1、保密等級(jí)秘密文檔名稱(chēng)內(nèi)部審核管理程序文檔編號(hào)發(fā)布組織信息安全管理委員會(huì)發(fā)布日期執(zhí)行日期版本號(hào)1.0內(nèi)部審核管理程序批準(zhǔn)人簽字審核人簽字制訂人簽字變更履歷序號(hào)，本編虧，更改記,編與變化狀態(tài)*簡(jiǎn)要說(shuō)明（變更內(nèi)容、變更位置、變更原因和變更范圍）變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除1 目的和范圍42 術(shù)語(yǔ)和定義43 引用文件44 職責(zé)和權(quán)限45 活動(dòng)描述45.1 內(nèi)部審核流程45.2 內(nèi)部審核策劃55.3 內(nèi)部審核準(zhǔn)備65.4 內(nèi)部審核實(shí)施65.5 公司內(nèi)審報(bào)告75.6 糾正不符合項(xiàng)75.7 跟蹤和驗(yàn)證75.8 審核記錄歸檔86 實(shí)施策略87 相關(guān)記錄81 目的

2、和范圍按策劃的時(shí)間進(jìn)行信息安全管理體系的內(nèi)部審核，以驗(yàn)證管理活動(dòng)和有關(guān)結(jié)果是否符合信息安全管理體系標(biāo)準(zhǔn)及公司信息安全管理體系文件的要求；是否符合相關(guān)法律法規(guī)要求、客戶(hù)和相關(guān)方的要求，確保信息安全管理體系與標(biāo)準(zhǔn)的符合性、適宜性和有效性。本程序適用于公司信息安全管理體系內(nèi)部審核。2 術(shù)語(yǔ)和定義ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求和ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則規(guī)定的術(shù)語(yǔ)適用于本標(biāo)準(zhǔn)。3 引用文件ISO/IEC27001:2005。信息安全手冊(cè)。4 職責(zé)和權(quán)限管理者代表負(fù)責(zé)組織內(nèi)部審核活動(dòng)，牽頭成立內(nèi)審小組。內(nèi)審小組負(fù)

3、責(zé)內(nèi)部審核的執(zhí)行和不符合的跟蹤與驗(yàn)證。各職能部門(mén)配合內(nèi)部審核工作的進(jìn)行。內(nèi)審小組負(fù)責(zé)內(nèi)部審核工作的實(shí)施及審核資料的管理。5 活動(dòng)描述5.1 內(nèi)部審核流程內(nèi)部審核可分為7個(gè)基本步驟，內(nèi)部審核流程的一般流程如下圖所示：5.2 內(nèi)部審核策劃5.2.1 內(nèi)部審核周期及范圍在正常情況下公司信息安全管理體系內(nèi)部審核至少每年組織1次，兩次時(shí)間間隔不得超過(guò)12 個(gè)月。出現(xiàn)下列情況時(shí)可由管理者代表決定是否增加信息安全管理體系的內(nèi)部審核次數(shù)：13 )組織結(jié)構(gòu)和職能分工出現(xiàn)重大變化時(shí)；14 )業(yè)務(wù)內(nèi)容出現(xiàn)重大變化時(shí)；15 )信息安全管理體系出現(xiàn)重大變化時(shí)；16 )采用標(biāo)準(zhǔn)、適用法律或驗(yàn)證方法出現(xiàn)重大變化時(shí)；17 )

4、出現(xiàn)重大客戶(hù)投訴或信息安全事故時(shí)；18 )其它需要增加內(nèi)審的情形。信息安全管理體系審核對(duì)象為公司信息安全管理體系所涉及的部門(mén)和活動(dòng)。審核范圍可以是對(duì)公司進(jìn)行整體審核，也可以按部門(mén)或過(guò)程進(jìn)行局部審核。正常情況下，管理體系所涉及的所有部門(mén)和過(guò)程每年至少應(yīng)覆蓋一次。其中各部門(mén)或各過(guò)程的審核頻次還應(yīng)取決于其現(xiàn)狀和重要程度，并考慮以往審核的結(jié)果。計(jì)劃外的追加審核由管理者代表根據(jù)實(shí)際情況確定。19 2.2內(nèi)部審核組織1 )由管理者代表負(fù)責(zé)組織內(nèi)審小組；并填寫(xiě)內(nèi)審組長(zhǎng)成員任命書(shū)。2 )內(nèi)部審核員通常要求由接受過(guò)信息安全管理體系內(nèi)部審核培訓(xùn)并取得資格證書(shū)的人員組成(公司所有具備內(nèi)部審核員資格的名單請(qǐng)參考附錄A

