ISO 27001審核流程
內部審核員
1、基本概念
審核含義：對信息安全相關(guān)的審核證據進(jìn)行客觀(guān)評價(jià)，以確定滿(mǎn)足信息安全審核準則的程度所進(jìn)行的系統、獨立并形成文件的過(guò)程。
審核準則：安全管理方針、SOA、風(fēng)險評估報告及管理計劃、法規要求、合同要求、內部安全規范要求扥；
審核證據:與審核準則有關(guān)并且能夠證實(shí)的記錄、事實(shí)陳述及其他信息。
審核類(lèi)型：第一方審核（內審）、第二方審核（顧客），第三方審核；
審核階段：第一階段為文件審查，第二階段為對ISMS實(shí)施結果審查。
基本程序：策劃與準備、實(shí)施、報告、跟蹤。
2、審核策劃與準備
——年度審核策劃：時(shí)間及方式
——審核準備：目的及范圍、特別要求、成員、時(shí)間資源、計劃、檢查表、審核前溝通
——編制ISMS審核實(shí)施計劃：目的及范圍、準則、成員、詳細日程安排（會(huì )議時(shí)間、人員分配、受審部門(mén)時(shí)間、主要審核點(diǎn)）、特別說(shuō)明（臨時(shí)權限及業(yè)務(wù)影響）、批準人簽字、通知的對象部門(mén)
——編制審核檢查表：（備忘錄，應該反映實(shí)際的業(yè)務(wù)過(guò)程）審核準則、部門(mén)、檢查要點(diǎn)、驗證方法、抽樣數、審核時(shí)間、驗證結果。
——審核前溝通：特別事項、提前通知、組內會(huì )議。
3、審核實(shí)施
——首次會(huì )議
——現場(chǎng)審核：
基本原則（行規）：進(jìn)入審核區域、自我介紹（由陪同人員介紹）、解釋希望看什么、進(jìn)行適當深度調查、如無(wú)問(wèn)題繼續審核計劃、切記為了問(wèn)題而審核。
提問(wèn)方式：開(kāi)放式提問(wèn)了解活動(dòng)，封閉式提問(wèn)用于確認。
審核技巧：抽樣、驗證、詢(xún)問(wèn)；
——不合格報告：
分類(lèi)：嚴重不合格、一般不合格、觀(guān)察意見(jiàn)；
不合格判斷：足夠事實(shí)？孤立的問(wèn)題？頻繁？嚴重程度?糾正措施？對受審方的幫助？違反ISO哪一條規則？
不合格描述：客觀(guān)判斷、地點(diǎn)、事實(shí)、原因、職位、專(zhuān)業(yè)術(shù)語(yǔ)、可追溯、改進(jìn)。得到責任人的許可。
報告：準確清晰的描述不合格事實(shí)、問(wèn)題性質(zhì)、違反規定條款，糾正措施計劃及責任部門(mén)
——審核組會(huì )議
——末次會(huì )議
4、審核報告、糾正及跟蹤
——審核報告
——糾正措施計劃及執行：補救措施、預防措施
——糾正措施跟蹤
——審核檔案管理：審核實(shí)施計劃、審核檢查表、現場(chǎng)審核記錄、審核不合格報告、審核報告、糾正預防措施計劃、糾正措施實(shí)施證據、措施驗證記錄。
以上就是ISO 27001審核所需要注意點(diǎn)