息安全事件的总安全事情、事故一经发生，事情、事故发现者、责任者应立即向网管报告，网管应及时对事情、事故进行反应处理。所有员工有报告安全事故、事情的义务。目前没有计算机中病毒情况，未发生安全事件。符合结证据的收集A.17.1信息安全连续性计划公司建立并实施管理程序，在发生灾难或安全故障时，实施持续性管理计划，确保关键业务及时得到恢复。符合A.18.1符合法律和合同要求提供内有关法律法规适用性的识别要求。定期与执法机关等综合部门联络，及时收集与信息安全管理有关法律、法规和其它信息。提供法律法规标准清单符合A.18.2独立的信息安全评审符合安全策略和标准技术符合性评审有各部门的负责人，和信息安全担当组成。内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家，技术性审核应在被监督的情况下进行。如有特殊情况将安排2次内审。——提供。——《内审管理程序》、《管理评审控制程序》——漏洞扫描工具，只有信息系统管理员有权限使用。——内部使用趋势杀毒软件对个人计算机进行病毒查杀。符合内审检查表编号：LHXR-JL-14受审部门运维部时间2018年07月31日标准条款审核内容、方法记录评价5.3组织角色、职责和权限建立信息安全的角色和职责职责划分基本能够满足要求。能明白信息安全目标、符合信息安全方针、履行法律法责任和持续改进的重要性。符合8A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还公司对资产进行了评估。包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产，根据《信息安全风险识别与评价管理程序》识别出了重要资产及高风险的项目。其中高风险的资产有公司软件源代码等。自此之后公司完成了风险处理计划、检查、残余风险评估报告，以及验证。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。——《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人——提供《用户授权申请表》内容填写符合要求。——提供了资产归还的记录表。符合6.1应对风险和机会的措施针对风险处理制定了措施。符合6.2信息安全目标及其实现规划组织制定了信息安全目标，并对目标实现进行了规划。符合A6.1内部组织有明确的组织结构，各部门分工明确，体系运行已建立推进小组。符合A6.2移动设备和远程办公制定了相关制度，能做到按照制度执行。符合A9.1访问控制策略网络和网络服务的访问网络划分为三个网段，内网使用固定IP,入网需要申请，并绑定MAC地址。符合要求符合A9.2用户注册及注销用户访问开通特殊访问权限管理用户秘密鉴别信息管理用户访问权限的复查撤销或调整访问权限对于任何权限的改变（包括权限的创建、变更以及注销），须由管理员操作。特权分配仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后应被收回，确保特权拥有者的特权是工作需要的且不存在富裕的特权。——查人力资源管理系统，有特殊权限。各系统管理员应对被授权访问该系统的用户口令予以分配、规定不使用简单口令，口令必须至少要含有6位以上字母+数字。查：普通用户只能访问被授权的服务，对计算机系统的访问权都被限制。符合A9.3使用秘密鉴别信息公司范围的计算机登录口令要求6位以上。抽查了1台PC机，口令符合要求符合A9.4信息访问控制安全登录规程口令管理系统——用户不得访问或尝试访问未经授权的网络、系统、文件和服务。——现场测试，审核员通过访问网络上的PC符合特殊权限实用工具软件的使用对程序源代码的访问控制机，有用户名，密码，试图随意输入密码3次，均无法登陆。——所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改等。没有安装实用工具。——公司没有软件开发。---对网络服务规定服务方所应承担的业务与遵守的规定；条款五，规定了双方的法律责任与处理办法A10.1使用密码控制的策略密钥管理公司有密码控制。符合A11.2设备安置和保护支持性设施布缆安全设备维护资产的移动组织场外设备和资产的安全设备的安全处置或在利用无人值守的用户设备清空桌面和屏幕策略——公司有专用服务器机房。——现场公司内部有视频监控系统，办公区有消防栓，灭火器。——现场机房内的机柜中网络布线比较整齐。——提供服务器每周检查记录。——现场查公司目前没有组织场所外的信息处理设备使用。——含有敏感信息的设备在报废或该做他用时，由使用部门应利用安全的处置方法将设备中存储的敏感信息清除并保存清除记录。对旧机器的硬盘砸坏，物理破坏后。公司目前未发生设备处置。——提供电子设备领用签字单。有申请人、主管签字和日期。——桌面均能保持干净，员离开位子时采用手动锁屏，自动屏幕保护时限为5分钟。符合A12.1文件化的操作规程变更管理容量管理开发、测试和运行环境分离——有程序文件，实用制度、管理制度；——现场了解目前没有信息系统的变更。——提供服务器容量监控记录。有服务器、硬件配置、总容量、已用空间、剩余空间。每日通过手工登录，通过服务器阵列备份通用备份，按照容量管理程序文件记录。