ISO27001信息安全認證審核員通常會關注的問題。
一、文件審核要點。
審核文件時，審核員主要關注信息安全管理系統文件是否符合ISO27001標準，文件的適用性和完整性是否符合要求。關注的文件包括但不限于:
法律地位證明、組織簡介、組織構圖、人員描述、管理手冊、程序文件、信息安全政策和目標、信息安全管理體系規定和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產識別表和法律法規清單。

 

二、現場審核要點。
現場審核時，審核員主要關注組織信息安全管理系統的實施程度和有效性。除了關注各部門信息安全資產識別和風險管理的相關記錄外，關注的系統運行記錄分別為:

 

行政人事部門:
1.來訪者的登記記錄。
二是人員保密協議。
3.與信息安全相關的法律法規清單和符合性評價。
4.與信息安全相關的培訓計劃和簽到記錄。

 

有關IT部門：
1.服務器管理(包括設備點檢、測試日志記錄和審查)
2.機房管理等重點區域的進出管理。
3.對各部門定期進行殺毒、屏保、密碼等監督檢查。
4.公司軟件使用清單和容量標記。
5.重要數據備份記錄。
6.上網安全檢查。
7.郵箱、OA權限、權限及時性管理記錄等各種信息系統。

 

市場開發部門:
一是合同，訂單。
2.業務連續數據(計劃、驗證)
3.訪問區域限制，如未經授權人員可能進入的地點管理記錄。

 

R&D部門:
1.產品技術數據(設計開發數據應包括信息安全風險評估)
2.R&D人員保密協議。
三是生產工藝流程圖。

 

采購部:
一、合格供應商名單。
二是供應商調查表。
3.供應商簽署安全要求文件協議。
4.供應商基本信息(如營業執照、ISO9001證書等。

 

管理：
1.目標達成統計表；
2.文件清單(手冊、程序、操作說明)
三是文件發布記錄。
四是外來文件清單。
5.全公司資產識別和風險管理匯總表。
六、內審、管審過程記錄。