ISO 27001審核流程
內部審核員
1、基本概念
審核含義：對信息安全相關的審核證據進行客觀評價，以確定滿足信息安全審核準則的程度所進行的系統(tǒng)、獨立并形成文件的過程。
審核準則：安全管理方針、SOA、風險評估報告及管理計劃、法規(guī)要求、合同要求、內部安全規(guī)范要求扥；
審核證據:與審核準則有關并且能夠證實的記錄、事實陳述及其他信息。
審核類型：第一方審核（內審）、第二方審核（顧客），第三方審核；
審核階段：第一階段為文件審查，第二階段為對ISMS實施結果審查。
基本程序：策劃與準備、實施、報告、跟蹤。
2、審核策劃與準備
——年度審核策劃：時間及方式
——審核準備：目的及范圍、特別要求、成員、時間資源、計劃、檢查表、審核前溝通
——編制ISMS審核實施計劃：目的及范圍、準則、成員、詳細日程安排（會議時間、人員分配、受審部門時間、主要審核點）、特別說明（臨時權限及業(yè)務影響）、批準人簽字、通知的對象部門
——編制審核檢查表：（備忘錄，應該反映實際的業(yè)務過程）審核準則、部門、檢查要點、驗證方法、抽樣數(shù)、審核時間、驗證結果。
——審核前溝通：特別事項、提前通知、組內會議。
3、審核實施
——首次會議
——現(xiàn)場審核：
基本原則（行規(guī)）：進入審核區(qū)域、自我介紹（由陪同人員介紹）、解釋希望看什么、進行適當深度調查、如無問題繼續(xù)審核計劃、切記為了問題而審核。
提問方式：開放式提問了解活動，封閉式提問用于確認。
審核技巧：抽樣、驗證、詢問；
——不合格報告：
分類：嚴重不合格、一般不合格、觀察意見；
不合格判斷：足夠事實？孤立的問題？頻繁？嚴重程度?糾正措施？對受審方的幫助？違反ISO哪一條規(guī)則？
不合格描述：客觀判斷、地點、事實、原因、職位、專業(yè)術語、可追溯、改進。得到責任人的許可。
報告：準確清晰的描述不合格事實、問題性質、違反規(guī)定條款，糾正措施計劃及責任部門
——審核組會議
——末次會議
4、審核報告、糾正及跟蹤
——審核報告
——糾正措施計劃及執(zhí)行：補救措施、預防措施
——糾正措施跟蹤
——審核檔案管理：審核實施計劃、審核檢查表、現(xiàn)場審核記錄、審核不合格報告、審核報告、糾正預防措施計劃、糾正措施實施證據、措施驗證記錄。
以上就是ISO 27001審核所需要注意點