HRBank-ISMS-02-07-V1.0 信息安全内部审核管理规定.docVIP

密级:内部公开 HRBank-ISMS-02-07-V1.0 第 PAGE 1页共 NUMPAGES 7页 信息安全内部审核管理规定 总则 为规范科技发展部信息安全管理体系的内部审核，检查信息安全管理活动及其结果是否符合有关标准或文件要求，确保信息安全管理体系持续有效地运行，并为体系的改进提供依据，特制定本规定。 本规定适用于科技发展部职责范围内的所有信息安全内部审核过程和活动。 术语和定义 本规定采用GB/T 22080-2008/ISO/IEC 27001:2013、GB/T 22081-2008/ISO/IEC 27002:2013的定义和缩写，需补充说明的定义和缩写如下： （一） 信息安全内审：是指企业对信息安全管理体系运行情况进行的系统的检查和评价活动，包括检查信息安全策略、标准、规定及其他相关规章制度是否得到正确实施，信息系统是否符合安全实施标准，信息安全控制措施是否得当等。它是企业信息安全保障体系的一种自我保证手段。 组织与职责 科技发展部负责本规定的制定、解释和修订、制定信息安全管理体系内部审核计划、信息安全管理体系内部审核的领导和组织工作、按本规定要求组织审核，编写科技发展部信息安全管理体系内部审核报告。 各部门负责按本规定要求和审核计划安排审核准备和审核实施、参与审核工作的内审员应该与被审核方没有直接的报告关系，以保证审核的客观性和独立性、负责体系审核的计划、验证跟踪和文件管理等具体工作。 内部审核管理规定 内部审核计划制定 1. 科技发展部风险管理组负责编制年度信息安全内审计划。 2. 审核范围需覆盖所有GB/T 22080-2008/ISO/IEC 27001:2013标准要求, 既包括信息安全风险管理框架和体系自身运行框架，也应包括各个具体的控制项； 3. 安全体系度量活动应在内审前进行，通过内审活动检查度量指标的正确性。 4. 每年至少进行一次覆盖GB/T 22080-2008/ISO/IEC 27001:2013标准要求的科技发展部范围的信息安全管理体系内部审核活动； 5. 信息安全管理体系内审活动应与其它安全检查、审计活动紧密结合，充分利用资源，并减少对各部门正常业务的打扰。 6. 在下列情况下，各部门提出，经科技发展部批准后可追加审核： 1) 某部门信息安全事件频发时； 2) 有重大信息安全事件发生时； 3) 外部审核之前。 成立内部审核小组 1. 科技发展部根据被审核部门及工作内容，推选具有资格的合适人选担任内审小组组长，由内审小组组长负责本次审核的具体组织工作。 2. 由内审小组组长从相关组织中选派具有资格且与被审核部门无直接责任者担任审核组成员，并根据计划适当地分工。 收集并审阅有关文件和记录 1. 内审小组组长根据内部审核计划进行审核分工和时间安排。 2. 应在审核前下发本次内部审核计划到受审核部门负责人，事先约定该次审核的所有被访谈的角色。 3. 审核组成员根据分工任务编制内部审核检查表。 4. 内审小组依据内部审核计划，收集与被审核部门信息安全管理活动有关的文件和资料，并进行审阅。 5. 审核员在做文件审核与现场审核时需做好记录。 内审首次会议 （一） 内审小组组长主持召开内审首次会议。首次会议出席人员包括内审小组成员和受审核部门的负责人及陪同人员。 （二） 由内审小组组长介绍本次审核的目的、依据、范围、方法、规定及日程安排等。 （三） 内审小组组长指定专人负责参会人员签到与会议记录。 现场收集客观证据 1. 内审员按照审核日程安排和内部审核检查表内容要求，到审核现场进行逐项检查。 2. 在检查过程中，审核员应做必要的文件查阅，检查现场，收集证据，检查信息安全管理体系的运行情况。 3. 现场发现问题时应让该项工作负责人确认，以保证不符合项能够完全被理解，有利于纠正。 确认不符合项 1. 内部审核小组对内审中收集的客观证据进行充分讨论，确定符合项与不符合项； 2. 当实际执行的客观证据不足以证明相关流程被执行时，审核员可据此开具不符合项； 3. 内审小组依据问题可能造成的影响程度确定重大或轻微不符合项。 4. 确定不符合项时，审核员应以标准和文件为依据，以事实为证据，保持客观公正。 5. 内审小组组长根据各内审员填写的内部审核检查表编写内部审核不符合报告。 内审末次会议 （一） 内审小组组长主持末次会议； （二） 内审小组全体成员、受审核部门负责人和陪同人员参与内部审核末次会议； （三） 内审小组组长说明内部审核不符合报告和分类，并按重要程度的次序宣读内部审核不符合报告； （四） 内审小组应回答受审核部门提出的问题，并对受审核部门应采取的纠正措施提出建议； （五） 受审核部门负责人在内部审核不符合报告上对不符合项进行签字