一、ISO27001信息安全管理體系 文件審核
ISO27001信息安全管理體系文件審核的目的是評價組織是否按GB/T22080—2008/ISO/IEC27001：2005的要求建立了文件化的信息安全管理體系；所建立的信息安全管理體系文件對組織的ISMS是否充分和適宜，是否符合ISO27001標準的要求，并進行了有效的發布和分發控制；組織是否有效地進行了體系文件培訓，相關人員是否真正理解和貫徹了體系文件的要求。盡管體系文件全面描述了組織的ISMS體系，基于體系文件的審核幾乎涉及標準要求的全部內容，還需要另外三條脈絡作為補充。
ISO27001信息安全管理體系文件審核是初次認證兩個階段都需要進行的工作，但是文審工作應該在第一階段完成。
ISO27001信息安全管理體系體系文件審核主要包括：
1．ISO27001信息安全管理體系文件控制的審核
檢查是否按GB/T22080—2008/ISO/IEC27001：2005要求，特別是4.3.1中的要求建立了體系文件；是否有規范的記錄格式和記錄 要求；是否按文件控制要求正式發布了相關文件等。要注意紙質文件和電子文件控制要求的差異，以及電子文件是否存在不同的文件控制系統。實際上，文件控制檢 查的關鍵是判斷文件的完整性是否在文件生成、發布、修訂、再發布中得到了保持。另外，表明文件發布、使用狀態的文件發布控制清單通常是必須的。
2．ISO27001信息安全管理體系文件內容和實施情況的審核
對組織按照GB/T22080—2008/ISO/IEC27001：2005條款4.3.1建立的文件的內容進行檢查，對其實施情況進行追蹤。審核員需要 先理解這些文件的內容，進而驗證其實施情況，特別是那些能夠體現ISMS運行效果的證據，以便評價文件的可用性、充分性、適宜性，這也是體系文件審核的重 點。需要重點關注的文件包括：
(1) 描述方針、目標、范圍、組織的信息安全定義等的文件。
這些是整個審核的關注焦點。
(2) 文件/記錄控制程序、內部審核/管理評審程序、預防與糾正措施程序、有效性測量程序等。
需要檢查這些程序的可用性和實施情況。
(3) 適用性聲明。
檢查適用性聲明的完備性，梳理控制措施與體系文件、技術措施、體系范圍及安全要求與期望的關系，判斷控制措施及其刪減的合理性。
(4) 規程和規范操作類文件。
檢查文件的可操作性和應用情況，需要注意的是應結合審核過程驗證控制措施的有效性。
(5) 安全職責分配。
檢查是否建立了ISMS安全職責分配表，是否定義了信息安全管理體系建立、實施、運行、監視、評審、保持和改進所需的信息安全職責，是否將所有職責落實到具體崗位和人員身上。


兩化融合貫標認證機構收費
一個完整的ISO9000項目管理iso9001認證辦理流程
CE歐盟產品安全認證
ISO三體系是什么企業為什么要做三體系
OHSA對工藝安全信息的基本要求有哪些？
印度商標怎么注冊？
什么是高企認定？廣州市高企認定條件是什么？
紙尿褲FDA認證怎么辦理?