江门ISO27001认证辅导 ISO27000认证 证书* 办理高效需要那些材料

深圳汉墨管理咨询有限公司

1. 职责和权限
1) 管理者代表：负责批准《内部审核计划》和《内部审核报告》。
2) 行政部：内审记录存档。
3) 信息安全工作小组：负责组织对不符合项的验证跟踪及相应文件的管理工作。
4) 内审组组长：负责编制《内部审核计划》，组织编写《内部审核检查表》，根据计划组织实施信息安全管理体系内部审核；编写内审报告。
5) 各部门：积极配合体系内部审核，对审核过程中发现的问题及时采取纠正措施。
2. 活动描述
2.1. 内部审核策划
2.1.1 内部审核周期及范围
在正常情况下公司至少每年组织一次覆盖公司信息安全管理体系的内部审核，信息安全工作小组组织协调。
当发生下列情况之一时（不限于），体系负责人可临时决定组织内部审核，临时内审范围由体系负责人根据实际情况确定：
1) 当管理体系、业务内容发生重大改变时；
2) 当外部要求，需对体系做出评价时；
3) 当体系发生重大变化时，如组织机构大调整、文件大量修改等；
4) 当发生严重不合格、或出现重大客户投诉或信息安全事故时；
5) 采用标准、适用法律或验证方法出现重大变化时；
6) 第三方认证机构审核前；
7) 其它需要增加内审的情形。

1内部审核准备
信息安全工作小组在内审前确定审核组长和审核员，经体系负责人批准后，组建审核组。
无论审核组长还是审核员必须符合下列条件：
1) 经培训，取得内审员资格或具有相关能力；
2) 具备相应的标准知识，具有责任心，较强的沟通和文字表达能力；
3) 熟悉审核程序，掌握审核方法；
4) 与被审查部门无直接责任和利害关系。
2内审实施计划
审核组组长编制《内部审核计划》，报体系负责人审批后，由信息安全工作小组提前下发受审部门。受审核部门做好准备工作，如对审核计划有异议，需在实施审核前向审核组长反馈，协商调整。内部审核计划应包括审核目的、审核范围、审核准则、审核重点、审核人员及分工、会议和日程安排等内容。
3审核组预备会议
审核组长组织召开审核组预备会议。内容包括：
1) 通报内部审核计划；
2) 明确审核员的分工；
3) 对审核员的工作提出具体要求；
4) 必要时对审核员进行培训。
4审核收集
内审员收集审核所需的文件和资料，如：如标准、信息安全管理手册、有关程序文件、合同、法律法规、客户及相关方要求等。并根据分工，编制《内部审核检查表》交审核组长批准。

条款 7.3 评审输出
a)管理评审的输出要包括ISMS有效性的改进 l 是否有一个确保管理评审的输出包括5方面要求的过程？
l 是否管理评审做出了改进ISMS有效性的决定？
b)管理评审的输出要包括风险评估和风险处理计划的更新 l 是否管理评审做出了更新风险评估和风险处理计划的决定？
c) 管理评审的输出要包括必要时对影响信息安全的程序和控制措施的修改，以应对可能冲击ISMS的内外事件 l 是否管理评审做出了在必要时对影响信息安全的程序和控制措施的修改决定，以应对可能冲击ISMS的内外事件？
d) 管理评审的输出要包括对资源需求的决定 l 是否管理评审做出了对资源需求的决定？
e) 管理评审的输出要包括改进测量控制措施有效性的方法 l 是否包含有控制措施有效性测量方法的改进？
条款 8.1 持续改进
组织要持续改进ISMS的有效性 l 是否有一个确保组织持续改进ISMS有效性的过程？