5、:內(nèi)審員登記表。);審核員應(yīng)與被審核的活動(dòng)無(wú)直接責(zé)任；審核員不應(yīng)審核自己的工作，以保證審核的獨(dú)立性。內(nèi)部審核員應(yīng)在公司內(nèi)各部門(mén)挑選并經(jīng)公司任命。3 )內(nèi)審組長(zhǎng)應(yīng)由管理者代表從內(nèi)審員中指定。管理者代表也可以自己擔(dān)任審核組長(zhǎng)。4 .2.3內(nèi)部審核計(jì)劃1 )內(nèi)審組長(zhǎng)負(fù)責(zé)組織制定和提出內(nèi)部審核計(jì)劃；2 )內(nèi)部審核計(jì)劃應(yīng)包含審核目的、審核范圍、審核時(shí)間和進(jìn)度安排、審核成員，審核的注意事宜等。審核時(shí)間的安排需要和被審核部門(mén)事先協(xié)調(diào)；3)內(nèi)部審核計(jì)劃由管理者代表審批后實(shí)施。管理者代表自己擔(dān)任內(nèi)審組長(zhǎng)的情況下，需要組織內(nèi)審小組其他成員對(duì)計(jì)劃進(jìn)行審核。5.3內(nèi)部審核準(zhǔn)備1)各審核員應(yīng)準(zhǔn)備好并熟悉本次審核所依據(jù)的

6、文件：如標(biāo)準(zhǔn)、信息安全管理手冊(cè)、有關(guān)程序文件、合同、法律法規(guī)、客戶(hù)及相關(guān)方要求等。2) 內(nèi)審小組成員根據(jù)分工，編制內(nèi)審檢查表，并報(bào)內(nèi)審組長(zhǎng)批準(zhǔn)。5.4內(nèi)部審核實(shí)施內(nèi)部審核實(shí)施可劃分為首次會(huì)議、現(xiàn)場(chǎng)審核和末次會(huì)議三個(gè)階段進(jìn)行。5.4.1 首次會(huì)議由內(nèi)審組長(zhǎng)召開(kāi)首次會(huì)議，參加的人員由內(nèi)審員及被審核部門(mén)負(fù)責(zé)人組成；在會(huì)議上，內(nèi)審組長(zhǎng)將介紹：1) 內(nèi)審小組成員、審核目的、范圍；2) 審核方法、依據(jù)和程序；3) 提出審核要求，確認(rèn)審核日程安排等；4) 公布末次會(huì)議日期、時(shí)間、會(huì)議內(nèi)容及參加人員；5) 審核計(jì)劃中需說(shuō)明的其他細(xì)節(jié)問(wèn)題。5.4.2 現(xiàn)場(chǎng)審核1) 現(xiàn)場(chǎng)審核時(shí)，內(nèi)審員根據(jù)內(nèi)審檢查表逐項(xiàng)進(jìn)行審核，

7、通過(guò)觀(guān)察、提問(wèn)、查閱文件和記錄、抽樣、問(wèn)題追蹤等方法，以驗(yàn)證審核情況與體系的符合性。2)內(nèi)審員應(yīng)如實(shí)記錄審核的情況，對(duì)發(fā)現(xiàn)的不合格項(xiàng)應(yīng)詳細(xì)記錄并由被審核部門(mén)負(fù)責(zé)人或直接責(zé)任人確認(rèn)。以保證不合格項(xiàng)已經(jīng)得到被審核部門(mén)的理解，便于糾正和預(yù)防。3) 現(xiàn)場(chǎng)審核結(jié)束后，內(nèi)審組長(zhǎng)召開(kāi)內(nèi)部?jī)?nèi)審小組成員會(huì)議，聽(tīng)取內(nèi)審員的審核情況匯報(bào)、復(fù)核發(fā)現(xiàn)的不符合項(xiàng)、編寫(xiě)不符合項(xiàng)報(bào)告及糾正報(bào)告單4)內(nèi)審組長(zhǎng)應(yīng)與受審核部門(mén)領(lǐng)導(dǎo)進(jìn)行溝通，提出不符合項(xiàng)報(bào)告及糾正報(bào)告單請(qǐng)被審核部門(mén)簽字確認(rèn)。并責(zé)成相關(guān)部門(mén)按要求制定糾正及預(yù)防措施，并填寫(xiě)在不符合項(xiàng)報(bào)告及糾正報(bào)告單5.4.3末次會(huì)議1）末次會(huì)議由內(nèi)審組長(zhǎng)主持，由內(nèi)審小組成員、受審核方負(fù)

