ISO27001认证中的文件审核

ISO27001信息安全管理系统文件审核。
ISO27001认证信息安全管理系统文件审核的目的是评估组织是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立了基于文件的信息安全管理系统；建立的信息安全管理系统文件是否完全适合组织的ISMS，是否符合ISO27001标准的要求，并进行有效的发布和分发控制；组织是否有效地进行了系统文件培训，相关人员是否真正理解和落实了系统文件的要求。虽然系统文件对组织的ISMS系统进行了全面的描述，但基于系统文件的审核几乎涉及到标准要求的所有内容，还需要另外三个脉络作为补充。
ISO27001信息安全管理系统文件审核是初始认证两个阶段都需要进行的工作，但文件审核应在第一阶段完成。

ISO27001信息安全管理系统文件审核主要包括：
1.审核ISO27001信息安全管理系统的文件控制。
检查系统文件是否按照GB/T22080-2008/ISO/IEC27001:2005的要求建立，尤其是4.3.1中的要求；是否有规范的记录格式和记录要求；是否根据文件控制要求正式发布相关文件。注意纸质文件和电子文件控制要求的差异，以及电子文件是否有不同的文件控制系统。事实上，文件控制检查的关键是判断文件的完整性是否保持在文件生成、发布、修订和再发布中。此外，通常文件发布和使用状态的文件发布控制清单通常是必要的。

 

2.审核ISO27001信息安全管理系统的文件内容和实施情况。
根据GB/T22080-2008/ISO/IEC27001:2005条款4.3.1建立的文件内容，检查组织的实施情况。审核员首先要了解这些文件的内容，然后验证其实施情况，尤其是那些能够反映ISMS运行效果的证据，以评价文件的可用性、充分性和适宜性，这也是系统文件审核的重点。需要关注的文件包括:
(1)描述政策、目标、范围、组织信息安全定义等文件。

这是整个审计的重点。

(2)文件/记录控制程序、内部审核/管理审核程序、预防和纠正措施程序、有效性测量程序等。

需要检查这些程序的可用性和实施情况。

(3)适用性声明。
检查适用性声明的完整性，梳理控制措施与系统文件、技术措施、系统范围、安全要求和预期的关系，判断控制措施及其删除的合理性。

 

(4)规范和规范操作文件。
检查文件的可操作性和应用情况，需要注意的是，控制措施的有效性应结合审核过程进行验证。

 

(5)安全职责分配。
检查是否建立了ISMS安全职责分配表，是否定义了信息安全管理体系建立、实施、运行、监控、评估、维护和改进所需的信息安全职责，是否将所有职责落实到具体岗位和人员身上。