您的位置:360文档中心› 0003-内部审核管理程序

0003-内部审核管理程序

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

内部审核管理程序CX-ISMS-0003-2015 版本:A/0

内部审核管理程序

1 目的

为了对信息安全管理体系的内部审核活动进行管理,以提供信息安全管理体系符合要求并有效运作的证据,特制定本程序。

2 范围

本程序适用于内部信息安全管理体系审核活动的实施和管理。

3 职责

3.1 管理者代表

负责《年度内部审核计划》和《内部审核计划》的审批,任命审核组长,组织内部审核,并对审核结果进行确认,签发审核报告。

3.2 综合部

是公司内部信息安全体系审核的归口管理部门,负责编制年度内审计划,保存内审记录。

3.3 审核组组长职责

策划内部信息安全体系审核。

3.4 内部审核员职责

内审员负责编制内部审核检查表,实施分工范围内的审核工作。

3.4 相关部门

按审核计划接受和配合内部审核,对本部门的不合格项负责采取纠正措施,进行改进,并防止问题的再发生。

4 程序

4.1 内部审核策划

4.1.1综合部每年年初根据信息安全管理体系运行情况,审核过程和区域的状况、重要性以及以往审核的结果进行策划,并编制《年度内部审核计划》,年度内部审核计划包括审核的目的、范围、依据、频次、时间、部门、过程及方法。

4.1.2编制《年度内部审核计划》采用集中审核的方式进行安排,每年不得少于一次,最长的时间间隔不超过12个月,以确定信息安全管理体系是否符合产品实现的策划安排,标准的要求以及所确定的信息安全管理体系的要求是否得到有效实施与保持。

4.1.3《年度内部审核计划》经管理者代表批准后,在每次正式审核前,任命审核组长及审核员,审核组长负责按年度计划编制《内部审核实施计划》,主要内容包括:审核的目的、依据、范围、成员及分工、时间、部门、过程,审核人员不应审核本部门和自己的工作,审核员实施审核应确保客观性、公正性。

4.2 审核准备

4.2.1审核组提前3天将《内部审核实施计划》发给受审部门,受审部门做好受审准备工作,受审部门对内审时间如有异议应在收到《内部审核实施计划》的当天与审核组长协商,调整审核日期,取得双方协商一致。

4.2.2内审组长

a)编制《内部审核实施计划》,并进行组内任务分工;

b)组织内部信息安全管理体系审核实施;

c)代表审核组同受审核部门沟通;

d)督促、指导内审员实施审核工作;

e)编制《内部审核报告》;

4.3 内部审核员

a)配合协助内审组长的工作,并按计划实施审核;

b)编制《内部审核检查表》;

c)审核员应按检查表进行现场审核,并做好记录。

d)对审核中发现的不符合项应反馈给受审核部门进行确认,开具《不符合报告》:e)对纠正措施实施结果进行跟踪验证。

4.3.1 内部审核员必须是熟悉本公司生产经营情况,参加内部审核员培训并考核合格的本公司人员。

4.3.2 内部审核员应来自于不同的部门,审核人员应与被审活动无直接责任,以确保审核过程的客观性和公正性。

4.3.3 综合部选择符合内部审核条件的人员填写《内部审核员评定表》,并进行评定,经管理者代表批准。

4.4 内部审核的实施

4.4.1首次会议

a.审核开始时由审核组长召开首次会议,向受审部门简要的说明内审的目的、范

围、依据、方式、组员和内审日程安排,并确定陪同人员。

b.公司领导、内审组成员及各部门负责人在《内审会议签到表》上签到,并由综合

部保存会议记录。

4.4.2现场审核

a.内审员根据《内部审核检查表》中的具体内容具体采用面谈、查阅文件,现场

观察等方法对受审部门进行现场检查,收集客观证据,将体系运行结果及不符合

项详细记录在检查表中。

b.内审组通过综合分析、评审观察结果,按依据的标准体系文件等相应条款的要

求确认不符合项,发出《不符合项报告》给相关部门,并由部门领导签字确认。

4.4.3末次会议

a.审核组长主持末次会议,重申审核目的、范围、和依据,审核组向公司领导说

明审核观察结果,对质量管理体系的有效性提出审核组结论。

b.公司、领导、内审组成员及各部门负责人在《内审会议签到表》上签到,并由综

合部保存会议记录。

4.5 纠正措施与跟踪审核

4.5.1 所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实

施:

a.检查本部门其他方面和其他各部门是否存在类似情况;

b.对所有存在的不符合的问题按有关规定改正过来;

c.调查产生该不符合项的原因,填入《不符合项报告》的“产生不符合项的原因”

栏内,调查人要签字,并写明日期;

d.列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不

符合项报告》的“纠正措施”栏内,经部门领导批准,并写明日期;

e.制定的防止不符合再发生的纠正措施,并将措施填入《不符合项报告》,并写日

期与负责人签字。

4.5.2综合部安排内审员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验

证,并将验证结果记入《不符合项报告》。

4.6 审核报告

4.6.1 内部审核结束后,审核组长应起草《内部审核报告》,报管理者代表审核、管理者代表签署意见后发至各部门。

4.6.2审核报告内容

a)审核的目的、范围和依据;

b)审核组成员和受审方代表名单;

c)审核日期及审核计划,具体实施情况;

d)不合格项目的数量、分布情况、严重程度;

e)存在的主要问题;

f)审核综述和结论;

g)其他有关建议。

4.6.3 内部审核的结果应作为管理评审输入的一部分。

4.6.4综合部应妥善保存内审记录。

5 引用文件

6 记录

JL0003-01 《年度内部审核计划》

JL0003-02 《内部审核实施计划》

JL0003-03 《内审核查表》

JL0003-04 《内部审核员评定表》

JL0003-05 《不符合项报告》

JL0003-06 《内部审核报告》

相关文档
最新文档