安全总监管理办法，5月1日施行，强制要求配备安全总监，有注安证书是必要条件！

近日，新疆维吾尔自治区住房和城乡建设厅发布了关于转发《关于印发的通知》的通知。

通知附件“关于印发《自治区企业安全总监管理办法（试行）》的通知”中提到了对企业配备安全总监的具体要求，以及安全总监的职权、任职要求和待遇。

小安给大家整理了重点内容，一起来看看吧~

01

企业配备安全总监的要求

在自治区行政区域内从事生产经营活动或者住所地 在自治区行政区域内的下列企业应当配备安全总监：

一） 国有及国有控股的规模以上企业；

二） 规模以上工业、交通运输、建筑施工企业；

三） 从业人员50人及以上的矿山、金属冶炼企业和生产、储 存、运输、处置、使用危险物品的企业；

四） 粉尘涉爆从业人员30人及以上的企业；

五） 对外承包工程或者对外劳务输出的企业。

鼓励其他有条件企业配备安全总监。

本条规定的从业人员含劳务派遣人员，矿山企业含外包工程的作 业人员；本条规定的“规模以上企业”，依照统计机构的规定执行。

02

安全总监的职权

企业应当赋予安全总监下列职权：

一）法律、法规、规章赋予企业安全生产管理人员的权力；

二）对企业安全生产管理机构负责人和下属单位的安全总 监、安全生产管理机构负责人的考核及任免的建议权；

三）对企业安全生产技术的决策权；

四）对企业安全生产费用和安全奖励费用的审核权；

五）对存在重大生产安全事故隐患或者不具备安全生产条件 的设备（设施）、施工作业等的责令停产、停工的权力；

六）有关部门及单位赋予的其他权力。

03

安全总监的任职要求

任企业安全总监应当具备下列条件：

一）取得中级及以上注册安全工程师资格（含高级安全工程 师）并在本企业注册；

二） 熟悉设备设施、工艺流程、操作规程等，有较高的安全专 业技术知识和管理水平；

三） 具有较强的责任意识，勤奋敬业，勇于担当，顾全大局，有 团队协作精神；

四） 熟悉安全管理体系，具有较强的组织领导能力，善于沟通协 调，能积极主动解决安全生产各类问题，科学果断处置突发事件；

五） 身体健康。

04

安全总监的待遇

安全总监享受企业总工程师、总经济师同等的工作待遇和薪酬待遇。

除新疆外，山东、江苏、湖北、宁夏、深圳、北京也纷纷开始施行安全总监制度。

山东

2019年12月24日，山东省住房和城乡建设厅发布《关于推行建筑施工企业安全总监制和项目专职安全生产管理人员委派制的通知》。

《通知》明确： 2 020年2月1日起，在全省建筑施工领域推行企业安全总监制和项目专职安全生产管理人员委派制。其中，安全总监为本单位副职级别，待遇要高于其他副职并单独发放岗位风险津贴。

此前，《山东省安全生产条例》于2017年5月1日起施行，规定从业人员在300人以上的高危生产经营单位应当按照规定设置安全总监，并建立安全生产委员会考证书的正规网站，应当建立安全生产承诺公告制度，建立并落实单位负责人现场带班制度。

江苏

江苏省安委会于2020年3月16日印发《关于全面强化落实企业主体责任 深入推进安全生产专项整治的通知》，明确企业落实安全生产主体责任。

加强安全管理机构和人员配备是《通知》的一大重点内容：企业应依法依规设置安全生产管理机构或者配备专（兼）职安全生产管理人员，企业主要负责人、分管安全生产负责人、安全总监、安全生产管理人员，应具备与本单位所从事的生产经营活动相适应的安全生产知识和管理能力。

其中，高危行业企业应设置安全生产管理机构、配备专职安全生产管理人员，危险化学品、矿山、道路运输、建筑施工等重点行业领域内达到一定规模的生产经营单位应配备安全总监、注册安全工程师。

