当前位置：搜档网 › 信息安全管理体系审核检查表

信息安全管理体系审核检查表

信息安全管理体系审核指南

标准要求的强制性ISMS文件

强制性ISMS文件说明

(1)ISMS方针文件，包括ISMS的范围根据标准“4.3.1”a)和b)的要求。

(2)风险评估程序根据“4.3.1”d)和e)的要求,要有形成文件的“风险评估

方法的描述”和“风险评估报告”。为了减少文件量，可创

建一个《风险评估程序》。该程序文件应包括“风险评估方

法的描述”，而其运行的结果应产生《风险评估报告》。(3)风险处理程序根据标准“4.3.1”f)的要求,要有形成文件的“风险处理

计划”。因此，可创建一个《风险处理程序》。该程序文件

运行的结果应产生《风险处理计划》。

(4)文件控制程序根据标准的“4.3.2文件控制”的要求，要有形成文件的“文

件控制程序”。

(5)记录控制程序根据标准的“4.3.3记录控制”的要求，要有形成文件的“记

录控制程序”。

(6)内部审核程序根据标准的“6内部ISMS审核”的要求，要有形成文件的

“内部审核程序”。

(7)纠正措施与预防措施程序根据标准的“8.2纠正措施”的要求，要有形成文件的“纠

正措施程序”。根据“8.3预防措施”的要求，要有形成文

件的“预防措施程序”。“纠正措施程序”和“预防措施程序”

通常可以合并成一个文件。

(8)控制措施有效性的测量程序根据标准的“4.3.1g)”的要求，要有形成文件的“控制措

施有效性的测量程序”。

(9)管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评

审程序”文件，以方便实际工作。

(9)适用性声明根据标准的“4.3.1i)”的要求,要有形成文件的适用性

声明。

审核重点

第二阶段审核：

a)检查受审核组织如何评估信息安全风险和如何设计其ISMS，包括如何：

●定义风险评估方法(参见4.2.1c)

●识别安全风险(参见4.2.1d))

●分析和评价安全风险(参见4.2.1e)

●识别和评价风险处理选择措施(参见的4.2.1f)

●选择风险处理所需的控制目标和控制措施(参见4.2.1g))

●确保管理者正式批准所有残余风险(参见4.2.1h)

●确保在ISMS实施和运行之前，获得管理者授权(参见的4.2.1i))

●准备适用性声明(参见4.2.1j)

b)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位)，至少包括：

●ISMS监视与评审(依照4.2.3监视与评审ISMS”条款)

●控制措施有效性的测量(依照4.3.1g)

●内部ISMS审核(依照第6章“内部ISMS审核”)

●管理评审(依照第7章“ISMS的管理评审”)

●ISMS改进(依照第8章“ISMS改进”)。

c)检查管理者如何执行管理评审(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●第7章“ISMS的管理评审”。

d)检查管理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位)，依照条款包括：

●4.2.3监视与评审ISMS

●5管理职责

●7ISMS的管理评审

e)检查安全方针、风险评估结果、控制目标与控制措施、各种活动和职责，相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。

监督审核：

a)上次审核发现的纠正/预防措施分析与执行情况；

b)内审与管理评审的实施情况；

c)管理体系的变更情况；

d)信息资产的变更与相应的风险评估和处理情况；

e)信息安全事故的处理和记录等。

再认证审核：

a)检验组织的ISMS是否持续地全面地符合ISO/IEC27001:2005的要求。

b)评审在这个认证周期中ISMS的实施与继续维护的情况，包括：

●检查ISMS是否按照ISO/IEC27001:2005的要求加以实施、维护和改进；

●评审ISMS文件和定期审核(包括内部审核和监督审核)的结果；

●检查ISMS如何应对组织的业务与运行的变化；

●检验管理者对维护ISMS有效性的承诺情况。

4信息安全管理体系

4.1总要求

4.2建立和管理ISMS

4.2.1建立ISMS

标准的要求审核内容审核记录注释与指南

a)组织要定义ISMS 的范围●组织是否有一个定义

ISMS范围的过程？

对“定义ISMS的范围”要求的符合性审核，要确

保ISMS的定义不仅要包括范围，也要包括边界。对

任何范围的删减，必须有详细说明和正当性理由。

●是否有对任何范围的删

减？

b)组织要定义ISMS 方针●组织是否有一个ISMS

方针文件？

要求明确规定ISMS方针的5个基本点，即ISMS

方针要：

1)包括信息安全的目标框架、信息安全工作的总方

向和原则；

2)考虑业务要求、法律法规的要求和合同要求；

3)与组织开发与维护ISMS的战略性风险管理，结合

一起或保持一致；

4)建立风险评价准则；

5)获得管理者批准。

在对这个要求的符合性审核时，要确保组织的

ISMS方针满足上述5个要求。还要注意到ISMS方

针与信息安全方针的关系。

●组织的ISMS方针文件

是否满足ISO/IEC

27001:2005规定的5个基

本点(见注释与指南栏)？

c)组织要定义风险评估方法●组织是否有一个定义

风险评估方法的文件？

要求明确规定，“定义组织的风险评估方法”的工

作(活动)要包括：

1)确定风险评估方法，而这个评估方法要适合组织

的ISMS的要求、适合已确定的组织的业务信息安全

要求和法律法规要求；

2)制定接受风险的准则，确定可接受的风险级别。

●组织的风险评估方法是

否适合ISMS的要求、适合已

确定的组织的业务信息安全

要求和法律法规要求？

在对要求的符合性审核时，要确保上述2个要求得到满足。

●接受风险的准则是否已经确定？并根据此准则，确定了可接受的风险级别？

d)组织要识别安全风险

●组织是否有一个识别安全风险的过程？

“识别安全风险”是一个过程(活动)。而这个过程要包括：

1)识别组织ISMS 范围内的资产及其责任人；2)识别资产所面临的威胁；

3)识别可能被威胁利用的脆弱点；4)识别资产保密性、完整性和可用性的丧失造成的影响。

在对要求的符合性审核时，要确保“识别安全风险”要包括上述工作(活动)。

●识别安全风险的过程是否符合规定(参见“注释与指南”栏)？

e)组织要分析和评价安全风险●组织是否有一个用于评估安全风险的过程？

要求明确规定，“分析和评价安全风险”过程(活动)要包括：

1)评估安全破坏(包括资产的保密性、完整性，或可用性的丧失的后果)可能产生的对组织的业务影响；2)评估由主要威胁和脆弱点导致的安全破坏的现实可能性、对资产的影响和当前所实施的控制措施；3)估算风险的级别；

