《ISMS-P00-2023 程序文件(27001 2022版汇编).docx》由会员分享,可在线阅读,更多相关《ISMS-P00-2023 程序文件(27001 2022版汇编).docx(115页珍藏版)》请在课桌文档上搜索。
1、编号:ISMS-POO-2023版本号:VI.0受控状态:受控密级:内部公开【组织名称】信息安全程序文件汇编(ISO/IECFDIS27001:2022)文档信息文档编号:ISMS-P00-2023文档分类:内部公开-受控编写:审核:批准:初次发布日期:生效日期:修订日期:版本记录版本号版本日期修改审批人修改履历V1.O2023.01.01/创建文档ISMS-POl文件控制程序151、文档介绍151.1编写目的151.2适用范围152、术语、定义和缩略语152.1管理体系文件152.2管理手册152.3程序文件152.4作业指导文件152. 5文件的变更173、职责172.1 文件编写人员的职
2、责172.2 文件审核批准人员的职责173. 3文件修改人的职责174、体系文件阶层及编码184. 1文件阶层185. 2文件及记录编码185、文件要求185.1文件要素185.2文件控制195. 2.1文件编写195. 2.2文件审批195. 2.3文件的监督、核查195. 2.4文件保存与发放195. 2.5文件版本控制和修订195. 2.6文件对外提供205. 2.7文件的作废处置206. 2.8外来文件的管理206、相关表单201SMS-P02记录控制程序211、文档介绍211. 1编写目的211.2适用范围212、术语、定义和缩略语213、职责214、作业内容211. 1记录的填写规
3、定212. 2记录的归档管理104. 3记录的储存与维护105. 4记录的报废管理106. 5记录表格的修订107. 5.1各部门的记录表格在使用前均须经过主管级以上批准。108. 6记录表格的标识109. 6.1参与ISMS体系的表格应进行编号,并注明版本。104.7当有追溯要求时,各部门的记录应及时提供查阅。105、相关文件10ISMS-P03内部审核管理程序121、文档介绍121.1目的121.2,范围122、术语定义123、职责124、作业内容134.1审核频率134.2作业说明134.2.1内部审核的策划内审计划的制定134.2.2实施内部审核144.2.3执行纠正措施144.2.4
4、验证结果144.3流程输入及输出154.3.1输入154.3.2输出155、内部审核相关表单15TSMS-P04管理评审管理程序161、文档介绍161. 1目的161.2. 范围162、职责163、内容163.1审核频率163.2管理评审程序173.2.1管理评审策划管理评审计划制定173.2.2管理评审实施1)管理评审准备173. 2.3管理评审后续问题处理编制管理评审报告184. 3流程输入及输出185. 3.1输入183.3.2输出194. 管理评审相关表单19ISMS-P05监视和测量管理程序201目的202适用范围203术语和定义204职责204. 1管理运营部204. 1.2负责识
5、别与公司有关的法律法规,并检验是否满足。204. 2管理者代表204. 3管理运营部206. 4采购保障部205工作程序207. 1法律符合性测量208. 1.1法律识别209. 1.2知识产权205.1.3 保护组织的记录215.1.4 数据保护和个人信息的隐私215.1.5安全管理信息处理设施215.1.6密码合法使用215.2策略、标准和技术的符合性测量215.2.1安全策略、标准符合性215.2.2技术符合性测量225.3信息系统审计225.3.1信息系统审计控制措施225.3.2审计工具的保护225.4审计过程和产品225.4纠正和预防236记录23ISMS-P06纠正与预防措施管理
6、程序241、文档介绍241.1编写目的241.2 适用范围241.3 引用文件ISO/IEC27001:2022242、角色和职责243、内容243.1持续改进的策划243.2纠正措施253.3预防措施253.4其他措施273.5流程输入及输出274、相关表单27ISMS-lj07信息交流管理程序281、文档介绍282、术语和定义283、引用文件284、职责和权限285、内部沟通296、外部沟通307、信息交流控制措施308、物理介质的运送309、相关记录30ISMS-P08人力资源管理程序311、目的312、范围313、引用文件31IS0IEC27001:2022314、职责311. 1人力