湖北

2019年8月29日，湖北省安委会发布《关于在重点行业领域生产经营单位建立安全总监制度的通知》，明确了安全总监制度的实施范围，安全总监的任职条件、任免及待遇。

通知要求：湖北省从业人员100人及以上，或年主营业务收入2000万元及以上的矿山、金属冶炼、建筑施工、交通运输等行业领域的生产经营单位均应建立安全总监制度。

宁夏

2019年6月3日，宁夏回族自治区住建厅印发《全区建筑施工领域推行安全总监制度实施方案》的通知。明确实施范围：

在宁夏回族自治区行政区域内注册，取得建筑施工总承包二级及以上资质的企业，应设置企业安全总监岗位。其下属的非法人施工单位，从业人员总数在100人以上的，也可参照《自治区安委会办公室关于印发在重点行业推行安全总监制度的通知》（宁安办〔2018〕113号）中关于设置企业安全总监岗位的要求，设置非法人施工单位企业安全总监岗位。

此前，宁夏回族自治区安委会办公室下发《关于在全区重点行业企业推行安全总监制度的通知》，在全区重点行业企业推行安全总监制度。

安全总监制度推行范围为：从业人员在100人以上（含100人）的矿山、建筑施工、交通运输、危险化学品、烟花爆竹、民爆器材、金属冶炼等高危行业企业和粉尘涉爆、涉氨制冷等领域的企业以及从业人员300人以上（含300人）的其他企业应设安全总监；人数偏少、组织机构简单但年主营业务收入2000万元及以上的化工企业应当赋予分管安全生产的负责人安全总监职责；鼓励其他有条件的企业实行安全总监制度。

北京

2019年11月19日，北京市人民政府发布了一则公告提示，标题为《生产经营单位2021年将设安全总监 对本单位安全生产考核行使一票否决权》（以下简称《公告》）。

公告中提到《北京市生产经营单位安全总监制度实施办法(试行)》将于2021年元旦起施行。

按照要求，从业人员总数超过300人的生产经营单位，以及从业人员总数超过100人的易燃易爆物品、危险化学品等危险物品的生产、经营、储存、运输单位，矿山、金属冶炼、建筑施工、道路运输、城市轨道交通运营等行业领域的生产经营单位都应设安全总监。

本市还鼓励支持其他有条件的生产经营单位，结合生产经营规模、安全风险等因素推行安全总监制度。

深圳

2018年6月深圳政府发布了《深圳市生产经营单位安全生产主体责任规定》，于2018年7月1日起正式施行，其中增设了安全总监制度：

第十八条 高危生产经营单位从业人员在50人以上的或者其他生产经营单位从业人员在300人以上的，应当设置安全总监，作为本单位专门负责安全生产的分管负责人，履行本规定第十条规定的安全生产管理职责。

安全总监制度的施行，让拿下注安证书的伙伴有了更清晰的职业晋升方向。

安全总监制度是大势所趋安全总监管理办法，相信在不久的将来安全总监管理办法，5月1日施行，强制要求配备安全总监，有注安证书是必要条件！，全国都将会实行安全总监制度。

所以想要在安全行业长足发展的伙伴们，要尽早拿下注安证书呦~

安全管理体系文件，ISO27001-2013信息安全管理体系内部审核全套记录文件.doc

作者李柏伦 盗版贩卖者必追究责任第 第 PAGE 1 页 共 52 页作者李柏伦 盗版贩卖者必追究责任-2013信息安全管理体系内部审核全套记录文件目录1内审方案2内审计划3内审检查表4内审首末次会议记录5内审不符合项报告6内审总结报告 2021年度内部-2013信息安全管理体系审核方案1.审核目的：信息安全管理体系运行是否符合-2013标准要求，运行是否有效，通过审核借以完善和改进信息安全管理体系。2.审核范围：-2013要求的相关活动及相关职能部门。 3.审核准则：-2013标准条款。4.审核计划：作者李柏伦 盗版贩卖者必追究责任部门 月份1112管理层（含管理才代表）行政部业务部采购部技术部工程部品质部IT信息部图例说明：计划审核已进行纠正措施已制定 纠正措施已验证编 制：审 核：批 准：日 期：日 期：日 期：内部-2013信息安全管理体系审核计划审核目的检查信息安全管理体系是否有效运行，是否符合。审核性质内部审核作者李柏伦 盗版贩卖者必追究责任审核范围-2013信息安全管理体系要求的相关活动及有关职能部门.包括:管理层、工程部部、行政部、业务部、采购部、技术部、品质部及IT信息部。