4)确定风险是否可接受，或者是否需要使用本组织的接受风险的准则进行处理。

“分析和评价安全风险”的结果应产生一个“风险评估报告”。在对要求的符合性审核时，要确保满足上述要求。

●是否评估了安全破坏可

能产生对组织的业务影响？●这个安全风险评估过程是否符合规定(参见“注释与指南栏”)？

f)组织要识别和评价风险处理选择措施●组织是否有一个用于识别和评价风险处理选择措施

的过程？

要求明确规定，可选择的措施包括：1)采用适当的控制措施；2)接受风险；

3)避免风险；4)转移风险。

在对要求的审核时，要确保组织有一个“识别和评价风险处理选择措施”的过程，并考虑了上述4种可能的选择。

●这个过程是否虑了4种可能的选择(参见“注释与指南栏”)？

g)组织要选择风险处理所需的控制目标和控制措施●组织是否有一个用于

选择ISO/IEC 27001:2005附录A 的风险处理控制目标

和控制措施的过程？

“选择风险处理所需的控制目标和控制措施”过程又包含3个具体要求：

1)控制目标和控制措施要进行选择和实施，以满足风险评估和风险处理过程中所识别的安全要求；2)控制目标和控制措施的选择要考虑接受风险的准则，以及法律法规要求和合同要求；

3)附录A 中的控制目标和控制措施要加以选择，作为此“选择风险处理所需的控制目标和控制措施”过程的一部分，以满足已识别的安全需求。

在对要求的审核时，要与本书第9章“控制目标和控制措施的审核”结合一起进行。最重要的是要确保所选择的控制目标和控制措施：

●符合风险评估与处理过程中已经识别安全要求；●符合接受风险准则的要求，以及法律法规的要求和合同的要求；

如果附录A 中的控制目标和控制措施适用于已识别的安全要求，要加以选择，不要错漏。可参见本书第9章“控制目标和控制措施的审核”。●这个过程是否确保所选择的控制目标和控制措施满足相关要求(参见“注释与指南”栏)？

●附录A 的控制目标和控制措施是否都被选择？●如果不选择，是否有正当性理由？

●是否选择了附录A 以外的控制措施？

h)组织要确保管理者正式批准所有残余风险

●所有残余风险是否获得管理者正式批准？首先要理解“残余风险”的意义。

i)组织要确保在ISMS 实施和运行之前，获得管理者授权●ISMS实施和运行是否获

得管理者授权？

要检查是否有领导的签字(可参见后面“4.3.2文

件控制”的审核)。

j)组织要准备适用性声明●组织是否有一个准备适

用性声明的过程？

要求明确规定,“适用性声明”必须至少包括以

下3项内容：

1)所选择控制目标和控制措施，及其选择的理由；

2)当前实施的控制目标和控制措施；

3)附录A中任何控制目标和控制措施的删减，以及

删减的正当性理由。

在对要求审核时，最重要的是要确保：

●“适用性声明”的内容至少含有上述3项；

●不选择的理由必须是合理的，或证明其是正当

性的。由于附录A推荐的控制目标和控制措施是最

佳实践，所以如果没有正当性理由，都要加以选择，

要防止漏选。

对要求的审核，可与后面“4.3.1总则”i)的审

核和第9章“控制目标和控制措施的审核”结合一

起进行。

●适用性声明的内容是否

有含有标准规定的“3项内

容”(参见“注释与指南”

栏)？

●适用性声明是否记载

附录A中任何控制目标和控

制措施的删减，以及删减的

正当性理由？

4.2.2实施与运行ISMS

标准要求审核内容审核记录注释与指南

a)组织要制定风险处理计划●组织是否有一个符合

标准此条款要求的产生风

险处理计划文件的过程？

要求明确规定，组织要有一个产生风险处理计划的

过程或程序。而这个过程要确定信息安全风险的管理

措施、资源、职责和优先级。

由于标准的第4章只是“计划”阶段，在标准第

5章中将提出更具体的“资源”要求。

对于“风险处理计划”，可与“4.3.1总则”条款

的要求一起审核(见“4.3.1总则”f)审核)。

●是否有一个“风险处理

计划”文件？

b)组织要实施风险处理计划●组织是否有一个符合

标准此条款要求的“实施风

险处理计划”的过程？

要求明确规定，组织要有一个“实施风险处理计

划”的过程，或程序。而这个过程的目的是要达到

已确定的控制目标，包括资金安排、角色和职责的

分配。

c)组织要实施所选择的控制措施●组织是否有一个符合标

准此条款要求的“实施所选

择的控制措施”的过程？

要求明确规定，组织要有一个“实施所选择的控制

措施”的过程，或程序，其目的是要满足控制目标。

d)组织要定义如何测量所选控制措施的有效性●组织是否有一个“测量

所选控制措施有效性”的过

程？

即组织要：

1)定义如何测量所选控制措施的有效性，即要有一

个“测量所选控制措施有效性”的过程；

2)规定如何使用这些测量措施，对控制措施的有效

性进行测量(或评估)；

据此，管理者和员工就可以确定所选控制措施是

否实现原计划的控制目标，或实现的程度。

在对这个要求的审核时，审核员必须检查受审核

组织：

是否有一个测量所选择控制措施有效性的“测量

措施”；

如何使用其测量措施进行测量；

所选控制措施是否达到既定的控制目标。

可与4.2.3c)规定的要求同时审核(参见

“4.2.3监视与评审ISMS”)

