还剩3页未读,继续阅读
文本内容:
3.1负责制定年度审核计划与每次的审核计划,制定内审检查表以供各部门检查各项活动是否在信息安全保障内;总经理
3.2任命内部审核小组可以进行内审;负责管理和监督内审的进行与内审结果的确认其他各部门
3.3配合内部审核小组进行内审,对内审中发现的问题进行整改相关文件4《信息安全及信息技术服务管理手册》程序5年度内审计划
5.1计划制定
5.
1.1信息安全和信息技术服务小组制定年度审核计划,确认当年年度的审核的目的范围,受审部门及受审的时间安排交由管理才代表审批内部审核计划和方案,应该评估审核过程中的风险,该审核方案应该考虑在执行的过程中信息安全的风险,审计方案应该得到管理者批准内审
5.2内审时机
5.
2.1内部审核原则上每年进行1次,由信息安全和信息技术服务小组制定《内部审核计划》,经信息安全及信息技术服务小组批准后实施;若在非内审期内发现特殊情况,如有重要信息安全事件发生,或公司重要业务发生变化,可由综合部申请增加内审的次数,由信息安全及信息技术服务小组决定是否进行内审任命
5.
2.2每次审核前,由信息安全和信息技术服务小组组织内部审核人员参加信息安全审核工作信息安全和信息技术服务小组应制定《内部审核计划》,经信息安全及信息技术服务小组批准,并由信息安全和信息技术服务小组通知被审核部门,被审核部门到时应选派有关人员配合审核内部审核员
5.
2.3资格要求
1.
1.
1.1内部审核员必须是熟悉本组织业务和信息系统情况,参加信息安全和信息技术服务管理体系内部审核员培训并考核合格的本组织人员独立性要求
1.
1.22内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任,以保持工作的独立性资格评定
1.
1.4信息安全和信息技术服务小组选择符合内部审核条件的人员,派往相关机构进行培训合格后,填写《内部审核员评定表》,由综合部组织各部门代表评定合格后方可成为内部审核员评定要求
1.
1.5信息安全和信息技术服务管理体系内部审核员为关键岗位,应按规定进行评定内部审核的实施
5.3审核实施
5.
3.1内部审核员应按《内部审核计划》规定实施审核,各有关部门应积极配合不符合项开具
5.
3.2对审核中发现的不符合项,由内部审核员开出《不符合项报告及纠正预防报告单》纠正措施与跟踪审核
5.4纠正
5.
4.1所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施a)检查本部门其他方面和其他各部门是否存在类似情况;b)对所有存在的不符合的问题按有关规定改正过来;c)调查产生该不符合项的原因,填入《不符合项报告及纠正预防报告单》的〃产生不符合项的原因〃栏内,调查人要签字,并写明日期;d)列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入《不符合项报告及纠正预防报告单》的“纠正措施”栏内,经部门领导批准,并写明日期;)按制定的纠正措施认真实施,并将实施结果记入《不符合项报告及纠正预防报告单》的“实施结果”栏内,记录人要签字,并写明日期跟踪
5.
4.2内部审核员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入《不符合项报告及纠正预防报告单》审核报告
5.5审核报告
5.
5.1内部审核结束后,审核组长应起草《内部审核报告》,编制《不符合项报告及纠正预防报告单分布表》管理评审输入
5.
5.2内部审核的结果应作为管理评审输入的一部分记录保管
5.
5.3信息安全和信息技术服务小组应妥善保存评审记录外部审核
5.6外部审核时机
5.
6.1当在如下情况下可能会邀请外部机构对公司进行审核
1、当组织需要对信息安全体系进行评估审核时
2、当技术安全需要时,如研发的某些重要软件,需要邀请外部评估机构对系统的安全性做一些安全性方面的评估外部审核要求
5.
6.
21、当耍开展外部审核时,应该制定审核计划和方案,应该评估审核过程中的风险,该审核方案应该考虑在执行的过程中信息安全的风险,审计方案应该得到管理者批准
2、需要同第三方审核单位签订相关保密协议审计工具的使用
5.
6.3当在审计过程中,需要使用某些工具时(如漏洞搜索软件、黑客软件等),这些审核工具的使用需要得到限制,除非授权的专业人员外,其他人员禁止安装和使用记录6年度内部审核计划内部审核计划内审核查表不符合项报告内部审核报告内审签到表信息系统审计报告。
个人认证
优秀文档
获得点赞 0
