题目

内部审核管理程序变更履历*变化状态:C——创建,A——增加,M——修改,D——删除________________4________________4________________4________________4________________4________________5________________6________________6________________7________________7________________7________________7________________8________________81目的和范围按策划的时间进行信息安全管理体系的内部审核,以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求;是否符合相关法律法规要求、客户和相关方[1]的要求,确保信息安全管理体系与标准的符合性[2]、适宜性和有效性。本程序适用于公司信息安全管理体系内部审核。2术语和定义ISO/IEC 27001:2005《信息技术[3]-安全技术-信息安全管理体系要求》和ISO/IEC 17799:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。3引用文件ISO/IEC 27001:2005。《信息安全手册》。4职责和权限管理者代表负责组织内部审核活动,牵头成立内审小组。内审小组负责内部审核的执行和不符合的跟踪与验证。各职能部门[4]配合内部审核工作的进行。内审小组负责内部审核工作的实施及审核资料的管理。5活动描述5.1内部审核流程内部审核可分为7个基本步骤,内部审核流程的一般流程如下图所示:5.2内部审核策划5.2.1内部审核周期及范围在正常情况下公司信息安全管理体系内部审核至少每年组织1次,两次时间间隔不得超过12个月。出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数:1)组织结构[5]和职能分工出现重大变化时;2)业务内容出现重大变化时;3)信息安全管理体系出现重大变化时;4)采用标准、适用法律或验证方法出现重大变化时;5)出现重大客户投诉或信息安全事故时;6)其它需要增加内审的情形。信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。审核范围[6]可以是对公司进行整体审核,也可以按部门或过程进行局部审核。正常情况下,管理体系所涉及的所有部门和过程每年至少应覆盖一次。其中各部门或各过程的审核频次还应取决于其现状和重要程度,并考虑以往审核的结果。计划外的追加审核由管理者代表根据实际情况确定。5.2.2内部审核组[7]织1)由管理者代表负责组织内审小组;并填写《内审组长成员任命书》。2)内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成(公司所有具备内部审核员资格的名单请参考附录A:《内审员登记表》。);审核员应与被审核的活动无直接责任;审核员不应审核自己的工作,以保证审核的独立性。内部审核员应在公司内各部门挑选并经公司任命。3)内审组长应由管理者代表从内审员中指定。管理者代表也可以自己担任审核组长。5.2.3内部审核计划1)内审组长负责组织制定和提出《内部审核计划》;2)《内部审核计划》应包含审核目的、审核范围、审核时间和进度安排、审核成员,审核的注意事宜等。审核时间的安排需要和被审核部门事先协调;3)《内部审核计划》由管理者代表审批后实施。管理者代表自己担任内审组长的情况下,需要组织内审小组其他成员对计划进行审核。5.3内部审核准备1)各审核员应准备好并熟悉本次审核所依据的文件:如标准、信息安全管理手册、有关程序文件[8]、合同、法律法规、客户及相关方要求等。2)内审小组成员根据分工,编制《内审检查表[9]》,并报内审组长批准。5.4内部审核实施内部审核实施可划分为首次会议、现场审核[10]和末次会议三个阶段进行。5.4.1首次会议由内审组长召开首次会议,参加的人员由内审员及被审核部门负责人组成;在会议上,内审组长将介绍:1)内审小组成员、审核目的、范围;2)审核方法、依据和程序;3)提出审核要求,确认审核日程安排等;4)公布末次会议日期、时间、会议内容及参加人员;5)审核计划中需说明的其他细节问题。5.4.2现场审核1)现场审核时,内审员根据《内审检查表》逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。2)内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或直接责任人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。3)现场审核结束后,内审组长召开内部内审小组成员会议,听取内审员的审核情况汇报、复核发现的不符合项、编写《不符合项报告及纠正报告单》。4)内审组长应与受审核部门领导进行沟通,提出《不符合项报告及纠正报告单》请被审核部门签字确认。并责成相关部门按要求制定纠正及预防措施[11],并填写在《不符合项报告及纠正报告单》上。5.4.3末次会议1)末次会议由内审组长主持,由内审小组成员、受审核方[12]负责人、不符合项相关人员参加。2)由内审小组通报审核结果,内容可包括:报告审核情况;通报不符合项及其严重程度;提出制订纠正措施[13]、改进对策的限期;本次审核结论[14]。会议也可以以审核组与受审核部门进行沟通的形式进行。5.5公司内审报告1)审核报告[15]的编写:信息安全管理审核后由内审组长起草编写审核报告,审核报告内容需包括:审核目的、审核范围、审核依据和审核时间;内部审核组成员及其分工;被审核的部门内部审核情况综述;不符合项的综合分析(不符合项目分布情况);对被审部门的评价、审核结论等;存在问题的分析及管理体系改进措施的建议。2)审核报告的发布:《公司内审报告》,经管理者代表批准后,打印或以电子文档的方式分发给被审核部门。3)《公司内审报告》由内审小组负责整理归档。。5.6纠正不符合项《不符合项报告及纠正报告单》由内审小组统计后分发到各责任部门,由责任部门分析不合格原因,制定纠正措施,经内审组长确认后,由责任部门组织实施。5.7跟踪和验证1)审核小组在限定时间内对纠正措施的实施情况进行复审,以确认不符合项的纠正情况并验证其有效性。2)责任部门已完成纠正措施后,通知内审员验证其完成情况和有效性,并由内审员在《不符合项报告及纠正报告单》上签名认可。3)不符合项复审仍不符合的项目,其部门负责人应说明原因并考虑是否需要重新制定纠正预防措施。4)如在规定的日期(一般不超过一个月)内不能完成的,内审员应检查不能完成的原因,无正当理由的应报管理者代表批准后,重新开出《不符合项报告及纠正报告单》并且必须在一个月内关闭。5)内部审核实施和验证情况由内审组长向管理者代表报告。5.8审核记录归档本程序所涉及的所有记录(内部审核计划、内审检查表、公司内审报告等)由内审小组按《记录控制程序》统一归档保存。6实施策略1)管理者代表负责成立内审小组,并任命内审组长,发布《内审组长成员任命书》。2)内审组长负责组织编写并审核批准《内部审核计划》。3)各内审员根据分工编写《内审检查表》。4)由内审组长召开首次会议,并填写首次会议的《会议签到记录表》5)各内审员根据计划进行内审,发现不符合项,填写《不符合项报告及纠正报告单》,跟踪不符合项的解决。6)由内审组长召开末次会议,并填写末次会议的《会议签到记录表》7)内审结束后,内审组长负责编写《公司内审报告》7相关记录

