内部审核控制制度.docVIP

XXX信息安全科技有限公司 XXX信息安全科技有限公司 内部审核控制制度 文件编号： 目的和范围 按年度进行信息安全管理体系的内部审核，以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求；是否符合相关法律法规要求、客户和相关方的要求；确保信息安全管理体系与标准的符合性、适宜性和有效性。 本制度适用于信息安全管理体系内部审核。 引用文件 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求 GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则 《纠正和预防措施控制制度》 《文件控制制度》 职责和权限 管理者代表：负责批准《内部审核计划》和《内部审核报告》。 行政部：内审记录存档。 信息安全工作小组：负责组织对不符合项的验证跟踪及相应文件的管理工作。 内审组组长：负责编制《内部审核计划》，组织编写《内部审核检查表》，根据计划组织实施信息安全管理体系内部审核；编写内审报告。 各部门：积极配合体系内部审核，对审核过程中发现的问题及时采取纠正措施。 活动描述 内部审核策划 内部审核周期及范围 在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核，信息安全工作小组组织协调。 当发生下列情况之一时（不限于），体系负责人可临时决定组织内部审核，临时内审范围由体系负责人根据实际情况确定： 当管理体系、业务内容发生重大改变时； 当外部要求，需对体系做出评价时； 当体系发生重大变化时，如组织机构大调整、文件大量修改等； 当发生严重不合格、或出现重大客户投诉或信息安全事故时； 采用标准、适用法律或验证方法出现重大变化时； 第三方认证机构审核前； 其它需要增加内审的情形。 内部审核准备 信息安全工作小组在内审前确定审核组长和审核员，经体系负责人批准后，组建审核组。 无论审核组长还是审核员必须符合下列条件： 经培训，取得内审员资格或具有相关能力； 具备相应的标准知识，具有责任心，较强的沟通和文字表达能力； 熟悉审核程序，掌握审核方法； 与被审查部门无直接责任和利害关系。 内审实施计划 审核组组长编制《内部审核计划》，报体系负责人审批后，由信息安全工作小组提前下发受审部门。受审核部门做好准备工作，如对审核计划有异议，需在实施审核前向审核组长反馈，协商调整。内部审核计划应包括审核目的、审核范围、审核准则、审核重点、审核人员及分工、会议和日程安排等内容。 审核组预备会议 审核组长组织召开审核组预备会议。内容包括： 通报内部审核计划； 明确审核员的分工； 对审核员的工作提出具体要求； 必要时对审核员进行培训。 审核收集 内审员收集审核所需的文件和资料，如：如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。并根据分工，编制《内部审核检查表》交审核组长批准。 内部审核实施 内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。 内审声明 审核组长向受审核方负责人进行内审声明，内审声明的内容有： 审核组长声明审核目的、范围和准则； 介绍审核组成员、分工及日程安排； 简介审核方法； 介绍审核结果的报告方法，包括不符合的分类等； 审核计划中需说明的其他细节问题。 现场审核 现场要求 审核组按照审核实施计划日程安排，根据《内部审核检查表》对受审核部门逐项进行审核，通过观察、提问、查阅文件和记录、抽样、问题追踪等方法，以验证审核情况与体系的符合性。 内审员应如实记录审核的情况，对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解，便于纠正和预防。 审核方式 听：听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。 查：查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。 看：现场观察和检查装置设备的安全卫生和环境保护状况；规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况；信息安全设施配备运行情况。 问：与现场主要管理人员及员工代表谈话，询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。 审核组沟通 审核组长组织，审核员各自介绍审核情况，充分讨论。 审核组依据标准、体系文件及有关法律法规要求等审核准则，综合分析，共同评审审核发现，确认不符合项，确定审核结论。