XX公司内部审核控制程序.docVIP

版本：A 编号：ISMSP-05-A 第 PAGE 1 页 共 NUMPAGES 5 页 第 PAGE 1 页 共 NUMPAGES 5 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX内部审核控制程序 文件编号 ISMSP-05-A 1 目的 为验证XXXX公司信息安全管理体系是否符合工作的计划安排和ISO/IEC27001:2005标准的要求；是否得到正确的实施和保持；是否有效满足本公司的信息安全方针、目标，并向管理者报送审核结果，特制定本程序。 2 适用范围 本程序适用于本公司信息安全管理体系的内部审核的实施和管理。 3 职责 1）标准建设部负责编制内审计划并协助管理者代表组织实施内部审核。 2）管理者代表负责批准内部审核计划。 3）信息安全管理体系所涉及的各部门负责按内部审核计划准备并提供与本部门有关的审核所需的资料、配合审核工作，并负责落实审核中提出的纠正和预防措施。 4定义 无 5程序 5.1审核策划 5.1.1正常情况下，管理体系内部审核每年进行一次，范围覆盖全公司管理体系的各部门。 5.1.2出现以下情况时，经管理者代表批准后可进行追加审核: 1) 法律、法规及其他要求发生变更时； 2) 发生重大信息安全事件或相关方提出要求时； 3) 本公司的组织机构发生重大变更时。 5.1.3标准建设部根据本公司生产、管理活动的实际情况结合以往审核结果、以往管理评审提出的要求编制《内部审核计划》，经管理者代表批准后，在审核前7天通过电子邮件下发至各受审核部门和内审员。 5.1.4内部审核活动应包括对各信息系统的技术性审核，内部审核组至少拥有一名具有一定信息安全技术的内部专家，技术性审核应在被监督的情况下进行。 5.1.5每次正式审核之前，必要时，审核组应编制《内部审核检查清单》，并在《内部审核检查清单》中明确技术性审核的项目与要求。 5.2审核前的准备 5.2.1标准建设部负责从不同的职能部门选择符合条件的审核员，列入《内部审核员名单》。 5.2.2内审员应熟悉本公司的生产、管理活动，熟悉本公司的管理体系，参加过管理体系内审员培训并取得资格。 5.2.3内审员应与受审核部门无直接责任关系。 5.2.4管理体系涉及到的部门要做好受审核准备，受审核部门应指派合适的人员配合内审员进行审核。 5.3内部审核的实施 5.3.1首次会议 5.3.1.1内审组长主持首次会议，与会人员包括管理者代表、受审核部门负责人、信息安全技术内部专家及全体内审员，主要任务是阐明《内部审核计划》；由标准建设部负责会议签到并做《首（末）次会议记录》。 5.3.1.2《内部审核计划》的内容包括： 1) 审核的日期、目的、范围、依据和审核方法； 2) 技术性审核要求； 3) 内审员的分组和审核日程安排； 4) 确定首末次会议的时间、地点； 5) 其他要说明的问题等。 5.3.2实施审核 5.3.2.1各组内审员审核时应根据内审计划预定的时间、进度进行检查。 5.3.2.2如需扩大审核范围或调整审核时间，需经过审核组长同意；如需延长审核时间，需经管理者代表批准。 5.3.2.3内审员通过交谈、查阅记录资料、检查现场等方式收集证据，检查管理体系运转情　况，对审核当中发现的不符合项做好记录。 5.3.2.4各审核组在每日审核完成后要进行一定的沟通，对内审中发现的不符合项，内审员填写《纠正措施表》，在末次会议前由受审核方负责人签字确认。 5.3.3末次会议 5.3.3.1内审组长主持末次会议，与会人员同首次会议参加人员，由标准建设部负责会议签到并做《末次会议记录》。 5.3.3.2主持人宣读内审不符合项，总结管理体系运行状况，并提出今后的工作要求等。 5.4内审不符合项的纠正和《纠正措施表》存档 5.4.1不符合项发生的部门确认不符合项后，根据报告的要求对产生不符合项的原因进行分析，按照《XX纠正措施控制程序》、《XX预防措施控制程序》制订纠正与预防措施，整改完成后由相应内审员进行验证，验证结果由各内审员报标准建设部。 5.4.2不符合项发生的部门保留本部门已得到验证的《纠正措施表》复印件一份，标准建设部负责保留全公司各部门的《纠正措施表》。 5.4.3如果不符合项的发生是由于体系文件制订得不合理，文件需调整时，应对文件进行评审，按《XX文件控制程序》更改文件。 5.5内部审核报告 5.5.1标准建设部在内审结束一周内编写《内部审核报告》，报管理者代表批准后，通过电子邮件形式发放给总经理、管理者代表及体系所覆盖的各部门。 5.5.2内审报告的内容包括： 1) 审核的日期、目的、范围、依据和审核方法； 2) 审核组成员和受审核方代表名单； 3) 审核过