参考模版,仅供参考
1 目的
为明确信息安全管理体系内审的实施方法,保证内审定期有效地实施,为管理评审和持续改进提供依据,确保信息安全管理体系的有效运行,特制定本程序。
2 范围
本程序适用于本公司信息安全管理体系内部审核(简称:内审)工作的实施和管理。
3 职责
3.1 信息安全管理小组
任命内部审核小组可以进行内审;
负责制定年度审核计划与每次的审核计划,制定内审检查表以供各部门检查各项活动是否在信息安全保障内;
负责管理和监督内审的进行与内审结果的确认。
3.3 其他各部门
配合内部审核小组进行内审,对内审中发现的问题进行整改。
4 相关文件
《信息安全管理手册》
5 程序
5.1 年度内审计划
计划制定
人事行政部制定年度审核计划,确认当年年度的审核的目的范围,受审部门及受审的时间安排。交由人事行政部审批。
5.2 内审
内审时机
内部审核原则上每年进行两次,由人事行政部制定《内部审核计划》,经总经理批准后实施;若在非内审期内发现特殊情况,如有重要信息安全事件发生,或公司重要业务发生变化,可由人事行政部申请增加内审的次数,由总经理决定是否进行内审。
任命
每次审核前,由人力资源部发出《审核组长(成员)任命书》,对参加信息安全审核的人员及部门进行任命。信息安全管理小组应制定《内部审核计划》及《内部审核方案》,经总经理批准,并由信息安全管理小组通知被审核部门,被审核部门到时应选派有关人员配合审核。
内部审核员
- 1 资格要求
内部审核员必须是熟悉本组织业务和信息系统情况,参加信息安全管理体系内部审核员培训并考核合格的本组织人员。
- 2 独立性要求
内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性。
资格评定
人事行政部选择符合内部审核条件的人员填写《内部审核员评定表》,由人事行政部组织各部门代表评定。
考评要求
信息安全管理体系内部审核员为关键岗位,应按《信息安全重要岗位评定表》进行考评。
5.3 内部审核的实施
审核实施
内部审核员应按《内部审核计划》规定实施审核,各有关部门应积极配合。
不符合项开具
对审核中发现的不符合项,由内部审核员开出《不符合项报告及纠正报告单》
5.4 纠正措施与跟踪审核
纠正
所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施:
检查本部门其他方面和其他各部门是否存在类似情况;
对所有存在的不符合的问题按有关规定改正过来;
调查产生该不符合项的原因,填入《不符合项报告及纠正报告单》的”产生不符合项的原因”栏内,调查人要签字,并写明日期;
列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不符合项报告及纠正报告单》的“纠正措施”栏内,经部门领导批准,并写明日期;
按制定的纠正措施认真实施,并将实施结果记入《不符合项报告及纠正报告单》的“实施结果”栏内,记录人要签字,并写明日期。
跟踪
内部审核员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入《不符合项报告及纠正报告单》。
5.5 审核报告
审核报告
内部审核结束后,审核组长应起草《内部审核报告》,报总经理审阅,总经理签署意见后发至各部门。
管理评审输入
内部审核的结果应作为管理评审输入的一部分。
记录保管
人事行政部应妥善保存评审记录。
6 记录
《年度内审计划》
《内部审核计划》
《内部审核方案》
《审核组长(成员)任命书》
《内部审核员评定表》
《信息安全重要岗位评定表》
《不符合项报告及纠正报告单》
《内部审核报告》
