在組織實施信息安全管理體系中，信息安全產(chǎn)品與制造業(yè)產(chǎn)品的最大區(qū)別是前者看不見。從信息系統(tǒng)到殺毒光盤，組織往往是通過定制或購買相關(guān)單位獲得的，大部分是委托外包商提供后續(xù)的運維服務。因此，如果組織對信息系統(tǒng)的采購和運維要求不明確，可能會直接導致信息安全產(chǎn)品不能滿足規(guī)定的使用要求或已知的預期使用要求，對組織的整個業(yè)務運營過程構(gòu)成威脅。

ISO27001:2005.GB/T2080-2008《信息管理體系要求》雖然對信息資產(chǎn)產(chǎn)品采購或委托外包商提供運維服務沒有明確要求，但在審核過程中可以參考(GB/T19001-2008《質(zhì)量管理體系要求》的要求。

1.購買信息安全產(chǎn)品。
(1)產(chǎn)品和服務的準入要求。
ISO27001認證審核員應首先熟悉政府和行政主管部門發(fā)布的最新信息安全產(chǎn)品法律、法規(guī)和相關(guān)產(chǎn)品標準要求，特別是資質(zhì)、許可和保密的市場準入要求。其次，組織使用的信息安全產(chǎn)品應與主管部門發(fā)布的最新評估和注冊公告進行比較，包括保密資格、等級、產(chǎn)品評估、系統(tǒng)評估、服務資格評估和人員注冊。此外，還應注意其圖形界面和文檔是否為中文，并具有獨立的知識產(chǎn)權(quán)。專利等。

(2)采購信息。
信息安全產(chǎn)品覆蓋面廣，類型多，類型廣，主要包括入侵檢測系統(tǒng)、防火墻、VPN、入侵防御、信息過濾、網(wǎng)絡通信安全審計、網(wǎng)站恢復產(chǎn)品、文件加密產(chǎn)品、訪問控制產(chǎn)品檢驗、遠程主機監(jiān)控產(chǎn)品、非授權(quán)外部監(jiān)控、反垃圾郵件、數(shù)據(jù)庫掃描、主機安全漏洞掃描、日志分析、安全管理平臺、WEB過濾保護、數(shù)據(jù)庫安全審計、網(wǎng)絡惡意代碼控制、反垃圾郵件客戶端產(chǎn)品、本地數(shù)據(jù)備份與恢復、主機文件監(jiān)控、自適應網(wǎng)絡主動防御等。在審計過程中，應注意上述信息安全產(chǎn)品采購合同及相關(guān)技術(shù)文件中采購信息充分性和適宜性證據(jù)的收集。

(3)驗證信息安全產(chǎn)品是否符合采購要求。
熟悉采購準入要求，收集充分的采購信息，目的是有效驗證信息安全產(chǎn)品能否滿足采購要求。由于信息安全產(chǎn)品技術(shù)含量高，版本更新快，涉及知識產(chǎn)權(quán)、專利等。，我們不妨采取多種形式驗證重要信息安全采購產(chǎn)品是否符合規(guī)定的采購要求。

2.注意信息安全產(chǎn)品的運行和維護。
信息安全產(chǎn)品安裝、調(diào)試和投入使用后，需要動態(tài)運行和維護。審計時，應防止業(yè)務。
中斷活動，評估保護關(guān)鍵業(yè)務流程免受信息系統(tǒng)重大錯誤或災難影響的能力。