●如何使用测量措施，去

测量控制措施的有效性？

e)组织要实施培训和意识教育计划●组织是否有一个符合

标准此条款要求的“实施培

训和意识教育计划”的过

程？

对于实施ISMS的组织来说，很重要的事情是培训，

使其员工了解标准的意图和信息安全的原理。因此在

“实施与运行组织的ISMS”中，首先要有“培训和意

识教育计划”(参见“5.2.2培训、意识和能力”)。

f)组织要管理ISMS●组织是否有“管理ISMS要求明确规定,ISMS的运行需要管理。

的运行的运行”的过程？

g)组织要管理ISMS 的资源●组织是否有对ISMS实

施所需要的资源进行管理

的过程？

要求明确规定,ISMS实施所需要的资源要加以管

理(参见“5.2资源管理”)。

h)组织要实施组织的安全程序和其他控制措施●组织的ISMS是否有“迅

速检测安全事件和对安全事

故能做出迅速反应”的程

序？

要求规定，在“迅速检测安全事件和对安全事故

能做出迅速反应”方面，要有相关的程序和控制措

施(参见“4.2.3监视与评审ISMS”a))。

4.2.3监视与评审ISMS

标准要求审核内容审核记录注释与指南

a)组织要执行监视与评审程序

●组织是否有“监视与评

审程序”，以：

1)迅速检测处理产生的

错误；

2)迅速识别试图的和得

逞的安全违规事件和事故；

3)使管理者能确定指定

人员的安全活动或通过信息

技术实施的安全活动是否如

期执行；

4)通过使用指示器，帮助

检测安全事件并预防安全事

故；

5)确定解决安全违规事件

的措施是否有效？

要求明确规定，求组织要有“监视与评审程序”，

以达到以下5个目的：

1)迅速检测处理产生的错误；

2)迅速识别试图的和得逞的安全违规事件和事

故；

3)使管理者能确定指定人员的安全活动(或通过

信息技术实施的安全活动)是否如期执行；

4)通过使用指示器，帮助检测安全事件并预防安

全事故；

5)确定解决安全违规事件的措施是否有效。

在对要求的审核时，必须检查这些内容。

b)组织要定期评审●是否有符合此要求要求明确规定，组织对ISMS的有效性，进行定期

ISMS有效性“ISMS有效性的定期评审”

的过程？评审(包括ISMS方针和目标的符合性评审、安全控制措施的有效性评审)。

而在对ISMS有效性的定期评审时，要联系到(或考虑到)安全审核的结果、事故、有效性测量的结果、所有相关方的建议和反馈。

在对要求的审核时，要检查是否有相关的过程或活动。

c)组织要测量控制措施的有效性●是否有到位的“测量控

制措施的有效性”的过程

或程序？

要求明确规定，组织在“监视和评审ISMS”中，

要测量控制措施的有效性以验证安全要求是否得到

满足。

在对要求的审核时，要检查是否有“测量控制措

施的有效性”的过程或程序。

d)组织要评审风险评估●是否有到位的“评审风

险评估”的过程或程序？

要求明确规定，组织在“监视和评审ISMS”中，

要按照既定的时间间隔，评审风险评估、残余风险

和已确定的可接受的风险级别，要考虑以下方面的

变化：

1)组织；

2)技术；

3)业务目标和过程；

4)已识别的威胁；

5)已实施的控制措施的有效性；

6)外部事件，如法律法规环境的变化、合同义务

的变化和社会环境的变化。

在对要求的审核时，要检查是否有相关的过程或

活动。

●“评审风险评估”的

过程是否考虑了“6方面的

变化”(参见注释与指南)？

e)组织要执行定期的ISMS内部审核●是否有到位的定期的

“ISMS内部审核”过程或程

要求明确规定，组织在“监视和评审ISMS”中，

要按既定的时间间隔，执行ISMS内部审核。

序？在对要求的审核时，要检查是否有“定期的ISMS

内部审核”过程或程序。而对ISMS内部审核的符合

性审核要按照标准第6章的要求执行。

f)组织要执行定期的ISMS管理评审●是否有到位的定期的

“ISMS管理评审”过程或程

序？

这个要求明确规定，组织在“监视和评审ISMS”

中，要按既定的时间间隔，执行ISMS管理评审。

在对这个要求的审核时，要检查是否有定期的

“ISMS管理评审”过程或程序。而对ISMS管理评

审的符合性审核要按照标准的第7章的要求执行。

g)组织要更新信息安全计划●组织是否参考监视和评

审活动的发现，而“更新信息

安全计划”？

这个要求明确规定，组织要参考监视和评审活动

的发现，更新安全计划。

h)组织要维护ISMS 事件和行动措施的纪录●是否有到位的“维护

ISMS事件和行动措施的纪

录”的过程？

这个要求明确规定，组织要记录可能影响ISMS

有效性的事件和所采取的措施。

对这个要求的审核，可与标准的“4.3.3记录控

制”条款要求的审核一起进行。

4.2.4保持与改进ISMS

标准要求审核内容审核记录注释与指南

a)组织要实施ISMS 改进●是否有到位的“实施

ISMS改进”的过程？

要求明确规定，组织对已识别的ISMS改进点，要

加以实施。

对要求的符合性审核时，要确保有到位的“实施

ISMS改进”的过程。

b)组织要采取适当的纠正措施和预防措施●是否有到位的“纠正措

施和预防措施”的过程？

要求明确规定，组织有与标准的“8.2纠正措施”