——现场查公司目前无软件开发和测试活动，目前使用的信息系统由供应商负责安装测试，符合A12.2控制恶意软件——安装使用360杀毒软件。符合A12.3信息备份——提供备份策略，查有通过数据库进行“日备份”而作业文件，备份策略要求财务数据为备份，定期进去备份检查。符合A12.4事态记录日志信息的保护管理员和操作员日志时钟同步现场查公司有门禁，监控，现场查有打卡机，同时负责外来人员监控。——现场查只有系统管理员有权察看日志，服务器均开启管理员和操作员日志。——现场查公司的电脑设置为与Internet时间自动校对，未连接网络的电脑定期校对电脑时间。符合A12.5A12.6A12.7在运行系统上安装软件——对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。现场查目前安装软件统一管理安装。符合技术脆弱性的控制限制软件安装计算机安装了360安全卫士，自动扫描系统漏洞。——系统应用程序的使用进行限制和严格控制，并规定授权的使用者等，只有经过授权的系统管理员才可以使用实用工具，现场查服务器上没有安装实用工具。符合信息系统审计控制措施——漏洞扫描工具使用JP1，只有信息系统课系统管理员有权限使用。——内部使用360杀毒软件对个人计算机进行病毒查杀符合A13.1网络控制网络服务安全网络隔离——提供《网络拓扑图》，描述网络结构并表示网络的各组成部分之间在逻辑上和物理上的相互连接。公司内部的计算机，不可以上外网，现场查连网情况。——公司路由器放置于机房内，目前划分为3个网段。——为确保公司网络安全，采用逻辑方式进行外部网络隔离，内网与外网物理隔离。现场查财务部内电脑没有连接网络。符合A13.2信息传递策略和规程信息传递协议电子消息发送保密性或不泄露协议对信息交流应作适当的防范，严禁在无保密措施的通信设备及计算机网络中传递企业秘密。——客户通过企业邮箱Email，通过内部腾讯通。——现场查公司的电子邮件目前只用于公司内部信息交换。符合A14.1信息安全要求分析和说明公共网络应用服务安全保护应用服务交易——公司建立并实施相应系统的安全使用策略和应用管理，以保护与业务信息系统互联相关的信息，减少系统造成的信息泄露。。——现场查看公司网站内没有电子商务方面的页面。符合A14.2安全开发策略系统变更控制规程运行平台变更后应用的技术评审软件包变更的限制安全系统工程原则安全开发环境外包开发系统安全测试系统验收测试——在开发过程中，出现变化时，有填写变更记录表。为使信息系统的损害降至最小，对公司内系统和软件的更改，须进行适当的测试与评审，经公司领导批准后予以实施。操作系统及应用系统的升级须经过系统主管部门测试、评审与批准后方可进行。——提供《信息系统获取、维护控制程序》——目前公司没有操作系统变更。当操作系统发生更改时，操作系统更改对应用系统的影响应由系统主管部门进行评审，确保对应用程序的作业或安全措施无不利影响。——现场查暂无软件变更，更改部门在实施前进行风险评估，确定必须的控制措施，保留原始软件，并在完全一样的复制软件上进行更符合改，更改实施前须得到系统主管部门的授权。——公司目前购买的都是安装程序，没有外包软件开发。A17.2信息处理设施的可用性目刖公司的服务器在部署时，有考虑到容量上的要求，现场查硬盘容量340%,CPU占用小于50%。符合内审检查表编号：LHXR-JL-14受审部门销售部时间2018年07月30日标准条款审核内容、方法记录评价5.3组织角色、职责和权限能回答部门职责，职责划分明确。符合6.2信息安全目标及其实现规划参与了对目标实现进行规划。符合A6.2移动设备及远程办公远程办公可以访问，有权限控制。符合A.8.1.1A.8.1.2A.8.1.3A.8.1.4资产清单资产所有权资产的可接受使用资产的归还提供有部门《信息安全资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。——《信息安全资产清单》定义了责任部门或责任人符合A.9.3.1使用秘密鉴别信息公司范围的计算机登录口令要求6位以上。抽查了一台计算机，口令符合要求符合A.12.2控制恶意软件——使用电脑安装了杀毒软件。符合内审检查表编号：LHXR-JL-14受审部门技术支持部时间2018年07月30日标准条款审核内容、方法记录评价5.3组织角色、职责和权限能回答部门职责，职责划分明确。符合6.2信息安全目标及其实现规划参与了对目标实现进行规划。符合A6.1内部组织对于组织内部信息安全的实现和运行建立了管理框架。符合建立信息安全的角色和职责职责划分基本能够满足要求。规定了与相关方的联系。关注了公司项目的信息安全问题管理。符合8A.8.1.1A.8.1资产清单资产所有权资产的可接受使用资产的归还对资产进行了识别评估。包括软件/系统、数据/文档、硬件/设施及人力资源。《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人——提供《用户授权申请表》内容填写符合要求。——提供了资产归还的记录表。符合A.12.2控制恶意软件——安装有杀毒软件。符合A.14.3系统测试数据的保护——现场查公司测试数据有进行保护。符合不合格报告编号：LHXR-JL—15受审核部门综合部受审核部门负责人审核员审核日期2018.07.31不合格事实陈述:在审核时发现综合部未能出示防病毒的培训记录。