福州ISO认证厦门ISO27001认证信息安全体系认证办理咨询培训辅导顾问申请

ISMS：9.1监视、测量、分析和评价

评价信息安全绩效和ISMS有效性

组织应评价信息安全绩效和ISMS有效性。

组织应确定：

A） 什么需要监视和测量，包括信息安全过程和控制措施；

B） 监视、测量、分析和评价的方法，适用时，确保结果有效；

C） 什么时候应执行监视和测量；

D） 谁应实施监视和测量；

E） 监视和测量结果分析和评价的时机；

F） 谁应分析和评价这些结果。

组织应保留适当的文件记录信息作为监视和测量结果的证据。 《有效性测量控制程序》

每年制定测量计划，查《信息安全目标及测量计划》每年年测量一次。

公司信息安全目标：

1）重要信息泄露为0次/年

2）移动介质遗失小于1次/年；

3）信息安全事件发生小于或等于2次/年。

公司建立《信息安全目标测量控制程序》，明确管理和测量信息安全目标的职责，明确测量的内容和频率要求，并对测量的结果进行评价，识别改进的机会。

查本年《信息安全目标测量控制程序》，每年度测量目标，总体公司信息安全目标达成。 符合

ISMS：9.2内部审核

内部审核

组织应按照计划的时间间隔进行内部审核，以提供信息确定信息安全是否：

A） 符合

1） 组织自身信息安全的要求；

2） 标准要求；

B） 得到有效的实施和保持。

组织应：

C）策划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果；

D） 为每次审核定义审核准则和审核范围；

E） 审核员的选择和审核的实施应确保审核过程的客观性和公正性；

F） 确保审核结果报告给相关的管理者；

G） 保留文件记录信息作为审核方案和审核的证据。 《内部审核管理程序》

查《内审计划》，每年1次内审。

查《内部审核计划》

覆盖所有部门和条款。

查  等人，接受了ISO27001:2013内部审核培训，具备内审能力。

查内审检查汇总表，各审核部门审核条款齐全。

查《内部审核报告》 符合