內(nèi)部審核管理程序1

1、保密等級(jí)秘密文檔名稱內(nèi)部審核管理程序文檔編號(hào)發(fā)布組織信息安全管理委員會(huì)發(fā)布日期執(zhí)行日期版本號(hào)1.0內(nèi)部審核管理程序批準(zhǔn)人簽字審核人簽字制訂人簽字變更履歷序號(hào)，本編虧，更改記,編與變化狀態(tài)*簡要說明（變更內(nèi)容、變更位置、變更原因和變更范圍）變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除1 目的和范圍42 術(shù)語和定義43 引用文件44 職責(zé)和權(quán)限45 活動(dòng)描述45.1 內(nèi)部審核流程45.2 內(nèi)部審核策劃55.3 內(nèi)部審核準(zhǔn)備65.4 內(nèi)部審核實(shí)施65.5 公司內(nèi)審報(bào)告75.6 糾正不符合項(xiàng)75.7 跟蹤和驗(yàn)證75.8 審核記錄歸檔86 實(shí)施策略87 相關(guān)記錄81 目的

2、和范圍按策劃的時(shí)間進(jìn)行信息安全管理體系的內(nèi)部審核，以驗(yàn)證管理活動(dòng)和有關(guān)結(jié)果是否符合信息安全管理體系標(biāo)準(zhǔn)及公司信息安全管理體系文件的要求；是否符合相關(guān)法律法規(guī)要求、客戶和相關(guān)方的要求，確保信息安全管理體系與標(biāo)準(zhǔn)的符合性、適宜性和有效性。本程序適用于公司信息安全管理體系內(nèi)部審核。2 術(shù)語和定義ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求和ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則規(guī)定的術(shù)語適用于本標(biāo)準(zhǔn)。3 引用文件ISO/IEC27001:2005。信息安全手冊。4 職責(zé)和權(quán)限管理者代表負(fù)責(zé)組織內(nèi)部審核活動(dòng)，牽頭成立內(nèi)審小組。內(nèi)審小組負(fù)

3、責(zé)內(nèi)部審核的執(zhí)行和不符合的跟蹤與驗(yàn)證。各職能部門配合內(nèi)部審核工作的進(jìn)行。內(nèi)審小組負(fù)責(zé)內(nèi)部審核工作的實(shí)施及審核資料的管理。5 活動(dòng)描述5.1 內(nèi)部審核流程內(nèi)部審核可分為7個(gè)基本步驟，內(nèi)部審核流程的一般流程如下圖所示：5.2 內(nèi)部審核策劃5.2.1 內(nèi)部審核周期及范圍在正常情況下公司信息安全管理體系內(nèi)部審核至少每年組織1次，兩次時(shí)間間隔不得超過12 個(gè)月。出現(xiàn)下列情況時(shí)可由管理者代表決定是否增加信息安全管理體系的內(nèi)部審核次數(shù)：13 )組織結(jié)構(gòu)和職能分工出現(xiàn)重大變化時(shí)；14 )業(yè)務(wù)內(nèi)容出現(xiàn)重大變化時(shí)；15 )信息安全管理體系出現(xiàn)重大變化時(shí)；16 )采用標(biāo)準(zhǔn)、適用法律或驗(yàn)證方法出現(xiàn)重大變化時(shí)；17 )

4、出現(xiàn)重大客戶投訴或信息安全事故時(shí)；18 )其它需要增加內(nèi)審的情形。信息安全管理體系審核對象為公司信息安全管理體系所涉及的部門和活動(dòng)。審核范圍可以是對公司進(jìn)行整體審核，也可以按部門或過程進(jìn)行局部審核。正常情況下，管理體系所涉及的所有部門和過程每年至少應(yīng)覆蓋一次。其中各部門或各過程的審核頻次還應(yīng)取決于其現(xiàn)狀和重要程度，并考慮以往審核的結(jié)果。計(jì)劃外的追加審核由管理者代表根據(jù)實(shí)際情況確定。19 2.2內(nèi)部審核組織1 )由管理者代表負(fù)責(zé)組織內(nèi)審小組；并填寫內(nèi)審組長成員任命書。2 )內(nèi)部審核員通常要求由接受過信息安全管理體系內(nèi)部審核培訓(xùn)并取得資格證書的人員組成(公司所有具備內(nèi)部審核員資格的名單請參考附錄A

