ISO 27001审核

ISO 27001审核不一定是一个压倒性的前景，有效的计划、清晰简洁的文档以及对标准的详细了解可以提高您审核成功的机会，通过牢记我们的内部审计清单，您可以将审计转变为一个轻松的过程。

什么是 ISO 27001 审核？

ISO 27001 审核有两种类型：内部审核和认证审核，前者是对您的 ISMS 进行定期、全面的评估，以确定您的流程、程序和控制是否有效运作并符合ISO 27001，并且应由合格且独立的内部审核员进行。认证审核是对您的 ISMS 进行的审核，其遵循与内部审核相同的原则，但由外部方以独立的、经认可的认证机构的形式进行，认证审核通常每三年进行一次。

为什么需要ISO 27001内部审计

如标准第 9.2 条所述，内部审核是 ISO 27001 的要求。

第 9.2 条规定，内部审核应“按计划的时间间隔进行，以提供有关信息安全管理体系是否符合：

1.组织自身对其信息安全管理体系的要求；和

2.本国际标准的要求；”

ISO 27001 审核清单

我们简短的 ISO 27001 审核清单将使审核变得轻而易举。

1.设置审核标准和范围

设置审核标准和范围非常重要，包括计划中的每个审核的细节，以确保达到目标；审核计划的细节应清楚地记录在案，包括内部审核的频率、审核的地点（和时间）、审核将如何进行、有关审核计划的信息以及结果将如何报道。

2.任命独立审计师

任何称职的审计员都会知道他们必须是实施项目的独立方；审计员不能审计他们自己的工作，不符合标准的主要原因之一是那些参与实施纠正措施的 ISMS 审核人员。

3.确定利益相关者

由于 ISMS 涉及整个组织，因此确定要对 ISMS 的各个方面提出问题的相关管理人员并知道向谁提问是必不可少的。

4.审计文件（第一阶段）

符合 ISO 27001 的 ISMS 的关键要求之一是记录您为提高信息安全所采取的措施；审计的第一阶段将是审查该文件；文件不仅指政策和程序、SoA（适用性声明）等，还指审计计划文件，以及在内部审计过程中取得的记录。

在审查文档时，您应该同时记下要求；例如，如果您正在审查特定的政策或程序，您应该记下任何观察结果，以便您可以在下一阶段的审计中检查这些是否按预期工作。

5.进行审核（第 2 阶段）

审核的第二阶段（也称为现场审查）是检查 ISMS 在实践中的运作方式，并采取组织实际“演练”的形式，这将涉及与经理和员工面谈，审查特定设备，并观察程序是否得到遵守（例如，所有员工是否都遵循明确的办公桌政策？是否采取了物理安全措施？），此阶段通常需要一周以上的时间，具体取决于组织的规模和复杂性。

审核员将在整个过程中做详细记录，包括组织是否遵守了标准的特定条款，他们还将记录受访者的姓名和所谈内容的摘要、审查过的任何记录的详细信息以及任何其他观察结果。

请注意，并非所有控制都必须由组织实施——应在 SoA 中记录包含或排除ISO 27002中每个推荐控制的理由。

6.报告

审核结束后，审核员将记录他们的发现，包括观察到的任何不符合项的清单，并起草一份内部审核报告。报告的目的是让组织确定需要解决的任何纠正措施，以便适当地管理信息安全风险。

7.跟进

审核员应跟进组织以确定纠正措施是否已得到解决，只有当所有不符合项都得到处理后，内部审核周期才算完成。

8.记录的保留

根据标准第 7.5.3 条，组织应保留所有审核文件，包括内部审核的结果，这些记录作为绩效和得出的结论的记录，并将有助于支持未来的审计。