8、責(zé)人、不符合項(xiàng)相關(guān)人員參力口。2 ）由內(nèi)審小組通報(bào)審核結(jié)果，內(nèi)容可包括：報(bào)告審核情況；通報(bào)不符合項(xiàng)及其嚴(yán)重程度；提出制訂糾正措施、改進(jìn)對(duì)策的限期；本次審核結(jié)論。會(huì)議也可以以審核組與受審核部門(mén)進(jìn)行溝通的形式進(jìn)行。5.5公司內(nèi)審報(bào)告1） 審核報(bào)告的編寫(xiě)：信息安全管理審核后由內(nèi)審組長(zhǎng)起草編寫(xiě)審核報(bào)告，審核報(bào)告內(nèi)容需包括：審核目的、審核范圍、審核依據(jù)和審核時(shí)間；內(nèi)部審核組成員及其分工；被審核的部門(mén)內(nèi)部審核情況綜述；不符合項(xiàng)的綜合分析（不符合項(xiàng)目分布情況）；對(duì)被審部門(mén)的評(píng)價(jià)、審核結(jié)論等；存在問(wèn)題的分析及管理體系改進(jìn)措施的建議。2）審核報(bào)告的發(fā)布：公司內(nèi)審報(bào)告，經(jīng)管理者代表批準(zhǔn)后，打印或以電子文檔的方式分

9、發(fā)給被審核部門(mén)。3 ）公司內(nèi)審報(bào)告由內(nèi)審小組負(fù)責(zé)整理歸檔。4 .6糾正不符合項(xiàng)不符合項(xiàng)報(bào)告及糾正報(bào)告單由內(nèi)審小組統(tǒng)計(jì)后分發(fā)到各責(zé)任部門(mén)，由責(zé)任部門(mén)分析不合格原因，制定糾正措施，經(jīng)內(nèi)審組長(zhǎng)確認(rèn)后，由責(zé)任部門(mén)組織實(shí)施。5 .7跟蹤和驗(yàn)證1）審核小組在限定時(shí)間內(nèi)對(duì)糾正措施的實(shí)施情況進(jìn)行復(fù)審，以確認(rèn)不符合項(xiàng)的糾正情況并驗(yàn)證其有效性。2）責(zé)任部門(mén)已完成糾正措施后，通知內(nèi)審員驗(yàn)證其完成情況和有效性，并由內(nèi)審員在不符合項(xiàng)報(bào)告及糾正報(bào)告單上簽名認(rèn)可。3）不符合項(xiàng)復(fù)審仍不符合的項(xiàng)目，其部門(mén)負(fù)責(zé)人應(yīng)說(shuō)明原因并考慮是否需要重新制定糾正預(yù)防措施。4）如在規(guī)定的日期（一般不超過(guò)一個(gè)月）內(nèi)不能完成的，內(nèi)審員應(yīng)檢查不能完成

10、的原因無(wú)正當(dāng)理由的應(yīng)報(bào)管理者代表批準(zhǔn)后，重新開(kāi)出不符合項(xiàng)報(bào)告及糾正報(bào)告單并且必須在一個(gè)月內(nèi)關(guān)閉。5)內(nèi)部審核實(shí)施和驗(yàn)證情況由內(nèi)審組長(zhǎng)向管理者代表報(bào)告。5.8審核記錄歸檔本程序所涉及的所有記錄(內(nèi)部審核計(jì)劃、內(nèi)審檢查表、公司內(nèi)審報(bào)告等)由內(nèi)審小組按記錄控制程序統(tǒng)一歸檔保存。6實(shí)施策略1) 管理者代表負(fù)責(zé)成立內(nèi)審小組，并任命內(nèi)審組長(zhǎng)，發(fā)布內(nèi)審組長(zhǎng)成員任命書(shū)2) 內(nèi)審組長(zhǎng)負(fù)責(zé)組織編寫(xiě)并審核批準(zhǔn)內(nèi)部審核計(jì)劃。3) 各內(nèi)審員根據(jù)分工編寫(xiě)內(nèi)審檢查表。4) 由內(nèi)審組長(zhǎng)召開(kāi)首次會(huì)議，并填寫(xiě)首次會(huì)議的會(huì)議簽到記錄表5) 各內(nèi)審員根據(jù)計(jì)劃進(jìn)行內(nèi)審，發(fā)現(xiàn)不符合項(xiàng)，填寫(xiě)不符合項(xiàng)報(bào)告及糾正報(bào)告單，跟蹤不符合項(xiàng)的解決。6