內(nèi)部審核控制制度

XXX信息安全科技有限公司XXX信息安全科技有限公司實用文檔內(nèi)部審核控制制度文件編號：目的和范圍按年度進(jìn)行信息安全管理體系的內(nèi)部審核，以驗證管理活動和有關(guān)結(jié)果是否符合信息安全管理體系標(biāo)準(zhǔn)及公司信息安全管理體系文件的要求；是否符合相關(guān)法律法規(guī)要求、客戶和相關(guān)方的要求；確保信息安全管理體系與標(biāo)準(zhǔn)的符合性、適宜性和有效性。本制度適用于信息安全管理體系內(nèi)部審核。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則《糾正和預(yù)防措施控制制度》《文件控制制度》職責(zé)和權(quán)限管理者代表：負(fù)責(zé)批準(zhǔn)《內(nèi)部審核計劃》和《內(nèi)部審核報告》。行政部：內(nèi)審記錄存檔。信息安全工作小組：負(fù)責(zé)組織對不符合項的驗證跟蹤及相應(yīng)文件的管理工作。內(nèi)審組組長：負(fù)責(zé)編制《內(nèi)部審核計劃》，組織編寫《內(nèi)部審核檢查表》，根據(jù)計劃組織實施信息安全管理體系內(nèi)部審核；編寫內(nèi)審報告。各部門：積極配合體系內(nèi)部審核，對審核過程中發(fā)現(xiàn)的問題及時采取糾正措施。活動描述內(nèi)部審核策劃內(nèi)部審核周期及范圍在正常情況下公司至少每年組織一次覆蓋公司信息安全管理體系的內(nèi)部審核，信息安全工作小組組織協(xié)調(diào)。當(dāng)發(fā)生下列情況之一時（不限于），體系負(fù)責(zé)人可臨時決定組織內(nèi)部審核，臨時內(nèi)審范圍由體系負(fù)責(zé)人根據(jù)實際情況確定：當(dāng)管理體系、業(yè)務(wù)內(nèi)容發(fā)生重大改變時；當(dāng)外部要求，需對體系做出評價時；當(dāng)體系發(fā)生重大變化時，如組織機構(gòu)大調(diào)整、文件大量修改等；當(dāng)發(fā)生嚴(yán)重不合格、或出現(xiàn)重大客戶投訴或信息安全事故時；采用標(biāo)準(zhǔn)、適用法律或驗證方法出現(xiàn)重大變化時；第三方認(rèn)證機構(gòu)審核前；其它需要增加內(nèi)審的情形。內(nèi)部審核準(zhǔn)備信息安全工作小組在內(nèi)審前確定審核組長和審核員，經(jīng)體系負(fù)責(zé)人批準(zhǔn)后，組建審核組。無論審核組長還是審核員必須符合下列條件：經(jīng)培訓(xùn)，取得內(nèi)審員資格或具有相關(guān)能力；具備相應(yīng)的標(biāo)準(zhǔn)知識，具有責(zé)任心，較強的溝通和文字表達(dá)能力；熟悉審核程序，掌握審核方法；與被審查部門無直接責(zé)任和利害關(guān)系。內(nèi)審實施計劃審核組組長編制《內(nèi)部審核計劃》，報體系負(fù)責(zé)人審批后，由信息安全工作小組提前下發(fā)受審部門。受審核部門做好準(zhǔn)備工作，如對審核計劃有異議，需在實施審核前向?qū)徍私M長反饋，協(xié)商調(diào)整。內(nèi)部審核計劃應(yīng)包括審核目的、審核范圍、審核準(zhǔn)則、審核重點、審核人員及分工、會議和日程安排等內(nèi)容。審核組預(yù)備會議審核組長組織召開審核組預(yù)備會議。內(nèi)容包括：通報內(nèi)部審核計劃；明確審核員的分工；對審核員的工作提出具體要求；必要時對審核員進(jìn)行培訓(xùn)。審核收集內(nèi)審員收集審核所需的文件和資料，如：如標(biāo)準(zhǔn)、信息安全管理手冊、有關(guān)程序文件、合同、法律法規(guī)、客戶及相關(guān)方要求等。并根據(jù)分工，編制《內(nèi)部審核檢查表》交審核組長批準(zhǔn)。內(nèi)部審核實施內(nèi)部審核實施可劃分為內(nèi)審聲明、現(xiàn)場審核和內(nèi)審結(jié)果通告三個階段進(jìn)行。內(nèi)審聲明審核組長向受審核方負(fù)責(zé)人進(jìn)行內(nèi)審聲明，內(nèi)審聲明的內(nèi)容有：審核組長聲明審核目的、范圍和準(zhǔn)則；介紹審核組成員、分工及日程安排；簡介審核方法；介紹審核結(jié)果的報告方法，包括不符合的分類等；審核計劃中需說明的其他細(xì)節(jié)問題?