HYK-MS-204 内部审核控制程序.docVIP

第PAGE\*Arabic6页共9页

深圳市企启信息科技有限公司

内部审核控制程序

文档编号：HYK-MS-204

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u143151.目的 4

269792.适用范围 4

275363.管理职责 4

69133.1管理者代表 4

157963.2内审组组长 4

24833.3内审员 4

296633.4受审核部门 4

193453.5体系工程师 5

163274.工作流程 5

305784.1制定审核方 5

166374.2审核准备阶段 5

190534.3实施审核 6

53354.4内部审核报告 7

303584.5跟踪管理 8

283695.相关支持文件 8

195626.记录 8

1.目的

通过内部审核，确定公司信息安全管理体系和隐私信息管理体系是否符合策划的安排，符合标准要求，符合公司规定的要求，确定其是否得到有效的实施和保持，以采取纠正预防措施。

2.适用范围

适用于对公司信息安全及隐私信息管理体系所覆盖范围的审核。

3.管理职责

3.1管理者代表

主管内部审核工作，批准审核计划及审核报告，任命内审组成员和组长。

3.2内审组组长

a.策划和制定审核日程和工作计划，审批内部审核检查表；

b.主持审核的首末次会议及组织现场审查等工作；

c.编写、提交内部审核报告。

3.3内审员

a.收集、审阅有关文件，编制审核检查表，做好审核前的准备工作；

b.负责向受审核部门传达和阐明审核要求，按计划进行审核；

c.客观公正地收集证据，将观察结果形成文件，向内审组组长汇报；

d.收集、保存与审核工作有关的文件；

e.对上次审核后提出的纠正措施的完成情况进行验证、核实。

3.4受审核部门

a.将审核的目的、范围、时间、内容等通知有关人员，指派专人配合内审组开展审核工作；

b.制定并实施纠正措施和预防措施。

3.5体系工程师

a.负责组织内部审核工作记录的归档管理；

b.检查受审核部门纠正措施的落实情况；

c.策划和制定审核方案。

4.工作流程

4.1制定审核方案

4.1.1行政部

负责编制《HYK-MS-204-R01内部审核计划》，经管理者代表批准后，由行政部组织实施。

4.1.2正常情况下内部信息安全及隐私信息管理体系审核每年至少进行一次，且两次审核间隔不超过12个月；必要时，可采取滚动式内审，时间间隔不限，但必须在12个月内对信息安全及隐私信息管理体系全部过程及全部门进行一次内部审核。

4.1.3遇有下列情况时，可追加内部审核：

a.发生严重的信息和隐私安全事件或用户有重大投诉时；

b.公司组织机构、产品、信息和隐私安全方针和目标、生产技术等发生较大变化时；

c.即将进行第二方或第三方审核前；

d.第三方审核后获认证注册资格和证书，而证书即将到期又希望继续保持认证资格。

4.1.4审核计划的内容:

a.审核目的和范围；

b.审核时间和安排；

c.审核的频次；

d.其它。

4.2审核准备阶段

4.2.1成立内审组

4.2.1.1内审组成员由行政部推荐、管理者代表任命。内审员应由经过培训并取得资格的人员担任。

4.2.1.2内审组一般由二人或二人以上组成（视审核范围、时间而定），内审组组长由管理者代表在内审员中任命。

4.2.2内审组组长根据《HYK-MS-204-R01内部审核计划》准备审核工作所需的记录表格。

《HYK-MS-204-R01内部审核计划》可包括如下内容:

审核的目的和范围；

内审组组成、内审员资格；

审核依据的文件；

审核的日期；

受审核的部门；

主要的审核活动和审核要点；

对组织产生影响的变化

4.2.3内审组预备会

a.审核前由内审组组长召集内审员举行预备会议，布置审核要求，明确内审员分工，并提供必要的文件和资料。

b.在确定审核实施计划前，应根据考虑拟审核的过程、区域的状况和重要性以及以往审核的结果，为内审员分配审核任务。

c.内审员根据所分配的任务，研究有关程序文件和其它文件，编制《HYK-MS-204-R02内部审核检查表》交组长审批。

4.2.4由内审组组长提前一周向受审核部门下发《HYK-MS-204-R01内部审核计划》如果受审核部门对审核日期和审核主要项目有异议，可在两天之内通知内审组组长，经协商可以再行安排。

4.2.5受审核部