F4-B-總經(jīng)辦-003-V1.0-內(nèi)部審核控制制度

【內(nèi)部審核控制制度】F4-B-總經(jīng)辦-003-V1.0第頁(yè)內(nèi)部審核控制制度目錄TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 活動(dòng)描述 34.1.內(nèi)部審核策劃 34.1.1 內(nèi)部審核周期及范圍 34.1.2 內(nèi)部審核準(zhǔn)備 44.1.3 內(nèi)審實(shí)施計(jì)劃 44.1.4 審核組預(yù)備會(huì)議 44.1.5 審核收集 54.2.內(nèi)部審核實(shí)施 54.2.1 內(nèi)審聲明 54.2.2 現(xiàn)場(chǎng)審核 54.2.3 內(nèi)審結(jié)果通告 64.3.內(nèi)審報(bào)告編制和分發(fā) 74.4.糾正措施的實(shí)施、跟蹤及驗(yàn)證 74.5.檢查監(jiān)督 85. 審核記錄歸檔 86. 相關(guān)記錄 8

目的和范圍按年度進(jìn)行信息安全管理體系的內(nèi)部審核，以驗(yàn)證管理活動(dòng)和有關(guān)結(jié)果是否符合信息安全管理體系標(biāo)準(zhǔn)及公司信息安全管理體系文件的要求；是否符合相關(guān)法律法規(guī)要求、客戶和相關(guān)方的要求；確保信息安全管理體系與標(biāo)準(zhǔn)的符合性、適宜性和有效性。本制度適用于信息安全管理體系內(nèi)部審核。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《糾正和預(yù)防措施控制制度》《文件控制制度》職責(zé)和權(quán)限管理者代表：負(fù)責(zé)批準(zhǔn)《內(nèi)部審核計(jì)劃》和《內(nèi)部審核報(bào)告》。行政部：內(nèi)審記錄存檔。信息安全工作小組：負(fù)責(zé)組織對(duì)不符合項(xiàng)的驗(yàn)證跟蹤及相應(yīng)文件的管理工作。內(nèi)審組組長(zhǎng)：負(fù)責(zé)編制《內(nèi)部審核計(jì)劃》，組織編寫(xiě)《內(nèi)部審核檢查表》，根據(jù)計(jì)劃組織實(shí)施信息安全管理體系內(nèi)部審核；編寫(xiě)內(nèi)審報(bào)告。各部門(mén)：積極配合體系內(nèi)部審核，對(duì)審核過(guò)程中發(fā)現(xiàn)的問(wèn)題及時(shí)采取糾正措施?；顒?dòng)描述內(nèi)部審核策劃內(nèi)部審核周期及范圍在正常情況下公司至少每年組織一次覆蓋公司信息安全管理體系的內(nèi)部審核，信息安全工作小組組織協(xié)調(diào)。當(dāng)發(fā)生下列情況之一時(shí)（不限于），體系負(fù)責(zé)人可臨時(shí)決定組織內(nèi)部審核，臨時(shí)內(nèi)審范圍由體系負(fù)責(zé)人根據(jù)實(shí)際情況確定：當(dāng)管理體系、業(yè)務(wù)內(nèi)容發(fā)生重大改變時(shí)；當(dāng)外部要求，需對(duì)體系做出評(píng)價(jià)時(shí)；當(dāng)體系發(fā)生重大變化時(shí)，如組織機(jī)構(gòu)大調(diào)整、文件大量修改等；當(dāng)發(fā)生嚴(yán)重不合格、或出現(xiàn)重大客戶投訴或信息安全事故時(shí)；采用標(biāo)準(zhǔn)、適用法律或驗(yàn)證方法出現(xiàn)重大變化時(shí)；第三方認(rèn)證機(jī)構(gòu)審核前；其它需要增加內(nèi)審的情形。內(nèi)部審核準(zhǔn)備信息安全工作小組在內(nèi)審前確定審核組長(zhǎng)和審核員，經(jīng)體系負(fù)責(zé)人批準(zhǔn)后，組建審核組。無(wú)論審核組長(zhǎng)還是審核員必須符合下列條件：經(jīng)培訓(xùn)，取得內(nèi)審員資格或具有相關(guān)能力；具備相應(yīng)的標(biāo)準(zhǔn)知識(shí)，具有責(zé)任心，較強(qiáng)的溝通和文字表達(dá)能力；熟悉審核程序，掌握審核方法；與被審查部門(mén)無(wú)直接責(zé)任和利害關(guān)系。