内部审核管理程序

变更履历

*变化状态:C——创建,A——增加,M——修改,D——删除

________________4

________________4

________________4

________________4

________________4

________________5

________________6

________________6

________________7

________________7

________________7

________________7

________________8

________________8

1目的和范围

按策划的时间进行信息安全管理体系的内部审核,以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求;是否符合相关法律法规要求、客户和相关方[1]的要求,确保信息安全管理体系与标准的符合性[2]、适宜性和有效性。

本程序适用于公司信息安全管理体系内部审核。

2术语和定义

ISO/IEC 27001:2005《信息技术[3]-安全技术-信息安全管理体系要求》和ISO/IEC 17799:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

3引用文件

ISO/IEC 27001:2005。

《信息安全手册》。

4职责和权限

管理者代表负责组织内部审核活动,牵头成立内审小组。

内审小组负责内部审核的执行和不符合的跟踪与验证。

各职能部门[4]配合内部审核工作的进行。

内审小组负责内部审核工作的实施及审核资料的管理。

5活动描述

5.1内部审核流程

内部审核可分为7个基本步骤,内部审核流程的一般流程如下图所示:

5.2内部审核策划

5.2.1内部审核周期及范围

在正常情况下公司信息安全管理体系内部审核至少每年组织1次,两次时间间隔不得超过12个月。出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数:

1)组织结构[5]和职能分工出现重大变化时;

2)业务内容出现重大变化时;

3)信息安全管理体系出现重大变化时;

4)采用标准、适用法律或验证方法出现重大变化时;

5)出现重大客户投诉或信息安全事故时;

6)其它需要增加内审的情形。

信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。审核范围[6]可以是对公司进行整体审核,也可以按部门或过程进行局部审核。正常情况下,管理体系所涉及的所有部门和过程每年至少应覆盖一次。其中各部门或各过程的审核频次还应取决于其现状和重要程度,并考虑以往审核的结果。计划外的追加审核由管理者代表根据实际情况确定。

5.2.2内部审核组[7]

1)由管理者代表负责组织内审小组;并填写《内审组长成员任命书》。

2)内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成(公司所有具备内部审核员资格的名单请参考附录A:《内审员登记表》。);审核员应与被审核的活动无直接责任;审核员不应审核自己的工作,以保证审核的独立性。内部审核员应在公司内各部门挑选并经公司任命。

3)内审组长应由管理者代表从内审员中指定。管理者代表也可以自己担任审核组长。

5.2.3内部审核计划

1)内审组长负责组织制定和提出《内部审核计划》;

