ISMS内审管理程序
(ISO27001-2013) 一、目的范围 通过验证信息安全管理体系是否符合标准和策划安排的要求,是否得到有效的保持、实施,确保管理体系的方针目标实现并持续改进。 二、职责 1、管理者代表负责批准内审计划、内审报告,并负责组织审核工作,任命审核组长。 2、内审组长编制内审计划,并负责审核的具体实施以及报告内审结果。 3、各单位负责配合内部审核的实施,并对审核不符合情况进行整改。 三、工作程序 1、内审策划 1)根据公司信息安全的实际运行状况,并根据审核对象重要程度、结合以往审核的结果,整体策划管理体系内部审核的方案。 2)根据需要,审核可覆盖体系全部要求和单位,也可以专门针对某几项要求或单位进行重点审核,各单位也可根据各自的实际情况,分别组织审核。 3)公司每年至少组织一次内审,每年的审核必须覆盖管理体系的全部单位和全部要求至少一次。 4)出现以下情况时由管理者代表决定是否增加审核次数: ● 组织机构、管理体系发生重大变化。 ● 出现重大信息安全事故。 ● 法律、法规及其他外部要求的变更。 ● 其他认为必要时。 2、审核前的准备 1)管理者代表负责组成审核组、任命内审组长。内审组长负责具体策划审核安排,并编制《审核计划》,报管理者代表批准。实施计划应明确: ● 审核目的、范围、时间、依据。 ● 审核组成员及分工安排,审核员应与受审部门无直接责任关系。 ● 受审核部门及审核要点,预定时间安排。 ● 审核中的注意事项。 2)组长应组织审核组编写《内审检查表》,明确审核的内容、方法。 3)《审核计划》应于内审开始前发放至受审部门,受审部门对内审安排如有异议,应及时通知内审组长。 4)内部审核员应经专业机构培训合格,经管理者代表批准资格。 3、内审的实施 1)内审开始,应由内审组长主持召开首次会议,领导层、内审组成员及各受审核单位负责人参加并签到。 2)内审组应按照《审核计划》的安排实施内审。审核员应根据《内审检查表》的要求,对受审单位、区域和工作的状况及绩效进行调查取证,以评价受审核部门和区域的体系运行的符合性、充分性和有效性。 3)审核员应在检查表中准确记录现场审核发现,尤其是体系运行不符合和有效性差的审核发现。内审组长应全面了解内审情况,对不符合项报告进行核对。 4)审核员应保持公正、客观的态度,如实地反馈审核的情况。 5)现场审核后,审核组长应组织审核组综合分析审核检查结果,综合评价审核单位、区域和工作的运行状况、绩效以及体系持续改进的状况,作出审核结论。同时对照与顾客的合同、各项标准、体系文件及有关法律法规要求,对审核中发现的问题经确认为不合格项的,发出《不合格报告》,交相关单位负责人确认。同时审核组应进行不符合项的分布情况分析。 6)审核组长应主持召开末次会议,由领导层、内审组成员及各受审单位负责人参加。由内审组长报告审核的计划、实施过程及审核结论,宣读不符合报告,提出对纠正措施的要求。 7)审核结束,审核组长编制《审核报告》,报管理者代表批准。审核报告内容应包括审核概况、审核计划实施情况总结、不合格项数量及严重程度、分布分析、主要问题原因分析、管理体系有效性、符合性结论及今后应改进的地方。 4、内审报告应提交公司管理评审。 5、针对审核中发现的不符合项,相关部门应组织分析原因,制定并实施纠正措施,报告措施的效果,经审核员对实施结果跟踪验证,确保不符合不再发生,同时报告验证结果,具体执行《纠正预防措施控制程序》要求。 四、相关文件及记录 1、《纠正预防措施控制程序》 五、相关文件及记录 审核计划 内审检查表 不合格报告 内审报告 首(末)次会议签到表 ★CMMI认证★CCRC认证★ISO27001认证★ITSS认证★CS认证★两化融合认证★重庆CMMI认证★重庆CCRC认证★重庆ISO27001认证★重庆ITSS认证★重庆CS认证★重庆GJB5000A认证★重庆两化融合认证★
|