內(nèi)審實(shí)施計(jì)劃審核組組長(zhǎng)編制《內(nèi)部審核計(jì)劃》，報(bào)體系負(fù)責(zé)人審批后，由信息安全工作小組提前下發(fā)受審部門(mén)。受審核部門(mén)做好準(zhǔn)備工作，如對(duì)審核計(jì)劃有異議，需在實(shí)施審核前向?qū)徍私M長(zhǎng)反饋，協(xié)商調(diào)整。內(nèi)部審核計(jì)劃應(yīng)包括審核目的、審核范圍、審核準(zhǔn)則、審核重點(diǎn)、審核人員及分工、會(huì)議和日程安排等內(nèi)容。審核組預(yù)備會(huì)議審核組長(zhǎng)組織召開(kāi)審核組預(yù)備會(huì)議。內(nèi)容包括：通報(bào)內(nèi)部審核計(jì)劃；明確審核員的分工；對(duì)審核員的工作提出具體要求；必要時(shí)對(duì)審核員進(jìn)行培訓(xùn)。審核收集內(nèi)審員收集審核所需的文件和資料，如：如標(biāo)準(zhǔn)、信息安全管理手冊(cè)、有關(guān)程序文件、合同、法律法規(guī)、客戶及相關(guān)方要求等。并根據(jù)分工，編制《內(nèi)部審核檢查表》交審核組長(zhǎng)批準(zhǔn)。內(nèi)部審核實(shí)施內(nèi)部審核實(shí)施可劃分為內(nèi)審聲明、現(xiàn)場(chǎng)審核和內(nèi)審結(jié)果通告三個(gè)階段進(jìn)行。內(nèi)審聲明審核組長(zhǎng)向受審核方負(fù)責(zé)人進(jìn)行內(nèi)審聲明，內(nèi)審聲明的內(nèi)容有：審核組長(zhǎng)聲明審核目的、范圍和準(zhǔn)則；介紹審核組成員、分工及日程安排；簡(jiǎn)介審核方法；介紹審核結(jié)果的報(bào)告方法，包括不符合的分類等；審核計(jì)劃中需說(shuō)明的其他細(xì)節(jié)問(wèn)題?，F(xiàn)場(chǎng)審核現(xiàn)場(chǎng)要求審核組按照審核實(shí)施計(jì)劃日程安排，根據(jù)《內(nèi)部審核檢查表》對(duì)受審核部門(mén)逐項(xiàng)進(jìn)行審核，通過(guò)觀察、提問(wèn)、查閱文件和記錄、抽樣、問(wèn)題追蹤等方法，以驗(yàn)證審核情況與體系的符合性。內(nèi)審員應(yīng)如實(shí)記錄審核的情況，對(duì)發(fā)現(xiàn)的不合格項(xiàng)應(yīng)詳細(xì)記錄并由被審核部門(mén)負(fù)責(zé)人或陪同人確認(rèn)。以保證不合格項(xiàng)已經(jīng)得到被審核部門(mén)的理解，便于糾正和預(yù)防。審核方式聽(tīng)：聽(tīng)取現(xiàn)場(chǎng)信息安全負(fù)責(zé)人介紹其信息安全的組織管理、規(guī)章制度、標(biāo)準(zhǔn)、實(shí)施措施、實(shí)施效果、事故處理、應(yīng)急演練、改進(jìn)建議等。查：查閱有關(guān)文件、標(biāo)準(zhǔn)、報(bào)表、記錄、管理制度、應(yīng)急程序、工作程序、組織機(jī)構(gòu)等資料。看：現(xiàn)場(chǎng)觀察和檢查裝置設(shè)備的安全衛(wèi)生和環(huán)境保護(hù)狀況；規(guī)章制度、工作程序、操作規(guī)程、作業(yè)標(biāo)準(zhǔn)、作業(yè)方案和紀(jì)律執(zhí)行情況；信息安全設(shè)施配備運(yùn)行情況。問(wèn)：與現(xiàn)場(chǎng)主要管理人員及員工代表談話，詢問(wèn)現(xiàn)場(chǎng)管理情況、應(yīng)知應(yīng)會(huì)的內(nèi)容、現(xiàn)場(chǎng)信息安全管理措施及應(yīng)急程序等內(nèi)容。審核組溝通審核組長(zhǎng)組織，審核員各自介紹審核情況，充分討論。