审核依据-2013信息安全管理体系标准、管理手册、程序文件及其他相关文件审核组组长： xxx组员： xxx，XXX，xxx，XXX审核日期2021 年 3 月 10 日作者李柏伦 盗版贩卖者必追究责任内 部 审 核 日 程 安 排日 期时 间第一组 xxx第二组 xxx3月10日9:00-9:30首次会议9:40-10:30管理层(含管理者代表)业务部、采购部11:00-11:45IT信息部技术部12:00-14:00中午休息14:15-15:00品质部工程部15:15-16:40行政部16：50-17：30末次会议 计划编制人：（审核组长）批准人：（管理者代表）日 期 ：年 月 日日 期：年 月 日-2013信息安全管理体系内部审核检查记录表审核员：审核组长：审核日期：2021.09.15适用条款审核问题审核方式审核记录审核结果条款标题4组织环境4.14.1 理解组织及其环境管理者代表是否了解公司的业务以及行业环境访谈4.24.2 理解相关方的需求和期望检查组织是否了解客户合同中的需求访谈4.34.3 确定信息安全管理体系的范围检查组织的信息安全管理体系手册中是否有明确管理范围检查组织的适用性声明，是否针对实际情况做合理删减访谈4.44.4 信息安全管理体系检查组织是否有正式的信息安全管理体系制度抽样5领导5.15.1 领导和承诺组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。

访谈5.25.2 方针是否有文件化的管理方针现场观察5.35.3 组织角色、职责和权限是否建立了的信息安全管理组织，并明确其职责及权限访谈6规划6.16.1 应对风险和机会的措施6.1.1 总则检查组织是否建立正式的风险评估流程现场观察6.1.2 信息安全风险评估是否建立了风险接受准则现场观察风险评估实施情况现场观察抽样最新一次风险评估内容，检查风险是否识别了责任人，风险级别现场观察6.1.3 信息安全风险处置检查组织的风险处置计划，风险是否都有风险责任人审批，风险处置方式。现场观察6.2 信息安全目标和规划实现检查组织是否建立信息安全目标，信息安全目标与管理方针是否存在关联现场观察7支持7.1 资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。访谈7.2 能力检查组织在岗位说明书中明确信息安全方面的能力要求现场观察检查组织的培训计划，是否有信息安全方面的培训内容现场观察7.3 意识随机访谈各部门员工5人，了解其是否知晓最新的信息安全管理体系及相关制度。访谈7.4 沟通了解组织与相关方沟通的方式，频率以及沟通的记录访谈8运行8.1 运行的规划和控制检查内容详见A5-A189 绩效评价9.1 监视、测量、分析和评价检查组织是否有体系有效性测量流程现场观察9.2 内部审核检查组织是否建立了内审流程现场观察检查最新的内审活动，是否包含检查清单、检查过程是否有效，对不符项的关闭情况9.3 管理评审检查公司的管评计划检查公司最新的管评活动记录10改进10.1 不符合和纠正措施检查内容同9.1 9.2 A.5 安全方针A.5.1 信息安全管理方向A.5.1.1 信息安全方针 组织是否制定了明确的信息安全方针和目标，这些方针和目标与公司的业务是否相关。

现场观察A.5.1.2 信息安全方针的评审获取组织管理评审相关记录，检查管理评审会议中，是否对信息安全方针的达成情况进行了评审。 A.6 信息安全组织A.6.1 内部组织A.6.1.1 信息安全的角色和职责是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?现场观察A.6.1.2 与监管机构的联系 检查体系制度中，是否明确指定了与监管机构联系的部门或负责人现场观察A.6.1.3与特殊利益团体的联系与第三方接洽是否考虑了安全性？是否对相关资质和背景进行考察？现场观察A.6.1.4项目管理中的信息安全抽样检查本年度已实施完成的项目或正在实施的任意一个项目。检查项目管理过程中，是否依照组织信息安全管理制度相关要求进行安全管理现场观察A.6.1.5职责分离 检查组织的岗位职责表，检查是否明确定义了职责说明。检查是否有不兼容岗位设置说明；检查系统开发、系统测试、系统运维是否由不同人员担任。现场观察A.6.2 移动设备和远程办公A.6.2.1 移动设备策略 检查公司信息安全管理制度中是否明确的制定了移动设备的安全管理策略；随机抽样3台移动设备，检查设备的安全管控措施是否与制度相符。

