06内部审核管理程序.docx

目录目录11目的22范围23职责23.1 信息安全小组23.2 信息安全小组23.3 其他各部门24相关文件25程序35.1 年度内审计划35.2 内审35.3 内部审核的实施45.4 纠正措施与跟踪审核45.5 审核报告55.6 外部审核56记录6不符合项报告61目的为明确信息安全管理体系内审的实施方法，保证内审定期有效地实施，为管理评审和持续改进提供依据，确保信息安全管理体系的有效运行，特制定本程序。2范围本程序适用于本公司信息安全管理体系内部审核（简称：内审）工作的实施和管理。3职责3.1 信息安全小组负责制定年度审核计划与每次的审核计划，制定内审检查表以供各部门检查各项活动是否在信息安全保障内；3.2 信息安全小组任命内部审核小组可以进行内审；负责管理和监督内审的进行与内审结果的确认。3.3 其他各部门配合内部审核小组进行内审，对内审中发现的问题进行整改。4相关文件信息安全管理手册5程序5.1 年度内审计划5.1.1 计划制定信息安全小组制定年度审核计划，确认当年年度的审核的目的范围，受审部门及受审的时间安排。交由管理代表审批。内部审核计划和方案，应该评估审核过程中的风险，该审核方案应该考虑在执行的过程中信息安全的风险，审计方案应该得到管理者批准。5.2 内审5.2.1 内审时机内部审核原则上每年进行1次，由信息安全小组制定内部审核计划，经管理者代表批准后实施；若在非内审期内发现特殊情况，如有重要信息安全事件发生，或公司重要业务发生变化，可由综合部申请增加内审的次数，由管理者代表决定是否进行内审。5.2.2 任命每次审核前，由信息安全小组组织内部审核人员参加信息安全审核工作。信息安全小组应制定内部审核计划及内部审核方案，经管理者代表批准，并由信息安全小组通知被审核部门，被审核部门到时应选派有关人员配合审核。5.2.3 内部审核员5.2.3.1 资格要求内部审核员必须是熟悉本组织业务和信息系统情况，参加信息安全管理体系内部审核员培训并考核合格的本组织人员。5.2.3.2 独立性要求内部审核员应来自于不同的职能部门，审核人员应与被审活动无直接责任，以保持工作的独立性。5.2.4 资格评定信息安全小组选择符合内部审核条件的人员，派往相关机构进行培训合格后，填写内部审核员评定表，由综合部组织各部门代表评定合格后方可成为内部审核员。5.2.5 评定要求信息安全管理体系内部审核员为关键岗位，应按信息安全重要岗位评定表进行评定。5.3 内部审核的实施5.3.1 审核实施内部审核员应按内部审核计划规定实施审核，各有关部门应积极配合。5.3.2 不符合项开具对审核中发现的不符合项，由内部审核员开出不符合项报告及纠正报告单5.4 纠正措施与跟踪审核5.4.1 纠正所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施：a）检查本部门其他方面和其他各部门是否存在类似情况；b）对所有存在的不符合的问题按有关规定改正过来；c）调查产生该不符合项的原因，填入不符合项报告及纠正报告单的产生不符合项的原因”栏内，调查人要签字，并写明日期：d）列明消除不符合项产生原因的措施计划，并说明具体步骤及完成日期，填入不符合项报告及纠正报告单的“纠正措施”栏内，经部门领导批准，并写明日期；e）按制定的纠正措施认真实施，并将实施结果记入不符合项报告及纠正报告单的“实施结果”栏内，记录人要签字，并写明日期。5.4.2 跟踪内部审核员在规定期限进行跟踪审核，对纠正措施的实施及有效性进行验证，并将验证结果记入不符合项报告及纠正报告单。5.5 审核报告5.5.1 审核报告内部审核结束后，审核组长应起草内部审核报告，编制不符合项报告及纠正报告单分布表。5.5.2 管理评审输入内部审核的结果应作为管理评审输入的一部分。5.5.3 记录保管信息安全小组应妥善保存评审记录。5.6 外部审核5.6.1 外部审核时机当在如下情况下可能会邀请外部机构对公司进行审核：1、当组织需要对信息安全体系进行评估审核时2、当技术安全需要时，如研发的某些重要软件，需要邀请外部评估机构对系统的安全性做一些安全性方面的评估,5.6.2 外部审核要求1、当要开展外部审核时，应该制定审核计划和方案，应该评估审核过程中的风险，该审核方案应该考虑在执行的过程中信息安全的风险，审计方案应该得到管理者批准。2、需要同第三方审核单位签订相关保密协议。5.6.3 审计工具的使用当在审计过程中，需要使用某些工具时（如漏洞搜索软件、黑客软件等），这些审核工具的使用需要得到限制，除非授权的专业人员外，其他人员禁止安装和使用。6记录不符合项报告审核组长（成员）任命书内部审核员评定表内部审核计划内审签到表内审检查表内部审核报告内部审核报告发放记录