在組織實(shí)施信息安全管理體系中，信息安全產(chǎn)品與制造業(yè)產(chǎn)品的最大區別是前者看不見(jiàn)。從信息系統到殺毒光盤(pán)，組織往往是通過(guò)定制或購買(mǎi)相關(guān)單位獲得的，大部分是委托外包商提供后續的運維服務(wù)。因此，如果組織對信息系統的采購和運維要求不明確，可能會(huì )直接導致信息安全產(chǎn)品不能滿(mǎn)足規定的使用要求或已知的預期使用要求，對組織的整個(gè)業(yè)務(wù)運營(yíng)過(guò)程構成威脅。

ISO27001:2005.GB/T2080-2008《信息管理體系要求》雖然對信息資產(chǎn)產(chǎn)品采購或委托外包商提供運維服務(wù)沒(méi)有明確要求，但在審核過(guò)程中可以參考(GB/T19001-2008《質(zhì)量管理體系要求》的要求。

1.購買(mǎi)信息安全產(chǎn)品。
(1)產(chǎn)品和服務(wù)的準入要求。
ISO27001認證審核員應首先熟悉政府和行政主管部門(mén)發(fā)布的最新信息安全產(chǎn)品法律、法規和相關(guān)產(chǎn)品標準要求，特別是資質(zhì)、許可和保密的市場(chǎng)準入要求。其次，組織使用的信息安全產(chǎn)品應與主管部門(mén)發(fā)布的最新評估和注冊公告進(jìn)行比較，包括保密資格、等級、產(chǎn)品評估、系統評估、服務(wù)資格評估和人員注冊。此外，還應注意其圖形界面和文檔是否為中文，并具有獨立的知識產(chǎn)權。專(zhuān)利等。

(2)采購信息。
信息安全產(chǎn)品覆蓋面廣，類(lèi)型多，類(lèi)型廣，主要包括入侵檢測系統、防火墻、VPN、入侵防御、信息過(guò)濾、網(wǎng)絡(luò )通信安全審計、網(wǎng)站恢復產(chǎn)品、文件加密產(chǎn)品、訪(fǎng)問(wèn)控制產(chǎn)品檢驗、遠程主機監控產(chǎn)品、非授權外部監控、反垃圾郵件、數據庫掃描、主機安全漏洞掃描、日志分析、安全管理平臺、WEB過(guò)濾保護、數據庫安全審計、網(wǎng)絡(luò )惡意代碼控制、反垃圾郵件客戶(hù)端產(chǎn)品、本地數據備份與恢復、主機文件監控、自適應網(wǎng)絡(luò )主動(dòng)防御等。在審計過(guò)程中，應注意上述信息安全產(chǎn)品采購合同及相關(guān)技術(shù)文件中采購信息充分性和適宜性證據的收集。

(3)驗證信息安全產(chǎn)品是否符合采購要求。
熟悉采購準入要求，收集充分的采購信息，目的是有效驗證信息安全產(chǎn)品能否滿(mǎn)足采購要求。由于信息安全產(chǎn)品技術(shù)含量高，版本更新快，涉及知識產(chǎn)權、專(zhuān)利等。，我們不妨采取多種形式驗證重要信息安全采購產(chǎn)品是否符合規定的采購要求。

2.注意信息安全產(chǎn)品的運行和維護。
信息安全產(chǎn)品安裝、調試和投入使用后，需要動(dòng)態(tài)運行和維護。審計時(shí)，應防止業(yè)務(wù)。
中斷活動(dòng)，評估保護關(guān)鍵業(yè)務(wù)流程免受信息系統重大錯誤或災難影響的能力。