条款和“8.3预防措施”条款保持一致的“纠正措

施和预防措施”的过程，并要求吸取其它组织和本

组织的安全经验教训。

●是否有到位的吸取其

它组织和本组织的安全经

对要求的审核，可与标准的“8.2纠正措施”条

款和“8.3预防措施”条款的要求的审核一起进行。验教训的过程？

c)组织要向所有相关方交流ISMS的措施和改进状况●是否有向所有相关方

交流ISMS改进的过程？

要求明确规定，组织要向所有相关方交流ISMS

的行动措施和改进情况，确保有适当的详情说明，

并取得一致意见。

d)组织要确保ISMS的改进达到预期目标●是否有确保ISMS的改进

达到了预期目标的过程？

管理者要跟踪改进，直到达到了预期目标。

4.3文件要求

4.3.1总则

标准要求审核内容审核记录注释与指南

1)ISMS文件要包括管理决定的记录●是否ISMS文件包括有

管理决定的记录？

在左栏所示的这3）个要求是在“4.3.1总则”条

款开始的一个引言段中提出的。这里提出ISMS文件：

1)必须包括管理决定的记录；

2)必须确保所采取的行动措施可追踪到管理决定

和方针；

3)必须确保已记录的结果是可再生的。

这里明确了，展示三者(即所选择的控制措施、风

险评估的结果、ISMS方针与目标)之间的关系的重要

性。即从所选择控制措施可追溯到风险评估的结果，

而从风险评估的结果又可追溯到ISMS方针与目标。

2)ISMS文件要确保所采取的措施可追踪到管理决定和方针●是否ISMS文件确保所采取的措施可追踪到管理决定和方针？

3)ISMS文件要确保记录的结果是可再生的●是否ISMS文件确保记录的结果是可再生的？

a)ISMS文件要包括ISMS方针与目标文件●是否有ISMS方针与目

标文件？

标准规定，ISMS文件要包括9方面的文件(见本

表从a)-i)栏)。其中，ISMS方针是最高级(或顶级)

的文件。

b)ISMS文件要包括ISMS的范围●是否有一个描述ISMS

范围的文件？

●●标准要求的ISMS文件内容不一定都要形成单一

文件；某些相关的内容可合并在一起，而形成一个文

件，也不会认为违反标准的要求。

●在实际中，为了减少文件量，“ISMS的范围”常合并于ISMS方针文件。

●参见表1-1a)。

c)ISMS文件要包括支持ISMS的程序和控制措施●是否有支持ISMS的程

序和控制措施？

这里，只是泛泛地提出。“支持ISMS的程序和控

制措施”包括的内容很广。除了标准强制要求的程

序文件外，还可有许多组织自主决定的文件。文件

的内容可随组织的不同而有所不同。主要取决于:

1)组织的业务活动及风险；

2)安全要求的严格程度；

3)管理体系的范围和复杂程度。

组织需要哪些ISMS文件、控制措施及其复杂程度

如何，通常可根据风险评估的结果而决定(参见第6

章“6.3.1.1获得ISMS文件”)。

d)ISMS文件要包括风险评估方法的描述●是否有描述风险评估

方法的文件？

●●与标准4.2.1c)条款的要求一致。

●最佳的实践表明，“风险评估方法的描述”可

合并于“风险评估程序”；而“风险评估程序”的

运行结果又产生“风险评估报告”。

●参见的表1-1c)；

●参见“标准要求的强制性ISMS文件”。

e)ISMS文件要包括风险评估报告●是否有可用的风险评估报告？

f)ISMS文件要包括风险处理计划●是否有可用的风险处

理计划？

●●与标准4.2.2b)的要求一致；

●参见“标准要求的强制性ISMS文件”。

g)ISMS文件要包括控制措施有效性的测量程序●是否有描述如何测量控

制措施有效性的程序文件？

●●与标准4.2.3c的要求一致；

●参见“标准要求的强制性ISMS文件”。

h)ISMS文件要包括本标准所要求的记录●是否有提供符合要求

证据的记录？

●●“记录”的范围很广。实际上，每一个程序文件

的运行结果都可以产生可作为证据的“记录”。

●参见“4.3.3记录控制”。

i)ISMS文件要包括适用性声明●是否有符合要求的适

用性声明？

参见表1-1j)。

4.3.2文件控制

标准要求审核内容审核记录注释与指南

1)ISMS所要求的文件要加以保护和控制

是否有一个用于保护和

控制ISMS文件的过程？

要求是标准的“4.3.2文件控制”条款开始的一

个引言段中提出的。这里只是泛泛地提出。实际上，

“保护和控制ISMS文件的过程”可用“文件控制程

序文件”进行控制。

2)ISMS文件控制程序要形成文件

是否有一个形成文件的

文件控制程序？

“形成文件的文件控制程序”一般称为“文件控

制程序文件”。这个程序文件是标准要求的必须的

ISMS文件之一。

“4.3.2文件控制”条款主要的要求是：建立一

个“文件控制程序文件”，并对文件进行以下10

方面控制(见下面a-j)。

a)“文件控制程序文件”要定义“文件发布前要得到批准”●是否文件发布前要得

到批准？

在对这个“4.3.2文件控制”条款要求的审核

时，主要检查:

1)组织是否有一个用于控制ISMS文件的“文件控

制程序文件”；

2)组织的ISMS文件实际上是否受控；

3)是否从“10方面”(a-j)控制ISMS文件。

b)“文件控制程序文件”要定义“必要时评审与更新文件，并再次获得批准”●是否必要时评审与更新文件，并再次批准文件？

c)“文件控制程序文件”要定义“文件的更改和现行修订状态得●是否文件的更改和现

行修订状态得到标识？

到标识”

d)“文件控制程序文件”要定义“在使用处可获得有关版本的适用文件”●是否在使用处可获得有关版本的适用文件？

e)“文件控制程序文件”要定义“文件保持清晰、易于识别”●是否文件保持清晰、易于识别？

f)“文件控制程序文件”要定义“文件可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁”●是否文件可为需要的人员使用，并依照相关程序进行传输、贮存和最终销毁？

