22080-2025信息安全管理体系全套 内部审核记录表格 目录 1 内审方案 内审计划 2 3 内审检查表 内审首末次会议记录 4 5 内审不符合项报告 6 内审总结报告 第1页共30页 2025年度内部22080-2025信息安全管理体系审核方案 1.审核目的：信息安全管理体系运行是否符合GB/T22080-2025标准 要求，运行是否有效，通过审核借以完善和改进信息安全管理体系。 2.审核范围：GB/T22080-2025要求的相关活动及相关职能部门。 3.审核准则：GB/T22080-2025 标准条款。 4.审核计划： 部门月份 2 3 4 5 6 7 8 9 10 11 12 管理层 （含管理才代表） 行政部 业务部 采购部 技术部 工程部 品质部 IT信息部 图例说明： 计划 审核已进行 纠正措施已制定 纠正措施已验证 编制: 审核： 批准： 日期: 日期: 日期: 第2页共30页 内部22080-2025信息安全管理体系审核计划 审核目的 检查信息安全管理体系是否有效运行，是否符合。 审核性质 内部审核 GB/T22080-2025信息安全管理体系要求的相关活动及有关职能部门.包括：管理层、工程部 审核范围 部、行政部、业务部、采购部、技术部、品质部及IT信息部。 审核依据 GB/T22080-2025信息安全管理体系标准、管理手册、程序文件及其他相关文件 审核组 组长：xxx 组员：xxX，XXX，xxX，XXX 2025年9月10日 审核日期 内部审核日程安排 日期 时 间 第一组 xxx 第二组 xxx 首 会 9:00-9:30 次 议 管理层(含管理者代表) 业务部、采购部 9:40-10:30 IT信息部 技术部 11:00-11:45 9月10日 12:00-14:00 中午休息 14:15-15:00 品质部 工程部 行政部 15:15-16:40 16:50-17:30 末次会议 计划编制人： （审核组长） 批准人： (管理者代表) 日期: 年 月 日 日期： 年 月 日 第3页共30页 22080-2025信息安全管理体系内审检查表 审核时间： 编写人： 被审核部门： 被审核部门确认： 内审员： 管理者代表: 审核依据：GB/T22080-2025信息安全管理体系要求及法律法规要求 审核 审核 审核」 条款 标题 审核问题 审核记录 对象 方式 结果 组织环境 1、组织管理者是否了解组织内部可能会 影响信息安全目标实现的风险？ 2、组织管理者是否了解组织外部环境 4.1理解组 4. 1 包括行业状况、相关法律法规要求、利 织及其环境 益相关方要求、风险管理过程风险等？ 3、组织管理者是否明确组织的风险管理 过程和风险准则？ 1、组织是否识别了与组织信息安全有关 的相关方？ 2、组织是否明确了这些相关方与信息安 4.2理解相 4. 2 关方的需求 全有关要求？（包括法律法规要求和合 和期望 同要求) 3 哪些要求将通过信息安全管理系统解 决? 1、组织的信息安全管理体系手册中是否 有明确管理范围？ 4.3确定信 2、组织的适用性声明，是否针对实际情 息安全管理 4. 3 况做合理删减？ 体系的范围 3、组织对信息安全管理范围和适用性是 否定期评审？ 第4页共30页 4、组织制定的信息安全管理体系是否已 经涵盖安全管理活动中的各类管理内 容? 1 组织应按照本文件的要求，建立、实 4.4信息安 4. 4 施、保持并持续改进信息安全管理体 全管理体系 系，包括所需的过程及其相互作用？ 领导 [、组织是否制定了明确的信息安全方 和目标，并且这些方针和目标与组织的 业务息息相关？ 2、组织的业务中是否整合了信息安全管 5.1领导和 5. 1 理要求? 承诺 3、组织为实施信息安全管理，是否投入 了必要的资源？（人、财、物） 4、组织管理者是否在范围内传达了信息 安全管理的重要性？ 1、组织制定的信息安全方针是否与组织 的业务目标相一致？ 2、组织制定的信息安全方针是否与信息 安全目标相一致？ 3、组织制定的信息安全方针是否可以体 5. 2 5.2方针 现领导的承诺？ 4、组织制定的方针是否在信息安全管理 手册中体现？ 5、组织制定的方针是否已经传达给全体 员工？并且在适当的时候也传达给第三 方。 第5页共30页 1、管理者是否在组织内建立并传达了信 息安全管理组织架构，并明确其职责和 权限？ 5.3组织角 2、管理者是否在组织内分配了报告信息 5. 3 色、职责和权 安全管理体系绩效的职责和权限？ 限 3、组织是否定期审查审批事项、及时更 新需授权的审批事项、审批部门、审批 人等信息？ 规划 6 6. 1 6. 1 应对风险和机会的措施 1、组织是否基于内外部环境和相关方要 6.1.1总则 求等外部环境识别需要应对的风险和改 进机会？ 1、组织是否定义并执行了风险评估过 6.1.2 信息 程？ 安全风险评 2、组织是否定义了风险接受准则? 估 3、组织是否保留了所有风险评估过程文 件？ 1、组织应定义并执行信息安全风险处置 过程？ 2、组织是否针对风险选择了适当的风险 处置措施？ 6.1.3信息 3、风险处置措施是否与适用性声明相匹 安全风险处 配? 置 4、组织是否制订了风险处置计划？ 5、风险处置计划、可接受的残余风险是 否得到相关负责人的批准？ 6、组织是否保留了所有风险处置过程文 件？ 第6页共30页 1、组织是否建立了信息安全目标？ 2、信息安全目标与管理方针是否存在关 联? 3、信息安全目标是否可测量？ 6.2信息安 4、组织建立信息安全目标时，是否考虑 全目标和规 了信息安全要求、风险评估和风险处置 划实现 结果？ 5、信息安全目标是否在组织内被传达？ 6、信息安全目标是否定期更新？ 7信息安全目标是否被监控？ 8信息安全目标是否保持文件化信息？ 1 当组织确定需要变更信息安全管理体 6.3变更计划 系时是否有计划地进行变更？ 支持 1、组织是否为建立、实施、保持和持续 7.1资源 改进信息安全管理体系提供了所需的资 源？ 1、组织在关键的信息安全岗位说明书中 是否明确了信息安全方面的能力要求？ 7. 2 能力 2、组织是否定期对信息安全岗位人员进 行培训？并对其能力进行考核？ 1、员工是否了解组织的信息安全方针？ 2、员工是否了解信息安全方针对自身的 7.3 意识 要求? 3、员工是否了解违反信息安全后对自身 和组织的影响？ 1、组织是否明确有关信息安全体系在内 7.4 沟通 部和外部沟通的需求？（对象、时间、 频率等方面） 第7页共30页