现场观察A.6.2.2 远程办公 检查公司信息安全管理制度中是否明确的制定了远程办公的管理策略；现场观察A.7 人力资源安全A.7.1 任用之前A.7.1.1 筛选 随机抽样4名新入职员工的入职材料，检查员工入职前，背景调查的相关记录.现场观察A.7.1.2 任用的条款及条件 检查这4名新入职员工的劳动合同及是否签署了保密协议。现场观察A.7.2 任用中A.7.2.1 管理职责 随机抽样5名员工，检查是否了解其工作职责。抽样A.7.2.2 信息安全意识安全管理体系文件，ISO27001-2013信息安全管理体系内部审核全套记录文件.doc，教育和培训获取组织年度的培训计划；检查年度培训计划中是否包含了信息安全意识培训；获取当年度信息安全培训的签到表、培训记录现场观察A.7.2.3 纪律处理过程 检查组织是否制定了奖惩规则；获取当年奖惩记录抽样A.7.3 任用的终止或变化A.7.3.1 任用终止或变化的责任获取当年离职离岗或转岗人员清单；随机抽样四份离职或转岗记录，检查所有控制环节是否都被有效实施；抽样A.8 资产管理A.8.1 对资产负责A.8.1.1 资产清单 获取组织的信息资产清单；检查信息资产清单是否每年都进行更新；现场观察A.8.1.2资产责任人 检查资产清单中各类信息资产是否都指定了责任人；抽样5份重要的信息资产，验证已定义的信息资产责任人是否与实际相符；现场观察A.8.1.3资产的允许使用 了解组织重要系统或数据是否定义了访问规则；检查系统及数据访问的审批或授权记录。

现场观察A.8.2 信息分类A.8.2.1 信息的分类 检查信息资产相关制度，组织是否已定义了资产分类分级的标准；检查信息资产清单，各类信息资产是否依照规则进行了分类和分级；现场观察A.8.2.2信息的标记 随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级现场观察A.8.2.3资产的处理 检查信息资产相关制度，制度中是否已明确制定了资产的处理措施；现场观察A.8.2.4资产的归还 随机抽取本年度4份离职单，查看物品归还情况抽样A.8.3 介质处理A.8.3.1 可移动介质的管理 现场观察移动存储使用和管控与制度是否相符 ；现场观察A.8.3.2介质的处置 检查是否建立介质消磁管理办法，并按要求定期进行回顾与更新；抽查4份介质报废的审批及处置记录抽样A.8.3.3物理介质传输 存有重要信息的介质传送时有哪些策略抽样策略的实施情况抽样A.9 访问控制A.9.1 访问控制的业务要求A.9.1.1 访问控制策略 检查组织是否建立了系统的访问控制策略；是否建立了安全或重要区域的访问控制措施现场观察A.9.1.2 网络服务的使用政策检查组织是否建立了网络安全域访问控制策略；现场观察A.9.2 用户访问管理A.9.2.1 用户注册和注销 检查账户开通管控情况：抽样2份重要业务系统用户帐号开通审批记录抽样4份新员工帐号开通申请记录抽样A.9.2.2特权管理 检查特权账户授权、使用管控情况：抽样3份重要系统特权账户授权审批记录检查特权账户使用是否符合制度要求抽样A.9.2.3用户秘密认证信息的管理检查组织用户口令管理策略，是否对口令生成、发送、变更等环节制定了控制措施。

抽样A.9.2.4用户访问权的复查 抽样2套重要的服务器用户帐号及权限复查记录；检查账户及权限复查工作是否满足制度要求抽样A.9.2.5移除或调整访问权限随机检查2个重要系统账户清单，检查今年离职用户的账户是否被删除或冻结抽样A.9.3 用户职责A.9.3.1 秘密认证信息的使用随机检查3名员工电脑，要求其现场登录，观察输入的密码长度及复杂程度抽样A.9.4 系统和应用程序的访问控制A.9.4.1 信息访问限制 1.公司各类信息是否制定了相应的访问控制措施2.现场抽查访问控制措施的有效性抽样A.9.4.2安全登录程序 检查公司系统登录程序，是否做到输入密码时，不显示密码。密码连续输错N次自动锁定；系统不操作一定时长后自动退出等功能。抽样A.9.4.3口令管理系统 检查域控的密码策略，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；；随机抽查2个重要系统的用户密码管理策略考证培训机构，检查密码设置的长度、复杂程度、修改周期是否符合制度要求；抽样A.9.4.4特权实用程序的使用抽查公司域控、重要系统中是否存在特权实用程序安全管理体系文件，这些程序的安全使用是否得到相应的审批抽样A.9.4.5程序源码的访问控制检查源程序访问控制制度和措施抽查源程序控制措施，检查其是否符合制度要求抽样A.10 密码学A.10.1 密码控制A.10.1.1 密码使用控制政策 检查公司是否制定了加密策略，包括加密的对象、加密的方法、解密的方法等。

