ISO27001：2013内部审核管理程序.pdfVIP

XXXXXXXXX 有限责任公司 内部审核管理程序 [XXXX-B-06] V1.0 发布日期 2015年 02月01 日 发布部门 信息安全小组 实施日期 2015年 02月01 日 内部审核管理程序 变更履历 版本 变更履历 变更人 / 变更日期 审核人 / 审核日期 批准人 / 批准日期 1.0 初次发布 i 内部审核管理程序 1 目的 为明确信息安全管理体系内审的实施方法， 保证内审定期有效地实施， 为管理评审和持 续改进提供依据，确保信息安全管理体系的有效运行，特制定本程序。 2 范围 本程序适用于本公司信息安全管理体系内部审核 ( 简称：内审 ) 工作的实施和管理。 3 职责 3.1 综合部 负责制定年度审核计划与每次的审核计划； 任命内部审核小组可以进行内审； 制定内审 检查表以供各部门检查各项活动是否在信息安全保障内； 负责管理和监督内审的进行与内审 结果的确认。 3.2 其他各部门 配合内部审核小组进行内审，对内审中发现的问题进行整改。 4 相关文件 《信息安全管理手册》 5 程序 5.1 年度内审计划 5.1.1 计划制定 综合部制定年度审核计划， 确认当年年度的审核的目的范围， 受审部门及受审的时间安 排。交由综合部审批。 5.2 内审 1 内部审核管理程序 5.2.1 内审时机 内部审核原则上每年至少进行一次，由综合部制定《内部审核计划》 ，经总经理批准后 实施； 若在非内审期内发现特殊情况， 如有重要信息安全事件发生， 或公司重要业务发生变 化，可由综合部申请增加内审的次数，由总经理决定是否进行内审。 5.2.2 任命 每次审核前，由综合部发出《审核组长（成员）任命书》 ，对参加信息安全审核的人员 及部门进行任命。综合部应制定《内部审核计划》及《内部审核方案》 ，经总经理批准，并 由综合部通知被审核部门，被审核部门到时应选派有关人员配合审核。 5.2.3 内部审核员 5.2.3.1 资格要求 内部审核员必须是熟悉本组织业务和信息系统情况， 参加信息安全管理体系内部审核员 培训并考核合格的本组织人员。 5.2.3.2 独立性要求 内部审核员应来自于不同的职能部门， 审核人员应与被审活动无直接责任， 以保持工作 的独立性。 5.2.4 资格评定