g)“文件控制程序文件”要定义“外来文件得到标识”●是否外来文件得到标识？

h)“文件控制程序文件”要定义“文件的分发受控制”●是否文件的分发受控制？

i)“文件控制程序文件”要定义“防止作废文件非预期使用”●是否“防止作废文件非预期使用”？

j)“文件控制程序文件”要定义“对需要保留的作废文件做出适当的标识”●是否“对需要保留的作

废文件做出适当的标识”？

4.3.3记录控制

标准要求审核内容审核记录注释与指南

a.记录要加以建立与保持●是否有一个建立与保

持记录的过程？

记录是提供符合ISMS要求和有效运行客观证据的

一种特殊类型的文件。

记录需要建立与保持、保护与控制。

b.记录要加以保护与控制●是否有一个保护与控制记录的过程？

c.ISMS要考虑相关法律法规要求和合同义务●ISMS是否考虑了相关法

律法规要求和合同义务？

组织要提供证据(记录)，证明其ISMS考虑了相关

法律法规要求和合同义务。

d.记录要保持清晰、易于识别和检索●记录是否保持清晰、易

于识别和检索？

作为客观证据的记录，必须易于理解，不能含糊

不清。

e.记录的控制要形成文件,并加以实施●记录的控制是否形成

了文件？

记录的控制包括：记录的标识、贮存、保护、检

索、保存期限和处置等。这些控制要形成文件，通

常称为“记录控制程序文件”。

“记录控制程序文件”是必须要有的ISMS文件之

一。

f.记录要保留ISMS过程的执行情况，和所有重大安全事故的执行情况●记录是否保留了ISMS

过程的执行情况？

这里，ISMS过程是指ISO/IEC27001:2005的 4.2

条款所列出的过程，包括ISMS的建立、实施与运行、

监视与评审、保持和改进。所有这些过程的记录要

加以保留，所有重大安全事故的纪录也要保留。

●记录是否保留了所有重

大安全事故的执行情况？

5管理职责

5.1管理承诺

标准要求审核内容审核记录注释与指南

管理者要对ISMS的建立、实施与运行、监视与评审、保持和改进，做出承诺,提供证据。●是否有一个确保管理

者对ISMS的建立、实施与

运行、监视与评审、保持和

改进，做出承诺的过程？

这里，“管理承诺”应理解为“最高管理者(层)

的承诺”。

ISO/IEC27001:2005标准认为，ISMS的成功运行

需要管理者参与并做出承诺。因此标准要求最高管

理层(包括总经理和管理者代表等)展示出其如何支

持(或承诺)ISMS建立、实施与运行、监视与评审、

保持与改进，并提供8方面内容的证据，包括：

a)制定ISMS方针；

b)确保建立ISMS目标和计划；

c)建立信息安全的角色和职责；

d)向该组织传达满足信息安全目标与符合信息安

全方针的重要性、法律责任和持续改进的需要；

e)提供足够的资源；

f)决定接受风险的准则和风险的可接受级别准则；

g)确保ISMS内审的执行；

h)进行ISMS管理评审。

●管理者提供承诺的证

据是否包括8方面的内容

(见“注释与指南”栏)？

5.2资源管理

5.2.1资源提供

标准要求审核内容审核记录注释与指南

组织要确定和提供所需要的资源●管理者是否提供ISMS活

动所需要的资源？

这里ISMS活动包括ISMS建立、实施与运行、监

视与评审、保持和改进。

●管理者是否提供确保信

息安全程序支持业务要求所

需要的资源？

资源包括人、财、物(如设备、工具和资料等)。

●管理者是否提供满足

法律法规要求、合同安全要

求所需要的资源？

●是否提供通过正确实

施控制措施维护安全所需

要的资源？

●管理者是否提供必要

的评审与对评审结果做出

适当反应所需要的资源？

●管理者是否提供改进

ISMS有效性所需要的资源？

5.2.2培训、意识和能力

标准要求审核内容审核记录注释与指南

a.组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力●是否有一个确保分配

有ISMS职责的所有人员都

具有完成所要求任务的能

力的过程？

要求明确规定，确保分配有ISMS职责的所有人员

都具有完成其所要求任务的能力。这个过程包括4

个活动：

a)确定所有ISMS人员所必要的能力；

b)提供培训，或采取其它措施(例如聘用有能力的

人员)，以满足这些需要；

c)评价培训等措施的有效性；

d)保持教育、培训、技能、经历和资格的记录。

在对要求的符合性审核时，要检查培训记录和相关

证据。

b.组织要确保所有相关人员意识到其信息安全活动的重要性●是否有一个确保所有

学校网络与信息安全巡查表

单位: 网络与信息安全巡查表检查时间：类别检测项目检查内容检查要求检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置 1

类别检测项目检查内容检查要求检查结果网络安全基础设施建设机房环境安全是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是否配备机房专用灭火器，是否定期对灭火装置进行检测安装机房自动灭火系统，配备机房专用灭火器，定期对灭火装置进行检测是否有防雷措施，机房设备接地电阻是否满足要求，接地线是否牢固可靠机房有防雷措施，机房设备接地电阻满足要求，接地线牢固可靠（直流工作接地≤1欧，接地地位差≤1V；交流工作交流工作接地系统接地电阻：＜4Ω、零地电压＜1V；计算机系统安全保护接地电阻及静电接地电阻：＜ 4Ω) 机房温度是否控制在摄氏18-25 度以内机房温度控制在摄氏18-25度以内安全技术防核心网络设备、系统安全配置交换机、路由器、防火墙等网络设备的安全设置情况；操作系统的安全配置、版本及补丁升级情况交换机、路由器、防火墙等均根据安全要求进行了正确设置；操作系统的安全配置、版本及补丁升级情况。网络设备配置是否进行了备份（电子、物理介质）网络设备配置进行了备份（电子、物理介质）应用安全配置、身份鉴别策略相关服务进行正确的安全配置、身份鉴别情况WWW服务用户账户、口令是否强健 WWW服务用户账户、口令强健（查看登录） 2

管理体系内部审核检查表

QHSE管理体系内部审核检查表受审核单位：日期：年月日要素名称检查内容和检查方法审核发现结论4.QHSE管理体系 4.1 总要求1．询问如何运用过程方法建立实施保持QHSE管理体系。 2．是否对过程进行了删减，删减是否合理。 3．是否识别了外包过程，外包过程如何控制。 4.2 文件要求 4.2.1 总则 4.2.2 管理手册1．查证是否建立了包括管理手册、程序、作业文件、记录在内的QHSE体系文件。 2．查证QHSE体系文件是否覆盖并满足Q/SY 2.2标准全部条款的要求。 4.2.3 文件控制 4.2.3 文件控制1．询问负责人文件控制职责，与相关部门的接口关系是否清楚 2．查阅文件清单，抽查3-6份文件，查证： 2.1 发布前是否经过批准，文件是否充分适宜？ 2.2 文件是否保持清晰并易于识别(包括修订状态)？ 2.3 核查发放范围及发放记录，是否使用场所得到了适用文件的有效版本？ 2.4 是否识别了与质量、环境和安全有关的全部外来文件