7、资源部312. 2其他部门324. 3总经理325、任用前325. 1安全角色与职责321周内完成。325.1 人员选拔325.2 任用条款和条件336、任用中336. 1体系教育与培训336.1 培训计划的制定与审批336.2.3教育培训计划经总经理批准后实施。346.2 培训的目的346.3 培训的对象及内容346.4 培训的形式356.4.1 培训:由公司内、外部有专长的人员就某一专题进行讲授356.5 培训记录356.6 纪律处理357、任用终止或变更357. 1终止职责357 .2资产归还358 .3撤销访问权357. 4后期管理368、记录36ISMS-P09信息安全风险评估管理程
8、序371、目的372、范围373、参考文件374、定义374.1资产asset374.2资产价值valueofasset374.3威胁threat374.4脆弱性vulnerability374.5事件event384.6风险risk384.7残余风险residualrisk384.8安全需求securityneed384.9措施countermeasure384.10风险评估riskassessment384.11风险处理risktreatment384.12风险管理riskmanagement385、职责Responsibi1ity386、风险评估的实施频率及评审397、程序397.1资产
9、识别397.2资产赋值397.2.2.1机密性赋值(x)397.2.2.2完整性赋值(y)407.2.2.3可用性赋值(Z)407.2.2.4资产重要性等级(八)417.3威胁识别417.3.1威胁分类417.3.2威胁赋值(T)447.4脆弱性识别447.4.1脆弱性识别内容447.4.2脆弱性赋值(V)457.5已有安全措施的确认467.6风险分析467.6.3风险计算(R)477.6.4风险结果判定477.7风险处置477.7.1风险处置计划477.7.2风险处置的可选措施487.7.3风险处理工作的优先级排序487.8残余风险评估487.9实施和运行ISMS的批准488、记录49ISM
10、S-PlO信息资产密级管理程序501、范围502、规范性引用文件503、术语和定义504、职责和权限504. 1管理运营部504.2各部门505、活动描述515. 1密级的分类516、涉密、受控文件、资料的标识、制发的管理516. 1管理职责516.2企业秘密的指令516. 3秘密、受控文件的表示方法526.4 接收部门和使用目的、范围的指定526.5 秘密文件的发放管理526.6 企业秘密的使用527、企业秘密、受控指令的解除或变更537.1解除或变更的条件537. 2解除或变更的方法538、回收/废弃549、事故的处理5410、教育5411、离/退职后的保密义务5512、其它55ISMS-
11、Pll访问控制管理程序561、适用562、目的563、职责564、程序564.2 用户访问管理564. 2.1权限申请565. 权限申请人员;b)访问权限的级别和范围;c)申请理由:d)有效期576. 2.2权限变更577. 2.3用户访问权的维护和评审578. 2.4连接的控制589. 2.5会话与联机时间的控制5810. 2.6网上信息公布管理5811. 2.7系统实用工具的使用584.3 用户口令管理584.3.1分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求584.3.2口令的选择与使用要求594.4特殊权限管理594.5访问记录控制594.6远程工作策略594.7远程工
12、作授权程序604.7.3当不再需要远程工作时,应及时取消该用户的访问权。604.8密码设置604.8.1密码设置原则:604.8.2密码存储614.8.3密钥分配614.8.4密码使用614.8.5密码变更、废除、销毁及恢复615、记录62ISMS-P12密码管理程序631、目的632、适用范围633、定义633.1密码:本程序中的密码指用户的认证信息,或叫口令:634、职责634.1 系统管理员634.1.2负责加密狗的使用和管理:634.2 用户634.2.1 负责按本程序的要求使用、保护、定期更换自己的密码;635、流程图无636、管制重点636.1密码管理策略636.1.4登录成功时,
