返回
iso27001内部审核管理程序

iso27001内部审核管理程序

ID:31631227

大小:65.78 KB

页数:9页

时间:2019-01-16

iso27001内部审核管理程序_第1页
iso27001内部审核管理程序_第2页
iso27001内部审核管理程序_第3页
iso27001内部审核管理程序_第4页
iso27001内部审核管理程序_第5页
资源描述:

《iso27001内部审核管理程序》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、保密等级秘密文档名称内部审核管理程序文档编号发布组织信息安全工作委员会发布日期2009-1-5执行日期2009-1-5版本号1.0内部审核管理程序批准人签字审核人签字制订人签字曹立斌日期:2009-1-5金浩海日期:2009-1-5金浩海日期:2009-1-5变更履历序号版本编号或更改记录编号变化状态*简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期11.0C创建,全页。2009-1-5金浩海金浩海曹立斌2009-1-5*变化状态:c——创建,A——增加,M——修改,D——删除1目的和范围42

2、术语和定义43引用文件44职责和权限45活动描述45.1内部审核流程45.2内部审核策划55.3公司内审报告65.4纠正不符合项75.5跟踪和验证75.6审核记录归档76实施策略87相关记录81目的和范围按策划的时间进行信息安全管理体系的内部审核,以验证管理活动和有关结杲是否符合信息安全管理体系标准及公司信息安全管理体系文件的要求;是否符合相关法律法规要求、客户和相关方的要求,确保信息安全管理体系与标准的符合性、适宜性和有效性。本程序适用于公司信息安全管理体系内部审核。2术语和定义1S0/1EC27001:2005《信息技术-安

3、全技术-信息安全管理体系要求》和ISO/1EC17799:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。3引用文件ISO/IEC27001:2005。《信息安全手册》。4职责和权限•管理者代表负责组织内部审核活动,牵头成立内审小组。•内审小组负责内部审核的执行和不符合的跟踪与验证。•各职能部门配合内部审核工作的进行。•内审小组负责内部审核工作的实施及审核资料的管理。5活动描述5.1内部审核流程内部审核可分为7个基本步骤,内部审核流程的一般流程如下图所示:5.2内部审核策划5.2.1内部审核周期及范围

4、在正常情况下公司信息安全管理体系内部审核至少每年组织1次,两次时间间隔不得超过12个月。出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数:1)组织结构和职能分工出现重人变化时;2)业务内容!11现重大变化时:3)信息安全管理体系出现重大变化时;4)采用标准、适用法律或验证方法出现重大变化时;5)出现重大客户投诉或信息安全事故时:6)其它需要增加内审的情形。信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。审核范围可以是对公司进行整体审核,也可以按部门或过程进行局部审核。正常情况下,管理体系所

5、涉及的所有部门和过程每年至少应覆盖一次。英屮各部门或各过程的审核频次还应取决于英现状和重要程度,并考虑以往审核的结果。计划外的追加审核由管理者代表根据实际情况确定。5.2.2内部审核组织1)由管理者代表负责组织内审小组;并填写《内审组长成员任命书》。2)内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成(公司所有具备内部审核员资格的名单请参考附录A:《内审员登记表》。审核员应与被审核的活动无直接责任;审核员不应审核自己的工作,以保证审核的独立性。内部审核员应在公司内各部门挑选并经公司任命。3)内审组长

6、应由管理者代表从内审员中指定。管理者代表可以自己担任审核组长。5.2.3内部审核计划1)内审组长负责组织制定和提出《内部审核讣划》;2)《内部审核计划》应包含审核目的、审核范围、审核时间和进度安排、审核成员,审核的注意事宜等。审核时间的安排需要和被审核部门事先协调;3)《内部审核计划》由管理者代表审批后实施。管理者代表自己担任内审组长的情况下,需要组织内审小组其他成员对计划进行审核。5.3内部审核准备1)各审核员应准备好并熟悉本次审核所依据的文件:如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。2)内

7、审小组成员根据分工,编制《内审检查表》,并报内审组长批准。5.4内部审核实施内部审核实施可划分为首次会议、现场审核和末次会议三个阶段进行。5.4.1首次会议由内审组长召开首次会议,参加的人员由内审员及被审核部门负责人组成;在会议上,内审组长将介绍:1)内审小组成员、审核目的、范闱;2)审核方法、依据和程序;3)提出审核要求,确认审核日程安排等;4)公布末次会议日期、时间、会议内容及参加人员;5)审核计划中需说明的其他细节问题。5.4.2现场审核1)现场审核时,内审员根据《内审检查表》逐项进行审核,通过观察、提问、查阅文件和记录、

8、抽样、问题追踪等方法,以验证审核情况与体系的符合性。2)内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或直接责任人确认。以保证不合格项己经得到被审核部门的理解,便于纠正和预防。3)现场审核结朿后,内审组长召开内部内审小组成员会议,听収

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。