内部审核实施
内部审核实施可划分为内审声明、现场审核和内审结果通告三个阶段进行。
1 内审声明
审核组长向受审核方负责人进行内审声明,内审声明的内容有:
1) 审核组长声明审核目的、范围和准则;
2) 介绍审核组成员、分工及日程安排;
3) 简介审核方法;
4) 介绍审核结果的报告方法,包括不符合的分类等;
5) 审核计划中需说明的其他细节问题。
2 现场审核
1) 现场要求
审核组按照审核实施计划日程安排,根据《内部审核检查表》对受审核部门逐项进行审核,通过观察、提问、查阅文件和记录、抽样、问题追踪等方法,以验证审核情况与体系的符合性。
内审员应如实记录审核的情况,对发现的不合格项应详细记录并由被审核部门负责人或陪同人确认。以保证不合格项已经得到被审核部门的理解,便于纠正和预防。
2) 审核方式
听:听取现场信息安全负责人介绍其信息安全的组织管理、规章制度、标准、实施措施、实施效果、事故处理、应急演练、改进建议等。
查:查阅有关文件、标准、报表、记录、管理制度、应急程序、工作程序、组织机构等资料。
看:现场观察和检查装置设备的安全卫生和环境保护状况;规章制度、工作程序、操作规程、作业标准、作业方案和纪律执行情况;信息安全设施配备运行情况。
问:与现场主要管理人员及员工代表谈话,询问现场管理情况、应知应会的内容、现场信息安全管理措施及应急程序等内容。
3) 审核组沟通
审核组长组织,审核员各自介绍审核情况,充分讨论。
审核组依据标准、体系文件及有关法律法规要求等审核准则,综合分析,共同评审审核发现,确认不符合项,确定审核结论。审核员填写《信息安全审核、检查发现事项通知单》,内容准确、清晰、有事实证据。受审核部门负责人或陪同人员对审核情况进行确认。
4.4 文件的发放
所有体系文件由相关文档负责人负责维护,经审批后以邮件进行发布或修订通知。确保所有相关人员能够查阅、获得现行有效版本的文件和资料。
4.5 文件的控制
1) 文件领用人应对领用的文件加以妥善保管和使用。
2) 所有文件,按密级管理规定发放,F1-F4类文件需填写《内部人员借阅文件登记表》/《向第三方人员提供材料申请表》经审批同意后方可进行打印、复印或对流、外借或外送。其中F4类文件需负责部门经理/总监签字;F3类文件需负责部门副总签字;F1-F2类文件需总裁签字。
3) 调到与信息安全无关岗位的,原使用文件由其直属部门负责收回。
4) 总裁办为确保文件的有效性,每年发布一次现行有效的《信息安全体系文件管理矩阵表》,及时调整新增和作废文件。
4.6 文件的更改
4.6.1 文件更改申请
文件更改提出者或提出部门填写《文件变更审批表》,说明更改原因。
4.6.2 文件更改的审批或评审
由文件的原审批人对文件的更改申请进行审批,当原审批人不在岗时应由其接替者审批。
4.6.3 文件更改的实施
文件更改被批准后,应由信息安全工作小组*相关人员负责实施更改。
更改后的文件按照原审批程序进行审批,批准后的原件仍送交总裁办保存管理,由总裁办在原发放范围和发放方式的基础上进行更改和发布,并公布《文件变更审批表》,保证相关人员能了解到变更的内容。
1. 在制定密码策略时,应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。
2. 公司对程序源代码和相关事项(诸如设计、说明书、确认计划和验证计划)的访问需严格控制,对于程序源代码的保存,通过代码的存储控制来实现,是放在源程序库中。
3. 评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。
4. 需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,以减少第三方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况下,定期监视个人和系统的活动。监视计算机系统的资源使用。
5. 需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信息,评估组织对此类技术脆弱点的保护,并采取适当的控制措施。
具体管理策略请参见《信息系统获取、开发及维护管理制度》。
-/gbafcji/-
http://iso9001fsc.b2b168.com
