某某某股份有限公司

2018年最新版本

ISO/IEC 27001:2013 信息安全管理体

系之内部管理体系审核及管理评审全套资料

? 第一部分：内部审核全套资料（2-26页）

? 第二部分：管理评审全套资料（27-60页）

X X X 股 份 有 限 公 司

1

某某某股份有限公司

信息安全管理体系解读之 内部审核管理程序文件 文件编号： 版 本 号： 生效日期： 归口部门： 编制： 审核： 批准： 2

某某某股份有限公司

文件履历变更记录表 序号 制定/修订日期 修订内容 实施人 版本号 01 2018.12.02 首次编制 XXXX A0

3

某某某股份有限公司

目录

1 目的 ........................................... 4 2 范围 ........................................... 4 3 术语和定义 ..................................... 4 4 职责 ........................................... 5 5 工作流程 ....................................... 6 6 相关文件 ...................................... 11 7 相关记录 ...................................... 11 附表一：内部审核计划表 .......................... 12 附表二：内部审核报告 ............................ 13 附表三：不符合通知单 ............................ 14 附表四：纠正和预防措施记录表 .................... 15

内部审核管理程序

4

某某某股份有限公司

1 目的

通过编制内部审核管理程序文件，规范公司内部审核流程，

确保按照既定的标准流程对公司内部运行的ISO27001:2013 信息安全管理体系进行内部审核，以确认ISO27001:2013 信息安全管理体系是否有效、适宜和充分运行。

2 范围

本程序适用于公司的信息安全管理体系内审的控制。

3 术语和定义

内部审核：对信息安全管理体系进行客观评价，以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。

审核准则：审核员用来判定符合性的依据，如：ISO27001:2013 标准法规及其它要求、手册、程序文件和作业文件等。 审核计划：有具体目的和详细时间安排的一个或多个计划的 整体。

审核发现：对收集的违反审核标准的审核证据进行评价的结 果。

审核员：取得审核资格的人员。

4 职责

4.1 管理者代表

4.1.1 负责组织公司内部信息安全管理体系审核。 4.1.2 任命审核组组长。

5

某某某股份有限公司

4.1.3 批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。 4.2 信息安全部

4.2.1 负责组建审核小组，拟定年度内审计划，组织和协调内部审核工作。

4.2.2 负责对不符合项的纠正措施进行跟踪验证。 4.3 内审组长

负责编制审核实施计划，全面负责内审工作，编制内部审

核报告。 4.4 审核员

4.4.1 负责编制内部审核检查表，按分工实施现场审核。 4.4.2 收集、分析审核证据，编写“不符合项报告”。 4.5 受审核部门

4.5.1 负责向审核组提供审核所需的文件、资料、记录和必要的资源。

4.5.2 负责对本部门的不符合项进行原因分析和整改。

5 工作流程

5.1 审核计划

5.1.1 内部审核计划分“年度计划”和“季度计划”。年度

计划由信息安全部在年初提出，也可在信息安全管理工作实施计划中提出，并经管理者代表批准。 5.1.2 “内部审核实施计划”由审核组长制定。

6

某某某股份有限公司

5.1.3 制定年度内部审核计划的依据： a) 公司信息安全管理方针、目标及工作计划； b) 信息安全管理手册、程序文件和其它相关文件等； c) 上一年度管理评审提出的问题； d) 信息安全管理体系运行的结果； e) 相关方反馈的结果；

5.1.4 信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果，策划年度审核方案，编制“内部审核计划”。内容包括： a) 审核目的、范围、准则和方法； b) 受审核部门和审核时间； c) 审核的重点内容和要求。 5.2 审核方式和频次

5.2.1 每年至少进行一次常规的集中式或滚动式审核（两次间隔不得超过12个月）。滚动式审核要求各要素和部门每年至少覆盖一次。 5.3 审核准备

5.3.1 信息安全部在每次内部审核前两周内成立内审小组，报管理者代表审批。 5.3.2 管理者代表任命审核组长。

5.3.3 审核组长编制“内部审核实施计划”，报管理者代表审批。

7