内部审核管理程序----2023年ISO27001信息安全管理体系.docx

XXX股份有限公司2023年IS027001信息安全管理体系文件编制编制日期文件接收部门文件审核审核日期文件批准批准日期文件嫡号受控状态接收人员发布日期2023年02月12日。受控非受控发放箱号文件更改履历表序号更改人更改因更改内套本号内部审核管理程序1目的通过编制内部审核管理程序文件，规范公司内部审核流程，确保按照既定的标准流程对公司内部运行的IS027001:2013信息安全管理体系进行内部审核，以确认18027001:2013信息安全管理体系是否有效、适宜和充分运行。2范围本程序适用于公司的信息安全管理体系内审的控制。3术语和定义内部审核：对信息安全管理体系进行客观评价，以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。审核准则：审核员用来判定符合性的依据，如：5027001:2013标准法规及其它要求、手册、程序文件和作业文件等。审核计划：有具体目的和详细时间安排的一个或多个计划的整体。审核发现：对收集的违反审核标准的审核证据进行评价的结果。审核员：取得审核资格的人员。4职责4.1管理者代表4.1.1负贡组织公司内部信息安全管理体系审核。4.1.2任命审核组组长。4. 1.3批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。4.2 信息安全部1 .2.1负责组建审核小组，拟定年度内审计划,组织和协调内部审核工作。4 .2.2负责对不符合项的纠正措施进行跟踪验证。4.3 内审组长负责编制审核实施计划，全面负责内审工作，编制内部审核报告。4.4 审核员4.4.1 负责编制内部审核检查表，按分工实施现场审核。4. 4.2收集、分析审核证据，编写“不符合项报告”。4.5受审核部门1. 5.1负责向审核组提供审核所需的文件、资料、记录和必要的资源。4. 5.2负责对本部门的不符合项进行原因分析和整改。5工作流程5.1审核计划5. 1.1内部审核计划分“年度计划”和“季度计划”。年度计划由信息安全部在年初提出，也可在信息安全管理工作实施计划中提出，并经管理者代表批准。5. 1.2“内部审核实施计划”由审核组长制定。6. 1.3制定年度内部审核计划的依据：a）公司信息安全管理方针、目标及工作计划；b）信息安全管理手册、程序文件和其它相关文件等：c）上一年度管理评审提出的问题；d）信息安全管理体系运行的结果：e）相关方反馈的结果：5.1.4信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果，策划年度审核方案，编制“内部审核计划”。内容包括：a）审核目的、范围、准则和方法：b）受审核部门和审核时间：C）审核的重点内容和要求。5.2审核方式和频次5.2.1每年至少进行一次常规的集中式或滚动式审核（两次间隔不得超过12个月）。滚动式审核要求各要索和部门每年至少漫孟一次。5.3审核准备5.3.1信息安全部在每次内部审核前两周内成立内审小组，报管理者代表审批。5.3.2管理者代表任命审核组长。5.3.3审核组长编制“内部审核实施计划”，报管理者代表审批。a）审核目的及依据；b）审核涉及的过程和区域；O审核人员及分工、审核时间安排等。5.3.4审核组长对小组成员进行分工，内审员编写“内部审核检杳表”。5.3.5对审核员的要求a）至少应接受过中等教育或具有同等学历：b）经过国家批准的认证培训机构培训，并取得资格证；c）经管理者代表聘任；d）内审员不能安排审核自己的工作。5.3.6 审核组应在审核前一周向受审部门卜发“内部审核实施计划”。受审部门对审核时间有异议，可在内审前三天通知审核组，与审核组长协商解决。5.3.7 受审部门应作好准备工作，并指定陪同人员。5.4审核实施5. 4.1由审核组长主持召开首次会议，介绍审核计划及时间安排等。