(包括法律法规)，并对其进行了管理控制？ 2.5 作废文件的回收记录，可否保证作废文件的非预期使用？作废文件保留是否作了标识？ 3．询问对文件评审、更新、再批准的规定，查l-3份更改文件，核查规定执行情况。 4.2.4 记录控制 4.2.4 记录控制1．询问负责人记录控制职责，与相关部门的接口关系是否清楚。 2．询问是否形成了QHSE体系记录清单，是否包括了QHSE体系要求的所有记录，否规定了各种记录的保存期限。 3．管理部门及其他部门各种类型的记录3-6份，核查标识情况，填写是否清晰？是否易于识别？ 4．询问对记录的收集、归档、检索，是否符合规定要求？记录贮存条件是否适宜？ 5.询问对记录借阅、复印、处置的管理。 4.3法律法规及其他要求 4.3法律法规及其他要求1．询问负责人法律法规及其他要求职责，与相关部门的接口关系是否清楚。 2．问主管部门建立了哪些法律法规和其他要求的获取渠道，获取的方式和频次，查询各获取渠是否满足要求。 3．查证是否对法律法规和其他要求的适用性进行了评审，是否有适用法律法规清单，有无明显的漏项。 4．查如何将适用的法律法规传达到各部门和相关方，是否开展了必要的培训。

信息安全检查表

广西食品药品检验所信息安全检查表一、信息系统基本情况信息系统基本情况①信息系统总数：个 ②面向社会公众提供服务的信息系统数：个 ③委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个互联网接入情况互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆 □其他：接入口数量：个接入带宽：兆系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个系统安全测评情况最近2年开展安全测评（含风险评估、等级测评）系统数：个二、日常信息安全管理情况人员管理①岗位信息安全和保密责任制度：□已建立□未建立 ②重要岗位人员信息安全和保密协议： □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定：□已制定□未制定 ④外部人员访问机房等重要区域管理制度：□已建立□未建立资产管理①信息安全设备运维管理： □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理： □已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度三、信息安全防护管理情况

网络边界防护管理①网络区域划分是否合理：□合理□不合理 ②安全防护设备策略：□使用默认配置□根据应用自主配置 ③互联网访问控制：□有访问控制措施□无访问控制措施 ④互联网访问日志：□留存日志□未留存日志信息系统安全管理①服务器安全防护： □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护： □安全策略配置有效□无效 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理门户网站管理网站域名：_______________ IP地址：_____________ 是否申请中文域名：□是_______________ □否 ①网站是否备案：□是□否 ②门户网站账户安全管理： □已清理无关帐户□未清理 □无：空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况：口已清理口未清理 ④门户网站信息发布管理： □已建立审核制度，且审核记录完整 □已建立审核制度，但审核记录不完整 □尚未建立审核制度

网络信息安全检查表

网络与信息安全检查项目表类别检查项目检查内容检查要求明确信息安全主管领导、责任人、信息安全管理员，制定岗位职责文件和组织管理与规章制度网络与信息安全管理组织日常管理工作规章制度情况信息安全责任制落实情况信息安全培训情况信息安全管理策略情况信息安全测评、系统安全定级、信息安全检查和风险评估工作网络与信息安全政策落实情况信息安全管理职责、信息安全情况报告制度、资产安全管理制度、系统运行安全管理制度、安全应急响应及事故管理制度等操作规程等（要提供相应文档）信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训（提供培训计划、培训内容、培训成绩、人员）制定了详细的信息安全管理策略，并有专人负责，定期进行检查（要提供检查纪录）有工作开展的相关文档、记录、总结国家有关网络与信息安全文件（计算机信息网络国际联网安全保护管理办法等）的落实情况制定了严格的规章制度，并认真落实（提供所有制度文档）。保密承诺书重要岗位、涉密岗位人员保密承诺书是否签订，是否及时更新，新入岗、离岗人员均要签订保密承诺。网络运行及关键安全设备情况网络基本情况网络使用情况网络设计使用符合相关规定要求。网络与信息系统集成、设计与监理情况集成商、设计单位、监理单位必须具备相关资质（要有资质证书复印件）

网络与信息安全产品防火墙、入侵检测、安全审计、漏洞扫描、违规外联监控、网页防篡改、网络安全隔离网闸、病毒防范等安全产品以及密码设备必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信息安全测评机构测评的测评资质证书，公安部销售许可证；密码产品及研发、生产、销售企业必须具有国家密码管理局的许可资质（各类资质要有资质证书复印件）

学校网络与信息安全检查表

单位：长春市第一五七中学网络与信息安全检查表检查时间：2017.10 类别检测项目检查内容检查要求检查记录检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是安装机房自动灭火系统，配备机房专用灭火器，

网络与信息安全检查表

网络与信息安全检查表单位名称：嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导（如单位正副职领导）①姓名：王立中；职务：副院长； ②姓名：；职务：；信息安全管理机构（如信息中心）①名称：信息科； ②负责人：沈碧飞；职务：科长； ③联系人：龚林峰；电话：；信息安全专职工作处室（如信息科）①名称：； ②联系人：；电话：；信息安全责任部门职责 (可附件另附) 二、重要信息系统基本情况重要信息系统总数：（请另附系统简介清单）系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个等级保护测评完成等级保护测评系统的名称及对应等级：①； ②； ③； ④；服务对象统计①面向社会公众提供服务的系统数量及等级：； ②非面向社会公众提供服务的系统数量及等级：；联网情况统计①通过互联网可直接访问的系统数量及等级：； ②通过互联网不能直接访问的系统数量及等级：；其中，与互联网物理隔离的系统数量及等级：；

