ISO/IEC 27001: 2022标准 正文 9 Performance evaluation 绩效评价/9.2 Internal audit 内部审核

9.2 Internal audit 内部审核

9.2.1 General 总则

The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
组织应按照策划的时间间隔进行内部审核,以提供有关信息安全管理体系的下列信息:

a) conforms to
a) 是否符合:

1) the organization’s own requirements for its information security management system;
1) 组织自身对信息安全管理体系的要求;

2) the requirements of this document;
2) 本文件的要求;

b) is effectively implemented and maintained.
b) 是否得到有效的实施和保持。

9.2.2 Internal audit programme 内部审核方案

The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
组织应策划、建立、实施和保持一项或多项审核方案,其中包括频率、方法、责任、策划要求和报告。

When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
建立内部审核方案时,组织应考虑到有关过程的重要性和以前审核的结果。

The organization shall:
组织应:

a) define the audit criteria and scope for each audit;
a) 定义每次审核的审核准则和审核范围;

b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
b) 选择审核员并实施审核,以确保审核过程的客观性和公正性;

c) ensure that the results of the audits are reported to relevant management。
c) 确保将审核结果报告至相关管理层。

Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.
文件化信息应予以保留,以作为审核方案实施和审核结果的证据。
ISO/IEC 27001:2013标准 正文 9 绩效评价/9.2 内部审核

9.2 内部审核

组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系:
a) 是否符合:
1) 组织自身对信息安全管理体系的要求;
2) 本标准的要求。
b) 是否得到有效实现和维护。
组织应:
c) 规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告。
审核方案应考虑相关过程的重要性和以往审核的结果。
d) 定义每次审核的审核准则和范围。
e) 选择审核员并实施审核,确保审核过程的客观性和公正性。
f) 确保将审核结果报告至相关管理层。
g) 保留文件化信息作为审核方案和审核结果的证据。

标准解析:

  1. 新版的9.2与ISO/IEC 27001:2013基本保持了一致,仅仅在结构上和序号上做了较大变化,因此新旧版实施要求没有变化。
  2. 组织需要建立内部审核过程,建立《内部审核控制程序》。
  3. 组织应策划相关内部审核:(1)ISMS符合性审核(9.2要求);(2)信息安全的独立评审(A.5.35要求);(3)策略、规则和信息安全标准的符合性评审(A.5.36要求)。
  4. 各项内部审核应策划:频率、方法、责任、策划要求和报告等。
  5. 审核时,应确定审核准则和审核范围,并将结果报告给管理者。

实施本条款应输出的文档:

  1. 《内部审核控制程序》。
  2. 年度内部审核计划。
  3. 内审检查表、内审会议记录、内审员证、内审报告、不符合项报告等。

本条款审核要点:

  1. 审核年度内部审核计划。
  2. 审核内部审核相关记录(内审计划、内审检查表、内审报告、不符合报告、内审会议记录等)是否齐全,不符合项是否关闭。

ISO/IEC 27001:2013标准解读(20)正文 9 绩效评价