ISO27001信息安全管理系統(tǒng)文件審核。
ISO27001認(rèn)證信息安全管理系統(tǒng)文件審核的目的是評(píng)估組織是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立了基于文件的信息安全管理系統(tǒng)；建立的信息安全管理系統(tǒng)文件是否完全適合組織的ISMS，是否符合ISO27001標(biāo)準(zhǔn)的要求，并進(jìn)行有效的發(fā)布和分發(fā)控制；組織是否有效地進(jìn)行了系統(tǒng)文件培訓(xùn)，相關(guān)人員是否真正理解和落實(shí)了系統(tǒng)文件的要求。雖然系統(tǒng)文件對(duì)組織的ISMS系統(tǒng)進(jìn)行了全面的描述，但基于系統(tǒng)文件的審核幾乎涉及到標(biāo)準(zhǔn)要求的所有內(nèi)容，還需要另外三個(gè)脈絡(luò)作為補(bǔ)充。
ISO27001信息安全管理系統(tǒng)文件審核是初始認(rèn)證兩個(gè)階段都需要進(jìn)行的工作，但文件審核應(yīng)在第一階段完成。

ISO27001信息安全管理系統(tǒng)文件審核主要包括：
1.審核ISO27001信息安全管理系統(tǒng)的文件控制。
檢查系統(tǒng)文件是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立，尤其是4.3.1中的要求；是否有規(guī)范的記錄格式和記錄要求；是否根據(jù)文件控制要求正式發(fā)布相關(guān)文件。注意紙質(zhì)文件和電子文件控制要求的差異，以及電子文件是否有不同的文件控制系統(tǒng)。事實(shí)上，文件控制檢查的關(guān)鍵是判斷文件的完整性是否保持在文件生成、發(fā)布、修訂和再發(fā)布中。此外，通常文件發(fā)布和使用狀態(tài)的文件發(fā)布控制清單通常是必要的。

 

2.審核ISO27001信息安全管理系統(tǒng)的文件內(nèi)容和實(shí)施情況。
根據(jù)GB/T22080-2008/ISO/IEC27001:2005條款4.3.1建立的文件內(nèi)容，檢查組織的實(shí)施情況。審核員首先要了解這些文件的內(nèi)容，然后驗(yàn)證其實(shí)施情況，尤其是那些能夠反映ISMS運(yùn)行效果的證據(jù)，以評(píng)價(jià)文件的可用性、充分性和適宜性，這也是系統(tǒng)文件審核的重點(diǎn)。需要關(guān)注的文件包括:
(1)描述政策、目標(biāo)、范圍、組織信息安全定義等文件。

這是整個(gè)審計(jì)的重點(diǎn)。

(2)文件/記錄控制程序、內(nèi)部審核/管理審核程序、預(yù)防和糾正措施程序、有效性測(cè)量程序等。

需要檢查這些程序的可用性和實(shí)施情況。

(3)適用性聲明。
檢查適用性聲明的完整性，梳理控制措施與系統(tǒng)文件、技術(shù)措施、系統(tǒng)范圍、安全要求和預(yù)期的關(guān)系，判斷控制措施及其刪除的合理性。

 

(4)規(guī)范和規(guī)范操作文件。
檢查文件的可操作性和應(yīng)用情況，需要注意的是，控制措施的有效性應(yīng)結(jié)合審核過(guò)程進(jìn)行驗(yàn)證。

 

(5)安全職責(zé)分配。
檢查是否建立了ISMS安全職責(zé)分配表，是否定義了信息安全管理體系建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)估、維護(hù)和改進(jìn)所需的信息安全職責(zé)，是否將所有職責(zé)落實(shí)到具體崗位和人員身上。