ISO27001信息安全管理系統(tǒng)文件審核。
ISO27001認證信息安全管理系統(tǒng)文件審核的目的是評估組織是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立了基于文件的信息安全管理系統(tǒng)；建立的信息安全管理系統(tǒng)文件是否完全適合組織的ISMS，是否符合ISO27001標準的要求，并進行有效的發(fā)布和分發(fā)控制；組織是否有效地進行了系統(tǒng)文件培訓，相關人員是否真正理解和落實了系統(tǒng)文件的要求。雖然系統(tǒng)文件對組織的ISMS系統(tǒng)進行了全面的描述，但基于系統(tǒng)文件的審核幾乎涉及到標準要求的所有內容，還需要另外三個脈絡作為補充。
ISO27001信息安全管理系統(tǒng)文件審核是初始認證兩個階段都需要進行的工作，但文件審核應在第一階段完成。

ISO27001信息安全管理系統(tǒng)文件審核主要包括：
1.審核ISO27001信息安全管理系統(tǒng)的文件控制。
檢查系統(tǒng)文件是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立，尤其是4.3.1中的要求；是否有規(guī)范的記錄格式和記錄要求；是否根據(jù)文件控制要求正式發(fā)布相關文件。注意紙質文件和電子文件控制要求的差異，以及電子文件是否有不同的文件控制系統(tǒng)。事實上，文件控制檢查的關鍵是判斷文件的完整性是否保持在文件生成、發(fā)布、修訂和再發(fā)布中。此外，通常文件發(fā)布和使用狀態(tài)的文件發(fā)布控制清單通常是必要的。

 

2.審核ISO27001信息安全管理系統(tǒng)的文件內容和實施情況。
根據(jù)GB/T22080-2008/ISO/IEC27001:2005條款4.3.1建立的文件內容，檢查組織的實施情況。審核員首先要了解這些文件的內容，然后驗證其實施情況，尤其是那些能夠反映ISMS運行效果的證據(jù)，以評價文件的可用性、充分性和適宜性，這也是系統(tǒng)文件審核的重點。需要關注的文件包括:
(1)描述政策、目標、范圍、組織信息安全定義等文件。

這是整個審計的重點。

(2)文件/記錄控制程序、內部審核/管理審核程序、預防和糾正措施程序、有效性測量程序等。

需要檢查這些程序的可用性和實施情況。

(3)適用性聲明。
檢查適用性聲明的完整性，梳理控制措施與系統(tǒng)文件、技術措施、系統(tǒng)范圍、安全要求和預期的關系，判斷控制措施及其刪除的合理性。

 

(4)規(guī)范和規(guī)范操作文件。
檢查文件的可操作性和應用情況，需要注意的是，控制措施的有效性應結合審核過程進行驗證。

 

(5)安全職責分配。
檢查是否建立了ISMS安全職責分配表，是否定義了信息安全管理體系建立、實施、運行、監(jiān)控、評估、維護和改進所需的信息安全職責，是否將所有職責落實到具體崗位和人員身上。