一、文件審核關(guān)注要點(diǎn)

　　在進(jìn)行文件審核時(shí)，審核員主要關(guān)注信息安全管理體系文件是否符合ISO27001標(biāo)準(zhǔn)，關(guān)注文件的適宜性和完整性是否符合要求。關(guān)注的文件包括但不限于：

　　法律地位證明、組織簡(jiǎn)介、組織機(jī)構(gòu)圖、人員情況說明、管理手冊(cè)、程序文件、信息安全方針和目標(biāo)、信息安全管理體系的規(guī)程和控制措施、SOA適用性聲明、風(fēng)險(xiǎn)評(píng)估報(bào)告、殘余風(fēng)險(xiǎn)聲明、風(fēng)險(xiǎn)處置計(jì)劃、資產(chǎn)識(shí)別表、法律法規(guī)清單。

　　二、現(xiàn)場(chǎng)審核關(guān)注要點(diǎn)

　　現(xiàn)場(chǎng)審核時(shí)，審核員主要關(guān)注組織信息安全管理體系執(zhí)行的程度及有效性，除著重關(guān)注各部門信息安全資產(chǎn)識(shí)別與風(fēng)險(xiǎn)管理相關(guān)記錄外，對(duì)應(yīng)不同部門或角色，著重關(guān)注的體系運(yùn)行記錄分別為：

　　ISO27000信息安全審核——行政人事部門：

　　1、來訪人員登記記錄

　　2、人員保密協(xié)議

　　3、與信息安全相關(guān)的法律法規(guī)清單、符合性評(píng)價(jià)

　　4、與信息安全相關(guān)的培訓(xùn)計(jì)劃、培訓(xùn)簽到記錄

　　ISO27000信息安全審核——IT相關(guān)部門：

　　1、服務(wù)器管理(包括設(shè)備點(diǎn)檢、測(cè)試日志記錄與審查)

　　2、機(jī)房管理等重點(diǎn)區(qū)域進(jìn)出管理

　　3、對(duì)各部門定期殺毒、屏保、密碼等監(jiān)督檢查表單

　　4、公司軟件使用清單、容量標(biāo)注

　　5、重要數(shù)據(jù)備份記錄

　　6、上網(wǎng)安全檢查

　　7、各類信息系統(tǒng)如郵箱、OA權(quán)限及權(quán)限時(shí)效性管理記錄

　　ISO27000信息安全審核——市場(chǎng)開發(fā)部門：

　　1、合同、訂單

　　2、業(yè)務(wù)連續(xù)性資料(計(jì)劃、驗(yàn)證)

　　3、訪問區(qū)域限制如未經(jīng)授權(quán)人員可能進(jìn)入的地點(diǎn)管理記錄

　　ISO27000信息安全審核——研發(fā)部門：

　　1、產(chǎn)品技術(shù)資料(設(shè)計(jì)開發(fā)資料，應(yīng)包括信息安全風(fēng)險(xiǎn)評(píng)估)

　　2、研發(fā)人員保密協(xié)議

　　3、生產(chǎn)工藝流程圖

　　ISO27000信息安全審核——采購(gòu)部門：

　　1、合格供應(yīng)商名錄

　　2、供應(yīng)商調(diào)查表

　　3、供應(yīng)商簽署安全要求的文件協(xié)議

　　4、供應(yīng)商基本資料(如營(yíng)業(yè)執(zhí)照、ISO9001證書等)

　　ISO27000信息安全審核——管理層：

　　1、目標(biāo)達(dá)成統(tǒng)計(jì)表

　　2、文件清單(手冊(cè)、程序、作業(yè)指導(dǎo)書)

　　3、文件發(fā)布記錄

　　4、外來文件清單

　　5、全公司資產(chǎn)識(shí)別與風(fēng)險(xiǎn)管理匯總表

　　6、內(nèi)審、管審過程記錄