ISO27001信息安全管理系统合规性检查

ISO27001信息安全管理系统合规性检查。
GB/22080-2008/ISO/IEC27001:2005的基本要求符合适用法律法规的要求。初审的两个阶段都需要合规性检查，目的是评估组织是否充分识别适用的法律法规和实际执行情况。合规性检查主要包括：
1.资格验证。
包括但不限于营业执照、特许经营许可证、注册地址和办公地址（包括临时场所）、信息安全管理系统覆盖人数、法定代表人身份等。在申请审查和第一阶段审查中。验证可以通过验证原件、验证场地产权或租赁协议、验证人数等方式进行。进一步查明虚假信息的原因，及时妥善处理。

2.法律法规要求检查识别情况。
首先，审计人员应了解审计组织需要遵守的法律法规，然后检查组织提供的识别法律法规清单，检查组织是否违反法律法规，然后通过沟通、检查相关材料和环境检查等方式评估组织法律法规的一致性。

3.保密检查。
主要检查有保密要求的组织(如涉及国家秘密或组织需要保密的信息)。
在申请审查和任命审查组时，应注意充分考虑有保密要求的组织的认证风险。原则上，审计组检查组织是否建立了相应的保密程序和实际执行情况，审计人员一般不得接触保密信息；特殊情况下，确需接触保密信息的，应严格按照组织保密程序办理相关手续。

4.检查知识产权保护。
知识产权保护是合规性的一个重要方面，也是标准附录门列出的合规性检查项目。在合规性检查中，需要专门组织是否识别要保护的知识产权，实施了保护措施，是否识别了组织的合法化状态，是否实施了合法化战略。例如，检查组织使用的工具、系统、设备和生产中使用的技术是否违反知识产权保护规定，一旦发现违规行为，应明确指出组织。