信息安全管理内部审核管理程序原创经典ISO27001版本最新体系资料含全.docx

信息安全管理内部审核管理程序原创经典ISO27001版本最新体系资料含全.docx

《信息安全管理内部审核管理程序原创经典ISO27001版本最新体系资料含全.docx》由会员分享，可在线阅读，更多相关《信息安全管理内部审核管理程序原创经典ISO27001版本最新体系资料含全.docx（20页珍藏版）》请在冰点文库上搜索。

信息安全管理内部审核管理程序原创经典ISO27001版本最新体系资料含全

XXX股份有限公司

信息安全管理体系解读之

内部审核管理程序文件

文件编号：

版本号：

生效日期：

归口部门：

编制：

审核：

批准：

文件履历变更记录表

序号

制定/修订日期

修订内容

实施人

版本号

01

2018.08.07

首次编制

XXXX

A0

内部审核管理程序

1目的

通过编制内部审核管理程序文件，规范公司内部审核流程，确保按照既定的标准流程对公司内部运行的ISO27001:

2013信息安全管理体系进行内部审核，以确认ISO27001:

2013信息安全管理体系是否有效、适宜和充分运行。

2范围

本程序适用于公司的信息安全管理体系内审的控制。

3术语和定义

　内部审核：

对信息安全管理体系进行客观评价，以证实管理体系的符合性和有效性所进行的系统的、独立的、并形成文件的过程。

　审核准则：

审核员用来判定符合性的依据，如：

ISO27001:

2013标准法规及其它要求、手册、程序文件和作业文件等。

审核计划：

有具体目的和详细时间安排的一个或多个计划的

整体。

审核发现：

对收集的违反审核标准的审核证据进行评价的结

果。

　审核员：

取得审核资格的人员。

4职责

　4.1管理者代表

　4.1.1负责组织公司内部信息安全管理体系审核。

　4.1.2任命审核组组长。

　4.1.3批准信息安全管理体系内部审核年度计划、审核实施计划和审核报告。

　4.2信息安全部

　4.2.1负责组建审核小组，拟定年度内审计划，组织和协调内部审核工作。

　4.2.2负责对不符合项的纠正措施进行跟踪验证。

　4.3内审组长

　负责编制审核实施计划，全面负责内审工作，编制内部审核报告。

　4.4审核员

　4.4.1负责编制内部审核检查表，按分工实施现场审核。

　4.4.2收集、分析审核证据，编写“不符合项报告”。

　4.5受审核部门

　4.5.1负责向审核组提供审核所需的文件、资料、记录和必要的资源。

　4.5.2负责对本部门的不符合项进行原因分析和整改。

5工作流程

　5.1审核计划

　5.1.1内部审核计划分“年度计划”和“季度计划”。

年度计划由信息安全部在年初提出，也可在信息安全管理工作实施计划中提出，并经管理者代表批准。

　5.1.2“内部审核实施计划”由审核组长制定。

　5.1.3制定年度内部审核计划的依据：

　a）公司信息安全管理方针、目标及工作计划；

　b）信息安全管理手册、程序文件和其它相关文件等；

　c）上一年度管理评审提出的问题；

　d）信息安全管理体系运行的结果；

　e）相关方反馈的结果；

　5.1.4信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果，策划年度审核方案，编制“内部审核计划”。

