ISMS内部审核的目的是评价组织的ISMS信息安全管理体系的符合性、适宜性和有效性,是检查组织的ISMS信息安全管理体系是否符合法律法规、ISO27001标准、组织的ISMS信息安全管理体系要求,以及管理体系的运行是否有效、是否可实现组织的信息安全管理方针和目标的有效手段。
针对一定时间框架内(例如12个月内)制定的审核方案,对管理体系审核的频次、每一次审核的范围、每一次审核的准则和审核方法作出具体规定。
内部审核人员须具备适宜的能力。审核人员的能力包括对审核准则的熟悉和理解以及对审核方法的熟练掌握。为确保审核的公正性,审核人员的选择应考虑其与受审核区域相关活动无利害关系和无利益冲突,在具体的审核日程计划中,不应安排审核员审核自己的工作。
组织应安排适宜的人员对审核员发现的不符合采取纠正措施,并跟踪验证,确认已达到了消除原因以防止不符合再发生的效果。审核的全过程应形成文件、保持记录。
