ISO 27001審核流程
內(nèi)部審核員
1、基本概念
審核含義：對(duì)信息安全相關(guān)的審核證據(jù)進(jìn)行客觀評(píng)價(jià)，以確定滿足信息安全審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)、獨(dú)立并形成文件的過(guò)程。
審核準(zhǔn)則：安全管理方針、SOA、風(fēng)險(xiǎn)評(píng)估報(bào)告及管理計(jì)劃、法規(guī)要求、合同要求、內(nèi)部安全規(guī)范要求扥；
審核證據(jù):與審核準(zhǔn)則有關(guān)并且能夠證實(shí)的記錄、事實(shí)陳述及其他信息。
審核類型：第一方審核（內(nèi)審）、第二方審核（顧客），第三方審核；
審核階段：第一階段為文件審查，第二階段為對(duì)ISMS實(shí)施結(jié)果審查。
基本程序：策劃與準(zhǔn)備、實(shí)施、報(bào)告、跟蹤。
2、審核策劃與準(zhǔn)備
——年度審核策劃：時(shí)間及方式
——審核準(zhǔn)備：目的及范圍、特別要求、成員、時(shí)間資源、計(jì)劃、檢查表、審核前溝通
——編制ISMS審核實(shí)施計(jì)劃：目的及范圍、準(zhǔn)則、成員、詳細(xì)日程安排（會(huì)議時(shí)間、人員分配、受審部門時(shí)間、主要審核點(diǎn)）、特別說(shuō)明（臨時(shí)權(quán)限及業(yè)務(wù)影響）、批準(zhǔn)人簽字、通知的對(duì)象部門
——編制審核檢查表：（備忘錄，應(yīng)該反映實(shí)際的業(yè)務(wù)過(guò)程）審核準(zhǔn)則、部門、檢查要點(diǎn)、驗(yàn)證方法、抽樣數(shù)、審核時(shí)間、驗(yàn)證結(jié)果。
——審核前溝通：特別事項(xiàng)、提前通知、組內(nèi)會(huì)議。
3、審核實(shí)施
——首次會(huì)議
——現(xiàn)場(chǎng)審核：
基本原則（行規(guī)）：進(jìn)入審核區(qū)域、自我介紹（由陪同人員介紹）、解釋希望看什么、進(jìn)行適當(dāng)深度調(diào)查、如無(wú)問(wèn)題繼續(xù)審核計(jì)劃、切記為了問(wèn)題而審核。
提問(wèn)方式：開(kāi)放式提問(wèn)了解活動(dòng)，封閉式提問(wèn)用于確認(rèn)。
審核技巧：抽樣、驗(yàn)證、詢問(wèn)；
——不合格報(bào)告：
分類：嚴(yán)重不合格、一般不合格、觀察意見(jiàn)；
不合格判斷：足夠事實(shí)？孤立的問(wèn)題？頻繁？嚴(yán)重程度?糾正措施？對(duì)受審方的幫助？違反ISO哪一條規(guī)則？
不合格描述：客觀判斷、地點(diǎn)、事實(shí)、原因、職位、專業(yè)術(shù)語(yǔ)、可追溯、改進(jìn)。得到責(zé)任人的許可。
報(bào)告：準(zhǔn)確清晰的描述不合格事實(shí)、問(wèn)題性質(zhì)、違反規(guī)定條款，糾正措施計(jì)劃及責(zé)任部門
——審核組會(huì)議
——末次會(huì)議
4、審核報(bào)告、糾正及跟蹤
——審核報(bào)告
——糾正措施計(jì)劃及執(zhí)行：補(bǔ)救措施、預(yù)防措施
——糾正措施跟蹤
——審核檔案管理：審核實(shí)施計(jì)劃、審核檢查表、現(xiàn)場(chǎng)審核記錄、審核不合格報(bào)告、審核報(bào)告、糾正預(yù)防措施計(jì)劃、糾正措施實(shí)施證據(jù)、措施驗(yàn)證記錄。
以上就是ISO 27001審核所需要注意點(diǎn)