5、:內(nèi)審員登記表。);審核員應(yīng)與被審核的活動(dòng)無直接責(zé)任；審核員不應(yīng)審核自己的工作，以保證審核的獨(dú)立性。內(nèi)部審核員應(yīng)在公司內(nèi)各部門挑選并經(jīng)公司任命。3 )內(nèi)審組長應(yīng)由管理者代表從內(nèi)審員中指定。管理者代表也可以自己擔(dān)任審核組長。4 .2.3內(nèi)部審核計(jì)劃1 )內(nèi)審組長負(fù)責(zé)組織制定和提出內(nèi)部審核計(jì)劃；2 )內(nèi)部審核計(jì)劃應(yīng)包含審核目的、審核范圍、審核時(shí)間和進(jìn)度安排、審核成員，審核的注意事宜等。審核時(shí)間的安排需要和被審核部門事先協(xié)調(diào)；3)內(nèi)部審核計(jì)劃由管理者代表審批后實(shí)施。管理者代表自己擔(dān)任內(nèi)審組長的情況下，需要組織內(nèi)審小組其他成員對計(jì)劃進(jìn)行審核。5.3內(nèi)部審核準(zhǔn)備1)各審核員應(yīng)準(zhǔn)備好并熟悉本次審核所依據(jù)的

6、文件：如標(biāo)準(zhǔn)、信息安全管理手冊、有關(guān)程序文件、合同、法律法規(guī)、客戶及相關(guān)方要求等。2) 內(nèi)審小組成員根據(jù)分工，編制內(nèi)審檢查表，并報(bào)內(nèi)審組長批準(zhǔn)。5.4內(nèi)部審核實(shí)施內(nèi)部審核實(shí)施可劃分為首次會(huì)議、現(xiàn)場審核和末次會(huì)議三個(gè)階段進(jìn)行。5.4.1 首次會(huì)議由內(nèi)審組長召開首次會(huì)議，參加的人員由內(nèi)審員及被審核部門負(fù)責(zé)人組成；在會(huì)議上，內(nèi)審組長將介紹：1) 內(nèi)審小組成員、審核目的、范圍；2) 審核方法、依據(jù)和程序；3) 提出審核要求，確認(rèn)審核日程安排等；4) 公布末次會(huì)議日期、時(shí)間、會(huì)議內(nèi)容及參加人員；5) 審核計(jì)劃中需說明的其他細(xì)節(jié)問題。5.4.2 現(xiàn)場審核1) 現(xiàn)場審核時(shí)，內(nèi)審員根據(jù)內(nèi)審檢查表逐項(xiàng)進(jìn)行審核，

7、通過觀察、提問、查閱文件和記錄、抽樣、問題追蹤等方法，以驗(yàn)證審核情況與體系的符合性。2)內(nèi)審員應(yīng)如實(shí)記錄審核的情況，對發(fā)現(xiàn)的不合格項(xiàng)應(yīng)詳細(xì)記錄并由被審核部門負(fù)責(zé)人或直接責(zé)任人確認(rèn)。以保證不合格項(xiàng)已經(jīng)得到被審核部門的理解，便于糾正和預(yù)防。3) 現(xiàn)場審核結(jié)束后，內(nèi)審組長召開內(nèi)部內(nèi)審小組成員會(huì)議，聽取內(nèi)審員的審核情況匯報(bào)、復(fù)核發(fā)現(xiàn)的不符合項(xiàng)、編寫不符合項(xiàng)報(bào)告及糾正報(bào)告單4)內(nèi)審組長應(yīng)與受審核部門領(lǐng)導(dǎo)進(jìn)行溝通，提出不符合項(xiàng)報(bào)告及糾正報(bào)告單請被審核部門簽字確認(rèn)。并責(zé)成相關(guān)部門按要求制定糾正及預(yù)防措施，并填寫在不符合項(xiàng)報(bào)告及糾正報(bào)告單5.4.3末次會(huì)議1）末次會(huì)議由內(nèi)審組長主持，由內(nèi)審小組成員、受審核方負(fù)