数据集中性统计①省级数据集中的系统数量及数据类型：； ②市级数据集中的系统数量及数据类型：； ③县级数据集中的系统数量及数据类型：； ④未进行数据集中的系统数量：；业务连续性统计①可容忍值小于小时的系统数量：； ②可容忍值大于小时，小于小时的系统数量：； ③可容忍值大于小时的系统数量：；系统灾备统计①定期对系统级进行灾备的系统数量：； ②仅对数据库定期进行灾备的系统数量：； ③无灾备措施的系统数量：；业务应用软件系统（统计年内数据）①自主设计开发（不含二次开发）的套数：； ②外包国内服务商开发的套数：；外包国外服务商开发的套数：； ③直接采购国内服务商产品的套数：；直接采购国外服务商产品的套数：；三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议：全部签订部分签订均未签订； ②人员离岗离职安全管理规定：已制定未制定； ③外部人员机房访问管理制度及权限审批制度：已建立未建立；设备资产管理①资产管理制度：已建立未建立； ②机房设备标签：全部标签合格部分标签合格无标签； ③设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；机房安全管理①机房管理制度：已建立未建立； ②机房日常运维记录：完整详实部分简略无记录； ③人员进出机房记录：完整详实部分简略无记录； ④机房物理环境：达标未达标；采购预算保障①年度采购方案及预算：已建立未建立； ②采购合同：完整部分完整； ③安全设备采购比例：> > <；外包服务管理①外包服务商资质证书：齐全部分齐全； ②外包服务合同：完整部分完整；

质量管理体系审核检查表(机械类企业完整版)

质量管理体系审核检查表审核组长：审核员：受审核部门：部门接待人员：审核日期：标准条款审核要点及方法客观证据评定 1．请管代谈谈QMS的策划、运行时间及QMS建立前后的变化，以便了解企业是否按照标准要求建立、实施、保持和改进 QMS？ 4．1 2．请总经理谈谈企业QMS的主要管理过程的四大过程有哪些，总要求其中产品实现的主要过程过程有哪些，是否存在删减，理由是什么，过程间顺序及关系是否按照PDCA循环的规律来确定和8.1 管理？ 3．企业QMS过程所需资源和信息是否充分，足以支持过程有8.5.1 效运行和监控？ 4．企业QMS及过程测量和监控点是否确定并有效？对测量和监控结果是否有分析、改进活动？（8。1 8。5。1） 5．企业是否存对产品质量有影响的外包过程？如有，在企业 QMS是否明确，实施了控制？ 1．问并查企业是否按照标准要求建立并保持“文件控制程序”？ 2．索要QMS的文件清单，看范围是否包括了标准4.2.1条款规定的所有文件,即企业QMS要求的所有文件 3．抽查手册、程序文件、管理文件、技术文件各1份，看上述文件发布前是否： 1）经过相关部门或人员评审，以确保文件的适用性、完整性、协调性？ 2）得到批准，批准权限是否按程序文件规定的类别、范围、

4．2．3 所处层次执行，以确保文件的适宜性、有效性？ 4．查阅文件的发放记录，看上述文件是否发至使用场所或岗文件控制位？执行人员是否能得到。 (含4.2.1和5．查阅文件更改记录，看文件是否得到及时更改？文件更改前 4.2.2) 是否得到评审和批准？更改的文件是否确保了四个到位（即：所有同一文件更改到位；所有相关文件更改到位；所有相关部门/岗位通知到位；涉及实物时处置到位）？ 6．问并查文件的标识方法，不同类型、状态（如修改、外来文件）的文件是否按规定进行编号、标识，保持清晰，易于识别和检查？ 7．问企业有哪些外来文件？抽查1份现行的外来标准是否列入受控文件清单，发放是否登记？ 8．体系运行以来作废文件有哪些，是否已撤出使用场所？未撤出时，是否有明显标识，能防止非预期使用？ 9．企业文件保管是否指定设施、场所、人员、能确保文件不损坏、不丢失、及时提供？注：符合-不标注不符合—X 观察项--O 审核组长：审核员：受审核部门：部门接待人员：审核日期：标准条款审核要点及方法客观证据评定 1．问并查企业是否按照标准要求建立并保持“记录控制程序”。 2．查阅记录清单和3-5种空白的原始表格，看是否按照标准要求的项目设置了记录？并为确保QMS过程有效运作、控制、证实、改进，是否设置了必要的记录 3、记录是否按规定进行标识？标识是否达到唯一可追溯？ 4．问记录的填写有哪些要求，抽查3种，看其是否规范（真实、 4.2.4

质量管理体系审核检查表范文

4.2.3文件控制是否符合质量管理体系要求的文件？●符合GB/T 19001-2008的质量手册, 或质量手册并附带转换矩阵表 ●文件控制清单或等同物

是否建立了文件化的文件，确定下列所需的控制？ a)在文件发布前得到批准，以确保适宜性? b)必要时，文件评估及更新并得到再次批准? c)确保识别文件的变更和现行修订状态? d)确保适用文件的相关版本在使用现场可得? e)确保文件保持清晰和易于识别? f)确保外来文件得到识别，并控制其分发? g)防止作废文件的非预期使用，如果它们因任何原因需要保留，则需加以适当的标识？●文件批准的授权●文件批准记录 ●不同场所文件的可得性 ●文件处所可知 ●文件可被理解 ●作废文件的贮存,处置 ●内外部文件通知/发放过程 ●修改文件的评审和批准 4.2.4记录控制

是否建立并维护质量记录,以证明符合要求和质量体系的有效运行? ●质量管理体系记录 ●记录维护体系，包括记录的处置记录是否清晰，易于识别和可恢复？●质量管理体系记录的清晰度 ●质量管理体系记录的标识 ●环境和存放条件必须与文件的存储方法相协调（如：硬拷贝，软盘等）

是否建立书面程序，以明确记录的标识、贮存、保护、恢复、保存期限和处置所需的控制? ●依照GB/T 19001-2008的质量手册 ●根据顾客/法规要求确定的保存期限 ●保存期满后记录的处理 ●包括作废文件的标识 ●残缺/过时文件的标识是否把质量记录作为一种特殊类型的文件并根据问题4.2.7和4.2.8的要求进行控制？ ●按照质量手册维护和控制质量记录的证据 5 管理职责