参加会议人员包括：审核组成员、受审核部门负贡人及有关人员。6. 4.2内审员依据“内审检查表”进行现场审核，通过查阅文件、记录、提问、交谈、现场观察等方式收集客观证据。7. 4.3内审员对审核情况应如实记录，发现不符合时，开出“不合格项报告”。要求如下：a）不符合事实描述应清楚，引用客观证据：b）不符合理由充分，对照标准或管理体系文件的要求判定：c）不符合事实由受审部门或陪同人员确认：d）明确整改完成时间。8. 4.4现场审核后，审核组长主持召开末次会议，报告审核结果、不合格项、审核结论、提出对纠正措施的要求。参加会议人员应包括首次会议的所有人员。9. 4.5受审部门应对不符合项的事实进行确认，若对不符合项有异议，由审核组长报告管理者代表进行仲裁。5.5审核报告5.5.1内部审核结束后周内，审核组长向管理者代式提交“信息安全管理体系内部审核报告”。内容包括：a）审核的目的、范围、依据和时间：b）审核组成员；O审核过程综述，包括对不符合项数量、严重程度及分布的描述:d）存在的主要问题；C）对信息安全管理体系有效性、符合性评价结论；f）不符合项整改要求及时限。5.5.2“内部审核报告”经管理者代表批准后，发至受审核部门和相关领导并存档。5.5.3当内部审核采用滚动式计划进行时，审核组组长在每年年底将各次审核情况汇总并编制年度审核报告。5.6 不符合项整改5. 6.1责任部门在收到不符合项报告后，按不符合与纠正措施管理程序要求对不符合项进行整改。a）纠正：对已发现的不符合项采取处置性措施加以消除；b）举一反三：自杳本部门还有无此类情况，如有要逐一纠正;C）原因分析：分析不符合项发生的原因：d）纠正措施：对已发现的不符合项采取根本性措施，防止再次发生。6. 6.2对纠正措施进行评价，采取的措施应与不符合项的程度相适应。7. 6.3责任部门应将上述内容填入“不符合项报告”，并将不符合项整改实施的见证性材料作为附件报信息安全部。5.7 纠正措施实施效果验证5. 7.1信息安全部应对纠正措施的可行性和有效性进行验证，并记录验证结果。6. 7.2逾期未完成的纠正措施或没有达到实施效果时，应进一步分析原因，再次限定完成时间或重新制定纠正措施。7. 8记录的管理内部审核过程中产生的记录（包括审核计划、检查表、不符合项报告纠正措施实施的见证性材料、审核报告等），由信息安全部存档。6相关文件8. 1不符合与纠正措施管理程序7相关记录8.1 年度内部审核计划8.2 内部审核实施计划8.3 内部审核检查表8.4 不符合项报告8.5 信息安全管理体系内部审核报告附表一：内部审核计划表审核日的：审核范围：审核依据：审核时间：审核组长:审核人员：A组：B组：审核日程安排日期时间组别部门要索附表二：内部审核报告审核目的审核范困审核依据审核时间受审核部门审核组内审综述不符合数也及条3:内审结论分发批准：年月日编制：年月日附表三：不符合通知单受审核组版受审核部门审核日期不符合述不符合条款不符合般不符合类型严重不符合对纠正要求对所提不符合项制定纠正措施并予以实施，完成时间：30日60日口90日是否要求纠正：口是否完成时间：口30日口60日90日验证方式：审核组对纠正措施计划的可行性及组正措施实施证实资料进行评价并在下次现场审核时跟踪险证实施的有效性“审核组对提供的纠正行动有效的证实性资料进行确认。审核组于现场审核结束30日（60日或90日）后对纠正措施实施和纠正的有效性进行现场验证其他：说明：审核员联络员核表审代字受方签日期纠正措麓验.证纠正行动是否有效口有口否：绢正措施实施是否有效口有口否验证人员：日期：附表四：纠正和预防措施记录表实际（潜在不合格/不符合描述:记录人:日期；年月日原因分析及纠正/预防措施：日措施批准人;实施负责人：日期年月纠正/实施记录：实施负货人日期：年月日实施效果验证：验证人：日期：年月0附表五：首末次会议签到表会议时间会议地点组织部门参加会议到场人员签名首次会议末次会议部门姓名部门姓名