一、文件審核關注要點

　　在進行文件審核時，審核員主要關注信息安全管理體系文件是否符合ISO27001標準，關注文件的適(shi)宜性和完整性是否符合(he)要求。關注的文件包(bao)括但不(bu)限于：

　　法律地位證明(ming)(ming)、組織簡介、組織機(ji)構圖、人員(yuan)情況說明(ming)(ming)、管理手冊、程序文(wen)件、信息(xi)安(an)(an)全方針和(he)目標、信息(xi)安(an)(an)全管理體(ti)系的規程和(he)控制措施、SOA適用性聲明(ming)(ming)、風險評估報告、殘余(yu)風險聲明(ming)(ming)、風險處置計劃、資產識別表、法律法規清單。

　　二、現場審核關注要點

　　現場(chang)審核時，審核員主要(yao)關(guan)(guan)注(zhu)(zhu)組織信息(xi)安(an)(an)全(quan)管(guan)理體系執行(xing)的(de)程度及(ji)有效性，除著(zhu)重(zhong)關(guan)(guan)注(zhu)(zhu)各部門(men)信息(xi)安(an)(an)全(quan)資(zi)產識別與風險管(guan)理相關(guan)(guan)記(ji)錄(lu)外，對應不(bu)同部門(men)或角色，著(zhu)重(zhong)關(guan)(guan)注(zhu)(zhu)的(de)體系運(yun)行(xing)記(ji)錄(lu)分別為：

　　ISO27000信息安全審核——行政人事部門：

　　1、來訪(fang)人員登記記錄(lu)

　　2、人員保密協議

　　3、與信息安全相關的法(fa)律(lv)法(fa)規(gui)清單、符(fu)合性評價

　　4、與信息安全相(xiang)關(guan)的培訓(xun)計劃(hua)、培訓(xun)簽(qian)到記錄(lu)

　　ISO27000信息安全審核——IT相關部門：

　　1、服(fu)務(wu)器管理(包括(kuo)設備點檢(jian)、測試日志記錄與審查)

　　2、機房管(guan)理等重點區域(yu)進出管(guan)理

　　3、對各部門定期殺(sha)毒、屏保、密碼(ma)等監督檢(jian)查表單

　　4、公司軟件(jian)使(shi)用(yong)清(qing)單、容(rong)量標注

　　5、重要(yao)數據備份記(ji)錄

　　6、上網安全檢查

　　7、各類信息系統如郵箱、OA權(quan)限及權(quan)限時效性管理記(ji)錄

　　ISO27000信息安全審核——市場開發部門：

　　1、合同、訂單

　　2、業務連(lian)續性資料(計劃(hua)、驗(yan)證)

　　3、訪問區域限制如未經授權人員可(ke)能進入(ru)的(de)地點管理記錄

　　ISO27000信息安全審核——研發部門：

　　1、產品技術資料(設(she)計開(kai)發資料，應包括信息安全風險評估)

　　2、研發(fa)人員保(bao)密協(xie)議

　　3、生產(chan)工藝(yi)流(liu)程圖

　　ISO27000信息安全審核——采購部門：

　　1、合格(ge)供應商名錄

　　2、供應商調查表

　　3、供應商簽署安全要求的文件協議

　　4、供應商基本資料(如營業執照、ISO9001證書等)

　　ISO27000信息安全審核——管理層：

　　1、目標達成統(tong)計(ji)表

　　2、文件清單(手冊、程序、作業指導書)

　　3、文件發布記(ji)錄

　　4、外來文件清(qing)單

　　5、全(quan)公司資產識別與風險(xian)管理匯總表

　　6、內審、管(guan)審過(guo)程記錄