抽样A.10.1.2 密钥管理 检查公司对密钥生命是否制定了控制措施。抽样A.11 物理和环境安全A.11.1 安全区域A.11.1.1 物理安全边界 重要安全区域是否隔离？现场观察A.11.1.2物理入口控制 现场抽样3份设备进出单检查职场、机房进出记录?抽样A.11.1.3办公室，房间和设施的安全保护现场查看办公室的防火防盗措施，检查职场大门是否常闭抽样A.11.1.4外部和环境威胁的安全防护周遍环境的检查(灭火设备、危险物品存放)抽样A.11.1.5在安全区域工作 安全区域是否有明确的管控措施检查是否有员工违背安全区域管控措施的行为抽样A.11.1.6交付和交接区 前台的检查(检查记录是否完备)前台脱岗,保安脱岗.抽样A.11.2 设备A.11.2.1 设备安置和保护 检查设备是否按照要求放在适当的位置?（灭火器材、服务器）抽样A.11.2.2支持性设备 检查核心设备是否安置了足够的支持设施（防火、防水、防潮、防断电、防雷电、防盗窃等）抽样A.11.2.3布缆安全 检查强电与弱电电缆是否分开部署抽样A.11.2.4设备维护 检查机房巡检记录，获取UPS 、精密空调、消防设施的维护记录；验证设备维护是否依照制度的要求及频率实施抽样A.11.2.5资产的移动 与相关人员访谈，了解资产移动的控制措施；抽样A.11.2.6场外设备和资产安全检查相关制度，是否明确制定了场外设备管控措施；抽样A.11.2.7设备的安全处置或再利用随机抽样下架设备数据清理的记录抽样A.11.2.8无人值守的用户设备现场观察机房中的服务器是否锁屏，机房门是否常闭现场观察A.11.2.9清除桌面和清屏策略随机抽样3名离开工位的员工，观察工位上是否有敏感信息，电脑是否在一定时间内自动锁频现场观察A.12 操作安全A.12.1 操作程序和职责A.12.1.1 文件化的操作程序 检查3份重要系统或设备的操作或维护手册 形成的文件程序是否符合要求?（备份、日志、重置维护等）抽样A.12.1.2变更管理抽样3个重要系统的变更记录?抽样A.12.1.3容量管理 是否对重要设备、系统的容量（CPU、内存、硬盘、网络带宽等）进行了监控？现场检查监控报警是否都被处置，及处置记录抽样A.12.1.4开发，测试和运行环境的分离现场检查开发、测试和生产网络是否互通；开发、测试和生产人员是否为同一人员。

抽样A.12.2 恶意软件防护A.12.2.1 控制恶意软件 抽样5台办公终端，检查是否统一安装了公司规定的防病毒软件；检查病毒库是否为最新的。抽样A.12.3 备份A.12.3.1 信息备份 获取备份策略；依照备份策略，随机抽样3份备份，检查备份记录及备份文件存放情况；依照备份策略，随机抽样3份备份恢复记录；抽样A.12.4 记录和监控A.12.4.1 事件日志 日记记录表的检查抽查重要系统、核心网络设备的日志审计记录（日志检查表）抽样A.12.4.2日志信息的保护 检查检查重要系统日志防护措施，是否保障日志不被随意删除、篡改抽样A.12.4.3管理员和操作员日志随机抽取3份重要系统或设备的管理员操作日志审核记录抽样A.12.4.4时钟同步 抽查3台系统设备的时间，确定是否保持一致抽样A.12.5 操作软件的控制A.12.5.1 操作系统软件的安装检查生产系统软件安装的审批记录；抽样A.12.6 技术漏洞管理A.12.6.1 技术漏洞的管理 抽查公司漏洞扫描记录及处置记录抽样A.12.6.2 限制软件安装 检查是否有软件白名单或黑名单随机抽样3台办公终端，查看是否可以随意安装软件检查抽样的办公终端，查看是否存在违规软件抽样A.12.7 信息系统审计考虑A.12.7.1 信息系统审计控制 获取上一年度审核计划及审批记录访谈A.13 通信安全A.13.1 网络安全管理A.13.1.1 网络控制 检查一台核心防火墙的规则策略，是否与公司网络控制策略相符；抽样A.13.1.2网络服务的安全 检查公司网络设备及安全设备的策略是否能有效的限制和防护网络服务抽样A.13.1.3网络隔离 获取网络拓扑图；了解安全域或网段划分策略；检查隔离网段间是否能互连；访谈A.13.2 信息传输A.13.2.1 信息传输的策略和程序检查组织对敏感信息制定了传输和控制策略；现场查看，传输控制措施的实施情况；抽样A.13.2.2信息传输协议 检查组织是否制定了信息传输协议使用策略及要求；现场观察A.13.2.3电子消息 检查组织是否制定了电子邮件、及时通信工具的使用策略；现场观察A.13.2.4保密或不泄露协议 随机抽查3位研发人员的保密协议，查看协议中是否明确保密要求。

