文档编号 XX_1_COM_信息安全内部审核办法 版 本 号 V1. 密 级 内部公开 信息安全内部审核办法 XXX信息技术有限公司 文档信息 发布版本：V1. 最后发布时间： 编写人: 审核人： 版本控制 编号 修订人 修订时间 版本号 修订内容说明  目 录 第一章 总则 第二章 组织职责 第三章 审核准备 第四章 审核流程 第五章 审核频率 第六章 纠正措施 第七章 预防措施 第八章 附则 1 第一章 总则 为了确保XXX信息技术有限公司（以下简称“XXX”）的信息安全管理体系（以下简称“ISMS”）得到有效的贯彻实施，保证ISMS的适用性、有效性和完整性，确保ISMS不断完善和持续改进，特制定本文件，明确信息安全内部审核的职责、方法、流程，阐明内部审核的依据、时间、频率及应采取的措施等，为信息安全内部审核工作提供指导。 信息安全内部审核是XXX的内部审核主管部门对公司ISMS的自我检查和评价，以确定ISMS的控制目标、控制措施、过程和程序是否符合相关标准、法律法规及XXX的安全要求。 第二章 组织职责 风险委员会负责批准信息安全部提交的信息安全内审方案，并授权信息安全部实施信息安全内部审核。 信息安全部负责制定信息安全内审方案，组织相关资源实施信息安全审核工作，并将审核结果上报风险委员会。 信息安全部负责组织和协调相关部门完成内审的具体工作，并负责指导和协助相关部门对内审不符合项进行整改，以及纠正、预防措施实施的统筹、协助和跟进工作。 在信息安全审核范围内的相关部门有义务配合审核组织开展审核工作，并负责落实不符合项的整改工作。 第三章 审核准备 内部审核需要做好充分的准备工作，包括建立审核小组、明确审核的依据、制定审核方案、准备审核材料等。 建立审核小组 信息安全部根据审核工作需要组建审核小组，审核小组人员统称为内部审核员（简称“内审员”）。 审核小组职责分配 审核组长全权负责审核阶段的所有工作，对审核结果做最后的确认，具体来说审核组长的职责包括： 确定小组成员； 制定信息安全体系审核方案； 组织审核工作； 撰写审核报告； 监督审核问题的改进。 小组成员负责审核工作的具体实施，具体职责包括： 编制审核检查表； 检查ISMS实施的情况； 跟踪审核问题的改进； 验证纠正措施的有效性。 为了保持审核工作的独立性和公正性，内审员必须保证与所审核的活动无直接责任关系。 明确审核依据 内部审核的主要依据包括但不限于GB/T22080-2008/ISO/IEC27001：2005《信息技术 安全技术 信息安全管理体系 要求》、GBT 22081-2008《信息技术 安全技术 信息安全管理实用规则》、PCI DSS、人民银行《非金融机构支付服务技术标准符合性和安全性检测实施细则》；XXX的《信息安全策略》等高阶文档。 制定审核方案 审核方案规定了内部审核的日期、目的、依据、范围、审核方法、被审核部门、内审小组成员及分工、审核需要的欧亿·体育（中国）有限公司、时间安排，是内部审核工作有条不紊按部就班进行的重要保障。 准备审核文件 被审核部门根据审核小组的要求，提供审核工作所需要的相关欧亿·体育（中国）有限公司，包括相关的制度、规范、流程及信息资产列表等。 第四章 审核流程 审核流程是内部审核部门依据审核方案开展内部审核工作的顺序和步骤，主要包括： 前期工作。