ISMS内审管理程序(含表格)

内部审核控制程序1.目的:1.1公司按照策划的时间间隔进行内部审核,以提供有关质量、环境和有害物质管理体系符合ISO9001、ISO14001、IATF16949、QC080000、GJB9001B标准的要求,以及是否得到有效实施和保持的信息。

1.2对每一个制造过程进行审核,以确定其有效性。

1.3按以确定的频次,在生产和交付的适当阶段对产品进行审核,以验证符合所有规定的要求,如产品的尺寸、功能、包装和标签等。

2.范围:2.1适用于公司内部与管理体系一切有关的生产管理活动过程和实施部门的工作环境及生产现场的所有工作班次的审核；公司管理体系包括IATF16949、ISO9001、GJB9001B 、ISO14001、QC080000等。

2.2适用于汽车行业体系有关产品的生产制造过程审核。

2.3适用于汽车行业所生产的各种产品的审核。

3.术语和定义:3.1审核:为获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。

注1.内部审核有时称第一方审核,由组织自己或以组织的名义进行,用于管理评审和其他内部目的,可作为组织自我合格声明的基础。

在组织内,可以由与正在被审核的活动无责任关系的人员进行,以证实独立性。

2.外部审核包括通常所说的“第二方审核”和“第三方审核”。

第二方审核由组织的相关方,如顾客或由其他人员以相关方的名义进行。

第三方审核由外部独立的审核组织进行,如提供符合GB/T19001或GB/T24001要求认证的机构。

3.当两个或两个以上的管理体系被一起审核时,称为“多体系审核”。

4.当两个或两个以上审核组织合作,共同审核同一个受审核方时,这种情况称为“联合审核”。

3.2审核方案:针对特定时间段所策划并具有特定目的的一组(一次或多次)审核。

审核方案包括策划、组织和实施审核的所有必要的活动。

3.3审核准则:一组方针、程序或要求。

审核准则是用于与审核证据进行比较的依据。

ISMS文件和资料管理程序（ISO27001-2013）1.目的对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。

2.适用范围本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。

3.职责3.1 人事部负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。

3.2 信息安全管理委员会负责《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3 文控中心负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；负责重大技术项目施工组织设计编制工作；参与竣工的审核验收工作。

3.4 文控中心负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。

3.5各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。

4.文件和资料编号/版本规定4.1本公司采用四级层次文件编写法。

所有信息安全管理的文件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。

首数字代表文件层次：1为手册、2为程序文件、3为作业指导书、4为表格记录；第二层次文件中第二位数字全部为0，末两位为自然序号，从01开始往后排序；第三层次文件中的第二位和第三位两个数字与第二层次文件的自然序列号相对应，第四或第五个数字为本层次的自然序列号；第四层次的文件编号中第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；。

版本及修订号的标注方法：1、2、3层次文件标注在封面。

记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。

5.工作程序5.2 文件分类(见下表)。

ISMS内审管理程序（ISO27001-2013）一、目的范围通过验证信息安全管理体系是否符合标准和策划安排的要求，是否得到有效的保持、实施，确保管理体系的方针目标实现并持续改进。

