深圳市首品精密模型有限公司信息安全审计管理程序文件编号:ISMS—2025编 制审 核批 准变更履历序号版 本 编 号或 更 改 记录编号简 要 说 明 ( 变 更 内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2025—8—51目的评价信息安全管理和实践的原则和控制,以维持公司期望的信息安全水平
2适用范围适用于公司的所有管理人员和员工,以及所有为本公司工作,同时接触公司的信息资源的外来人员
3术语和定义 无4职责和权限在信息安全委员会的统一组织下实施
5工作流程审计包括两种检查方式:a) 自我评估b) 内部/外部审计5
1自我评估为保持各部门内部良好的信息安全管理状态及第一时间发现和处理不符合现象,确定各控制措施的有效性,要求每个部门进行信息安全管理和实践和自我评估并根据需求实行纠正措施
自我评估通常在信息安全委员会的统一安排下,由各部门负责人组织实施
自我评估通常每年至少进行一次
除此以外,为了提高部门内信息安全管理水平,部门负责人也可以指定其认为必要和合适的时间进行自我评估
各部门结合本部门的要求和工作实际,制定适合本部门的自我评估的检查表并实施,但必须包括对控制措施符合性和有效性的评估
自我评估的结果要报告给信息安全委员会,由信息安全委员会确定纠正措施的计划并指导实施
纠正措施实施计划包括:a) 对纠正措施的简单描述,包括当前控制措施与和要达到的目标之间的差距分析;b) 纠正措施的实施时间要求;c) 纠正措施的实施负责人
2内部/外部审计信息安全委员会根据业务活动的安全需求,确定是否进行内部/外部审计
在一个年度内,若没有进行自我评估,则必须进行一次内部/外部审计
由信息安全委员会确定审计人员
为了实现审计的目的,内部审计人员必须是具有掌握最新信息技术并了解公司信息安全管理计划的人或组织
一般由内审员承担
