某某某股份有限公司
5.1.3 制定年度内部审核计划的依据: a) 公司信息安全管理方针、目标及工作计划; b) 信息安全管理手册、程序文件和其它相关文件等; c) 上一年度管理评审提出的问题; d) 信息安全管理体系运行的结果; e) 相关方反馈的结果;
5.1.4 信息安全部应根据不同区域和活动的运行状况、重要程度及以往审核的结果,策划年度审核方案,编制“内部审核计划”。内容包括: a) 审核目的、范围、准则和方法; b) 受审核部门和审核时间; c) 审核的重点内容和要求。 5.2 审核方式和频次
5.2.1 每年至少进行一次常规的集中式或滚动式审核(两次间隔不得超过12个月)。滚动式审核要求各要素和部门每年至少覆盖一次。 5.3 审核准备
5.3.1 信息安全部在每次内部审核前两周内成立内审小组,报管理者代表审批。
5.3.2 管理者代表任命审核组长。
5.3.3 审核组长编制“内部审核实施计划”,报管理者代表审批。
6