内部审核控制程序
(ISO27001信息安全管理体系)
1 目的
为明确信息安全管理体系内审的实施方法,保证内审定期有效地实施,为管理评审和持续改进提供依据,确保信息安全管理体系的有效运行,特制定本程序。
2 范围
本程序适用于公司信息安全管理体系内部审核工作的实施和管理。
3 职责
3.1 营销中心负责内部审核的计划和实施。
4 相关文件
4.1《信息安全管理手册》
5 程序
5.1 审核计划
5.1.1 内部审核每年进行一次,由营销中心制定《内部审核方案》,经管理者代表审核、总经理批准后实施;特殊情况,经营销中心提出、管理者代表审核,总经理批准,可增加审核频次。
5.1.2 每次审核前,营销中心应制定《内部审核计划》,经管理者代表审核、总经理批准,提前3天通知被审核部门,被审核部门到时应选派有关人员配合审核。
5.2 内部审核员
5.2.1 内部审核员必须是熟悉公司软件开发、服务、信息系统情况,参加信息安全管理体系内部审核员培训并考核合格的公司人员。
5.2.2 内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性。
5.2.3 营销中心选择符合内部审核条件的人员填写《内部审核员评定表》,由管理者代表代表组织各部门代表评定。评定合格的列入《内部审核员名单》。
5.2.4 信息安全管理体系内部审核员为关键岗位,应按《关键岗位人员考评办法》进行考评,并签署《员工保密协议》。
5.3 内部审核的实施
5.3.1 内部审核员应按《内部审核计划》规定实施审核,各有关部门应积极配合。
5.3.2 对审核中发现的不符合项,由内部审核员开出《不符合项报告》 一式两份,一份交被审核部门,一份由营销中心存档。
5.4 纠正措施与跟踪审核
5.4.1 所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施:
(1)检查本部门其他方面和其他各部门是否存在类似情况;
(2)对所有存在的不符合的问题按有关规定改正过来;
(3)调查产生该不符合项的原因,填入《不符合项报告》的“产生不符合项的原因”栏内,调查人要签字,并写明日期;
(4)列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不符合项报告》的“纠正措施”栏内,经部门领导批准,并写明日期;
(5)按制定的纠正措施认真实施,并将实施结果记入《不符合项报告》的“实施结果”栏内,记录人要签字,并写明日期。
5.4.2 内部审核员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入《不符合项报告》。
5.5 审核报告
5.5.1 内部审核结束后,审核组长应起草《内部审核报告》,编制《不符合项报告分布表》,报总经理审阅,总经理签署意见后发至各部门,并保存《内部审核报告发放记录》。
5.5.2 内部审核的结果应作为管理评审输入的一部分。
5.5.3 营销中心应妥善保存评审记录。
6 记录
6.1《内部审核方案》
6.2《内部审核计划》
6.3《内部审核员评定表》
6.4《内部审核员名单》
6.5《员工保密协议》
6.6《不符合项报告》
6.7《内部审核报告》
6.8《不符合项报告分布表》
6.9《内部审核报告发放记录》
体系管理质量、环境、职业健康安全等管理体系知识分享!
包括管理知识培训教材PPT、体系运行文件制度及记录表单、审核技巧知识、实战报告案例、体系内审外审知识、审核员培训、各体系标准及标准解读分享,支持一键式打包下载!
是ISO各管理体系知识专业分享平台!
原文:t.zsxq.com/uJEiim2
