ISMS-02-07-V1.0 信息安全内部审核管理规定
信息安全内部审核管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全管理体系的内部审核,检查信息安全管理活动及其结果是否符合有关标准或文件要求,确保信息安全管理体系持续有效地运行,并为体系的改进提供依据,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心职责范围内的所有信息安全内部审核过程和活动。
第二章 术语和定义
本规定采用GB/T22080-2016/ISO/IEC27001:2013、GB/T22081-2016/ISO/IEC27002:2013的定义和缩写,需补充说明的定义和缩写如下:
第三条 信息安全内审
企业对信息安全管理体系运行情况进行的系统的检查和评价活动,包括检查信息安全策略、标准、规定及其他相关规章制度是否得到正确实施,信息系统是否符合安全实施标准,信息安全控制措施是否得当等。它是企业信息安全保障体系的一种自我保证手段。
第三章 组织与职责
第四条 思度安全运营中心
思度安全运营中心负责本规定的制定、解释和修订、制定信息安全管理体系内部审核计划、信息安全管理体系内部审核的领导和组织工作、按本规定要求组织审核,编写思度安全运营中心信息安全管理体系内部审核报告。
第五条 各部门负责人
各部门负责按本规定要求和审核计划安排审核准备和审核实施、参与审核工作的内审员应该与被审核方没有直接的报告关系,以保证审核的客观性和独立性、负责体系审核的计划、验证跟踪和文件管理等具体工作。
第四章 内部审核管理规定
第六条 内部审核计划制定
- 思度安全运营中心风险管理组负责编制年度信息安全内审计划。
- 审核范围需覆盖所有GB/T22080-2016/ISO/IEC27001:2013标准要求, 既包括信息安全风险管理框架和体系自身运行框架,也应包括各个具体的控制项;
- 安全体系度量活动应在内审前进行,通过内审活动检查度量指标的正确性。
- 每年至少进行一次覆盖GB/T22080-2016/ISO/IEC27001:2013标准要求的思度安全运营中心范围的信息安全管理体系内部审核活动;
- 信息安全管理体系内审活动应与其它安全检查、审计活动紧密结合,充分利用资源,并减少对各部门正常业务的打扰。
- 在下列情况下,各部门提出,经思度安全运营中心批准后可追加审核: 1) 某部门信息安全事件频发时; 2) 有重大信息安全事件发生时; 3) 外部审核之前。
第七条 成立内部审核小组
- 思度安全运营中心根据被审核部门及工作内容,推选具有资格的合适人选担任内审小组组长,由内审小组组长负责本次审核的具体组织工作。
- 由内审小组组长从相关组织中选派具有资格且与被审核部门无直接责任者担任审核组成员,并根据计划适当地分工。
第八条 收集并审阅有关文件和记录
- 内审小组组长根据内部审核计划进行审核分工和时间安排。
- 应在审核前下发本次内部审核计划到受审核部门负责人,事先约定该次审核的所有被访谈的角色。
- 审核组成员根据分工任务编制内部审核检查表。
- 内审小组依据内部审核计划,收集与被审核部门信息安全管理活动有关的文件和资料,并进行审阅。
- 审核员在做文件审核与现场审核时需做好记录。
第九条 内审首次会议
(一) 内审小组组长主持召开内审首次会议。首次会议出席人员包括内审小组成员和受审核部门的负责人及陪同人员。 (二) 由内审小组组长介绍本次审核的目的、依据、范围、方法、规定及日程安排等。 (三) 内审小组组长指定专人负责参会人员签到与会议记录。
第十条 现场收集客观证据
- 内审员按照审核日程安排和内部审核检查表内容要求,到审核现场进行逐项检查。
- 在检查过程中,审核员应做必要的文件查阅,检查现场,收集证据,检查信息安全管理体系的运行情况。
- 现场发现问题时应让该项工作负责人确认,以保证不符合项能够完全被理解,有利于纠正。
第十一条 确认不符合项
- 内部审核小组对内审中收集的客观证据进行充分讨论,确定符合项与不符合项;
- 当实际执行的客观证据不足以证明相关流程被执行时,审核员可据此开具不符合项;
- 内审小组依据问题可能造成的影响程度确定重大或轻微不符合项。
- 确定不符合项时,审核员应以标准和文件为依据,以事实为证据,保持客观公正。
- 内审小组组长根据各内审员填写的内部审核检查表编写内部审核不符合报告。
第十二条 内审末次会议
(一) 内审小组组长主持末次会议; (二) 内审小组全体成员、受审核部门负责人和陪同人员参与内部审核末次会议; (三) 内审小组组长说明内部审核不符合报告和分类,并按重要程度的次序宣读内部审核不符合报告; (四) 内审小组应回答受审核部门提出的问题,并对受审核部门应采取的纠正措施提出建议; (五) 受审核部门负责人在内部审核不符合报告上对不符合项进行签字确认,并及时提出纠正措施; (六) 内部审核小组长指定专人负责参会人员签到与会议记录。
第十三条 编制内部审核报告
(一) 内审小组应编写内部审核报告,如实反映审核结果,提交信息技术管理部讨论、批准。 (二) 内部审核报告经批准后,由内审小组组长发放至各相关部门。
第十四条 跟踪验证
(一) 内审小组组长将内部审核不符合报告进行整理编号,下发至各受审部门。 (二) 受审核部门接到内部审核不符合报告后,应及时分析原因,及时提出纠正措施以及完成期限,编写"内审整改计划"并由部门负责人签署后,反馈到思度安全运营中心风险管理组。思度安全运营中心风险管理组经审核确认后,通知受审核部门进行实施。 (三) 纠正措施预定日期已到或接到完成通知时,思度安全运营中心风险管理组应委派内审员到受审核方,参与验证该纠正措施完成效果的评审。内审员在验证有效后,应在"纠正预防措施计划表的" 纠正和预防措施效果评审(验证)"栏中签字确认。
第五章 附则
本规定由思度安全运营中心负责制定、解释和修改。 本规定自印发之日起实行。