一、文件審核關注要點

　　在進行文件審核時，審核員主要關注信息安全管理體系文件是否符合ISO27001標準，關注文件的適宜性和完整性是否符合要求。關注的文件包括但不限于：

　　法律地位證明、組織簡介、組織機構圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規程和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產識別表、法律法規清單。

　　二、現場審核關注要點

　　現場審核時，審核員主要關注組織信息安全管理體系執行的程度及有效性，除著重關注各部門信息安全資產識別與風險管理相關記錄外，對應不同部門或角色，著重關注的體系運行記錄分別為：

　　ISO27000信息安全審核——行政人事部門：

　　1、來訪人員登記記錄

　　2、人員保密協議

　　3、與信息安全相關的法律法規清單、符合性評價

　　4、與信息安全相關的培訓計劃、培訓簽到記錄

　　ISO27000信息安全審核——IT相關部門：

　　1、服務器管理(包括設備點檢、測試日志記錄與審查)

　　2、機房管理等重點區域進出管理

　　3、對各部門定期殺毒、屏保、密碼等監督檢查表單

　　4、公司軟件使用清單、容量標注

　　5、重要數據備份記錄

　　6、上網安全檢查

　　7、各類信息系統如郵箱、OA權限及權限時效性管理記錄

　　ISO27000信息安全審核——市場開發部門：

　　1、合同、訂單

　　2、業務連續性資料(計劃、驗證)

　　3、訪問區域限制如未經授權人員可能進入的地點管理記錄

　　ISO27000信息安全審核——研發部門：

　　1、產品技術資料(設計開發資料，應包括信息安全風險評估)

　　2、研發人員保密協議

　　3、生產工藝流程圖

　　ISO27000信息安全審核——采購部門：

　　1、合格供應商名錄

　　2、供應商調查表

　　3、供應商簽署安全要求的文件協議

　　4、供應商基本資料(如營業執照、ISO9001證書等)

　　ISO27000信息安全審核——管理層：

　　1、目標達成統計表

　　2、文件清單(手冊、程序、作業指導書)

　　3、文件發布記錄

　　4、外來文件清單

　　5、全公司資產識別與風險管理匯總表

　　6、內審、管審過程記錄