内部审核管理程序-v1

内部审核管理程序-v1内容摘要：

按策划的时间进行 信息安全管理 体系的内部审核，以验证管理活动和有关结果是否符合 信息安全管理 体系标准及公司 信息安全管理 体系文件的要求 ；是否符合 相关法律法规要求、客户和相关方的要求， 确保 信息安全管理 体系与标准的符合性、适宜性和有效性。 本程序 适用于 公司 信息安全管理体系内部审核。 2 术语和定义 ISO/IEC 27001:2020《信息技术 安全技术 信息安全管理体系要求》和 ISO/IEC 17799:2020《信息技术 安全技术 信息安全管理实施细则》规定的术 语适用于本标准。 3 引用 文件 ISO/IEC 27001： 2020。 《信息安全手册》。 4 职责 和权限  管理者代表负责组织内部审核活动 ，牵头成立内审小组。  内审 小组 负责内部审核的执行和不符合的跟踪与验证。  各职能部门配合内部审核工作的进行。  内审小组 负责 内部审核 工作的实施及审核资料的管理。 5 活动描述 内部审核流程 内部审 核可分为 7个 基本 步骤，内部审核流程的一般流程如下图所示： 内部审核实施 内部审核策划 内部审核总结 纠正不符合项 结果验证 审核记录归档 内部审核准备 开 始 结 束 = 、 内部审核策划 内部审核周期 及范围 在正常情况下公司信息安全管理体系内部审核至少每年组织 1次， 两次时间间隔不得超过 12个月。 出现下列情况时可由管理者代表决定是否增加信息安全管理体系的内部审核次数： 1) 组织结构和职能分工出现重大变化时； 2) 业务内容出现重大变化时； 3) 信息安全管理体系出现重大变化时； 4) 采用标准、适用法律或验证方法出现重大变化时； 5) 出现重大客户投诉或信息安全事故时； 6) 其它需要增加内审的情形。 信息安全管理体系审核对象为公司信息安全管理体系所涉及的部门和活动。 审核范围可以是对公司进行整体审核，也可以按部门或过程进行局部审核。 正常情况下，管理体系所涉及的所有部门和过程每年至少应覆盖一次。 其中各部 门或各过程的审核频次还应取决于其现状和重要程度，并考虑以往审核的结果。 计划外的追加审核由管理者代表根据实际情况确定。 内部审核组织 1) 由管理者代表负责组织内审小组；并填写《内审组长成员任命书》。 2) 内部审核员通常要求由接受过信息安全管理体系内部审核培训并取得资格证书的人员组成 (公司所有具备内部审核员资格的名单请参考附录 A:《内审员登记表》。 )；审核员应与被审核的活动无直接责任；审核员不。