一、文件審核關(guān)注要點

在進行文件審核時，審核員主要關(guān)注信息安全管理體系文件是否符合ISO27001標準，關(guān)注文件的適宜性和完整性是否符合要求。關(guān)注的文件包括但不限于:

法律地位證明、組織簡介、組織機構(gòu)圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規(guī)程和控制措施、SOA適用性聲明、風(fēng)險評估報告、殘余風(fēng)險聲明、風(fēng)險處置計劃、資產(chǎn)識別表、法律法規(guī)清單。

二、現(xiàn)場審核關(guān)注要點

現(xiàn)場審核時，審核員主要關(guān)注組織信息安全管理體系執(zhí)行的程度及有效性，除著重關(guān)注各部門信息安全資產(chǎn)識別與風(fēng)險管理相關(guān)記錄外，對應(yīng)不同部門或角色，著重關(guān)注的體系運行記錄分別為：

行政人事部門：

1、來訪人員登記記錄

2、人員保密協(xié)議

3、與信息安全相關(guān)的法律法規(guī)清單、符合性評價

4、與信息安全相關(guān)的培訓(xùn)計劃、培訓(xùn)簽到記錄

IT相關(guān)部門：

1、服務(wù)器管理（包括設(shè)備點檢、測試日志記錄與審查)

2、機房管理等重點區(qū)域進出管理

3、對各部門定期殺毒、屏保、密碼等監(jiān)督檢查表單

4、公司軟件使用清單、容量標注

5、重要數(shù)據(jù)備份記錄

6、上網(wǎng)安全檢查

7、各類信息系統(tǒng)如郵箱、OA權(quán)限及權(quán)限時效性管理記錄

市場開發(fā)部門：

1、合同、訂單

2、業(yè)務(wù)連續(xù)性資料(計劃、驗證)

3、訪問區(qū)域限制如未經(jīng)授權(quán)人員可能進入的地點管理記錄

研發(fā)部門:

1、產(chǎn)品技術(shù)資料（設(shè)計開發(fā)資料，應(yīng)包括信息安全風(fēng)險評估)

2、研發(fā)人員保密協(xié)議

3、生產(chǎn)工藝流程圖

采購部門：

1、合格供應(yīng)商名錄

2、供應(yīng)商調(diào)查表

3、供應(yīng)商簽署安全要求的文件協(xié)議

4、供應(yīng)商基本資料(如營業(yè)執(zhí)照、ISO9001證書等)

管理層：

1、目標達成統(tǒng)計表

2、文件清單（手冊、程序、作業(yè)指導(dǎo)書)

3、文件發(fā)布記錄

4、外來文件清單

5、全公司資產(chǎn)識別與風(fēng)險管理匯總表

6、內(nèi)審、管審過程記錄