在組織實(shí)施信息安全管理體系中，信息安全產(chǎn)品與制造業(yè)產(chǎn)品的最大區(qū)別是前者看不見。從信息系統(tǒng)到殺毒光盤，組織往往是通過定制或購(gòu)買相關(guān)單位獲得的，大部分是委托外包商提供后續(xù)的運(yùn)維服務(wù)。因此，如果組織對(duì)信息系統(tǒng)的采購(gòu)和運(yùn)維要求不明確，可能會(huì)直接導(dǎo)致信息安全產(chǎn)品不能滿足規(guī)定的使用要求或已知的預(yù)期使用要求，對(duì)組織的整個(gè)業(yè)務(wù)運(yùn)營(yíng)過程構(gòu)成威脅。

ISO27001:2005.GB/T2080-2008《信息管理體系要求》雖然對(duì)信息資產(chǎn)產(chǎn)品采購(gòu)或委托外包商提供運(yùn)維服務(wù)沒有明確要求，但在審核過程中可以參考(GB/T19001-2008《質(zhì)量管理體系要求》的要求。

1.購(gòu)買信息安全產(chǎn)品。
(1)產(chǎn)品和服務(wù)的準(zhǔn)入要求。
ISO27001認(rèn)證審核員應(yīng)首先熟悉政府和行政主管部門發(fā)布的最新信息安全產(chǎn)品法律、法規(guī)和相關(guān)產(chǎn)品標(biāo)準(zhǔn)要求，特別是資質(zhì)、許可和保密的市場(chǎng)準(zhǔn)入要求。其次，組織使用的信息安全產(chǎn)品應(yīng)與主管部門發(fā)布的最新評(píng)估和注冊(cè)公告進(jìn)行比較，包括保密資格、等級(jí)、產(chǎn)品評(píng)估、系統(tǒng)評(píng)估、服務(wù)資格評(píng)估和人員注冊(cè)。此外，還應(yīng)注意其圖形界面和文檔是否為中文，并具有獨(dú)立的知識(shí)產(chǎn)權(quán)。專利等。

(2)采購(gòu)信息。
信息安全產(chǎn)品覆蓋面廣，類型多，類型廣，主要包括入侵檢測(cè)系統(tǒng)、防火墻、VPN、入侵防御、信息過濾、網(wǎng)絡(luò)通信安全審計(jì)、網(wǎng)站恢復(fù)產(chǎn)品、文件加密產(chǎn)品、訪問控制產(chǎn)品檢驗(yàn)、遠(yuǎn)程主機(jī)監(jiān)控產(chǎn)品、非授權(quán)外部監(jiān)控、反垃圾郵件、數(shù)據(jù)庫(kù)掃描、主機(jī)安全漏洞掃描、日志分析、安全管理平臺(tái)、WEB過濾保護(hù)、數(shù)據(jù)庫(kù)安全審計(jì)、網(wǎng)絡(luò)惡意代碼控制、反垃圾郵件客戶端產(chǎn)品、本地?cái)?shù)據(jù)備份與恢復(fù)、主機(jī)文件監(jiān)控、自適應(yīng)網(wǎng)絡(luò)主動(dòng)防御等。在審計(jì)過程中，應(yīng)注意上述信息安全產(chǎn)品采購(gòu)合同及相關(guān)技術(shù)文件中采購(gòu)信息充分性和適宜性證據(jù)的收集。

(3)驗(yàn)證信息安全產(chǎn)品是否符合采購(gòu)要求。
熟悉采購(gòu)準(zhǔn)入要求，收集充分的采購(gòu)信息，目的是有效驗(yàn)證信息安全產(chǎn)品能否滿足采購(gòu)要求。由于信息安全產(chǎn)品技術(shù)含量高，版本更新快，涉及知識(shí)產(chǎn)權(quán)、專利等。，我們不妨采取多種形式驗(yàn)證重要信息安全采購(gòu)產(chǎn)品是否符合規(guī)定的采購(gòu)要求。

2.注意信息安全產(chǎn)品的運(yùn)行和維護(hù)。
信息安全產(chǎn)品安裝、調(diào)試和投入使用后，需要?jiǎng)討B(tài)運(yùn)行和維護(hù)。審計(jì)時(shí)，應(yīng)防止業(yè)務(wù)。
中斷活動(dòng)，評(píng)估保護(hù)關(guān)鍵業(yè)務(wù)流程免受信息系統(tǒng)重大錯(cuò)誤或?yàn)?zāi)難影響的能力。