，F(xiàn)場審核現(xiàn)場要求審核組按照審核實施計劃日程安排，根據(jù)《內(nèi)部審核檢查表》對受審核部門逐項進(jìn)行審核，通過觀察、提問、查閱文件和記錄、抽樣、問題追蹤等方法，以驗證審核情況與體系的符合性。內(nèi)審員應(yīng)如實記錄審核的情況，對發(fā)現(xiàn)的不合格項應(yīng)詳細(xì)記錄并由被審核部門負(fù)責(zé)人或陪同人確認(rèn)。以保證不合格項已經(jīng)得到被審核部門的理解，便于糾正和預(yù)防。審核方式聽：聽取現(xiàn)場信息安全負(fù)責(zé)人介紹其信息安全的組織管理、規(guī)章制度、標(biāo)準(zhǔn)、實施措施、實施效果、事故處理、應(yīng)急演練、改進(jìn)建議等。查：查閱有關(guān)文件、標(biāo)準(zhǔn)、報表、記錄、管理制度、應(yīng)急程序、工作程序、組織機構(gòu)等資料?？矗含F(xiàn)場觀察和檢查裝置設(shè)備的安全衛(wèi)生和環(huán)境保護(hù)狀況；規(guī)章制度、工作程序、操作規(guī)程、作業(yè)標(biāo)準(zhǔn)、作業(yè)方案和紀(jì)律執(zhí)行情況；信息安全設(shè)施配備運行情況。問：與現(xiàn)場主要管理人員及員工代表談話，詢問現(xiàn)場管理情況、應(yīng)知應(yīng)會的內(nèi)容、現(xiàn)場信息安全管理措施及應(yīng)急程序等內(nèi)容。審核組溝通審核組長組織，審核員各自介紹審核情況，充分討論。審核組依據(jù)標(biāo)準(zhǔn)、體系文件及有關(guān)法律法規(guī)要求等審核準(zhǔn)則，綜合分析，共同評審審核發(fā)現(xiàn)，確認(rèn)不符合項，確定審核結(jié)論。審核員填寫《信息安全審核、檢查發(fā)現(xiàn)事項通知單》，內(nèi)容準(zhǔn)確、清晰、有事實證據(jù)。受審核部門負(fù)責(zé)人或陪同人員對審核情況進(jìn)行確認(rèn)。內(nèi)審結(jié)果通告內(nèi)審結(jié)束后，審核組長將內(nèi)審結(jié)果以郵件、書面等方式告知受審核方負(fù)責(zé)人、體系負(fù)責(zé)人及相關(guān)人員。內(nèi)審結(jié)果通告主要內(nèi)容有：審核情況總結(jié)；宣讀不符合項及其嚴(yán)重程度；提出糾正時限和驗證要求；宣布審核結(jié)論。內(nèi)審結(jié)束后，審核組長將《審核、檢查發(fā)現(xiàn)事項通知單》及時發(fā)放給受審核部門。內(nèi)審報告編制和分發(fā)審核組長負(fù)責(zé)組織編寫《內(nèi)部審核報告》，報體系負(fù)責(zé)人審批。審核報告的主要內(nèi)容有：審核目的范圍及依據(jù)、審核日期、審核組成員、審核計劃實施情況總結(jié)、審核發(fā)現(xiàn)（包括不符合項及其分布情況分析）、審核結(jié)論等。審核報告批準(zhǔn)后，由信息安全工作小組將《內(nèi)部審核報告》分發(fā)給信息安全管理領(lǐng)導(dǎo)小組、體系負(fù)責(zé)人、受審核方及有關(guān)部門。糾正措施的實施、跟蹤及驗證審核組對受審部門發(fā)出《審核、檢查發(fā)現(xiàn)事項通知單》后，受審核部門立即組織進(jìn)行原因分析，進(jìn)行糾正或制訂糾正或預(yù)防措施，指定專人負(fù)責(zé)整改，并將完成情況報信息安全工作小組，信息安全工作小組對實施結(jié)果進(jìn)行跟蹤驗證，直至關(guān)閉。檢查監(jiān)督信息安全工作小組負(fù)責(zé)對內(nèi)部審核的實施情況進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問題采取適當(dāng)?shù)募m正措施，具體執(zhí)行《糾正和預(yù)防措施控制制度》。根據(jù)審核工作的需要和審核員的變化情況適時組織審核員培訓(xùn)，提高審核能力。審核記錄歸檔審核組長負(fù)責(zé)將內(nèi)部體系審核的全部記錄匯總整理后交信息安全工作小組保存。信息安全工作小組在審核結(jié)束后按照《記錄控制制度》要求收回并保管好內(nèi)部審核的記錄。相關(guān)記錄序號報告/記錄名稱保管場所期限保存形式備注1內(nèi)部審核計劃總裁辦3年電子/紙質(zhì)2信息安全管理體系內(nèi)審檢查表總裁辦3年電子/紙質(zhì)3審核、檢查發(fā)現(xiàn)事項通知單總裁辦3年電子/紙質(zhì)4內(nèi)部審核報告總裁辦3年電子/紙質(zhì)5內(nèi)部審核記錄單總裁辦3