ISO27001认证审核应注重信息安全产品的采购和信息系统的运行维护。

在组织实施信息安全管理体系中，信息安全产品与制造业产品的最大区别是前者看不见。从信息系统到杀毒光盘，组织往往是通过定制或购买相关单位获得的，大部分是委托外包商提供后续的运维服务。因此，如果组织对信息系统的采购和运维要求不明确，可能会直接导致信息安全产品不能满足规定的使用要求或已知的预期使用要求，对组织的整个业务运营过程构成威胁。

 

ISO27001:2005.GB/T2080-2008《信息管理体系要求》虽然对信息资产产品采购或委托外包商提供运维服务没有明确要求，但在审核过程中可以参考(GB/T19001-2008《质量管理体系要求》的要求。

 

1.购买信息安全产品。
(1)产品和服务的准入要求。
ISO27001认证审核员应首先熟悉政府和行政主管部门发布的最新信息安全产品法律、法规和相关产品标准要求，特别是资质、许可和保密的市场准入要求。其次，组织使用的信息安全产品应与主管部门发布的最新评估和注册公告进行比较，包括保密资格、等级、产品评估、系统评估、服务资格评估和人员注册。此外，还应注意其图形界面和文档是否为中文，并具有独立的知识产权。专利等。

 

(2)采购信息。
信息安全产品覆盖面广，类型多，类型广，主要包括入侵检测系统、防火墙、VPN、入侵防御、信息过滤、网络通信安全审计、网站恢复产品、文件加密产品、访问控制产品检验、远程主机监控产品、非授权外部监控、反垃圾邮件、数据库扫描、主机安全漏洞扫描、日志分析、安全管理平台、WEB过滤保护、数据库安全审计、网络恶意代码控制、反垃圾邮件客户端产品、本地数据备份与恢复、主机文件监控、自适应网络主动防御等。在审计过程中，应注意上述信息安全产品采购合同及相关技术文件中采购信息充分性和适宜性证据的收集。

 

(3)验证信息安全产品是否符合采购要求。
熟悉采购准入要求，收集充分的采购信息，目的是有效验证信息安全产品能否满足采购要求。由于信息安全产品技术含量高，版本更新快，涉及知识产权、专利等。，我们不妨采取多种形式验证重要信息安全采购产品是否符合规定的采购要求。

 

2.注意信息安全产品的运行和维护。
信息安全产品安装、调试和投入使用后，需要动态运行和维护。审计时，应防止业务。
中断活动，评估保护关键业务流程免受信息系统重大错误或灾难影响的能力。