二、职责1、管理者代表负责批准内审计划、内审报告，并负责组织审核工作，任命审核组长。

2、内审组长编制内审计划，并负责审核的具体实施以及报告内审结果。

3、各单位负责配合内部审核的实施，并对审核不符合情况进行整改。

三、工作程序1、内审策划1）根据公司信息安全的实际运行状况，并根据审核对象重要程度、结合以往审核的结果，整体策划管理体系内部审核的方案。

2）根据需要，审核可覆盖体系全部要求和单位，也可以专门针对某几项要求或单位进行重点审核，各单位也可根据各自的实际情况，分别组织审核。

3）公司每年至少组织一次内审，每年的审核必须覆盖管理体系的全部单位和全部要求至少一次。

4）出现以下情况时由管理者代表决定是否增加审核次数：●组织机构、管理体系发生重大变化。

●出现重大信息安全事故。

●法律、法规及其他外部要求的变更。

●其他认为必要时。

2、审核前的准备1）管理者代表负责组成审核组、任命内审组长。

内审组长负责具体策划审核安排，并编制《审核计划》，报管理者代表批准。

实施计划应明确：●审核目的、范围、时间、依据。

●审核组成员及分工安排，审核员应与受审部门无直接责任关系。

●受审核部门及审核要点，预定时间安排。

●审核中的注意事项。

2）组长应组织审核组编写《内审检查表》，明确审核的内容、方法。

3）《审核计划》应于内审开始前发放至受审部门，受审部门对内审安排如有异议，应及时通知内审组长。

4）内部审核员应经专业机构培训合格，经管理者代表批准资格。

3、内审的实施1）内审开始，应由内审组长主持召开首次会议，领导层、内审组成员及各受审核单位负责人参加并签到。

2）内审组应按照《审核计划》的安排实施内审。

审核员应根据《内审检查表》的要求，对受审单位、区域和工作的状况及绩效进行调查取证，以评价受审核部门和区域的体系运行的符合性、充分性和有效性。

内部质量体系审核程序1目的验证质量体系活动和有关结果是否符合计划安排，确定质量体系运的有效性。

2范围本程序适用于本厂内部质量体系审核活动管理。

3术语不符合项—不符合规定要求的项目，一般分主要不符合项和次要不符合项。

主要不符合项指。

缺少或体系完全损坏而不能满足QS9000S要求。

对要求有许多小的不符合项，表明体系己完成损坏，因而看作是一个严重不符合。

将导致不符合产品出厂的任何不符合项。

导致不能实现，或大大降低产品或服务预期用途的情况。

判断和经验表明很可能导致质量损坏，或大大降低其保证过程和产品受控能力的这样的不符合项。

次要不符合项。

判断和经验表明不大可能导致质量体系损坏，或大大降低其保证过程和产品受控能力的那些与QS9000的不符合项。

可能是：QS9000相关文件化质量体系某部分的一个错误。

或观察到的单个遵循公司体系中某项时的错误。

4相关文件无5工作描述责任者工作内容5．1制定质量体系审核计划管理科5。

1。

1根据质量手册、外审计划，制定质量体系年度审核计划，对预计的审核时间、审时的范围等作出安排。

5．1．2质量体系内部审核一般每半年进行1次。

若发生发下情况，需对质量体系全面或质量体系局部进行审核。

a、厂组织机构发生变化，导致质量职能发生变化。

b、顾客对产品质量抱怨频繁发生，生产过程产品质量不稳定。

c、外部质量体系审核前。

d、合同规定的审核。

5．2审核前准备管理代表团5。

2。

1确定审核员，成立审核小组，审核员应具备审核资格且与被审核车间、科室无直接责任。

管理科5。

2。

2编制审核日程表和质量体系内部审核通知单，包括审核的目的、审核的范围、审核组员及分工、审核具体日期和时间安排等，以管理者批准。

管理科5。

2。

3在审核前两周下发被审核单位和审核员。

审核组长/受审部门5。

3召开审核组准备会，通知受审单位做好准备，将发下材料提供审核员；a、检查表；b、不符合项通知单；c、过骈审核有关信息。

审核组长5。

4首次会议；各车间、科室领导和指定人员参加，重申质量体系内部审核安排计划内容及主要事项。

质量体系内部审核管理程序（IATF16949/ISO9001-2015）1、目的通过执行定期与不定期的内部审核，验证公司质量管理体系是否有效实施与保持，以便于及时发现问题，并采取适当的纠正与预防措施，确保质量管理体系持续的符合性和有效性。

