公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证办理
发货地深圳或广州
ISO27001认证办理信息安全管理体系认证办理
内部审核实施
内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。
1 内审声明
审核组长向受审核方负责人进行内审声明,内审声明的内容有:
1) 审核组长声明审核目的、范围和准则;
2) 介绍审核组成员、分工及日程安排;
3) 简介审核方法;
4) 介绍审核结果的报告方法,包括不符合的分类等;
5) 审核计划中需说明的其他细节问题。
2 现场审核
1) 现场要求
审核组按照审核实施计划日程安排,根据《内部审核检查表》对受审核部门逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。
内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。
2) 审核方式
听:听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。
查:查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。
看:现场观察和检查装置设备的安全卫生和环境保护状况;规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况;信息安全设施配备运行情况。
问:与现场主要管理人员及员工代表谈话,询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。
3) 审核组沟通
审核组长组织,审核员各自介绍审核情况,充分讨论。
审核组依据标准、体系文件及有关法律法规要求等审核准则,综合分析,共同评审审核发现,确认不符合项,确定审核结论。审核员填写《信息安全审核、检查发现事项通知单》,内容准确、清晰、有事实证据。受审核部门负责人或陪同人员对审核情况进行确认。
条款 5.2.2
a. 组织要确保分配有ISMS职责的所有人员都具有执行所要求任务的能力 l 是否有一个确保分配有ISMS职责的所有人员都具有完成所要求任务的能力的过程?
b. 组织要确保所有相关人员意识到其信息安全活动的重要性 l 是否有一个确保所有相关人员都识到其信息安全活动的重要性的过程?
条款 6 ISMS内部审核
(1) 定期进行内部ISMS审核 l 是否有一个定期进行内部ISMS审核的过程?
(2) 制定审核方案 l 是否有一个审核方案?
l 该审核方案是否考虑了受审核的过程与受审核的部门的状况和重要性,以及以往审核的结果?
(3) 定义审核的准则、范围、频次和方法 l 审核的准则、范围、频次和方法是否定义?
(4) 审核员的选择,审核的实施要确保审核过程的客观公正 l 审核员的选择,审核的实施是否确保审核过程的客观公正?
(5) 审核员不准审核自己的工作 l 是否审核员审核了自己的工作?
(6) 形成内审程序文件 l 是否有定义内审职责和要求方面的内审程序文件?
(7) 采取纠正措施 l 是否有一个确保受审部门的责任管理者及时采取措施,消除“已发现的不符合事项及其产生的原因”的过程?
(8) 跟踪纠正措施 l 是否有一个对纠正措施的跟踪活动?
l 跟踪活动是否包括验证和验证结果的报告?
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 记录控制要求 2
4.1. 信息安全相关运行记录包括: 2
4.2. 记录模板编制 3
4.3. 记录填写和编制 4
4.4. 记录储存 5
4.5. 记录的保护 5
4.6. 保存期 5
4.7. 记录借阅及处置 6
5. 相关文件 6
1. 目的和范围
为了正确实施记录的标识、储存、保护、检索、保存期限和处置,以提品符合规定要求和信息安全管理体系有效运行的证据,实现其可追溯性和信息安全改进,特制订本制度。
本制度适用于所有与信息安全管理体系运行有关的所有记录的控制管理。
2. 引用文件
1) 《文件控制制度》
3. 职责和权限
1) 总裁办:是记录的归口管理部门,负责记录标识、储存、保护、检索、保存期和处置的管理与控制。
2) 各部门:负责本部门记录的控制和管理。
4. 记录控制要求
4.1. 信息安全相关运行记录包括:
1) 管理评审记录;
2) 内部审核记录;
3) 人力资源教育、培训、技能和经验记录;
4) 监视和测量记录;
5) 风险评价、分析、处理记录;
6) 纠正措施实施结果记录;
7) 预防措施实施结果记录;
8) 信息安全管理体系第二、三层文件规定体系运行产生的其它记录。
1. 职责和权限
1) 管理者代表:负责批准《内部审核计划》和《内部审核报告》。
2) 行政部:内审记录存档。
3) 信息安全工作小组:负责组织对不符合项的验证跟踪及相应文件的管理工作。
4) 内审组组长:负责编制《内部审核计划》,组织编写《内部审核检查表》,根据计划组织实施信息安全管理体系内部审核;编写内审报告。
5) 各部门:积极配合体系内部审核,对审核过程中发现的问题及时采取纠正措施。
2. 活动描述
2.1. 内部审核策划
2.1.1 内部审核周期及范围
在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核,信息安全工作小组组织协调。
当发生下列情况之一时(不限于),体系负责人可临时决定组织内部审核,临时内审范围由体系负责人根据实际情况确定:
1) 当管理体系、业务内容发生重大改变时;
2) 当外部要求,需对体系做出评价时;
3) 当体系发生重大变化时,如组织机构大调整、文件大量修改等;
4) 当发生严重不合格、或出现重大客户投诉或信息安全事故时;
5) 采用标准、适用法律或验证方法出现重大变化时;
6) 第三方认证机构审核前;
7) 其它需要增加内审的情形。
-/gbafcji/-
http://iso9001fsc.b2b168.com