在組織實施信息安全管理體系中，信息安全產品與制造業產品的最大區別是前者看不見。從信息系統到殺毒光盤，組織往往是通過定制或購買相關單位獲得的，大部分是委托外包商提供后續的運維服務。因此，如果組織對信息系統的采購和運維要求不明確，可能會直接導致信息安全產品不能滿足規定的使用要求或已知的預期使用要求，對組織的整個業務運營過程構成威脅。

 

ISO27001:2005.GB/T2080-2008《信息管理體系要求》雖然對信息資產產品采購或委托外包商提供運維服務沒有明確要求，但在審核過程中可以參考(GB/T19001-2008《質量管理體系要求》的要求。

 

1.購買信息安全產品。
(1)產品和服務的準入要求。
ISO27001認證審核員應首先熟悉政府和行政主管部門發布的最新信息安全產品法律、法規和相關產品標準要求，特別是資質、許可和保密的市場準入要求。其次，組織使用的信息安全產品應與主管部門發布的最新評估和注冊公告進行比較，包括保密資格、等級、產品評估、系統評估、服務資格評估和人員注冊。此外，還應注意其圖形界面和文檔是否為中文，并具有獨立的知識產權。專利等。

 

(2)采購信息。
信息安全產品覆蓋面廣，類型多，類型廣，主要包括入侵檢測系統、防火墻、VPN、入侵防御、信息過濾、網絡通信安全審計、網站恢復產品、文件加密產品、訪問控制產品檢驗、遠程主機監控產品、非授權外部監控、反垃圾郵件、數據庫掃描、主機安全漏洞掃描、日志分析、安全管理平臺、WEB過濾保護、數據庫安全審計、網絡惡意代碼控制、反垃圾郵件客戶端產品、本地數據備份與恢復、主機文件監控、自適應網絡主動防御等。在審計過程中，應注意上述信息安全產品采購合同及相關技術文件中采購信息充分性和適宜性證據的收集。

 

(3)驗證信息安全產品是否符合采購要求。
熟悉采購準入要求，收集充分的采購信息，目的是有效驗證信息安全產品能否滿足采購要求。由于信息安全產品技術含量高，版本更新快，涉及知識產權、專利等。，我們不妨采取多種形式驗證重要信息安全采購產品是否符合規定的采購要求。

 

2.注意信息安全產品的運行和維護。
信息安全產品安裝、調試和投入使用后，需要動態運行和維護。審計時，應防止業務。
中斷活動，評估保護關鍵業務流程免受信息系統重大錯誤或災難影響的能力。