服务热线:13362097170 官方微信

杭州沙锁商务信息咨询有限公司

当前位置 : 首页 > 体系认证> ISO27000信息安全

体系认证

联系我们

服务热线 13362097170
杭州沙锁商务信息咨询有限公司
电话:0571-86503387 E-Mail:hz@hzsaso.com 地址:杭州钱塘新区前进街道江东一路5000号诚智商务中心5号楼前进众智创业园6613室

ISO27000安全体系认证内审管理程序

发布时间:2022/5/1 11:21:51 点击次数:3352

ISO27000安全体系认证内审管理程序

一、目的范围

通过验证信息安全管理体系是否符合标准和策划安排的要求,是否得到有效的保持、实施,确保管理体系的方针目标实现并持续改进。
二、职责
1、管理者代表负责批准内审计划、内审报告,并负责组织审核工作,任命审核组长。
2、内审组长编制内审计划,并负责审核的具体实施以及报告内审结果。
3、各单位负责配合内部审核的实施,并对审核不符合情况进行整改。
三、工作程序
1、内审策划
1)根据公司信息安全的实际运行状况,并根据审核对象重要程度、结合以往审核的结果,整体策划管理体系内部审核的方案。
2)根据需要,审核可覆盖体系全部要求和单位,也可以专门针对某几项要求或单位进行重点审核,各单位也可根据各自的实际情况,分别组织审核。
3)公司每年至少组织一次内审,每年的审核必须覆盖管理体系的全部单位和全部要求至少一次。
4)出现以下情况时由管理者代表决定是否增加审核次数:
● 组织机构、管理体系发生重大变化。
● 出现重大信息安全事故。
● 法律、法规及其他外部要求的变更。
● 其他认为必要时。
2、审核前的准备
1)管理者代表负责组成审核组、任命内审组长。内审组长负责具体策划审核安排,并编制《审核计划》,报管理者代表批准。实施计划应明确:
● 审核目的、范围、时间、依据。
● 审核组成员及分工安排,审核员应与受审部门无直接责任关系。
● 受审核部门及审核要点,预定时间安排。
● 审核中的注意事项。
2)组长应组织审核组编写《内审检查表》,明确审核的内容、方法。
3)《审核计划》应于内审开始前发放至受审部门,受审部门对内审安排如有异议,应及时通知内审组长。
4)内部审核员应经专业机构培训合格,经管理者代表批准资格。
3、内审的实施
1)内审开始,应由内审组长主持召开首次会议,领导层、内审组成员及各受审核单位负责人参加并签到。
2)内审组应按照《审核计划》的安排实施内审。审核员应根据《内审检查表》的要求,对受审单位、区域和工作的状况及绩效进行调查取证,以评价受审核部门和区域的体系运行的符合性、充分性和有效性。
3)审核员应在检查表中准确记录现场审核发现,尤其是体系运行不符合和有效性差的审核发现。内审组长应全面了解内审情况,对不符合项报告进行核对。
4)审核员应保持公正、客观的态度,如实地反馈审核的情况。
5)现场审核后,审核组长应组织审核组综合分析审核检查结果,综合评价审核单位、区域和工作的运行状况、绩效以及体系持续改进的状况,作出审核结论。同时对照与顾客的合同、各项标准、体系文件及有关法律法规要求,对审核中发现的问题经确认为不合格项的,发出《不合格报告》,交相关单位负责人确认。同时审核组应进行不符合项的分布情况分析。
6)审核组长应主持召开末次会议,由领导层、内审组成员及各受审单位负责人参加。由内审组长报告审核的计划、实施过程及审核结论,宣读不符合报告,提出对纠正措施的要求。
7)审核结束,审核组长编制《审核报告》,报管理者代表批准。审核报告内容应包括审核概况、审核计划实施情况总结、不合格项数量及严重程度、分布分析、主要问题原因分析、管理体系有效性、符合性结论及今后应改进的地方。
4、内审报告应提交公司管理评审。
5、针对审核中发现的不符合项,相关部门应组织分析原因,制定并实施纠正措施,报告措施的效果,经审核员对实施结果跟踪验证,确保不符合不再发生,同时报告验证结果,具体执行《纠正预防措施控制程序》要求。
四、相关文件及记录
1、《纠正预防措施控制程序》
五、相关文件及记录
审核计划
内审检查表
不合格报告
内审报告
首(末)次会议签到表