在進行 ISO27001 備審時，通常需要準備以下資料：

一、組織與管理方面

1. 組織架構圖

• 清晰展示公司的部門設置、匯報關系等，有助于審核員了解信息安全管理的組織架構和職責分工。

2. 崗位職責說明書

• 明確各崗位在信息安全管理方面的具體職責，包括信息安全負責人、安全管理員、各部門相關崗位等。

3. 人員花名冊

• 包含公司所有員工的基本信息，如姓名、部門、職位等，便于審核員了解人員情況。

4. 信息安全方針和目標文件

• 闡述公司的信息安全方針和具體目標，體現公司對信息安全的重視和承諾。

二、風險評估與管理方面

1. 風險評估報告

• 詳細記錄風險評估的過程、方法、結果，包括識別出的信息資產、面臨的威脅、存在的脆弱性以及計算出的風險值等。

2. 風險處理計劃

• 針對風險評估中確定的高、中、低風險，分別制定相應的處理措施，如風險降低、風險轉移、風險接受等，并明確責任人和時間節(jié)點。

三、信息安全管理制度方面

1. 信息安全管理手冊

• 作為信息安全管理體系的綱領性文件，涵蓋信息安全方針、目標、范圍、組織架構、管理流程等內容。

2. 程序文件

• 包括各項信息安全管理活動的具體流程和操作規(guī)范，如訪問控制程序、信息加密程序、安全事件處理程序等。

3. 作業(yè)指導書

• 針對特定的信息安全操作提供詳細的指導，如服務器安全配置指南、數據庫備份操作手冊等。

四、培訓與意識提升方面

1. 信息安全培訓計劃

• 制定年度信息安全培訓計劃，明確培訓內容、對象、時間安排等。

2. 培訓記錄和考核記錄

• 包括每次培訓的簽到表、培訓材料、考核試卷及成績等，證明員工接受了信息安全培訓并掌握了相應知識。

3. 信息安全宣傳資料

• 如海報、手冊、電子郵件等，用于提高員工的信息安全意識。

五、技術與物理安全方面

1. 網絡拓撲圖

• 展示公司的網絡架構，包括服務器、交換機、路由器等設備的連接關系，以及網絡安全設備的部署情況。

2. 系統(tǒng)清單

• 列出公司所有的信息系統(tǒng)，包括操作系統(tǒng)、數據庫、應用程序等，以及其版本號、用途等信息。

3. 安全設備配置清單

• 如防火墻、入侵檢測系統(tǒng)、防病毒軟件等安全設備的型號、配置參數、部署位置等。

4. 物理安全措施文檔

• 描述公司在物理安全方面采取的措施，如門禁系統(tǒng)、監(jiān)控設備、機房環(huán)境控制等。

六、安全事件管理方面

1. 安全事件記錄

• 詳細記錄發(fā)生的信息安全事件，包括事件發(fā)生時間、地點、類型、影響范圍、處理過程等。

2. 應急響應計劃

• 制定針對不同類型安全事件的應急響應預案，明確應急響應流程、責任人員、聯(lián)系方式等。

3. 演練記錄

• 定期進行應急演練的記錄，包括演練時間、參與人員、演練效果評估等。

七、合規(guī)性方面

1. 法律法規(guī)清單

• 整理與信息安全相關的法律法規(guī)、行業(yè)標準等，確保公司的信息安全管理符合要求。

2. 合規(guī)性評估報告

• 定期對公司的信息安全管理體系進行合規(guī)性評估，記錄評估結果和改進措施。

八、內部審核與管理評審方面

1. 內部審核計劃和報告

• 制定內部審核計劃，按照計劃進行審核并形成審核報告，記錄審核發(fā)現的問題和整改情況。

2. 管理評審計劃和報告

• 定期進行管理評審，由公司高層領導對信息安全管理體系的有效性、適宜性和充分性進行評審，并形成管理評審報告。