2)《内部审核计划》应包含审核目的、审核范围、审核时间和进度安排、审核成员,审核的注意事宜等。审核时间的安排需要和被审核部门事先协调;

3)《内部审核计划》由管理者代表审批后实施。管理者代表自己担任内审组长的情况下,需要组织内审小组其他成员对计划进行审核。

5.3内部审核准备

1)各审核员应准备好并熟悉本次审核所依据的文件:如标准、信息安全管理手册、有关程序文件[8]、合同、法律法规、客户及相关方要求等。

2)内审小组成员根据分工,编制《内审检查表[9]》,并报内审组长批准。

5.4内部审核实施

内部审核实施可划分为首次会议、现场审核[10]和末次会议三个阶段进行。

5.4.1首次会议

由内审组长召开首次会议,参加的人员由内审员及被审核部门负责人组成;在会议上,内审组长将介绍:

1)内审小组成员、审核目的、范围;

2)审核方法、依据和程序;

3)提出审核要求,确认审核日程安排等;

4)公布末次会议日期、时间、会议内容及参加人员;

5)审核计划中需说明的其他细节问题。

5.4.2现场审核

1)现场审核时,内审员根据《内审检查表》逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。

2)内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或直接责任人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。

3)现场审核结束后,内审组长召开内部内审小组成员会议,听取内审员的审核情况汇报、复核发现的不符合项、编写《不符合项报告及纠正报告单》。

4)内审组长应与受审核部门领导进行沟通,提出《不符合项报告及纠正报告单》请被审核部门签字确认。并责成相关部门按要求制定纠正及预防措施[11],并填写在《不符合项报告及纠正报告单》上。

5.4.3末次会议

1)末次会议由内审组长主持,由内审小组成员、受审核方[12]负责人、不符合项相关人员参加。

2)由内审小组通报审核结果,内容可包括:报告审核情况;通报不符合项及其严重程度;提出制订纠正措施[13]、改进对策的限期;本次审核结论[14]。会议也可以以审核组与受审核部门进行沟通的形式进行。

5.5公司内审报告

1)审核报告[15]的编写:信息安全管理审核后由内审组长起草编写审核报告,审核报告内容需包括:

审核目的、审核范围、审核依据和审核时间;

内部审核组成员及其分工;

被审核的部门

内部审核情况综述;

不符合项的综合分析(不符合项目分布情况);

对被审部门的评价、审核结论等;

存在问题的分析及管理体系改进措施的建议。

2)审核报告的发布:《公司内审报告》,经管理者代表批准后,打印或以电子文档的方式分发给被审核部门。

3)《公司内审报告》由内审小组负责整理归档。。

5.6纠正不符合项

《不符合项报告及纠正报告单》由内审小组统计后分发到各责任部门,由责任部门分析不合格原因,制定纠正措施,经内审组长确认后,由责任部门组织实施。

5.7跟踪和验证

1)审核小组在限定时间内对纠正措施的实施情况进行复审,以确认不符合项的纠正情况并验证其有效性。

2)责任部门已完成纠正措施后,通知内审员验证其完成情况和有效性,并由内审员在《不符合项报告及纠正报告单》上签名认可。

3)不符合项复审仍不符合的项目,其部门负责人应说明原因并考虑是否需要重新制定纠正预防措施。

4)如在规定的日期(一般不超过一个月)内不能完成的,内审员应检查不能完成的原因,无正当理由的应报管理者代表批准后,重新开出《不符合项报告及纠正报告单》并且必须在一个月内关闭。

5)内部审核实施和验证情况由内审组长向管理者代表报告。

5.8审核记录归档

本程序所涉及的所有记录(内部审核计划、内审检查表、公司内审报告等)由内审小组按《记录控制程序》统一归档保存。

6实施策略

1)管理者代表负责成立内审小组,并任命内审组长,发布《内审组长成员任命书》。

2)内审组长负责组织编写并审核批准《内部审核计划》。

3)各内审员根据分工编写《内审检查表》。

4)由内审组长召开首次会议,并填写首次会议的《会议签到记录表》

5)各内审员根据计划进行内审,发现不符合项,填写《不符合项报告及纠正报告单》,跟踪不符合项的解决。

6)由内审组长召开末次会议,并填写末次会议的《会议签到记录表》

7)内审结束后,内审组长负责编写《公司内审报告》

7相关记录

题目解答

答案

1 目的和范围 2 术语和定义 4 职责和权限 5 活动描述 5.1 内部审核流程 5.2 内部审核策划 5.3 内部审核准备 5.4 内部审核实施 5.5 公司内审报告 5.6 纠正不符合项 5.7 跟踪和验证 5.8 审核记录归档 6 实施策略 7 相关记录