審核組依據(jù)標(biāo)準(zhǔn)、體系文件及有關(guān)法律法規(guī)要求等審核準(zhǔn)則，綜合分析，共同評(píng)審審核發(fā)現(xiàn)，確認(rèn)不符合項(xiàng)，確定審核結(jié)論。審核員填寫(xiě)《信息安全審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》，內(nèi)容準(zhǔn)確、清晰、有事實(shí)證據(jù)。受審核部門(mén)負(fù)責(zé)人或陪同人員對(duì)審核情況進(jìn)行確認(rèn)。內(nèi)審結(jié)果通告內(nèi)審結(jié)束后，審核組長(zhǎng)將內(nèi)審結(jié)果以郵件、書(shū)面等方式告知受審核方負(fù)責(zé)人、體系負(fù)責(zé)人及相關(guān)人員。內(nèi)審結(jié)果通告主要內(nèi)容有：審核情況總結(jié)；宣讀不符合項(xiàng)及其嚴(yán)重程度；提出糾正時(shí)限和驗(yàn)證要求；宣布審核結(jié)論。內(nèi)審結(jié)束后，審核組長(zhǎng)將《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》及時(shí)發(fā)放給受審核部門(mén)。內(nèi)審報(bào)告編制和分發(fā)審核組長(zhǎng)負(fù)責(zé)組織編寫(xiě)《內(nèi)部審核報(bào)告》，報(bào)體系負(fù)責(zé)人審批。審核報(bào)告的主要內(nèi)容有：審核目的范圍及依據(jù)、審核日期、審核組成員、審核計(jì)劃實(shí)施情況總結(jié)、審核發(fā)現(xiàn)（包括不符合項(xiàng)及其分布情況分析）、審核結(jié)論等。審核報(bào)告批準(zhǔn)后，由信息安全工作小組將《內(nèi)部審核報(bào)告》分發(fā)給信息安全管理領(lǐng)導(dǎo)小組、體系負(fù)責(zé)人、受審核方及有關(guān)部門(mén)。糾正措施的實(shí)施、跟蹤及驗(yàn)證審核組對(duì)受審部門(mén)發(fā)出《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》后，受審核部門(mén)立即組織進(jìn)行原因分析，進(jìn)行糾正或制訂糾正或預(yù)防措施，指定專人負(fù)責(zé)整改，并將完成情況報(bào)信息安全工作小組，信息安全工作小組對(duì)實(shí)施結(jié)果進(jìn)行跟蹤驗(yàn)證，直至關(guān)閉。檢查監(jiān)督信息安全工作小組負(fù)責(zé)對(duì)內(nèi)部審核的實(shí)施情況進(jìn)行監(jiān)督檢查，發(fā)現(xiàn)問(wèn)題采取適當(dāng)?shù)募m正措施，具體執(zhí)行《糾正和預(yù)防措施控制制度》。根據(jù)審核工作的需要和審核員的變化情況適時(shí)組織審核員培訓(xùn)，提高審核能力。審核記錄歸檔審核組長(zhǎng)負(fù)責(zé)將內(nèi)部體系審核的全部記錄匯總整理后交信息安全工作小組保存。信息安全工作小組在審核結(jié)束后按照《記錄控制制度》要求收回并保管好內(nèi)部審核的記錄。相關(guān)記錄序號(hào)報(bào)告/記錄名稱保管場(chǎng)所期限保存形式備注1內(nèi)部審核計(jì)劃總經(jīng)辦3年電子/紙質(zhì)2信息安全管理體系內(nèi)審檢查表總經(jīng)辦3年電子/紙質(zhì)3審核、檢查發(fā)現(xiàn)事項(xiàng)通知單總經(jīng)辦3年電子/紙質(zhì)4內(nèi)部審核報(bào)告總經(jīng)辦3年電子/紙質(zhì)5內(nèi)部審核記錄單總經(jīng)辦3年電子/紙質(zhì)本制度相關(guān)修改及解釋權(quán)屬于信息安全組織 文檔編號(hào)（由總經(jīng)辦填寫(xiě)）F4-B-總經(jīng)辦-003-V1.0密級(jí)內(nèi)部公