文档编号:XXXX-IT/ISMS-B-06
XXXX有限公司
IT/ISMS程序文件
内部审核管理程序
拟制
编制小组
审核
XXX
批准
XXX
日期
2023-01-10
日期
2023-01-10
日期
2023-01-10
修订记录
日期
版本
修订内容概要
拟制
审核
批准
2023-01-10
A/0
首次发布
编制小组
XXX
XXX
XXXX有限公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。
目录
TOC\o1-2\h\z\u3820目录 2
104941目的 3
315772范围 3
272683职责 3
211173.1信息安全和信息技术服务小组 3
4023.2总经理 3
268863.3其他各部门 3
60144相关文件 3
217075程序 3
74805.1年度内审计划 3
296055.2内审 3
38935.3内部审核的实施 4
56785.4纠正措施与跟踪审核 4
45365.5审核报告 5
218645.6外部审核 5
287686记录 5
1目的
为明确信息安全和信息技术服务管理体系内审的实施方法,保证内审定期有效地实施,为管理评审和持续改进提供依据,确保信息安全和信息技术服务管理体系的有效运行,特制定本程序。
2范围
本程序适用于本公司信息安全和信息技术服务管理体系内部审核(简称:内审)工作的实施和管理。
3职责
3.1信息安全和信息技术服务小组
负责制定年度审核计划与每次的审核计划,制定内审检查表以供各部门检查各项活动是否在信息安全保障内;
3.2总经理
任命内部审核小组可以进行内审;
负责管理和监督内审的进行与内审结果的确认。
3.3其他各部门
配合内部审核小组进行内审,对内审中发现的问题进行整改。
4相关文件
《信息安全及信息技术服务管理手册》
5程序
5.1年度内审计划
5.1.1计划制定
信息安全和信息技术服务小组制定年度审核计划,确认当年年度的审核的目的范围,受审部门及受审的时间安排。交由管理才代表审批。内部审核计划和方案,应该评估审核过程中的风险,该审核方案应该考虑在执行的过程中信息安全的风险,审计方案应该得到管理者批准。
5.2内审
5.2.1内审时机
内部审核原则上每年进行1次,由信息安全和信息技术服务小组制定《内部审核计划》,经信息安全及信息技术服务小组批准后实施;若在非内审期内发现特殊情况,如有重要信息安全事件发生,或公司重要业务发生变化,可由综合部申请增加内审的次数,由信息安全及信息技术服务小组决定是否进行内审。
5.2.2任命
每次审核前,由信息安全和信息技术服务小组组织内部审核人员参加信息安全审核工作。信息安全和信息技术服务小组应制定《内部审核计划》,经信息安全及信息技术服务小组批准,并由信息安全和信息技术服务小组通知被审核部门,被审核部门到时应选派有关人员配合审核。
5.2.3内部审核员
5.2.3.1资格要求
内部审核员必须是熟悉本组织业务和信息系统情况,参加信息安全和信息技术服务管理体系内部审核员培训并考核合格的本组织人员。
5.2.3.2独立性要求
内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性。
5.2.4资格评定
信息安全和信息技术服务小组选择符合内部审核条件的人员,派往相关机构进行培训合格后,填写《内部审核员评定表》,由综合部组织各部门代表评定合格后方可成为内部审核员。
5.2.5评定要求
信息安全和信息技术服务管理体系内部审核员为关键岗位,应按规定进行评定。
5.3内部审核的实施
5.3.1审核实施
内部审核员应按《内部审核计划》规定实施审核,各有关部门应积极配合。
5.3.2不符合项开具
对审核中发现的不符合项,由内部审核员开出《不符合项报告及纠正预防报告单》
5.4纠正措施与跟踪审核
5.4.1纠正
所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施:
检查本部门其他方面和其他各部门是否存在类似情况;
对所有存在的不符合的问题按有关规定改正过来;
调查产生该不符合项的原因,填入《不符合项报告及纠正预防报告单》的产生不符合项的原因栏内,调查人要签字,并写明日期;
列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不符合项报告及纠正预防报告单》的“纠正措施”栏内,经部门领导批准,并写明日期;
按制定的纠正措施认真实施,并将实施结果记入《不符合项报告及纠正预防报告单》的“实施结果”栏内,