参考模版,仅供参考
目的
为明确信息安全管理体系内审的实施方法,保证内审定期有效的实施,为管理评审和持续改进提供依据,确保信息安全管理体系的有效运行,特制定本制度。范围
本制度适用于本公司信息安全管理体系内部审核(以下简称“内审”)工作的实施和管理。职责
3.1 信息及智能技术副总裁
负责裁决内审过程中的争议事项;
负责对内审结果的批准。
3.2 信息部总监
任命内部审核小组进行内审;
负责管理和监督内审的进行与内审结果的审批。
3.3 信息安全部**
负责组织内部审核工作,制定内审检查表,以供各部门检查各项活动是否在信息安全保障内;
负责识别风险项,并审核相关部门制定风险项的应对措施,并负责跟踪检查和结果审核;
负责识别不符合项,并审核相关部门制定不符合项的纠正措施,并负责跟踪检查和结果审核。
3.4 其他各部门
配合内部审核小组进行内审,对内审中发现的问题进行整改
各部门经理负责组织部门成员,对风险项进行分析,制定应对措施并跟进应对情况
负责识别不符合项,并审核相关部门制定不符合项的纠正措施,并负责跟踪检查和结果审核
- 相关文件
《信息安全管理手册》
《文件控制制度》
- 内容
5.1 内审准备
信息安全部负责组织内部审核工作,根据实际情况提前做好内审计划,并编写《内部审核计划》,内部审核原则上每年进行至少一次;
内部审核员由信息安全部负责人及信息安全部成员担任,根据实际参与人员进行签到记录,并编写《内审会议签到表》;
内部审核之前,信息安全部负责人需要组织编写《内部审核检查表》,以工作邮件通知的方式将内部审核的要求和时间安排告知各相关部门,并将检查表下发给各部门。
5.2 开展内审工作及识别不符合项
内部审核员按照《内部审核检查表》,逐项检查各部门的合规情况,对审核中发现的不符合项,由内部审核员向相关部门负责人开出《不符合项报告及纠正报告单》;
各部门负责人接收到《不符合项报告及纠正报告单》后,需要判断不符合项是否属实;如果有争议,可与信息安全部负责人、信息部总监讨论;最终裁决权由信息及智能化副总裁行使;
5.3 内审优化建议
在内审过程中发现可以优化或强化的符合项,可以由内部审核员向相关部门负责人提出建议并记录到《符合项优化建议报告单》;
各部门负责人接收到《符合项优化建议报告单》后,根据实际情况判断是否接受。
5.4 制定纠正措施
所有不符合项应由不符合项的责任部门负责人按以下要求制定纠正措施并认真实施:
调查不符合项的产生原因,填入《不符合项报告及纠正报告单》;
明确消除不符合项的措施计划,填入《不符合项报告及纠正报告单》;
将《不符合项报告及纠正报告单》提交给内审员;
监督纠正措施的执行情况直至完成。
5.5 执行措施
内部审核员在《不符合项报告及纠正报告单》规定的整改日期,对纠正措施的实施及有效性进行验证,并将验证结果记入《不符合项报告及纠正报告单》。
如果验证不通过,则应通知负责部门负责人继续执行直至通过为止。
5.6 审核报告
内部审核结束后,信息安全部负责人应组织编写《内部审核报告》,报信息部总监审核,报信息及智能技术副总裁批准。批准后,由信息安全部负责人通过邮件发至各部门负责人。
5.7 文档管理
本过程文档尽量采用电子文档或系统流程表单形式。按照《文件控制制度》对本过程文档进行管理。
6 记录
《内部审核检查表》
《不符合项报告及纠正报告单》
《符合项优化建议报告单》
《内部审核报告》
《内审会议签到表》
《内部审核计划》