内容包括：

　a）审核目的、范围、准则和方法；

　b）受审核部门和审核时间；

　c）审核的重点内容和要求。

　5.2审核方式和频次

　5.2.1每年至少进行一次常规的集中式或滚动式审核（两次间隔不得超过12个月）。

滚动式审核要求各要素和部门每年至少覆盖一次。

　5.3审核准备

　5.3.1信息安全部在每次内部审核前两周内成立内审小组，报管理者代表审批。

　5.3.2管理者代表任命审核组长。

　5.3.3审核组长编制“内部审核实施计划”，报管理者代表审批。

　a）审核目的及依据；

　b）审核涉及的过程和区域；

　c）审核人员及分工、审核时间安排等。

　5.3.4审核组长对小组成员进行分工，内审员编写“内部审核检查表”。

　5.3.5对审核员的要求

　a）至少应接受过中等教育或具有同等学历；

　b）经过国家批准的认证培训机构培训，并取得资格证；

　c）经管理者代表聘任；

　d）内审员不能安排审核自己的工作。

　5.3.6审核组应在审核前一周向受审部门下发“内部审核实施计划”。

受审部门对审核时间有异议，可在内审前三天通知审核组，与审核组长协商解决。

　5.3.7受审部门应作好准备工作，并指定陪同人员。

　5.4审核实施

　5.4.1由审核组长主持召开首次会议，介绍审核计划及时间安排等。

参加会议人员包括：

审核组成员、受审核部门负责人及有关人员。

　5.4.2内审员依据“内审检查表”进行现场审核，通过查阅文件、记录、提问、交谈、现场观察等方式收集客观证据。

　5.4.3内审员对审核情况应如实记录，发现不符合时，开出“不合格项报告”。

要求如下：

　a）不符合事实描述应清楚，引用客观证据；

　b）不符合理由充分，对照标准或管理体系文件的要求判定；

　c）不符合事实由受审部门或陪同人员确认；

　d）明确整改完成时间。

　5.4.4现场审核后，审核组长主持召开末次会议，报告审核结果、不合格项、审核结论、提出对纠正措施的要求。

参加会议人员应包括首次会议的所有人员。

　5.4.5受审部门应对不符合项的事实进行确认，若对不符合项有异议，由审核组长报告管理者代表进行仲裁。

　5.5审核报告

　5.5.1内部审核结束后一周内，审核组长向管理者代表提交“信息安全管理体系内部审核报告”。

内容包括：

　a）审核的目的、范围、依据和时间；

　b）审核组成员；

　c）审核过程综述，包括对不符合项数量、严重程度及分布的描述；

　d）存在的主要问题；

　e）对信息安全管理体系有效性、符合性评价结论；

　f）不符合项整改要求及时限。

　5.5.2“内部审核报告”经管理者代表批准后，发至受审核部门和相关领导并存档。

　5.5.3当内部审核采用滚动式计划进行时，审核组组长在每年年底将各次审核情况汇总并编制年度审核报告。

　5.6不符合项整改

　5.6.1责任部门在收到不符合项报告后，按《不符合与纠正措施管理程序》要求对不符合项进行整改。

　a）纠正：

对已发现的不符合项采取处置性措施加以消除；

　b）举一反三：

自查本部门还有无此类情况，如有要逐一纠正；

　c）原因分析：

分析不符合项发生的原因；

　d）纠正措施：

对已发现的不符合项采取根本性措施，防止再次发生。

　5.6.2对纠正措施进行评价，采取的措施应与不符合项的程度相适应。

　5.6.3责任部门应将上述内容填入“不符合项报告”，并将不符合项整改实施的见证性材料作为附件报信息安全部。

　5.7纠正措施实施效果验证

　5.7.1信息安全部应对纠正措施的可行性和有效性进行验证，并记录验证结果。

　5.7.2逾期未完成的纠正措施或没有达到实施效果时，应进一步分析原因，再次限定完成时间或重新制定纠正措施。

　5.8记录的管理

　内部审核过程中产生的记录（包括审核计划、检查表、不符合项报告纠正措施实施的见证性材料、审核报告等），由信息安全部存档。

6相关文件

6.1《不符合与纠正措施管理程序》

7相关记录

7.1《年度内部审核计划》

7.2《内部审核实施计划》

7.3《内部审核检查表》

7.4《不符合项报告》

7.5《信息安全管理体系内部审核报告》

附表一：

内部审核计划表

审核目的：

审核范围：

审核依据：

审核时间：

审核组长：

审核人员：

A组：

B组：

审核日程安排

日期

时间

组别

部门

要素

附表二：

内部审核报告

审核目的

审核范围

审核依据

审核时间

受审核部门

审核组

内审综述

不符合数量及条款

内审结论

