某某某股份有限公司
2018年最新版本
ISO/IEC 27001:2013 信息安全管理体
系之内部管理体系审核及管理评审全套资料
? 第一部分:内部审核全套资料(2-26页)
? 第二部分:管理评审全套资料(27-60页)
X X X 股 份 有 限 公 司
1
某某某股份有限公司
信息安全管理体系解读之 内部审核管理程序文件 文件编号: 版 本 号: 生效日期: 归口部门: 编制: 审核: 批准: 2
某某某股份有限公司
文件履历变更记录表 序号 制定/修订日期 修订内容 实施人 版本号 01 2018.12.02 首次编制 XXXX A0
3
某某某股份有限公司
目录
1 目的 ........................................... 4 2 范围 ........................................... 4 3 术语和定义 ..................................... 4 4 职责 ........................................... 5 5 工作流程 ....................................... 6 6 相关文件 ...................................... 11 7 相关记录 ...................................... 11 附表一:内部审核计划表 .......................... 12 附表二:内部审核报告 ............................ 13 附表三:不符合通知单 ............................ 14 附表四:纠正和预防措施记录表 .................... 15
内部审核管理程序
4
某某某股份有限公司
1 目的
通过编制内部审核管理程序文件,规范公司内部审核流程,
确保按照既定的标准流程对公司内部运行的ISO27001:2013 信息安全管理体系进行内部审核,以确认ISO27001:2013 信息安全管理体系是否有效、适宜和充分运行。
2 范围
本程序适用于公司的信息安全管理体系内审的控制。
3 术语和定义
内部审核:对信息安全管理体系进行客观评价,以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。
审核准则:审核员用来判定符合性的依据,如:ISO27001:2013 标准法规及其它要求、手册、程序文件和作业文件等。 审核计划:有具体目的和详细时间安排的一个或多个计划的 整体。
审核发现:对收集的违反审核标准的审核证据进行评价的结 果。
审核员:取得审核资格的人员。
4 职责
4.1 管理者代表
4.1.1 负责组织公司内部信息安全管理体系审核。 4.1.2 任命审核组组长。
5
某某某股份有限公司
4.1.3 批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。 4.2 信息安全部
4.2.1 负责组建审核小组,拟定年度内审计划,组织和协调内部审核工作。
4.2.2 负责对不符合项的纠正措施进行跟踪验证。 4.3 内审组长
负责编制审核实施计划,全面负责内审工作,编制内部审
核报告。 4.4 审核员
4.4.1 负责编制内部审核检查表,按分工实施现场审核。 4.4.2 收集、分析审核证据,编写“不符合项报告”。 4.5 受审核部门
4.5.1 负责向审核组提供审核所需的文件、资料、记录和必要的资源。
4.5.2 负责对本部门的不符合项进行原因分析和整改。
5 工作流程
5.1 审核计划
5.1.1 内部审核计划分“年度计划”和“季度计划”。年度
计划由信息安全部在年初提出,也可在信息安全管理工作实施计划中提出,并经管理者代表批准。 5.1.2 “内部审核实施计划”由审核组长制定。
6
某某某股份有限公司
5.1.3 制定年度内部审核计划的依据: a) 公司信息安全管理方针、目标及工作计划; b) 信息安全管理手册、程序文件和其它相关文件等; c) 上一年度管理评审提出的问题; d) 信息安全管理体系运行的结果; e) 相关方反馈的结果;
5.1.4 信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果,策划年度审核方案,编制“内部审核计划”。内容包括: a) 审核目的、范围、准则和方法; b) 受审核部门和审核时间; c) 审核的重点内容和要求。 5.2 审核方式和频次
5.2.1 每年至少进行一次常规的集中式或滚动式审核(两次间隔不得超过12个月)。滚动式审核要求各要素和部门每年至少覆盖一次。 5.3 审核准备
5.3.1 信息安全部在每次内部审核前两周内成立内审小组,报管理者代表审批。 5.3.2 管理者代表任命审核组长。
5.3.3 审核组长编制“内部审核实施计划”,报管理者代表审批。
7