ISO27001信息安全管理系統文件審核。
ISO27001認證信息安全管理系統文件審核的目的是評估組織是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立了基于文件的信息安全管理系統；建立的信息安全管理系統文件是否完全適合組織的ISMS，是否符合ISO27001標準的要求，并進(jìn)行有效的發(fā)布和分發(fā)控制；組織是否有效地進(jìn)行了系統文件培訓，相關(guān)人員是否真正理解和落實(shí)了系統文件的要求。雖然系統文件對組織的ISMS系統進(jìn)行了全面的描述，但基于系統文件的審核幾乎涉及到標準要求的所有內容，還需要另外三個(gè)脈絡(luò )作為補充。
ISO27001信息安全管理系統文件審核是初始認證兩個(gè)階段都需要進(jìn)行的工作，但文件審核應在第一階段完成。

ISO27001信息安全管理系統文件審核主要包括：
1.審核ISO27001信息安全管理系統的文件控制。
檢查系統文件是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立，尤其是4.3.1中的要求；是否有規范的記錄格式和記錄要求；是否根據文件控制要求正式發(fā)布相關(guān)文件。注意紙質(zhì)文件和電子文件控制要求的差異，以及電子文件是否有不同的文件控制系統。事實(shí)上，文件控制檢查的關(guān)鍵是判斷文件的完整性是否保持在文件生成、發(fā)布、修訂和再發(fā)布中。此外，通常文件發(fā)布和使用狀態(tài)的文件發(fā)布控制清單通常是必要的。

 

2.審核ISO27001信息安全管理系統的文件內容和實(shí)施情況。
根據GB/T22080-2008/ISO/IEC27001:2005條款4.3.1建立的文件內容，檢查組織的實(shí)施情況。審核員首先要了解這些文件的內容，然后驗證其實(shí)施情況，尤其是那些能夠反映ISMS運行效果的證據，以評價(jià)文件的可用性、充分性和適宜性，這也是系統文件審核的重點(diǎn)。需要關(guān)注的文件包括:
(1)描述政策、目標、范圍、組織信息安全定義等文件。

這是整個(gè)審計的重點(diǎn)。

(2)文件/記錄控制程序、內部審核/管理審核程序、預防和糾正措施程序、有效性測量程序等。

需要檢查這些程序的可用性和實(shí)施情況。

(3)適用性聲明。
檢查適用性聲明的完整性，梳理控制措施與系統文件、技術(shù)措施、系統范圍、安全要求和預期的關(guān)系，判斷控制措施及其刪除的合理性。

 

(4)規范和規范操作文件。
檢查文件的可操作性和應用情況，需要注意的是，控制措施的有效性應結合審核過(guò)程進(jìn)行驗證。

 

(5)安全職責分配。
檢查是否建立了ISMS安全職責分配表，是否定義了信息安全管理體系建立、實(shí)施、運行、監控、評估、維護和改進(jìn)所需的信息安全職責，是否將所有職責落實(shí)到具體崗位和人員身上。