一 、文件審核關注要點

在進行文件審核時 ，審核員主要關注信息安全管理體系文件是否符合ISO27001標準 ，關注文件的適宜性和完整性是否符合要求 。關注的文件包括但不限於:

法律地位證明 、組織簡介 、組織機構圖 、人員情況說明 、管理手冊 、程序文件 、信息安全方針和目標 、信息安全管理體系的規程和控制措施 、SOA適用性聲明 、風險評估報告 、殘餘風險聲明 、風險處置計劃 、資產識別表 、法律法規清單 。

二 、現場審核關注要點

現場審核時 ，審核員主要關注組織信息安全管理體系執行的程度及有效性 ，除着重關注各部門信息安全資產識別與風險管理相關記錄外 ，對應不同部門或角色 ，着重關注的體系運行記錄分別為 ：

行政人事部門 ：

1 、來訪人員登記記錄

2 、人員保密協議

3 、與信息安全相關的法律法規清單 、符合性評價

4 、與信息安全相關的培訓計劃 、培訓簽到記錄

IT相關部門 ：

1 、服務器管理（包括設備點檢 、測試日誌記錄與審查)

2 、機房管理等重點區域進出管理

3 、對各部門定期殺毒 、屏保 、密碼等監督檢查表單

4 、公司軟件使用清單 、容量標註

5 、重要數據備份記錄

6 、上網安全檢查

7 、各類信息系統如郵箱 、OA權限及權限時效性管理記錄

市場開發部門 ：

1 、合同 、訂單

2 、業務連續性資料(計劃 、驗證)

3 、訪問區域限制如未經授權人員可能進入的地點管理記錄

研發部門:

1 、產品技術資料（設計開發資料 ，應包括信息安全風險評估)

2 、研發人員保密協議

3 、生產工藝流程圖

採購部門 ：

1 、合格供應商名錄

2 、供應商調查表

3 、供應商簽署安全要求的文件協議

4 、供應商基本資料(如營業執照 、ISO9001證書等)

管理層 ：

1 、目標達成統計表

2 、文件清單（手冊 、程序 、作業指導書)

3 、文件發佈記錄

4 、外來文件清單

5 、全公司資產識別與風險管理匯總表

6 、內審 、管審過程記錄