不符合GB/T22080-2016标准的7.2条款的相关要求。不符合7.2标准程序不符合类型:严重口轻微口审核员:受审核部门负责人:日期：2018.07.31日期：2018.07.31原因分析：相关人员责任心不强，落实标准要求不到位。部门负责人：日期：2018.07.31制定纠正措施计划（预计完成日期）：一周内进行防病毒的培训，并留存培训记录，学习信息安全标准7.2条的内容和要求。部门负责人：日期：2018.07.31管理者代表审批:同意日期：2018.07.31纠正措施完成情况：综合部对相关人员进行了培训，纠正措施有效。部门负责人：日期：2018.08.02纠正措施验证：纠正措施已经按照计划完成，实施有效。能防止今后再次发生此类不符合。审核员：日期：2018.08.02内审报告编号：LHXR-JL-16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。审核范围与信息安全相关的活动及部门。审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求，编制了内审计划及实施计划并按计划进行了实施。审核小组分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。审核组审核了包括总经理、管代、各有关职能部门。审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。本次审核共提出《不符合报告》共1份，涉及综合部1项。涉及标准附录7.2条款。2、体系综合评价a）最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。员工能准确答出公司信息安全方针和目标，体现了全员参与。但个别职能部门信息安全活动和人员中有责任不到位的情况。b）建立的信息安全方针和目标适合于组织的特点，在组织内得到沟通和理解，信息安全目标基本有可测量性；但部分目标的适宜性需进一步修改，并应对测算方法作进一步改善。3、审核发现信息安全管理体系文件的建立和实施经现场审核时，其适宜性、充分性和有效性基本满足要求；各部门信息安全体系文件基本能适应各自业务的需求。但在本次内审中仍发现一些存在问题：a.综合部：未能出示防病毒培训的相关记录。4、信息资产识别充分，重要信息资产评价正确。5、信息安全威胁辨识充分，根据威胁对重要信息资产的风险理解清晰，控制措施得当，检验方式科学合理。6、内审的策划、间隔和实施范围、深度及验证是适宜的。7、纠正、预防措施对防止不合格再发生基本满足要求。8、公司能够对信息资产、过程的监视和测量，不合格的控制，内审、管理评审，纠正、预防措施，数据分析等有系统的获得与信息安全有直接关系的信息，进行分析并用于持续改进信息安全管理体系的有效性。9、对于体系运行有效性及符合性作如下总结：a）公司建立并已正常运行了3个月的信息安全管理体系基本满足GB/T22080-2016标准的要求，有能力证明自身的信息安全，能向顾客证明管理是有效的。b）公司文件化信息安全管理体系基本得到实施，发展趋势总的来说是好的，但发展仍不平衡，特别是在适用性声明中明确管理的过程控制中仍有差距，各部门程序文件或作业文件还存在某些描述与实际运行不符的情况。c）公司信息安全方针和目标基本得到实现，现有信息安全管理体系是有效的。d）初步具备了自我发现自我改进的能力，但建立的持续改进实施的还不充分。e）通过本次内审，我们审核组认为公司的信息安全管理体系基本符合GB/T22080-2016标准要求，信息安全手册、程序文件、适用性声明文件，能够得以有效的实施，可以看出，体系的运行是基本符合的、有效的，能满足信息安全的要求。今后将根据实际需要重新规划和调整部分体系文件，使得更能符合公司实际所需的信息安全活动的开展。10、跟踪验证方式：请存在不合格项的受审部门制定纠正措施，并将实施效果及证实资料，于一周内提交审核组进行书面验证。11、其他事项：a）体系运行以体系文件为依据，建议各部门对本部门员工要经常宣讲体系文件，使各项信息安全活动都能按体系文件的要求执行，纳入标准的轨道，保证体系运行的持续有效。各部门要根据不合格报告举一反三，把存在问题摆出来，责任到人，考核到人，限期完成。真正把贯标工作落在实处，提高组织的管理水平。b）信息安全文件和记录是体系运行的重要依据，各部门都要重视。建议各部门把程序文件所列的信息安全记录的表式逐一整理，在实际运行中逐项落实，纠正原来不符合要求的表式，对所发的文件和所收到的文件按程序规定，进行签发、收录登记，使文件和记录尽快趋于完善。c）对控制目标的测量虽有良好的评价结果，但测量深度有待进一步加强，各分管职能人员要经常深入检查控制措施的落实情况，以形成良好的习惯，促使管理工作上台阶。d）进一步建立和健全自我教育、自我评审、自我改进、自我完善的机制，经常对照体系文件与已有关的条款，查错堵漏。内部审核是抽样的，不是所有不合格项都能被观察到，各部门对不合格项纠正时要做到举一反三，对已发现的不合格项，要抓紧制定纠正措施。e）在贯彻落实标准方面，各部门还有待进一步加强培训力度。f）各部门与信息安全体系有关的各个环节的管理人员和操作人员，都要针对性地学习与已有关的文件内容，找出目前工作与信息安全体系文件要求的差距，进行整改，达到有效改进。编写日期：2018/07/31内审组长签字：