一、文件審核關注要點

在進行文件審核時，審核員主要關注信息安全管理體系文件是否符合ISO27001標準，關注文件的適宜性和完整性是否符合要求。關注的文件包括但不限于:

法律地位證明、組織簡介、組織機構圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規(guī)程和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產識別表、法律法規(guī)清單。

二、現場審核關注要點

現場審核時，審核員主要關注組織信息安全管理體系執(zhí)行的程度及有效性，除著重關注各部門信息安全資產識別與風險管理相關記錄外，對應不同部門或角色，著重關注的體系運行記錄分別為：

行政人事部門：

1、來訪人員登記記錄

2、人員保密協議

3、與信息安全相關的法律法規(guī)清單、符合性評價

4、與信息安全相關的培訓計劃、培訓簽到記錄

IT相關部門：

1、服務器管理（包括設備點檢、測試日志記錄與審查)

2、機房管理等重點區(qū)域進出管理

3、對各部門定期殺毒、屏保、密碼等監(jiān)督檢查表單

4、公司軟件使用清單、容量標注

5、重要數據備份記錄

6、上網安全檢查

7、各類信息系統(tǒng)如郵箱、OA權限及權限時效性管理記錄

市場開發(fā)部門：

1、合同、訂單

2、業(yè)務連續(xù)性資料(計劃、驗證)

3、訪問區(qū)域限制如未經授權人員可能進入的地點管理記錄

研發(fā)部門:

1、產品技術資料（設計開發(fā)資料，應包括信息安全風險評估)

2、研發(fā)人員保密協議

3、生產工藝流程圖

采購部門：

1、合格供應商名錄

2、供應商調查表

3、供應商簽署安全要求的文件協議

4、供應商基本資料(如營業(yè)執(zhí)照、ISO9001證書等)

管理層：

1、目標達成統(tǒng)計表

2、文件清單（手冊、程序、作業(yè)指導書)

3、文件發(fā)布記錄

4、外來文件清單

5、全公司資產識別與風險管理匯總表

6、內審、管審過程記錄