抽样A.14 系统获取，开发和维护A.14.1 信息系统的安全要求A.14.1.1 安全需求分析和规范获取本年度已完成或正在实施的软件开发项目清单；获取组织系统开发规程，检查开发规程中，是否明确各类系统开发时信息安全的设计要求；获取一个项目的需求及开发文档，检查文档中是否有信息安全相关的需求及开发设计；抽样A.14.1.2保护公共网络上的应用服务 检查公司官网信息变更控制内容现场观察A.14.1.3保护应用服务交易 检查网络交易类应用服务系统，在数据交换、网络连接等方面是否制定了控制措施；现场观察A.14.2 开发和支持过程中的安全A.14.2.1 安全开发策略 检查公司是否建立了开发策略抽样A.14.2.2变更控制程序 检查新系统上线审批记录；检查新系统变更审批记录；抽样A.14.2.3操作平台变更后对应用的技术评估获取生产系统操作系统升级记录，检查升级前的评估测试记录；抽样A.14.2.4软件包变更的限制 检查组织是否建立了系统开发软件包变更控制措施；抽样A.14.2.5系统开发程序 检查组织是否建立了系统开发程序及过程抽样A.14.2.6安全的开发环境 现场检查开发环境是否与办公环境物理分隔观察开发网络控制措施的有效性抽样A.14.2.7外包开发 检查组织是否制定了外包开发策略。

抽样A.14.2.8系统安全性测试 抽取已上线系统的安全测试报告抽样A.14.2.9系统验收测试 抽取系统验收报告及各项测试报告抽样A.14.3 测试数据A.14.3.1 测试数据的保护 检查生产数据脱敏记录；现场观察A.15 供应关系A.15.1 供应关系的安全A.15.1.1 供应关系的信息安全策略检查组织是否建立了供应商信息安全管理策略访谈A.15.1.2供应商协议中的安全获取本年度供应商清单；随机抽取3份供应商合同及保密协议，检查合同或保密协议中是否明确了信息安全方面的要求。抽样A.15.1.3信息和通信技术供应链检查与通信供应商签署合同中，是否明确了网络线路的可用性要求访谈A.15.2 供应商服务交付管理A.15.2.1 监测和审查供应商服务了解供应商考核方式随机抽查3份供应商考核记录；抽样A.15.2.2 供应商服务变更管理了解供应商服务变更管理策略；随机抽查1份供应商服务内容变更及变更审批的记录抽样A.16 信息安全事件管理A.16.1 信息安全事件管理和持续改进A.16.1.1 职责和程序 检查公司有无明确定义信息安全事件处置流程和职责访谈A.16.1.2报告信息安全事态 了解信息安全事件上报流程；获取信息安全事件上报记录访谈A.16.1.3报告信息安全弱点 访谈任意1名员工，观察其是否了解可疑安全事件上报流程访谈A.16.1.4评估和确定信息安全事态随机抽取2份信息安全事件处置记录，检查事件评估及处置记录是否齐全，是否符合制度要求访谈A.16.1.5信息安全事件响应检查信息安全事件处置记录，查看事件相应及处置时间是否如何制度要求访谈A.16.1.6回顾信息安全事故 抽样当年信息安全事件总结记录访谈A.16.1.7收集证据 检查信息安全事件处置记录，查看事件处置过程中，是否对证据进行保留和收集；访谈A.17 信息安全方面的业务连续性管理A.17.1 信息安全连续性A.17.1.1 规划信息安全连续性获取本年度业务连续性计划现场观察A.17.1.2实现信息安全的连续性获取各类场景或各类系统的灾难恢复相关预案现场观察A.17.1.3验证，评审和评估信息安全的连续性获取年度业务连续性演练计划抽样2份业务连续性演练方案抽样业务连续性演练总结报告抽样A.17.2 冗余A.17.2.1 信息处理设施的可用性现场检查重要网络、设备有冗余设计；现场观察A.18 符合性A.18.2信息安全审查A.18.2.1 信息安全的独立审查获取上一年度内部审核记录及处置记录访谈A.18.2.2符合安全政策和标准抽样事件记录，查看公司有无不符合安全政策和标准的事件抽样A.18.2.3技术符合性检查 抽查漏洞扫描、渗透测试等记录抽样A.18.1符合法律和合同的要求A.18.1.1 识别使用的法律和合同的要求抽查年度法律法规识别清单现场观察A.18.1.2知识产权（IPR） 随机抽取3台办公终端，检查是否有使用盗版的情况；检查是否有超量安装商业软件的情况抽样A.18.1.3文档化信息的保护 了解公司数据资产保护策略随机抽样检查文档信息防护措施是否与策略相符抽样A.18.1.4隐私和个人信息的保护抽查公司员工信息就档案是否得到周全防护。

