一、文件審核關(guān)注要點(diǎn)

在進(jìn)行文件審核時(shí)，審核員主要關(guān)注信息安全管理體系文件是否符合ISO27001標(biāo)準(zhǔn)，關(guān)注文件的適宜性和完整性是否符合要求。關(guān)注的文件包括但不限于:

法律地位證明、組織簡(jiǎn)介、組織機(jī)構(gòu)圖、人員情況說明、管理手冊(cè)、程序文件、信息安全方針和目標(biāo)、信息安全管理體系的規(guī)程和控制措施、SOA適用性聲明、風(fēng)險(xiǎn)評(píng)估報(bào)告、殘余風(fēng)險(xiǎn)聲明、風(fēng)險(xiǎn)處置計(jì)劃、資產(chǎn)識(shí)別表、法律法規(guī)清單。

二、現(xiàn)場(chǎng)審核關(guān)注要點(diǎn)

現(xiàn)場(chǎng)審核時(shí)，審核員主要關(guān)注組織信息安全管理體系執(zhí)行的程度及有效性，除著重關(guān)注各部門信息安全資產(chǎn)識(shí)別與風(fēng)險(xiǎn)管理相關(guān)記錄外，對(duì)應(yīng)不同部門或角色，著重關(guān)注的體系運(yùn)行記錄分別為：

行政人事部門：

1、來訪人員登記記錄

2、人員保密協(xié)議

3、與信息安全相關(guān)的法律法規(guī)清單、符合性評(píng)價(jià)

4、與信息安全相關(guān)的培訓(xùn)計(jì)劃、培訓(xùn)簽到記錄

IT相關(guān)部門：

1、服務(wù)器管理（包括設(shè)備點(diǎn)檢、測(cè)試日志記錄與審查)

2、機(jī)房管理等重點(diǎn)區(qū)域進(jìn)出管理

3、對(duì)各部門定期殺毒、屏保、密碼等監(jiān)督檢查表單

4、公司軟件使用清單、容量標(biāo)注

5、重要數(shù)據(jù)備份記錄

6、上網(wǎng)安全檢查

7、各類信息系統(tǒng)如郵箱、OA權(quán)限及權(quán)限時(shí)效性管理記錄

市場(chǎng)開發(fā)部門：

1、合同、訂單

2、業(yè)務(wù)連續(xù)性資料(計(jì)劃、驗(yàn)證)

3、訪問區(qū)域限制如未經(jīng)授權(quán)人員可能進(jìn)入的地點(diǎn)管理記錄

研發(fā)部門:

1、產(chǎn)品技術(shù)資料（設(shè)計(jì)開發(fā)資料，應(yīng)包括信息安全風(fēng)險(xiǎn)評(píng)估)

2、研發(fā)人員保密協(xié)議

3、生產(chǎn)工藝流程圖

采購部門：

1、合格供應(yīng)商名錄

2、供應(yīng)商調(diào)查表

3、供應(yīng)商簽署安全要求的文件協(xié)議

4、供應(yīng)商基本資料(如營業(yè)執(zhí)照、ISO9001證書等)

管理層：

1、目標(biāo)達(dá)成統(tǒng)計(jì)表

2、文件清單（手冊(cè)、程序、作業(yè)指導(dǎo)書)

3、文件發(fā)布記錄

4、外來文件清單

5、全公司資產(chǎn)識(shí)別與風(fēng)險(xiǎn)管理匯總表

6、內(nèi)審、管審過程記錄