信息技术服务管理体系--内部审核管理规定-V10.docVIP

信息技术服务管理体系 内部审核管理规定 文件编号：SA-02004 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属公司所有，受到有关产权及版权法保护。任何个人、机构未经公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。] 分发控制 读者 文档权限 说明 公司内部员工 只读 文件版本信息 版本号 修订 变更描述 日期 审核 批准 V1.0 编写组 全文芮芳华 刘文中 文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。 目 录 1 总则 1 2 职责与权限 1 3 规定 2 3.1 内审准备 2 3.2 内审首次会议 3 3.3 现场审核实施 3 3.4 内审末次会议 3 3.5 编制内部审核报告 4 3.6 跟踪验证 4 4 附则 4 1 总则 1.1 目的 本规定旨在为公司信息技术服务管理体系的内部审核（内审）提供依据。通过定期组织内部审核活动，检查信息技术服务管理活动及其结果是否符合有关标准或文件制度要求，为体系的改进提供依据，确保管理体系持续有效地运行。 1.2 范围 本规定适用于公司信息技术服务管理体系内审活动的组织与管理。 1.3 定义与缩写 本规定采用ISO20000:2005的定义和缩写，需补充说明的定义缩写为： 内审：是指组织对信息技术服务管理体系运行情况进行的全面的、系统的检查和评价活动，包括检查信息技术服务策略、标准、规定及其他相关规章制度是否得到正确实施，信息系统是否符合技术服务实施标准，信息技术服务和安全控制措施是否得当等。 详见《信息技术服务管理体系术语定义》。 2 职责与权限 2.1 管理者代表：负责本制度的审批，任命审核组长； 2.2 办公室: 负责组织本管理规定的制定、解释和修订； 负责按照本规定要求，负责编制年度内审计划，保存内审记录。； 负责信息技术服务管理体系内部审核的协调和组织工作； 确保参与审核工作的内审员应该与被审核方没有直接的报告关系，以保证审核的客观性和独立性； 2.3 审核组组长职责 策划内部信息技术服务管理体系审核，制订内审计划。 2.4 内部审核员职责 内审员负责编制内部审核检查表，实施分工范围内的审核工作。 2.5 各 负责按本规定要求配合审核小组进行内审活动准备和实施内审活动； 负责内审整改工作进展的跟踪和验证关闭等。 规定 内审准备 3.1.1 内部审核计划制定 a. 每年依据ISO20000标准一次覆盖ISO20000标 1. 某部门的信息技术服务事件频发时； 2. 有信息技术服务重大变更和重大信息安全事件发生时； 3. 外部审核之前。 成立内部审核小组 a. 管理者代表根据被审核部门特点及其工作性质，从公司内部审核员队伍中推选具有资格的合适人选担任内审小组组长，由内审小组组长负责本次审核的具体组织工作。 b. 由内审小组组长从相关部门中选派具有内审员资格并且与被审核部门无直接干系者担任审核组成员，并根据内审计划适当地分工。 收集并审阅有关文件和记录 a. 内审小组组长根据内部审核计划进行审核分工和时间安排。 b. 应在审核前下发本次内部审核计划到受审核部门负责人，事先约定该次审核的所有被访谈的角色。 c. 审核组成员根据分工任务编制内部审核检查表。 d. 内审小组依据内部审核计划，收集与被审核部门信息技术服务和安全管理活动有关的文件和资料，并进行审阅。 e. 审核员在做文件审核与现场审核时需做好记录。 内审首次会议 3.2.1 内审小组组长主持召开内审首次会议。首次会议出席人员还包括内审小组成员、受审核部门的负责人及陪同人员。 3.2.2 由内审小组组长介绍本次审核的目的、、、、。。。。。、。 内部审核管理规定 文件密级：内部使用 文件密级：内部使用 第 4 页 共 4页 文件密级：内部使用 第 5 页 共 5页