2015质量管理体系审核检查表

ISO9001：2015内审检查表检查内容 4.1 理解组织及其环境是否确定了外部和内部因素，并进行了监视和评审。 4.2 理解相关方的需求和期望是否确定了相关方？是否确定了相关方的要求？是否对这些要求进行了监视和评审？ 4.3 确定质量管理体系的范围是否确定了质量管理体系的范围并批准发布？确定以上内容时，是否考虑了内外部因素、相关方要求、本公司的产品和服务？是否将标准所有要求都制定了具体的实现方法并批准实施？是否有不适用的条款删减？是否说明了删减的理由？ 4.4 质量管理体系及其过程是否确定了管理体系的过程？（乌龟图），包括输入输出、顺序、相互作用、相关的准则和方法、资源、职责权限、风险和机遇？如何评价这些过程？是否发生了过程变更？在哪些方面可以改进这些过程？本公司过程管理的要求是否形成了文件并批准实施？ 5 领导作用 5.1 领导作用和承诺 5.1.1总则是否确定了最高管理者的职责，并签字承诺发布实施？ 5.1.2 以顾客为关注焦点最高管理者是否对以顾客为关注焦点做出了承诺？ 5.2 方针 5.2.1 制定质量方针是否由最高管理者制定了质量方针并发布？ 5.2.2 沟通质量方针质量方针：是否形成了文件？以何种方式进行沟通？员工是否理解？是否可以提供给相关方？ 5.3 组织的岗位、职责和权限是否制定了组织结构图？各岗位是否规定了职责权限？职责权限以何种方式传达给所有相关部门？ 6 策划 6.1 应对风险和机遇的措施是否确定了本公司的风险和机遇？是否确定了应对风险和机遇的措施？是否将这些措施整合到质量管理体系文件中？是否评价了这此措施的有效性 6.2 质量目标及其实现的策划

质量管理体系审核检查表(全部)

质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号在建立质量管理体系过程中，如何识4.1 别过程，明确输入和输出（包括谁负责，如何组织，以什么形式明确等）？如何明确这些过程间输入、输出的接4.1 口关系，识别过程顺序、过程网络？如何明确这些过程开展的活动、活动4.1 的准则和方法，以便有效运作和控制？使用何资源和信息（如指导操作的文4.1 件、相关过程运行的状况等），使过程良好运行，并进行有效的监视？对这些过程如何进行监视、测量、分4.1 析，如何利用有关信息达到预期的目标和持续改进？

对外包的影响到产品符合性的过程，4.1 在质量管理体系中是如何明确要求的？审核员：部门代表：部门其他人员：年月日质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号 4.2.1 是否明确了质量管理体系文件的层次、内容？ 4.2.1 编制了哪些质量管理体系文件？是如何考虑的？是否适宜？ 4.2.2 质量手册适用范围是否明确？是否包括了删减的细节和理由？是否明确了覆盖的产品？ 4.2.2 质量手册是否包括了标准中要求的

六个形成文件的程序（或引用）？对其他重要的质量活动要求是否形成文件？ 4.2.2 质量手册中对受审核方体系的主要过程的叙述是否充分？是否包括了输入、输出、资源、活动等？是否表述了过程的相互作用？ 4.2.2 质量手册是否受控（包括标识、发放、换版等）？审核员：部门代表：部门其他人员：年月日质量管理体系审核检查表受审核部门：共页第页不符合报序审核项目标准章、条审核检查记录告单编号是否编制了有关文件控制的程序文4.2.3 件?

管理体系审核检查表

质量、环境、职业健康安全管理体系受审核部门：市场部陪同人员：审核日期：第页 / 共页审核准则：ISO 9001，ISO 14001，OHSAS 18001、体系文件、适用的法律法规审核员：条款检查内容检查方法检查发现结果评价管理体系 IS O 90 01 IS O 14001 OH SAS 18 001 提问文件查阅现场检查5. 3 组织的岗位、职责和权限 5. 3 组织的岗位、职责和权限 4. 4.1 资源、作用、职责、责任和权限 Q：◆公司内各职位职责是否明确？权限分派、沟通和理解是否适宜？各职责间关系是否明确？ E/S：◆查看部门职责与权限，各部门职责是否有重叠或真空？权限是否明确？理解是否清晰？ ◆是否分派职责和权限，以包括确保体系符合标准要求？确保各过程获得预期效果？向最高管理者报告QEOH的绩效和改进机会？在组织推动以顾客为关注焦点？在策划和实施管理体系变更时保持完整性？ ◆是否任命最高管理者中的成员承担特定的职业健康安全职责，按标准建立、实施和保持职业健康安全管理体系，向最高管理者报告职业健康安全管理体系业绩和任何改进的需求？被任命者是否被公开？所有管理人员是否承诺对体系持续改进，并能在控制的领域内承担责任？

质量、环境、职业健康安全管理体系受审核部门：市场部陪同人员：审核日期：第页 / 共页审核准则：ISO 9001，ISO 14001，OHSAS 18001、体系文件、适用的法律法规审核员：条款检查内容检查方法检查发现结果评价管理体系 IS O 90 01 IS O 14001 OH SAS 18 001 提问文件查阅现场检查6. 1 应对风险和机遇的措施 6. 1.1 6. 1 应对风险和机遇的措施 6. 1.1 总则 Q：◆企业是否有明确可能所需要应对的风险和机遇？为确定需要应对的风险和机遇： ?公司在策划质量管理体系时，是否考虑内部和外部因素？ ?公司在策划质量管理体系时，是否有理解相关方需求？ E：◆策划环境管理体系时，是否考虑到4.1和4.2中所提及的问题？ ◆有无指出环境管理体系的范围？ ◆是否确定需要应对的风险和机遇？以及潜在的紧急情况？ ◆有无相应的需要应对风险和机遇的文件化信息？ 6. 1.2 组织应策 6. 1.2 环境因素 4. 3.1 危险源辨识、风 Q：◆公司是否有策划应对风险和机遇的措施？这些措施可能是产品及服务的检查、监视和测量、校准、产品及过程设计、纠正措施、规定方法和工作指导书、培训及使用有能力人员等方面。 ◆应对风险和机遇的措施是否得到实施和评价措施的有效性？

信息安全管理体系审核检查表

学校网络与信息安全巡查表

最新安全检查表格式大汇总

管理体系内部审核检查表

信息安全检查表

网络信息安全检查表

学校网络与信息安全检查表

网络与信息安全检查表

质量管理体系审核检查表(机械类企业完整版)

质量管理体系审核检查表范文

2015质量管理体系审核检查表

质量管理体系审核检查表(全部)

管理体系审核检查表

相关文档

最新文档