分发

批准：

年月日编制：

年月日

附表三：

不符合通知单

受审核组织

受审核部门

审核日期

不符合事实描述

不符合条款

不符合

类型

■一般不符合

□严重不符合

对纠正行动的要求

对所提不符合项制定纠正措施并予以实施，完成时间：

■30日□60日□90日　　　　　　　　　　　　　　　　　　　　　　　　

是否要求纠正：

□　是■否完成时间：

□30日□60日□90日

验证方式：

■审核组对纠正措施计划的可行性及纠正措施实施证实资料进行评价并在下次现场审核时跟踪验证实施的有效性。

□审核组对提供的纠正行动有效的证实性资料进行确认。

□审核组于现场审核结束30日（60日或90日）后对纠正措施实施和纠正的有效性进行现场验证

□其他：

说明：

审核员

联络员

受审核方代表签字

日期

纠正措施

验证

纠正行动是否有效□有□否；

纠正措施实施是否有效□有□否

验证人员:

日期：

附表四：

纠正和预防措施记录表

实际（潜在）不合格/不符合描述：

记录人：

日期；年月日

原因分析及纠正/预防措施：

措施批准人；

实施负责人；日期年月日

纠正/实施记录：

实施负责人日期：

年月日

实施效果验证：

验证人；

日期；年月日

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

6规划

6.1.2信息安全风险评估

企业是否定义风险评估过程？

企业是否明确风险识别的相关责任人？

企业是否识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险？

企业是否识别风险发生后的潜在影响以及风险发生概率？

是否对风险的等级进行确认并制定风险的处置的优先级？

企业是否制定风险接收准则以及执行信息安全风险评估的准则?

企业是否根据风险分析结果确认风险的接受性？

企业是否保留信息安全风险评估过程的文件记录信息？

企业是否有策划应对风险和机会的措施？

是否制定方案以确保整合和实施这些措施并将其纳入信息安全管理体系过程。

应对风险和机遇的措施是否得到实施和评价措施的有效性？

6.1.3信息安全风险处置

企业是否定义风险处置过程？

企业是否编制信息安全风险处置计划？

企业是否制定相关的风险处置措施？

是否对制定的措施与ISO27001:

2013附录A的控制措施进行比较，以核实没有遗漏

控制措施？

若有删减是否进行合理性说明？

企业是否指定风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准？

企业是否保留信息安全风险处置过程的文件记录信息？

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

6规划

6.2信息安全目标和规划实现

信息安全目标是否适用于企业？

信息安全目标是否与信息安全方针相一致？

信息安全目标是否进行了量化？

信息安全目标的制定是否考虑了适用的信息安全要求以及风险评估和风险处置结果？

是否将信息安全目标与各相关方进行沟通？

信息安全目标是否适时更新？

信息安全目标是否形成文件记录并按文件控制程序要求进行保存？

在策划如何实现信息安全目标时，企业是否有考虑：

1、要做什么

2、由谁去完成目标；/

3、需要的资源；

4、如何评价结果

5、什么时候完成。

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

7支持

7.1资源

企业为建立、实施、保持和持续改进信息安全管理体系所需的资源有哪些？

7.2能力

是否对从事影响信息安全执行工作的人员进行了识别，对各类人员所需的教育、培训、技能和经验提出了要求？

培训需求是否合理？

是否按计划实施？

企业是否确保人员在适当教育，培训和经验的基础上能够胜任工作？

企业是否采取措施来获得必要的能力，并评价所采取措施的有效性？

是否适当地保存了教育、培训、技能、经验的记录？

7.3意识

企业员工及各相关方是否知晓公司信息安全方针？

企业控制下的员工是否意识到对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处？

企业控制下的员工是否意识到其活动不符合信息安全管理体系要求可能产生的影响？

7.4沟通

企业是否确定有关信息安全管理体系在内部和外部进行沟通的需求？

其需求是否涵盖ISO27001:

2013标准提出的需求？

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

7支持

7.5文件信息

7.5.1.总则

企业是否按标准要求和按企业情况形成信息安全管理体系文件信息？

并保持和保留这些文件信息？

7.5.2创建和更新

企业是否规定了文件的保管办法？

企业是否规定了评审文件的有效性？

企业是否规定了失效文件的处置、管理办法？

所有文件是否字迹清楚？

标识是否明确？

文件发布前是否得到授权人的批准？

是否均注明制定或修订日期

文件的查找是否方便？

文件的保管是否有效？

7.5.3文件信息控制

文件化信息内容是否完整？

版本是否有效？

文件化信息是否对记录的标识、收集、编目、归档、保存、维护、查阅、处置管理做出了规定？

文件化信息的形成与活动是否同步进行？

与企业有关的文件化信息有哪些？

与受审核部门有关的记录有哪些？

是否有保存期的规定？

文件修改后是否重新批准？

识别修改状态的方法是什么？

使用时是否都使用适应文件的有效版本？

文件化信息是否按档案管理规范的要求处置和管理？

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

8运行

8.1运行的规划和控制

企业是否规划、实施和控制满足信息安全要求所需的过程，并实施风险和机会应对中确定的措施？

企业是否实施这些规划来实现企业所确定的信息安全目标？

企业是否保持文件记录信息来证明过程是按计划执行的？

企业是否控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响？

企业是否识别外包过程并编制外包过程清单？

企业是否采取措施使外包过程处于控制状态？

8.2信息安全风险评估

企业是否按计划的时间间隔执行信息安全风险评估？

当重大变更被提出或发生时是否执行信息安全风险评估？

企业是否保留信息安全风险评估结果的文件记录信息？

8.3信息安全风险处置

企业是否实施信息安全风险处置计划？

企业是否保留信息安全风险处置结果的文件记录信息？

输入的充分性与适宜性是否进行了评审，以保证其完善、清楚且不自相矛盾

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

9

绩效评价

9.1监视、测量、分析和评价

企业是否明确需要监视和测量的项目？

是否包括信息安全过程和控制措施？

企业是否明确监视、测量、分析和评价的方法？

是否对结果的有效进行确认？

何时实施监视和测量？

何时对监视和测量结果进行分析评价？

由谁分析和评价结果？

企业是否保存相关的监视和测量结果？

9.2内部审核

公司是否按计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否有效、适宜和充分的？

内部审核的频次和结果是否满足企业体系运行要求

是否根据过程情况确定内审频次？

是否选定适合的内审员进行内审？

是否确定每次内审的准则和范围？

内审结果是否上报相关管理者？

内部审核中发生的问题是否采取纠正？

内部审核相关文件是否有保留？

XXXX股份有限公司

2018年ISO27001:

2013信息安全管理体系审核检查表表格编号：

受审部门

审核时间

2018.05.24

审核人员

条款

子条款

审核内容

审核记录

评价

9

绩效评价

9.3管理评审

企业是否定期召开管理评审？

并在管理评审中确定信息安全管理体系的运行是否适宜、充分和有效，并与组织的战略方向一致

管理评审输入资料是否满足ISO27001:

2013标准的要求？

管理评审输出资料是否满足标准的要求？

并保留形成文件的信息？

有哪些改进的机遇？

10改进

10.1不符合和纠正措施

企业是否针对不符合采取正确的纠正及预防措施？

是否建立和实施改进、纠正措施的要求？

是否保存信息安全管理体系改进与创新记录？

是否调查分析了不符合的原因，并起到防止不符合再发生的目的？

是否针对原因提出措施并实施和记录结果？

纠正措施的实施是否验证其效果，并作出评价？

重大的纠正措施是否成为管理评审的输入？

10.2持续改进

企业是否对管理体系的有效性、适宜性和有效性对信息安全管理体系进行适当调整？