13、尽可能显示上一次登录的口期和时间;646.1.6密码不能和用户名或登录名相同;646.2密码的分配与传递要求646. 3密码的储存646.3 .1一般不对密码进行可记录形式的储存;646.4 .3可行时,系统管理员在定期更换密码后保存历史加密密码,以防止密码的重.646.4密码的使用656.5密码变更、销毁657、相关文件无658、相关记录65ISMS-P13物理与环境安全管理程序661、适用662、目的663、职责664、程序664.1外来人员分类661)本公司职工上下班必须认真准时打卡,不得有代打卡行为发生。671)出口玻璃门锁早晨打开,晚上下班后上锁。687)管理运营部负责对员工进行安全
14、培训I,提高安全意识。684. 5访客管理685)重要被邀访客的登记,可由公司邀请部门直接填写。694 .6设备安全695 .7消防管理691)与物业签订合同时,要记入相关消防安全项目,明确双方责任。693)安全通道禁止摆放任何物品,并设置安全疏散标志。695、安全培训706、在安全区域工作的安全要求707记录70ISMS-P14运行安全管理程序711、目的712、范围713、数据保存管理713.1 数据导入和修改713.2 数据提取和发放723.3 应对数据传输进行控制723.3.6通信线路传输数据的保密策略723.4 数据操作日志管理734、保护关键数据734.1 关键数据的认定与存档73
15、4.2 关键数据介质的保存734.2.1备份频率:734.2.2备份数据保留时间:734.2.3备份存储和备份介质管理:734.2.4备份恢复测试:744.2.5备份介质销毁:744.3备份操作管理741.3. 1对服务器要做好相应的备份。745、备份介质存放和管理756、备份恢复757、相关记录76ISMS-P15通讯安全管理程序771、适用与目的772、信息处理设施的分类773、职责774、信息处理设施的引进和安装774. 1引进依赖774. 2进行技术选型784.3 编写购入规格书784.4 定货784.5 开箱检查,安装、调试,验收785信息处理设施的日常维护管理795. 1计算机设备
16、管理795. 2计算机设备维护795. 3计算机调配与报废管理795. 3.3调配805.4报废处理805.5 笔记本电脑安全管理805.6 计算机安全使用的要求805. 6.2使用计算机时应遵循信息安全策略要求执行。806. 6.6不得使用计算机设备处理正常工作以外的事务。817. 6.9严禁乱拉接电源,以防造成短路或失火。815.7 网络安全使用的要求815.8 支持性设施与布览安全81a)信息处理设施的电源和通信线路不得采用明线布置,应在地下、墙内或采815.9 无人值守的用户设备保护826、信息处理设施的日常点检826.1 计算机的日常点检826.2 网络设备的管理与维护826.3点检
17、策略826.3.2审核日志应该包括:事件(成功或失败)发生的时间;事件的有关信息826.3.5日志的配置最低要求836.4维修服务的外包安全控制836.4.3不接受厂商通过远程诊断端口进行远程维护访问授权。836.5资料的保存846.6网络扫描工具的安全使用管理846.7信息处理设备可用性管理847、其它要求848、记录84ISMS-P16变更管理程序851.文档介绍851.1编写目的851.2适用范围852 .术语、定义和缩略语853 .变更管理流程863.1流程解释863.2业务价值863.3流程原则861.1.1 3.1变更类型871.1.2 3.2责任人原则871.1.3 风险判定原则
18、881.1.4 审批原则881.1.5 目标解决时间原则881.1.6 变更窗口原则881.1.7 前导时间原则891.1.8 回退原则891.1.9 关闭原则893.4流程相关定义893.4.1变更信息项893.4.2变更状态代码893.4.3变更分类903.4.4变更关闭代码903.5角色及职责903.6流程输入及输出913.6.1流程触发条件913.6.2输入913.6.3输出913.6.4流程关闭条件92变更已经实施完成并经过评审和确认923.7流程描述923.7.1作业流程说明923.8流程衡量指标及报表933.9相关文件93ISMS-P17信息系统开发与维护管理程序941、适用94