8、責(zé)人、不符合項(xiàng)相關(guān)人員參力口。2 ）由內(nèi)審小組通報(bào)審核結(jié)果，內(nèi)容可包括：報(bào)告審核情況；通報(bào)不符合項(xiàng)及其嚴(yán)重程度；提出制訂糾正措施、改進(jìn)對策的限期；本次審核結(jié)論。會(huì)議也可以以審核組與受審核部門進(jìn)行溝通的形式進(jìn)行。5.5公司內(nèi)審報(bào)告1） 審核報(bào)告的編寫：信息安全管理審核后由內(nèi)審組長起草編寫審核報(bào)告，審核報(bào)告內(nèi)容需包括：審核目的、審核范圍、審核依據(jù)和審核時(shí)間；內(nèi)部審核組成員及其分工；被審核的部門內(nèi)部審核情況綜述；不符合項(xiàng)的綜合分析（不符合項(xiàng)目分布情況）；對被審部門的評(píng)價(jià)、審核結(jié)論等；存在問題的分析及管理體系改進(jìn)措施的建議。2）審核報(bào)告的發(fā)布：公司內(nèi)審報(bào)告，經(jīng)管理者代表批準(zhǔn)后，打印或以電子文檔的方式分

9、發(fā)給被審核部門。3 ）公司內(nèi)審報(bào)告由內(nèi)審小組負(fù)責(zé)整理歸檔。4 .6糾正不符合項(xiàng)不符合項(xiàng)報(bào)告及糾正報(bào)告單由內(nèi)審小組統(tǒng)計(jì)后分發(fā)到各責(zé)任部門，由責(zé)任部門分析不合格原因，制定糾正措施，經(jīng)內(nèi)審組長確認(rèn)后，由責(zé)任部門組織實(shí)施。5 .7跟蹤和驗(yàn)證1）審核小組在限定時(shí)間內(nèi)對糾正措施的實(shí)施情況進(jìn)行復(fù)審，以確認(rèn)不符合項(xiàng)的糾正情況并驗(yàn)證其有效性。2）責(zé)任部門已完成糾正措施后，通知內(nèi)審員驗(yàn)證其完成情況和有效性，并由內(nèi)審員在不符合項(xiàng)報(bào)告及糾正報(bào)告單上簽名認(rèn)可。3）不符合項(xiàng)復(fù)審仍不符合的項(xiàng)目，其部門負(fù)責(zé)人應(yīng)說明原因并考慮是否需要重新制定糾正預(yù)防措施。4）如在規(guī)定的日期（一般不超過一個(gè)月）內(nèi)不能完成的，內(nèi)審員應(yīng)檢查不能完成

10、的原因無正當(dāng)理由的應(yīng)報(bào)管理者代表批準(zhǔn)后，重新開出不符合項(xiàng)報(bào)告及糾正報(bào)告單并且必須在一個(gè)月內(nèi)關(guān)閉。5)內(nèi)部審核實(shí)施和驗(yàn)證情況由內(nèi)審組長向管理者代表報(bào)告。5.8審核記錄歸檔本程序所涉及的所有記錄(內(nèi)部審核計(jì)劃、內(nèi)審檢查表、公司內(nèi)審報(bào)告等)由內(nèi)審小組按記錄控制程序統(tǒng)一歸檔保存。6實(shí)施策略1) 管理者代表負(fù)責(zé)成立內(nèi)審小組，并任命內(nèi)審組長，發(fā)布內(nèi)審組長成員任命書2) 內(nèi)審組長負(fù)責(zé)組織編寫并審核批準(zhǔn)內(nèi)部審核計(jì)劃。3) 各內(nèi)審員根據(jù)分工編寫內(nèi)審檢查表。4) 由內(nèi)審組長召開首次會(huì)議，并填寫首次會(huì)議的會(huì)議簽到記錄表5) 各內(nèi)審員根據(jù)計(jì)劃進(jìn)行內(nèi)審，發(fā)現(xiàn)不符合項(xiàng)，填寫不符合項(xiàng)報(bào)告及糾正報(bào)告單，跟蹤不符合項(xiàng)的解決。6