不符合项整改模板

ISO27001不符合项整改案例(含纠正措施)-邮件未加密传输包含客户个人信息

不 符 合 项 报 告

组织名称 上海市某科技有限公司
审核日期 2025-06-24
问题发现地点 信息技术部
陪同人员 王某

不符合事实:审核发现,组织未对外部信息传输过程中的敏感数据进行加密,例如部分员工通过邮件传输包含客户个人信息的Excel文件时,未采用加密或权限控制措施。

不符合:不符合 ISO/IEC 27001:2022 标准 A.5.14 信息传输 的要求。标准要求组织应保护信息在内部和外部的传输,确保传输的保密性与完整性,但组织未采取必要的技术或程序性控制措施以保障信息安全。

严重程度:( 一般 )       审核员(签名):张审核

本不符合报告的正本已收到,细节已充分解释并理解

受审核组织代表(签名):李经理

原因分析:

员工对信息安全要求理解不到位,组织未对信息传输安全措施进行全面识别和实施。

纠正:

立即对含敏感信息的邮件传输进行管控,暂停未加密文档的外发。

纠正措施:

  1. 制定并实施《敏感信息传输管理制度》,明确需加密的信息类型及传输方式;
    2. 部署邮件加密插件并对员工进行操作培训;
    3. 每季度对信息传输合规性进行抽查。

责任部门代表(签名):信息技术部经理      受审核组织代表(签名):李经理        日期:2025-06-24

审核组对纠正措施验证及评价:

经验证,组织已完成邮件加密插件部署,制度已发布,抽查记录齐全,问题已有效关闭。

审核员(签名):张审核        日期:2025-06-24

类似文章