ISO27001内部审核管理程序.doc

保密等级 秘密 文档名称 内部审核管理程序 文档编号 发布组织 信息安全工作委员会 发布日期 2009-1-5 执行日期 2009-1-5 版 本 号 1.0 内部审核管理程序 批准人签字 审核人签字 制订人签字 曹立斌 日期： 2009-1-5 金浩海 日期： 2009-1-5 金浩海 日期： 2009-1-5  变更履历 序号 版本编号或更改记录编号 变化 状态 * 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期 1 1.0 C 创建，全页。 2009-1-5 金浩海 金浩海 曹立斌 2009-1-5 *变化状态：C——创建，A——增加，M——修改，D——删除  目 录 1 目的和范围 4 2 术语和定义 4 3 引用文件 4 4 职责和权限 4 5 活动描述 4 5.1 内部审核流程 4 5.2 内部审核策划 5 5.3 公司内审报告 7 5.4 纠正不符合项 7 5.5 跟踪和验证 7 5.6 审核记录归档 8 6 实施策略 8 7 相关记录 8  目的和范围 按策划的时间进行信息安全管理体系的内部审核，以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求；是否符合相关法律法规要求、客户和相关方的要求，确保信息安全管理体系与标准的符合性、适宜性和有效性。 本程序适用于公司信息安全管理体系内部审核。 术语和定义 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC 17799:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。 引用文件 ISO/IEC 27001：2005。 《信息安全手册》。 职责和权限 管理者代表负责组织内部审核活动，牵头成立内审小组。 内审小组负责内部审核的执行和不符合的跟踪与验证。 各职能部门配合内部审核工作的进行。 内审小组负责内部审核工作的实施及审核资料的管理。 活动描述 内部审核流程 内部审核可分为7个基本步骤，内部审核流程的一般流程如下图所示： 内部审核策划 内部审核周期及范围 在正常情况下公司信息安全管理体系内部审核至少每年组织1次，两次时间间隔不得超过12个月。出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数： 组织结构和职能分工出现重大变化时； 业务内容出现重大变化时； 信息安全管理体系出现重大变化时； 采用标准、适用法律或验证方法出现重大变化时； 出现重大客户投诉或信息安全事故时； 其它需要增加内审的情形。 信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。审核范围可以是对公司进行整体审核，也可以按部门或过程进行局部审核。正常情况下，管理体系所涉及的所有部门和过程每年至少应覆盖一次。其中各部门或各过程的审核频次还应取决于其现状和重要程度，并考虑以往审核的结果。计划外的追加审核由管理者代表根据实际情况确定。 内部审核组织 由管理者代表负责组织内审小组；并填写《内审组长成员任命书》。 内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成(公司所有具备内部审核员资格的名单请参考附录A:《内审员登记表》。)；审核员应与被审核的活动无直接责任；审核员不应审核自己的工作,以保证审核的独立性。内部审核员应在公司内各部门挑选并经公司任命。 内审组长应由管理者代表从内审员中指定。管理者代表可以自己担任审核组长。 内部审核计划 内审组长负责组织制定和提出《内部审核计划》； 《内部审核计划》应包含审核目的、审核范围、审核时间和进度安排、审核成员，审核的注意事宜等。审核时间的安排需要和被审核部门事先协调； 《内部审核计划》由管理者代表审批后实施。管理者代表自己担任内审组长的情况下，需要组织内审小组其他成员对计划进行审核。 内部审核准备 各审核员应准备好并熟悉本次审核所依据的文件：如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。 2) 内审小组成员根据分工，编制《内审检查表》，并报内审组长批准。 内部审核实施 内部审核实施可划分为首次会议、现场审核和末次会议三个阶段进行。 首次会议 由内审组长召开首次会议，参加的人员由内审员及被审核部门负责人组