《0003信息安全管理体系程序文-内部审核管理程序.docx》由会员分享,可在线阅读,更多相关《0003信息安全管理体系程序文-内部审核管理程序.docx(12页珍藏版)》请在第一文库网上搜索。
1、信息安全管理体系文件内部审核管理程序受控状态 受控A/0编制:审核:批准:2017-1-10 实施2017-1-10 发布第o次修改修订履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期A/0初次发布内部审核管理程序1目的为了对信息安全管理体系的内部审核活动进行管理,以提供信息安全管理体系符合要求并有效运作的证据,特制定本程序。本程序适用于内部信息安全管理体系审核活动的实施和管理。3职责3. 1总经理负责年度内部审核计划的批准。3. 2管理者代表负责年度内部审核计划的审核和内部审核计划的批准,兼任审核组长,组织内部审核,并对审核结果进行确认,签发审核报告。3. 3行政财务部是公司
2、内部信息安全体系审核的归口管理部门,负责编制年度内审计划,保存内审记录。3.4 审核组组长职责策划内部信息安全体系审核。3.5 内部审核员职责内审员负责编制内部审核检查表,实施分工范围内的审核工作。3.6 各部门按审核计划接受和配合内部审核,对本部门的不合格项负责采取纠正措施,进行改进,并防止问题的再发生。4程序3.7 内部审核策划3.7.1 行政财务部每年年初根据信息安全管理体系运行情况,审核过程和区域的状况、重要性以及以往审核的结果进行策划,并编制年度内部审核计划,年度内部审核计划包括审核的目的、范围、依据、频次、时间、部门、过程及方法。3.7.2 编制年度内部审核计划采用集中审核的方式进
3、行安排,每年不得少于一次,最长的时间间隔不超过12个月,以确定信息安全管理体系是否符合产品实现的策划安排,标准的要求以及所确定的信息安全管理体系的要求是否得到有效实施与保持。3.7.3 年度内部审核计划经总经理批准后,在每次正式审核前,任命审核组长及审核员,审核组长负责按年度计划编制内部审核实施计划,主要内容包括:审核的目的、依据、范围、成员及分工、时间、部门、过程,审核人员不应审核本部门和自己的工作,审核员实施审核应确保客观性、公正性。3.8 审核准备3.8.1 审核组提前3天将内部审核实施计划发给受审部门,受审部门做好受审准备工作,受审部门对内审时间如有异议应在收到内部审核实施计划的当天与
4、审核组长协商,调整审核日期,取得双方协商一致。3.8.2 内审组长a)编制内部审核实施计划,并进行组内任务分工;b)组织内部信息安全管理体系审核实施;c)代表审核组同受审核部门沟通;d)督促、指导内审员实施审核工作;e)编制内部审核报告;3.9 内部审核员a)配合协助内审组长的工作,并按计划实施审核;b)编制内部审核检查表;c)审核员应按检查表进行现场审核,并做好记录。d)对审核中发现的不符合项应反馈给受审核部门进行确认,开具不符合报告:e)对纠正措施实施结果进行跟踪验证。3.9.1 内部审核员必须是熟悉本公司生产经营情况,参加内部审核员培训并考核合格的本公司人员。3.9.2 内部审核员应来自
5、于不同的部门,审核人员应与被审活动无直接责任,以确保审核过程的客观性和公正性。3.9.3 行政财务部选择符合内部审核条件的人员填写内部审核员评定表,并进行评定,经管理者代表批准。3.10 部审核的实施3.10.1 次会议a.审核开始时由审核组长召开首次会议,向受审部门简要的说明内审的目的、范围、依据、方式、组员和内审日程安排,并确定陪同人员。b.公司领导、内审组成员及各部门负责人在内审会议签到表上签到,并由行政财务部保存会议记录。3.10.2 场审核a.内审员根据内部审核检查表中的具体内容具体采用面谈、查阅文件,现场观察等方法对受审部门进行现场检查,收集客观证据,将体系运行结果及不符合项详细记
6、录在检查表中。b.内审组通过综合分析、评审观察结果,按依据的标准体系文件等相应条款的要求确认不符合项,发出不符合项报告给相关部门,并由部门领导签字确认。4. 4.3末次会议a.审核组长主持末次会议,重申审核目的、范围、和依据,审核组向公司领导说明审核观察结果,对质量管理体系的有效性提出审核组结论。b.公司、领导、内审组成员及各部门负责人在内审会议签到表上签到,并由行政财务部保存会议记录。4.4 纠正措施与跟踪审核4.4.1 所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施:a.检查本部门其他方面和其他各部门是否存在类似情况;b.对所有存在的不符合的问题按有关规定改正过来;
7、c.调查产生该不符合项的原因,填入不符合项报告的“产生不符合项的原因”栏内,调查人要签字,并写明日期;d.列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入不符合项报告的“纠正措施”栏内,经部门领导批准,并写明日期;e.制定的防止不符合再发生的纠正措施,并将措施填入不符合项报告,并写日期与负责人签字。4.4.2 行政财务部安排内审员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入不符合项报告。4.5 审核报告4.5.1 内部审核结束后,审核组长应起草内部审核报告,报管理者代表审核、总经理签署意见后发至各部门。462审核报告内容a)审核的目的、范围和依据;b)审核组成员和受审方代表名单;c)审核日期及审核计划,具体实施情况;d)不合格项目的数量、分布情况、严重程度;e)存在的主要问题;f)审核综述和结论;g)其他有关建议。4.6.3 内部审核的结果应作为管理评审输入的一部分。4.6.4 行政财务部应妥善保存内审记录。5引用文件无6记录JL0003-01年度内部审核计划JL0003-02内部审核实施计划JLOOO3-O3内审核查表JL0003-04内部审核员评定表JL0003-05不符合项报告JL0003-06内部审核报告