1、1/8内部审核管理程序批准人签字 审核人签字 制订人签字保密等级 秘密文档名称 内部审核管理程序文档编号发布组织 信息安全管理委员会发布日期执行日期版 本 号 1.02/8变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期*变化状态:C创建,A增加,M修改,D删除3/8目 录1 目的和范围 42 术语和定义 43 引用文件 44 职责和权限 45 活动描述 45.1 内部审核流程 45.2 内部审核策划 55.3 内部审核准备 65.4 内部审核实施 65.5 公司内审报告 75.6 纠正不符合项 75
2、.7 跟踪和验证 75.8 审核记录归档 76 实施策略 87 相关记录 84/81 目的和范围按策划的时间进行信息安全管理体系的内部审核,以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求;是否符合相关法律法规要求、客户和相关方的要求,确保信息安全管理体系与标准的符合性、适宜性和有效性。本程序适用于公司信息安全管理体系内部审核。2 术语和定义ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和 ISO/IEC 17799:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。3 引用文件ISO/IEC 27001:
3、2005。信息安全手册 。4 职责和权限 管理者代表负责组织内部审核活动,牵头成立内审小组。 内审小组负责内部审核的执行和不符合的跟踪与验证。 各职能部门配合内部审核工作的进行。 内审小组负责内部审核工作的实施及审核资料的管理。5 活动描述5.1 内部审核流程内部审核可分为 7 个基本步骤,内部审核流程的一般流程如下图所示: 3、内部审核实施1、内部审核策划 4、内部审核总结5、纠正不符合项6、结果验证7、审核记录归档2、内部审核准备开 始结 束5/85.2 内部审核策划5.2.1 内部审核周期及范围在正常情况下公司信息安全管理体系内部审核至少每年组织 1 次,两次时间间隔不得超过12 个月。
4、出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数:1) 组织结构和职能分工出现重大变化时;2) 业务内容出现重大变化时;3) 信息安全管理体系出现重大变化时;4) 采用标准、适用法律或验证方法出现重大变化时;5) 出现重大客户投诉或信息安全事故时;6) 其它需要增加内审的情形。信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。审核范围可以是对公司进行整体审核,也可以按部门或过程进行局部审核。正常情况下,管理体系所涉及的所有部门和过程每年至少应覆盖一次。其中各部门或各过程的审核频次还应取决于其现状和重要程度,并考虑以往审核的结果。计划外的追加审核由管理者代表
5、根据实际情况确定。5.2.2 内部审核组织1) 由管理者代表负责组织内审小组;并填写内审组长成员任命书 。2) 内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成(公司所有具备内部审核员资格的名单请参考附录 A:内审员登记表 。);审核员应与被审核的活动无直接责任;审核员不应审核自己的工作,以保证审核的独立性。内部审核员应在公司内各部门挑选并经公司任命。3) 内审组长应由管理者代表从内审员中指定。管理者代表也可以自己担任审核组长。5.2.3 内部审核计划1) 内审组长负责组织制定和提出内部审核计划 ;2) 内部审核计划应包含审核目的、审核范围、审核时间和进度安排、审
6、核成员,审核的注意事宜等。审核时间的安排需要和被审核部门事先协调;3) 内部审核计划由管理者代表审批后实施。管理者代表自己担任内审组长的情况下,6/8需要组织内审小组其他成员对计划进行审核。5.3 内部审核准备 1) 各审核员应准备好并熟悉本次审核所依据的文件:如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。2) 内审小组成员根据分工,编制内审检查表 ,并报内审组长批准。5.4 内部审核实施内部审核实施可划分为首次会议、现场审核和末次会议三个阶段进行。5.4.1 首次会议由内审组长召开首次会议,参加的人员由内审员及被审核部门负责人组成;在会议上,内审组长将介绍:1)
7、 内审小组成员、审核目的、范围;2) 审核方法、依据和程序;3) 提出审核要求,确认审核日程安排等;4) 公布末次会议日期、时间、会议内容及参加人员;5) 审核计划中需说明的其他细节问题。5.4.2 现场审核1) 现场审核时,内审员根据内审检查表逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。2) 内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或直接责任人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。3) 现场审核结束后,内审组长召开内部内审小组成员会议,听取内审员的审核情况汇报、复核发现的不符合项、
8、编写不符合项报告及纠正报告单 。4) 内审组长应与受审核部门领导进行沟通,提出不符合项报告及纠正报告单请被审核部门签字确认。并责成相关部门按要求制定纠正及预防措施,并填写在不符合项报告及纠正报告单上。5.4.3 末次会议1) 末次会议由内审组长主持,由内审小组成员、受审核方负责人、不符合项相关人员参加。7/82) 由内审小组通报审核结果,内容可包括:报告审核情况;通报不符合项及其严重程度;提出制订纠正措施、改进对策的限期;本次审核结论。会议也可以以审核组与受审核部门进行沟通的形式进行。5.5 公司内审报告1) 审核报告的编写:信息安全管理审核后由内审组长起草编写审核报告,审核报告内容需包括:
9、审核目的、审核范围、审核依据和审核时间; 内部审核组成员及其分工; 被审核的部门 内部审核情况综述; 不符合项的综合分析(不符合项目分布情况) ; 对被审部门的评价、审核结论等; 存在问题的分析及管理体系改进措施的建议。2) 审核报告的发布:公司内审报告 ,经管理者代表批准后,打印或以电子文档的方式分发给被审核部门。3) 公司内审报告由内审小组负责整理归档。 。5.6 纠正不符合项不符合项报告及纠正报告单由内审小组统计后分发到各责任部门,由责任部门分析不合格原因,制定纠正措施,经内审组长确认后,由责任部门组织实施。5.7 跟踪和验证1) 审核小组在限定时间内对纠正措施的实施情况进行复审,以确认
10、不符合项的纠正情况并验证其有效性。2) 责任部门已完成纠正措施后,通知内审员验证其完成情况和有效性,并由内审员在不符合项报告及纠正报告单上签名认可。3) 不符合项复审仍不符合的项目,其部门负责人应说明原因并考虑是否需要重新制定纠正预防措施。4) 如在规定的日期(一般不超过一个月)内不能完成的,内审员应检查不能完成的原因,无正当理由的应报管理者代表批准后,重新开出不符合项报告及纠正报告单并且必须在一个月内关闭。5) 内部审核实施和验证情况由内审组长向管理者代表报告。5.8 审核记录归档本程序所涉及的所有记录(内部审核计划、内审检查表、公司内审报告等)由内审小组8/8按记录控制程序统一归档保存。6
11、 实施策略1) 管理者代表负责成立内审小组,并任命内审组长,发布内审组长成员任命书。2) 内审组长负责组织编写并审核批准内部审核计划 。3) 各内审员根据分工编写内审检查表 。4) 由内审组长召开首次会议,并填写首次会议的会议签到记录表5) 各内审员根据计划进行内审,发现不符合项,填写不符合项报告及纠正报告单 ,跟踪不符合项的解决。6) 由内审组长召开末次会议,并填写末次会议的会议签到记录表7) 内审结束后,内审组长负责编写公司内审报告7 相关记录序号 记录编号 报告/记录名称 保管场所 期限 保存形式备注A.1 内审组长成员任命书A.2 内部审核计划A.3 内审检查表A.4 首次会议签到记录表A.5 不符合项报告及纠正报告单A.6 末次会议签到记录表A.7 公司内审报告
