F4-B-总经办-003-V1.0-内部审核控制制度

【内部审核控制制度】F4-B-总经办-003-V1.0第页内部审核控制制度目录TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 活动描述 34.1.内部审核策划 34.1.1 内部审核周期及范围 34.1.2 内部审核准备 44.1.3 内审实施计划 44.1.4 审核组预备会议 44.1.5 审核收集 54.2.内部审核实施 54.2.1 内审声明 54.2.2 现场审核 54.2.3 内审结果通告 64.3.内审报告编制和分发 74.4.纠正措施的实施、跟踪及验证 74.5.检查监督 85. 审核记录归档 86. 相关记录 8

目的和范围按年度进行信息安全管理体系的内部审核，以验证管理活动和有关结果是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求；是否符合相关法律法规要求、客户和相关方的要求；确保信息安全管理体系与标准的符合性、适宜性和有效性。本制度适用于信息安全管理体系内部审核。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《纠正和预防措施控制制度》《文件控制制度》职责和权限管理者代表：负责批准《内部审核计划》和《内部审核报告》。行政部：内审记录存档。信息安全工作小组：负责组织对不符合项的验证跟踪及相应文件的管理工作。内审组组长：负责编制《内部审核计划》，组织编写《内部审核检查表》，根据计划组织实施信息安全管理体系内部审核；编写内审报告。各部门：积极配合体系内部审核，对审核过程中发现的问题及时采取纠正措施。活动描述内部审核策划内部审核周期及范围在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核，信息安全工作小组组织协调。当发生下列情况之一时（不限于），体系负责人可临时决定组织内部审核，临时内审范围由体系负责人根据实际情况确定：当管理体系、业务内容发生重大改变时；当外部要求，需对体系做出评价时；当体系发生重大变化时，如组织机构大调整、文件大量修改等；当发生严重不合格、或出现重大客户投诉或信息安全事故时；采用标准、适用法律或验证方法出现重大变化时；第三方认证机构审核前；其它需要增加内审的情形。内部审核准备信息安全工作小组在内审前确定审核组长和审核员，经体系负责人批准后，组建审核组。无论审核组长还是审核员必须符合下列条件：经培训，取得内审员资格或具有相关能力；具备相应的标准知识，具有责任心，较强的沟通和文字表达能力；熟悉审核程序，掌握审核方法；与被审查部门无直接责任和利害关系。内审实施计划审核组组长编制《内部审核计划》，报体系负责人审批后，由信息安全工作小组提前下发受审部门。受审核部门做好准备工作，如对审核计划有异议，需在实施审核前向审核组长反馈，协商调整。内部审核计划应包括审核目的、审核范围、审核准则、审核重点、审核人员及分工、会议和日程安排等内容。审核组预备会议审核组长组织召开审核组预备会议。内容包括：通报内部审核计划；明确审核员的分工；对审核员的工作提出具体要求；必要时对审核员进行培训。审核收集内审员收集审核所需的文件和资料，如：如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。并根据分工，编制《内部审核检查表》交审核组长批准。内部审核实施内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。内审声明审核组长向受审核方负责人进行内审声明，内审声明的内容有：审核组长声明审核目的、范围和准则；介绍审核组成员、分工及日程安排；简介审核方法；介绍审核结果的报告方法，包括不符合的分类等；审核计划中需说明的其他细节问题。现场审核现场要求审核组按照审核实施计划日程安排，根据《内部审核检查表》对受审核部门逐项进行审核，通过观察、提问、查阅文件和记录、抽样、问题追踪等方法，以验证审核情况与体系的符合性。内审员应如实记录审核的情况，对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解，便于纠正和预防。审核方式听：听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。查：查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。看：现场观察和检查装置设备的安全卫生和环境保护状况；规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况；信息安全设施配备运行情况。问：与现场主要管理人员及员工代表谈话，询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。审核组沟通审核组长组织，审核员各自介绍审核情况，充分讨论。审核组依据标准、体系文件及有关法律法规要求等审核准则，综合分析，共同评审审核发现，确认不符合项，确定审核结论。审核员填写《信息安全审核、检查发现事项通知单》，内容准确、清晰、有事实证据。受审核部门负责人或陪同人员对审核情况进行确认。内审结果通告内审结束后，审核组长将内审结果以邮件、书面等方式告知受审核方负责人、体系负责人及相关人员。内审结果通告主要内容有：审核情况总结；宣读不符合项及其严重程度；提出纠正时限和验证要求；宣布审核结论。内审结束后，审核组长将《审核、检查发现事项通知单》及时发放给受审核部门。内审报告编制和分发审核组长负责组织编写《内部审核报告》，报体系负责人审批。审核报告的主要内容有：审核目的范围及依据、审核日期、审核组成员、审核计划实施情况总结、审核发现（包括不符合项及其分布情况分析）、审核结论等。审核报告批准后，由信息安全工作小组将《内部审核报告》分发给信息安全管理领导小组、体系负责人、受审核方及有关部门。纠正措施的实施、跟踪及验证审核组对受审部门发出《审核、检查发现事项通知单》后，受审核部门立即组织进行原因分析，进行纠正或制订纠正或预防措施，指定专人负责整改，并将完成情况报信息安全工作小组，信息安全工作小组对实施结果进行跟踪验证，直至关闭。检查监督信息安全工作小组负责对内部审核的实施情况进行监督检查，发现问题采取适当的纠正措施，具体执行《纠正和预防措施控制制度》。根据审核工作的需要和审核员的变化情况适时组织审核员培训，提高审核能力。审核记录归档审核组长负责将内部体系审核的全部记录汇总整理后交信息安全工作小组保存。信息安全工作小组在审核结束后按照《记录控制制度》要求收回并保管好内部审核的记录。相关记录序号报告/记录名称保管场所期限保存形式备注1内部审核计划总经办3年电子/纸质2信息安全管理体系内审检查表总经办3年电子/纸质3审核、检查发现事项通知单总经办3年电子/纸质4内部审核报告总经办3年电子/纸质5内部审核记录单总经办3年电子/纸质本制度相关修改及解释权属于信息安全组织 文档编号（由总经办填写）F4-B-总经办-003-V1.0密级内部公