抽样A.18.1.5密码控制措施的监管检查公司软件开发使用的加密技术和策略是否符合相关法律及监管部门的要求。现场观察A.18.2.1独立的信息安全评审对组织信息安全处置和实施方法进行评审现场观察A.18.2.2符合安全策略和标准定期对信息安全过程和规程进行评审现场观察A.18.2.3技术符合性评审是否符合信息安全策略和评审现场观察审首次/末次会议签到表首 次 会 议末 次 会 议序号 参加人员签名部 门职 位日 期序号 参加人员签名部 门职 位日 期不 符 合 项 报 告受审部门受审部门代表报告编号不符合项陈述：不符合 信息安全管理体系文件：违反-2013信息安全管理体系条文：不符合类型： 严重 □ 轻微 □部门负责人/日期：审核员/日期：原因分析：纠正或预防措施：纠正或预防措施预计完成时间：部门负责人：审核员：管理者代表：纠正或预防措施实施及验证情况：审 核 员：日期：内部-2013信息安全管理体系审核报告编号：受审部门：管理层、工程部、行政部、业务部、品质部、采购部、技术部及IT信息部。部门负责人：XXX,XXX,XXX,XXX,XXX审核组组长：XXX审核组组员： XXX，XXX，xxx，xxx审核目的：-2013信息安全管理体系是否有效运行、是否符合。

审核日期：2021.03.10审核范围：受审的相关职能部门上次审核日期：2020.9审核依据：-2013信息安全管理体系标准、IT管理手册、程序文件及相关文件。上次审核报告编号：审核中发现的问题摘要：本公司进行-2013信息安全管理体系的内部审核，由公司专业人员组成审核小组共6人，于2021年3月10日对公司相关的职能部门进行了为期1天的现场审核。在审核中，审核小组检查了公司-2013信息安全管理体系中的有关职能部门，包括：管理层（含管理者代表），工程部，业务部，采购部，行政部、技术部、品质部及IT信息部。对审核现场的食品安全管理进行了分析、评价。同各部门的主管进行了交谈，了解到各部门的相关情况并按照-2013信息安全管理体系的标准要求对其作了证实。通过审核组的检查，发现公司的信息安全管理体系中各部门能按照-2013信息安全管理体系的要求落实在相关的工作中，情况良好，但仍有部分的部门做得不够完善，出现不符合项主要是分布在以下部门：工程部（项）、品质部（1项）、行政部（2项）。现已向其部门发布了《不符合项报告》和《纠正和预防措施通知单》，请认真执行。审核组人员对其纠正情况进行跟进，落实，把相关情况记录在《纠正和预防措施实施情况检查记录表》上，使信息安全管理体系能够正常，持续，有效地运行。审核结论：公司的-2013信息安全管理体系是符合标准要求的，能够有效地运行。 签名：（审核组长）批准：（管理者代表）日期：年 月 日日期：年 月 日