【ISO27001 2013版信息安全内部审核及管理评审全套资料】2018年最新企业内部管理体系审核资料汇编 下载本文

某某某股份有限公司

2018年最新版本

ISO/IEC 27001:2013 信息安全管理体

系之内部管理体系审核及管理评审全套资料

? 第一部分:内部审核全套资料(2-26页)

? 第二部分:管理评审全套资料(27-60页)

X X X 股 份 有 限 公 司

1

某某某股份有限公司

信息安全管理体系解读之 内部审核管理程序文件 文件编号: 版 本 号: 生效日期: 归口部门: 编制: 审核: 批准: 2

某某某股份有限公司

文件履历变更记录表 序号 制定/修订日期 修订内容 实施人 版本号 01 2018.12.02 首次编制 XXXX A0

3

某某某股份有限公司

目录

1 目的 ........................................... 4 2 范围 ........................................... 4 3 术语和定义 ..................................... 4 4 职责 ........................................... 5 5 工作流程 ....................................... 6 6 相关文件 ...................................... 11 7 相关记录 ...................................... 11 附表一:内部审核计划表 .......................... 12 附表二:内部审核报告 ............................ 13 附表三:不符合通知单 ............................ 14 附表四:纠正和预防措施记录表 .................... 15

内部审核管理程序

4

某某某股份有限公司

1 目的

通过编制内部审核管理程序文件,规范公司内部审核流程,

确保按照既定的标准流程对公司内部运行的ISO27001:2013 信息安全管理体系进行内部审核,以确认ISO27001:2013 信息安全管理体系是否有效、适宜和充分运行。

2 范围

本程序适用于公司的信息安全管理体系内审的控制。

3 术语和定义

内部审核:对信息安全管理体系进行客观评价,以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。

审核准则:审核员用来判定符合性的依据,如:ISO27001:2013 标准法规及其它要求、手册、程序文件和作业文件等。 审核计划:有具体目的和详细时间安排的一个或多个计划的 整体。

审核发现:对收集的违反审核标准的审核证据进行评价的结 果。

审核员:取得审核资格的人员。

4 职责

4.1 管理者代表

4.1.1 负责组织公司内部信息安全管理体系审核。 4.1.2 任命审核组组长。

5

某某某股份有限公司

4.1.3 批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。 4.2 信息安全部

4.2.1 负责组建审核小组,拟定年度内审计划,组织和协调内部审核工作。

4.2.2 负责对不符合项的纠正措施进行跟踪验证。 4.3 内审组长

负责编制审核实施计划,全面负责内审工作,编制内部审

核报告。 4.4 审核员

4.4.1 负责编制内部审核检查表,按分工实施现场审核。 4.4.2 收集、分析审核证据,编写“不符合项报告”。 4.5 受审核部门

4.5.1 负责向审核组提供审核所需的文件、资料、记录和必要的资源。

4.5.2 负责对本部门的不符合项进行原因分析和整改。

5 工作流程

5.1 审核计划

5.1.1 内部审核计划分“年度计划”和“季度计划”。年度

计划由信息安全部在年初提出,也可在信息安全管理工作实施计划中提出,并经管理者代表批准。 5.1.2 “内部审核实施计划”由审核组长制定。

6

某某某股份有限公司

5.1.3 制定年度内部审核计划的依据: a) 公司信息安全管理方针、目标及工作计划; b) 信息安全管理手册、程序文件和其它相关文件等; c) 上一年度管理评审提出的问题; d) 信息安全管理体系运行的结果; e) 相关方反馈的结果;

5.1.4 信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果,策划年度审核方案,编制“内部审核计划”。内容包括: a) 审核目的、范围、准则和方法; b) 受审核部门和审核时间; c) 审核的重点内容和要求。 5.2 审核方式和频次

5.2.1 每年至少进行一次常规的集中式或滚动式审核(两次间隔不得超过12个月)。滚动式审核要求各要素和部门每年至少覆盖一次。 5.3 审核准备

5.3.1 信息安全部在每次内部审核前两周内成立内审小组,报管理者代表审批。 5.3.2 管理者代表任命审核组长。

5.3.3 审核组长编制“内部审核实施计划”,报管理者代表审批。

7