1、内部审核管理程序 内审管理程序1 目的为了对信息安全管理体系的内部审核活动进行控制和管理,以提供信息安全管理体系符合要求并有效运作的证据,特制定本程序。2 范围适用于对信息安全管理体系内部审核的管理。3 职责3.1 最高管理者负责年度内部审核计划的批准。3.2 管理者代表负责年度内部审核计划的审核和内部审核计划的批准。3.3 内审小组负责信息安全管理体系内部审核的管理工作。4 程序4.1 内部审核策划4.1.1 内部审核每年进行一次,由内审小组制定年度内部审核计划,经技术总经理中心副总裁审核批准后实施;特殊情况,经总经理技术中心副总裁核实,可增加审核频次。4.1.2 每次审核前审核组长应制定内
2、部审核计划,经技术中心副总裁总经理批准,提前1-3天通知被审核部门,被审核部门到时应选派有关人员配合审核。4.2 内部审核员4.2.1 内部审核员必须是熟悉本公司生产经营情况,参加内部审核员培训并考核合格的本公司人员。4.2.2 内部审核员应来自于不同的部门,审核人员应与被审活动无直接责任,以确保审核过程的客观性和公正性。4.2.3 项目及流程管理部行政人员选择符合内部审核条件的人员填写内部审核员评定表,由中心副总裁总经理评定、批准。4.3 内部审核的实施4.3.1 内部审核员应按内部审核计划规定实施审核,各有关部门应积极配合。4.3.2对审核中发现的不符合项,由审核员开出不符合项报告交被审核
3、部门。4.4 纠正措施与跟踪审核4.4.1 所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认真实施: a.检查本部门其他方面和其他各部门是否存在类似情况; b.对所有存在的不符合的问题按有关规定改正过来; c.调查产生该不符合项的原因,填入不符合项报告的“产生不符合项的原因”栏内,调查人要签字,并写明日期;d.列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期,填入不符合项报告的“纠正措施”栏内,经部门领导批准,并写明日期;e.按制定的纠正措施认真实施,并将实施结果记入不符合项报告的“实施结果”栏内,记录人要签字,并写明日期。4.4.2 内审小组安排内审员在规定期限进行跟踪审核,对纠正措施的实施及有效性进行验证,并将验证结果记入不符合项报告。4.5 审核报告4.5.1 内部审核结束后,审核组长应起草内部审核报告,报中心副总裁总经理审核、签署意见后保存。4.5.2 内部审核的结果应作为管理评审输入的一部分。4.5.3行政项目及流程管理部人员应妥善保存内审记录。5 相关记录年度内部审核计划内部审核计划内部审核员评定表内部审核检查表不符合项报告内部审核报告 第 1 页 共 3 页
