TISAX-信息安全审查制度.pdfVIP

信息安全审查制度

文件编号：

版本：A

发布日期：

编制：

批准：

必威体育官网网址等级：内部公开

内部公开

变更历史

日期版本更改变更描述

信息安全审查制度APage2of6

内部公开

1.目的

定期进行内部信息安全审核、独立信息安全审核、和信息安全管理文件审查以便确定信息

安全活动及其结果是否符合计划的安排，确定信息安全体系的有效性，为信息安全体系的改进

提供依据。

2.适用范围

本制度适用于公司内部信息安全审核，除审核信息安全体系外,还包括对信息系统的技术

审核要求。

3.职责

3.1流程体系部负责组织和开展信息安全管理体系的独立审核；

3.2信息安全管理委员会负责定期开展信息安全管理文件适用性审查；

3.3信息安全审核小组负责内部信息安全审核和跟踪审核的具体实施。

3.4各部门对信息安全审核中发现的不符合项，负责制定和实施纠正措施。

3.5其他有关人员应对内部信息安全审核工作进行全面的合作。

4.程序内容

4.1信息安全管理内部审核

4.1.1制定年度信息安全审核计划

4.1.1.1本企业内部信息安全审核以每年一次，在管理评审会前实施为原则，由IT

运维部编制《年度内部信息安全审核计划》，报管理者代表审查、经总经理批准后实施。

4.1.1.2年度内部信息安全审核计划内容：

1)审核目的、频次和范围；

2)审核时间的大致安排；

3)合格内部审核员安排；

4)主要审核内容。

信息安全审查制度APage3of6

内部公开

4.1.2审核准备

4.1.2.1根据审核工作内容，由管理者代表委托具有内部审核员资格的合适人选

（持有内部审核员证书者并对本公司的业务流程较熟悉）担任审核组长。审核组长负责审

核组的具体组织工作。

4.1.2.2审核组由2人或2人以上组成，由审核组长选派具有内部审核员资格且与被

审核部门无直接责任者担任审核组成员，并根据计划适当地分工。

4.1.2.3由审核组长组织审核员制定和准备以下审核文件：

1)本次《内部信息安全审核通知》

2)《内部审核检查表》

4.1.2.4由审核组长提前向被审核部门发出《内部信息安全审核通知》。

4.1.2.5内部信息安全审核通知的内容：

1)被审核的部门、审核的目的、范围及时间安排；

2)依据的文件；

3)审核员。

4.1.2.6被审核部门收到《内部信息安全审核通知》以后，应落实审核所需的相关资料，

做好准备工作。如果对审核日期和审核的主要项目有异议，可在两天之内通知审核

组，经过协商可以再行安排。

4.1.3审核实施

4.1.3.1审核的具体内容按照《内部信息安全审核通知》进行。内部审核员审核时应

有被审核部门主管或其代表陪同。

4.1.3.2内部审核员通过交谈、查阅文件、检查现场、收集证据、证实并