2、范围适用于本公司质量管理体系和生产过程的内部审核。

3、术语和定义3.1审核：为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。

3.2质量体系审核：是对公司质量管理体系覆盖的所有过程、活动、区域和责任部门进行的全面审核。

3.3制造过程审核：仅限于对产品制造过程的审核，包括所有生产作业和工序。

3.4审核发现：将收集到的审核证据对照审核准则进行评价的结果。

4、内部审核管理过程乌龟图5、工作流程和内容6、程序说明6.1审核发现的判定6.1.1不符合项判定1）严重不符合项A.体系运行出现系统性失效,如某一体系要求、某一关键过程重复出现失效现象B.体系运行出现区域性失效,如某一部门、场所的全面失效现象C.影响产品或体系运行的后果严重的不符合现象2）一般不符合项:A.一般的、个别的、偶然的、独立的失效事件B.对某个系统或审核区域的有效性影响轻微的事件6.1.2符合：审核中没有发现一般或严重不符合项。

6.1.3改进意见：审核员根据被审核方提供的资料或根据经验判断有发生趋势的潜在不合格，对被审核方提出的改进意见。

6.2制造过程审核时机A.新产品批量生产时,进行制造过程审HRT核，验证过程策划的合理性及过程满足要求的能力。

B.量产后的产品每年定期实施一次制造过程审核。

6.3审核员的要求如下：质量管理体系审核员、制造过程审核员和产品审核员应全部能够证实最少具备。

内部审核管理程序（ISO14001-2015）1.目的本程序是为了验证环境活动和有关结果是否符合审核准则，发现环境体系中需改进的领域，以便对公司环境管理体系各要素进行有效控制，并确保体系的有效运行和持续改进。

2.范围适用于本公司内部环境管理体系审核的管理。

3.职责3.1管理者代表职责3.1.1批准年度内审计划和本次审核计划。

3.1.2批准内部审核报告。

3.1.3每次内审计划的审核，并指定审核组长。

3.1.4协调审核组与受审核部门之间的关系。

3.1.5不符合项纠正与预防措施方案的批准。

3.1.6审核内部审核报告。

3.2质量部职责3.2.1编制审核计划并报总经理批准。

3.2.2负责内审报告的发放存档。

3.2.3负责不符合项纠正措施的跟踪验证。

3.3受审核方职责（列入内审计划的单位均为受审核方）3.3.1确认对本单位进行的内审计划。

3.3.2做好接受内审的准备工作。

3.3.3.指定专人、协助审核组完成审核计划。

3.3.4确定不符合项。

3.3.5对不符合项的原因进行分析，按审核组的要求制定纠正措施计划，经审核员确认后实施。

3.4审核组职责3.4.1审核组长职责3.4.1.1组成审核组。

3.4.1.2制定现场审核计划，组织文件审核。

3.4.1.3指导审核员编制检查审核表，准备现场审核记录和不符合报告等工作文件。

3.4.1.4主持首次会议和末次会议。

3.4.1.5控制现场审核气氛和审核进度。

3.4.1.6编写审核报告。

3.5.2审核员职责3.5.2.1按组长安排编制检查表。

3.5.2.2按分工要求进行现场审核，填写现场审核记录。

3.5.2.3对不符合事实进行描述，填写不符合报告。

4.程序4.1每年质量部应编制《年度内审计划》。

4.1.1组成审核组根据年度内审计划，每次审核前十天由环境管理者代表指定审核组长。

组长选定与受审核方无直接责任关系的人员组成审核组。

4.1.2制定下发审核计划审核组长在接到内审任务后，应制订现场审核计划下发到各受审部门，审核计划应包括审核目的、审核范围、审核依据、审核组成员、审核日程安排、审核报告的分发范围和预期的审核日期、审核计划的准备人，批准人及日期等。

内部审核管理程序
版本记录
批准人（签名）：
日期:
内部审核程序
1.目的
为了正确实施内部审核,以获得审核证据并对其进行客观地评价,以确定满足内部审核策划的程度,确认信息安全管理体系、控制目标、控制措施、过程和程序是否运行有效,特制订本程序。

2.适用范围
本程序适用于内部信息安全管理体系审核活动的实施和管理。

3.术语和定义
记录是信息安全管理体系运行的证据和改进的依据，表格（四级文件）填写之后就变成了记录。

4.相关/支持性文件
•《信息安全手册》
•《记录控制程序》
•《管理评审程序》
5.
6.程序内容。