19、2、目的944、程序944.1 应用软件设计开发的控制944.1.1 设计开发任务提出944.1.2 设计开发的策划944.1.3 设计开发人员的要求954.1.4 设计开发方案的技术评审954.1.5 设计开发的环境要求964.1.6 软件的测试与试运行964.1.7 1.7更改控制964.1.8 源程序库(程序源代码)管理及技术文档管理964.2 系统的维护管理974.2.2容量策划974.2.3变更策划974.2.4变更的实施974.2.5变更不成功的恢复措施984.2.6软件包的变更985、记录98ISMS-P18供应商管理程序991、目的992、适用范围994、职责995、程序100
20、5.1管理策略1005.2控制指标1006、相关记录100ISMS-P19事件管理程序1011 .适用1012 .目的1013 .职责1014 .程序1014.1信息安全事件定义与分类1014.1.1信息安全事件的定义:1014.1.2信息安全事件分类规范1014.1.3信息安全事件分级规范:1034.2故障与事故的报告渠道与处理1041.1.1 1故障、事故报告要求1041.1.2 故障、事故的响应1041.1.3 事态、事件报告方式1052 .3故障、事故调查处理与纠正措施1053 .4报告信息安全薄弱点与预防措施1054 .6风险处置流程1065 .相关/支持性文件1066 .记录106
21、ISMS-P20业务连续性管理程序1071文档介绍1071.1编写目的1071.2适用范围1072术语、定义和缩略语1073连续性管理流程1073.1角色及职责1073.2连续性影响分析1083.2.3业务持续性和影响分析报告应包括以下内容:1093.3编制业务持续性管理实施计划1093.3.2部门业务持续性管理计划的编写分工为:1093.3.3业务持续性管理计划应包括以下方面的内容:1093.5 业务持续性管理计划的实施要求1093.6 业务持续性计划的测试与评审1104相关文件110ISMS-P21符合性管理程序Ill1、目的Ill2、适用范围Ill3、术语和定义Ill4、职责Ill5、工
22、作程序Ill5.1 法律符合性测量Hl5. 1.1法律识别Ill6. 1.2知识产权1127. 1.3保护组织的记录1128. 1.4数据保护和个人信息的隐私1139. 1.5安全管理信息处理设施11310. 1.6密码合法使用1135.2 策略、标准和技术的符合性测量1135.2.1安全策略、标准符合性1135. 2.2技术符合性测量1145.3 信息系统审计1145.3 .1信息系统审计控制措施1145.4 .2审计工具的保护1145.4 纠正和预防1146记录114ISMS-P22第三方信息安全管理程序1151目的1152范围1153. 1管理运营部1153.2各相关部门1154程序11
23、54. 1管理对象1151.1.1 我公司的相关方包括以下团体或个人:1154.2 相关方的信息安全管理1154.2. 1相关部门应协调管理运营部识别外部相关方对信息资产和信息处理设施造1154.3 外来人员管理1164.3.4外来人员的逻辑访问按访问控制管理程序进行。1164.4 第三方服务的管理1164.4.1第三方服务能力的评定1165.记录117TSMS-P23相关方信息安全管理程序1181目的1182范围1183职责1183. 1管理运营部1183.2各相关部门1184程序1184. 1管理对象1184.2 相关方信息安全管理1194.3 对外来人员的管理1194.4 对承包商和供应
24、商的管理1194.5 对相关方的监督管理1195相关文件1206记录120ISMS-POl文件控制程序1、文档介绍1.1 编写目的为了更好的对信息安全管理体系有关文件进行控制,明确定义管理体系文件和记录控制的职责,确保各方所使用的文件及资料为最新有效版本,以及对管理体系文件的管理进行有效控制,特制定本程序。1.2 适用范围本文件控制程序适用于公司的IS0/IEC27001:2022体系范围内的所有形式的受控文件及记录。除非明确是非受控文件,本程序中提到的文件均指受控文件。2、术语、定义和缩略语2.1 管理体系文件管理体系文件由管理手册、程序文件、操作指南和记录报告模板等文件组成,包括:一级文件
