一、文件審核關(guān)注要點

　　在進行文件審核時，審核員主要關(guān)注信息安全管理體系文件是否符合ISO27001標準，關(guān)注文件的適宜性和完整性是否符合要求。關(guān)注的文件包括但不限于：

　　法律地位證明、組織簡介、組織機構(gòu)圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規(guī)程和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產(chǎn)識別表、法律法規(guī)清單。

　　二、現(xiàn)場審核關(guān)注要點

　　現(xiàn)場審核時，審核員主要關(guān)注組織信息安全管理體系執(zhí)行的程度及有效性，除著重關(guān)注各部門信息安全資產(chǎn)識別與風險管理相關(guān)記錄外，對應不同部門或角色，著重關(guān)注的體系運行記錄分別為：

　　ISO27000信息安全審核——行政人事部門：

　　1、來訪人員登記記錄

　　2、人員保密協(xié)議

　　3、與信息安全相關(guān)的法律法規(guī)清單、符合性評價

　　4、與信息安全相關(guān)的培訓計劃、培訓簽到記錄

　　ISO27000信息安全審核——IT相關(guān)部門：

　　1、服務器管理(包括設備點檢、測試日志記錄與審查)

　　2、機房管理等重點區(qū)域進出管理

　　3、對各部門定期殺毒、屏保、密碼等監(jiān)督檢查表單

　　4、公司軟件使用清單、容量標注

　　5、重要數(shù)據(jù)備份記錄

　　6、上網(wǎng)安全檢查

　　7、各類信息系統(tǒng)如郵箱、OA權(quán)限及權(quán)限時效性管理記錄

　　ISO27000信息安全審核——市場開發(fā)部門：

　　1、合同、訂單

　　2、業(yè)務連續(xù)性資料(計劃、驗證)

　　3、訪問區(qū)域限制如未經(jīng)授權(quán)人員可能進入的地點管理記錄

　　ISO27000信息安全審核——研發(fā)部門：

　　1、產(chǎn)品技術(shù)資料(設計開發(fā)資料，應包括信息安全風險評估)

　　2、研發(fā)人員保密協(xié)議

　　3、生產(chǎn)工藝流程圖

　　ISO27000信息安全審核——采購部門：

　　1、合格供應商名錄

　　2、供應商調(diào)查表

　　3、供應商簽署安全要求的文件協(xié)議

　　4、供應商基本資料(如營業(yè)執(zhí)照、ISO9001證書等)

　　ISO27000信息安全審核——管理層：

　　1、目標達成統(tǒng)計表

　　2、文件清單(手冊、程序、作業(yè)指導書)

　　3、文件發(fā)布記錄

　　4、外來文件清單

　　5、全公司資產(chǎn)識別與風險管理匯總表

　　6、內(nèi)審、管審過程記錄