ISO27001不符合项整改案例(含纠正措施)-邮件未加密传输包含客户个人信息
不 符 合 项 报 告
组织名称 | 上海市某科技有限公司 |
审核日期 | 2025-06-24 |
问题发现地点 | 信息技术部 |
陪同人员 | 王某 |
不符合事实:审核发现,组织未对外部信息传输过程中的敏感数据进行加密,例如部分员工通过邮件传输包含客户个人信息的Excel文件时,未采用加密或权限控制措施。
不符合:不符合 ISO/IEC 27001:2022 标准 A.5.14 信息传输 的要求。标准要求组织应保护信息在内部和外部的传输,确保传输的保密性与完整性,但组织未采取必要的技术或程序性控制措施以保障信息安全。
严重程度:( 一般 ) 审核员(签名):张审核
本不符合报告的正本已收到,细节已充分解释并理解
受审核组织代表(签名):李经理
原因分析:
员工对信息安全要求理解不到位,组织未对信息传输安全措施进行全面识别和实施。
纠正:
立即对含敏感信息的邮件传输进行管控,暂停未加密文档的外发。
纠正措施:
- 制定并实施《敏感信息传输管理制度》,明确需加密的信息类型及传输方式;
2. 部署邮件加密插件并对员工进行操作培训;
3. 每季度对信息传输合规性进行抽查。
责任部门代表(签名):信息技术部经理 受审核组织代表(签名):李经理 日期:2025-06-24
审核组对纠正措施验证及评价:
经验证,组织已完成邮件加密插件部署,制度已发布,抽查记录齐全,问题已有效关闭。
审核员(签名):张审核 日期:2025-06-24