25、:管理体系的纲领性文件和指南(管理手册);二级文件:管理体系的管理性文件和流程文件;三级文件:管理体系的作业指导性文件(岗位规章、操作制度、工作计划及操作规范等);四级文件:管理体系的记录和报告模板。2.2 管理手册手册反映组织服务方针、服务目标,向组织内部和外部提供关于管理体系的信息文件,是体系文件的一级文件。2.3 3程序文件程序文件是文件化的运作程序,是对完成管理活动所规定的方法,此处特指体系文件中二级文件。2.4 作业指导文件作业指导文件是为了保证具体作业活动符合要求而制订的作业标准,是体系文件中三级文件。2.5 文件的变更文件变更指新增文件和对已发布文件执行修订。3、职责在公司管理者
26、代表的领导下,公司管理运营部负责组织体系文件的编写、报批、统一编号和必要时进行评审及修改。管理运营部负责本程序文件的编制,并负责体系文件的审核、收发、保管及管理。管理运营部负责获取、识别、更新公司适用的法律法规及其他要求,执行法律、法规及其他要求控制程序。3.1 文件编写人员的职责.按标准规定的要求拟定管理体系要求的文件;.文件目的和使用范围要明确清晰;.文件内容中的术语和定义要准确,内容要完整,同时并具有可操作性;.文件中规定的职责和权限要明确;.文件中的文字要保持简洁,用词规范;.要求记录填写人签署自己的姓名(或已电子签名的形式或已具有法律效力的签章等形式)、生效日期、记录内容。3.2 文
27、件审核批准人员的职责.审核文件内容是否与规定要求相一致;.审核文件规定的职责是否明确和可落实;.审核程序的规定能否满足保证质量的要求;.审核文件中定义的接口和呈送范围是否清楚。3.3 文件修改人的职责.文件发布前或更新后必须就其完整性与充分性进行批准和验证。.管理文件的更改和修订信息,文件上应标明版本号,更改应有相应的修改记录,并由具有相应权限的人员签批。.对计划和实施服务管理体系所需的外来文件进行识别,并控制其分发。.防止作废文件的非预期使用,如果出于某种目的而保留作废文件,对这些文件应进行适当的标识。作废文件只允许有相应权限的人员进行查询。但需要更新修改记录、版本和文件日期。比如拼写和语法
28、更正。4、体系文件阶层及编码1.1 文件阶层体系文件分为四层:手册、程序文件、操作规范、表单。4. 2文件及记录编码文件编码采取四段M位,描述如下:Zhkj-Isms-XNN-NNNN第一段(ZHKJ,4位字母)代表公司;第二段(ISMS,4位字母)管理体系;第三段(XNN,3位数字),X代表体系阶层,分别取值M,P,W,R;NN代表流水号,按顺序对文件编号。第四段(NNNN,4位数字)代表年号。5、文件要求4.1 文件要素管理体系中的受控文件要求控制包括如下要素:.文件名称或编码:识别文件的唯一名称或文件编码。.版本和日期:版本号,文件创建或最近更新的日期。.修改人:对文件内容负有职责和撰写
29、,修改权限的人。.批准人:有权批准文件生效的人。修改记录:文件所做更改的摘要。.外来文件:从外部获得的文件,必须得到识别并控制其分发,以确保能获得其最新版本。,完整性的标志:页眉、页脚处需带有公司的1.OG、文件名称、版权与页码等信息。.文件附件:如果一份要求控制的文件是附在或包含在另一份受控文件中的,那么它也必须符合该文件的控制要求。4.2 文件控制5. 2.1文件编写管理体系负责人或流程负责人识别相关标准文件中的有关要求,并组织相关人员根据这些要求编写管理体系的有关文件。5.2.2文件审批管理体系文件必须经过审批。审批权限定义如下:文件阶层文件类型(示例)审批权限1信息安全管理手册管理运营
30、部/管理者代表2管理程序、流程手册管理运营部/各流程负责人3操作规范、操作规程各流程负责人4记录、表单各流程负责人5.2.3文件的监督、核查公司管理运营部建立监督与检查制度,定期(每半年不少于一次)对本程序执行情况进行监督检查,对发现的问题进行跟踪处理。公司各部门对认证、内审、自检中出现的问题进行归纳整理,公司管理运营部应不定期召开例会,对内、外审、自检中出现的问题进行传达,避免在运行中出现同类不合格,确保文件控制程序有效运行。5. 2.4文件保存与发放管理体系文件一般以电子文档形式保存在文件库,正式发布的体系文件需打印并装订成册保管。相关记录应放置到对应目录中,由各流程负责人保管,并配置相应
