2. 策划与目标文件 - 信息安全风险评估报告（需包含评估方法说明，如采用的风险矩阵、资产识别清单；风险处置计划，针对高风险项的控制措施及完成时限）； - 信息安全目标及分解文件（需体现目标的可测量性，如“2025年核心系统漏洞修复及时率≥98%”；目标在各部门的分解记录，如IT部负责“服务器补丁更新率”，行政部负责“办公设备加密率”等）； - 法律法规符合性评价报告（需列出适用的信息安全相关法规标准，如《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》；针对法规要求的合规性自查记录，如数据分类分级是否符合《信息安全技术 数据安全管理规范》）。 二、文件与记录控制类资料 ISO/IEC 27001要求企业建立“文件化的体系”，此类资料用于证明文件的编制、审批、发放、修订及记录的保存符合规范，确保体系运行“有迹可循”。 1. 文件控制记录 - 文件清单及版本台账（需包含所有体系文件，如管理手册、程序文件、作业指导书；明确各文件的当前版本号、修订日期、审批人，如《数据备份作业指导书》V2.0，2025年3月修订，由IT总监审批）； - 文件发放与回收记录（需体现文件的分发范围，如《信息安全应急响应程序》发放至IT部、生产部等关键部门；旧版本文件回收记录，避免无效文件流转）； - 文件修订记录（需说明修订原因，如“因法规更新修订《个人信息保护程序》”；修订前后的内容对比表，确保审核组清晰了解变更点）。 2. 记录控制证据 - 记录清单（需列出体系运行中产生的所有记录，如风险评估记录、培训记录、漏洞扫描记录等；明确记录的保存期限，如“客户信息处理记录保存3年”“审计日志保存6个月”）； - 记录存储与检索证明（如电子记录的加密存储截图、纸质记录的档案柜编号及借阅登记本；需能证明记录的完整性，如无缺页、无篡改痕迹）。 三、核心控制措施运行资料 这是审核的“核心环节”，需根据ISO/IEC 27001“控制措施附录”（如A.5信息安全策略、A.8人力资源安全、A.12操作安全等），提供各控制措施的执行证据，证明体系“落地有效”。 1. 信息安全策略与宣贯资料 - 专项信息安全策略文件（需覆盖关键领域，如《密码使用策略》《远程办公安全策略》《供应商信息安全管理策略》；策略需经管理层审批，并有发布记录）； - 策略宣贯记录（如培训签到表、考核试卷，需体现全员覆盖，包括新员工入职培训、老员工年度复训；宣贯效果评估记录，如员工对“密码复杂度要求”的知晓率统计）。 2. 人力资源安全资料 - 员工全生命周期管理记录（入职阶段：背景调查记录，如对IT岗位员工的信息安全资质核查；合同条款，需包含信息安全保密条款；岗前培训记录，如“信息安全意识培训合格证”。离职阶段：设备回收记录，如员工归还办公电脑的签字确认；账号注销记录，如邮箱、系统账号的关闭截图）； - 岗位权限矩阵表（需明确各岗位的信息系统访问权限，如“财务专员仅可访问财务系统的记账模块”；权限审批记录，如新增权限需部门负责人及信息安全小组双签字）。 3. 资产与技术安全资料 - 信息资产清单（需分类登记，如硬件资产“服务器S1-S10”、软件资产“OA系统V3.0”、数据资产“客户订单数据库”；资产责任人标注，如“服务器S1由IT部李工负责”）； - 技术控制措施执行记录（如加密措施：办公电脑BitLocker加密截图、U盘加密启用记录；备份措施：核心数据每日增量备份日志、每月全量备份测试报告，需包含备份恢复演练的成功记录；漏洞管理：季度漏洞扫描报告、高危漏洞整改跟踪表，需体现“发现-整改-验证”闭环）。 4. 操作与应急管理资料 - 日常操作记录（如系统运维日志，需包含服务器开机/关机时间、账号登录记录；变更管理记录，如“CRM系统升级申请单”，需有变更风险评估、审批流程及回滚计划）； - 应急响应资料（如《信息安全应急预案》，需包含火灾、勒索病毒等场景的处置流程；应急演练记录，如2025年6月“勒索病毒应急演练”的签到表、演练报告、问题整改记录；实际事件处置记录，如若发生过数据泄露，需提供事件调查报告、处置措施及影响评估）。 5. 供应商与外包管理资料 - 供应商信息安全评估记录（如对云服务供应商的资质审核，需包含其ISO 27001认证证书、数据中心安全检测报告；定期评估记录，如每季度对供应商的服务合规性检查）； - 外包服务合同（需包含信息安全条款，如“供应商不得泄露我方数据”“需配合我方审核”；服务过程中的监控记录，如外包开发项目的代码审计报告、进度跟踪表）。 四、内部审核与管理评审资料 此类资料用于证明企业“自我监督与持续改进”机制有效，是体系长期合规运行的“保障凭证”。 1. 内部审核资料 - 内部审核计划（需明确审核时间、范围、审核员资质，如“2025年第二季度内部审核计划”，覆盖生产部、IT部等部门，审核员需具备ISO 27001内审员证书）； - 内部审核记录（如审核检查表、不符合项报告，需明确不符合项的具体条款，如“未按规定对离职员工账号及时注销，不符合A.8.2.4条款”；不符合项整改报告，需包含整改措施、完成时间及验证结果）。 2. 管理评审资料 - 管理评审计划与通知（需明确评审目的，如“评估体系是否适应业务变化”；参会人员，需包含管理层、各部门负责人）； - 管理评审报告（需包含评审输入资料，如内部审核结果、客户投诉记录、风险评估更新情况；评审输出结论，如“需修订《远程办公安全策略》以适应居家办公比例提升”“增加对数据出境的风险评估频次”等）； - 评审决议跟踪记录（需体现针对评审结论的整改措施落实情况，如“2025年7月完成《远程办公安全策略》修订，8月完成全员培训”）。 五、特殊场景补充资料 若企业涉及特殊业务或行业（如金融、医疗、跨境业务），需额外准备针对性资料，避免因“行业特性”导致审核遗漏。 - 跨境数据传输：若涉及向境外提供数据，需提供《数据出境安全评估报告》（若符合“关键信息基础设施运营者”等情形）、与境外接收方的安全保障协议； - 关键信息基础设施：若属于关键信息基础设施运营者，需提供《关键信息基础设施安全保护自查报告》、等级保护2.0测评报告（需达到三级及以上）； - 客户敏感信息：若涉及金融、医疗等敏感数据，需提供数据脱敏处理记录、客户授权同意书（如“个人信息收集使用授权书”）、数据泄露通知记录（若发生过需按法规要求通知客户及监管部门）。