31、人员读写权限。体系发布范围为:- 公司管理层及业务流程涉及的相关所有部门人员。体系文件库访问和读写权限设置如下:- 体系文件写权限:管理运营部。- 发布范围中的其他人员只具备读权限。5.2.5文件版本控制和修订对体系文件的修改,按文件审核、批准的程序进行,并对文件的主要修改内容做好版本记录工作以及修改说明。有关文件控制和修订记录,更新到每个体系文件第二页的版本信息和文档记录当中。一旦正式发布的文件版本有更新,需在文件存放系统中同步更新。5.2.6文件对外提供当外部审核或客户要求等原因需要输出到纸介质上时,受控文件需经由管理者代表负责审批,由管理者代表签发文件审批接收单,收文人应在接收单上签收。
32、5.2.7文件的作废处置文件作废时,由发文单位下发文件审批/接收单,持有文件的各部门、各单位和人员在接到作废通知单后,应及时撤出作废文件,标示后妥善保存或销毁;接到作废通知单后,对纸质文件应及时将需作废文件交还至发文单位,由发文单位标记后统一保管或销毁;对非纸质文件的作废,由发文单位根据发放记录要求文件相关持有部门进行相应作废处置并做监督检查。存储在磁盘介质中的电子文件予以删除,存储在光盘中的将光盘粉碎。5.2.8外来文件的管理各职能部门收到外来文件后,到管理运营部进行外来文件收文登记,如需转发,由文件的对口部门填写文件审批表,或在文件上注明审批意见报管理者代表批准后,确定发放范围,交公司管理
33、运营部,按发放范围和份数统一下发,公司管理运营部负责存档。公司管理运营部建立外来文件、资料清单,记录在外来文件清单。6、相关表单文件审批接收单外来文件清单文件发放清单文件修改通知单文件销毁记录文件借阅记录表ISMS-P02记录控制程序1、文档介绍1.1 编写目的为了更好的对信息安全管理体系有关记录进行控制和管理,明确定义管理体系记录控制的职责,为证明公司信息安全工作满足要求,及为公司ISMS体系有效运行提供客观证据,特制定本程序。1.2 适用范围本文件控制程序适用于公司的IS0/IEC27001:2022体系范围内的所有形式的记录。2、术语、定义和缩略语记录是为完成活动或达到的结果提供客观证据
34、的文件。对体系运行情况执行监督审查的作用。体现信息的真实性、可控制性、可审查性、不可抵赖性。记录以多种形式介质形式存在,即存储在磁介质上的数据,亦或体现在纸质介质的记录文件。记录有多种体现,多种形式。例如:会议签到记录、业务持续性计划测试报告、维护记录、采购记录、用户访问授权记录等。3、职责1.1 管理运营部是记录控制的归口管理部门,负责程序记录的管理和监督检查。3. 2部门主管权责:确认记录内容正确性。4. 3各部门助理人员:保管、维护本部门有关记录。4、作业内容4.1 记录的填写规定4.1.1 依据表格的格式及实际运行状况如实填写。4.1.2 须填写记录日期与签核日期。4.1.3 依权限签
35、名、审核与批准。4.1.4 不可以用铅笔记录表格。4.1.5 书写错误后,要求采用划线修正并签名,不得使用修正液涂改。4.2 记录的归档管理4.2 .1责任部门应对相关记录分类4.3 .2较繁杂的记录表单编制存档目录以便查阅及取放。4.3 记录的储存与维护4.3. 1填写完成的记录由各相关责任部门保存,要求储存于档案柜内或打包装箱,并予以适当的标识。如:注明年月日、部门、记录名称等相关内容。4. 3.2存放处须保持干净,并应防止其受到损坏。4. 3.3各类记录依据规定的保存期限进行保管。5. 3.4记录若有损坏、遗失等情形,应及时采取修复或补单等措施。5.1 记录的报废管理各部门须每个月处理一
36、次近期文件,将超过有效期的记录向管理运营部申请销毁。5.2 记录表格的修订4.5.1各部门的记录表格在使用前均须经过主管级以上批准。4.5.2在使用过程中,若发现表格不适用,则可向主管级以上提出修改,可按文件控制程序的有关要求执行修改。4.6 记录表格的标识4 .6.1参与ISMS体系的表格应进行编号,并注明版本。5 .6.2已报废的记录若需要更改作其它用(如用于复印),则应在已报废表格的正面盖上作废章或打上“X”作标识。4.7 当有追溯要求时,各部门的记录应及时提供查阅。4.8 若表格需印刷或复印时,应向主管报告,再到管理运营部索取正确的表格样本,不得自行外出印刷或擅自复印。5、相关文件记录
37、销毁表单记录一览表ISMS-P03内部审核管理程序1、文档介绍1.1目的本文件编写的目的是规定了公司进行内部审核的工作内容和方法。以评价公司ISOIEC27001:2022标准的符合性以及有效性;监督过程的执行效果、发现问题,确保管理体系持续有效地运行,并为其持续改进提供依据。1.2.范围适用于对公司信息安全管理体系内的所有内审活动。2、术语定义有效性:计划的活动被实现的程度,以及计划的结果的达成程度内部审核:有时称第一方审核,用于内部目的,由组织自己或以组织的名义进行,可作为组织自我合格声明的基础。审核方法:可以分为文件审核和现场审核;通过交谈、查阅文件、现场操作检查收集质量活动的客观依据;
38、现场发现的问题应由各运维小组负责人确认并记录。3、职责a、管理者代表负责负责审批内部审核计划;组织和领导内部审核工作;向管理评审会议汇报内部审核情况;根据计划组织内部审核活动的实施;c、管理运营部负责人按照本程序的要求编制内部审核计划;负责内部审核的计划和实施工作,组织对纠正措施的验证跟踪及文件的管理工作。d、内审员负责内部审核活动的具体实施;各相关部门负责按内部审核计划准备并提供与本部门有关的审核所需的资料;执行规范、配合内部审核组完成审核工作;针对不合格项合制定和实施纠正措施。4、作业内容4.1 审核频率常规情况下内部审核活动每年进行一次。此外,在下列情况下,经管理者代表批准可以增加临时内
39、部审核。 组织机构、管理体系、工作环境发生重大变化; 发生重大服务事件或信息安全事件,顾客有重大投诉; 第三方认证或注册审核前。4.2 作业说明4.3 2.1内部审核的策划内审计划的制定D管理运营部人员根据管理体系需求提出审核需求,制定内部审核计划,上报管理者代表审核并由最高管理者批准。 一般情况下审核组长由管理者代表担任,也可由总经理指定公司某部门负责人担任; 内审组长拟订审核组成员,报管理者代表审批; 在进行被审核对象分组时,应注意审核员与被审对象之间没有直接领导关系或审核的内容与自己的工作直接关系。 )内部审核计划的内容; 实施计划的内容要包括审核目的、范围、审核小组、日程安排、审核依据
40、、审核组成员及分工等;3)内审资料的收集; 审核组收集相关的体系文件(包括管理手册、程序文件、作业文件、记录)和有关的法律法规; 各部门负责人协助完成资料收集过程; )审核组发送出内部审核通知并编制内审检查表; 审核组提前5个工作日向受审核部门发送内部审核通知; 受审核部门要作必要的准备工作,并确定陪审人员,如对审核安排有异议,须在接到通知后的2个工作日内反馈给内审组,另行协商内部审核计划; 内部审核小组提前编制内审检查表-Checklist; 审核组长组织举行审核前会议,确保准备工作完成,责任明确。4.2.2实施内部审核1 )审核组长组织首次内审会议;参会人员要求:高层管理者(必要时)、管理
41、者代表、审核组全体成员、受审核项目小组代表及主要工作人员等;审核组长介绍组员,宣布审核方案、依据、程序、日程等注意事项;审核组长向被审核部门提出审核保障条件和配合的要求;2)内审员进行内部审核(内部审核方法分为文件审核与现场审核)并根据审核结果填写内审检查表-CheCkIist,审核时审核员要公正而又客观地对待问题;3)审核组汇总检查结果,对不合格项与各部门确认后,提交内审不符合项报告及纠正报告送达各部门;4)不符合项所属部门在3日内补充内审不符合项报告及纠正报告并提交给审核小组;报告中应明确拟采取的纠正措施及完成期限,以便审核员进行跟踪验证;5)内审组长组织内审结束会议;总结审核情况,宣布审
42、核结论,说明不合格项;提出纠正改进的建议;内审组编写内部审核报告,报告内容包括审核部门、时间、地点、对本次审核的结果描述等;内部审核报告经管理者代表审批确认后签发;4. 2.3执行纠正措施不符合项所属部门根据内审不符合项报告及纠正报告采取纠正措施,并在规定期限内完成;活动验证:内部审核员对不符合项的纠正措施结果进行检查;5. 2.4验证结果D纠正措施完成后,审核组长组织验证完成情况;验证人确认纠正措施的完成并在内审不符合项报告及纠正报告上签字确认;不合格项所属部门对不能在规定时间内完成的不合格项,要及时通知内审组,协调验证时间;2)审核组长对内审记录进行整理并归档;4.3流程输入及输出4.3.1输入 内部审核计划 审核管理程序 内审检查表 管理体系文件及修订记录(包括管理手册、程序文件、作业文件、记录)4.3.2输出内审不符合项报告及纠正报告内部审核报告5、内部审核相关表单内部审核计划内审检查表内审不符合项报告及纠正报告会议纪要(内审首/末次会)内部审核报告ISMS-P04管理评审管理程序1、文档介绍1. 1目的为确保公司信息安全管理体系
