ISO 27001审核的五个阶段包含那些内容

答：

ISO 27001审核的五个阶段

1. 范围界定和审计前调查

您必须进行基于风险的评估，以确定审计的重点，并确定哪些领域不在范围内。

ISO 27001审核信息来源可能包括行业研究、以前的 ISMS（信息安全管理系统）报告或其他文件，例如 ISMS 政策。

确保审核的范围与组织相关——它通常应与被认证的 ISMS 的范围相匹配。

对于大型组织，审核员可能需要审查 ISMS 在每个业务地点的实施情况。

如果无法查看每个位置，至少应该抽取一个具有代表性的样本。

在审核前调查期间，ISO 27001审核员还应确定并联系 ISMS 中的主要利益相关者，以索取将在审核期间审核的任何文件。

2. 规划和准备

在同意 ISMS 审核范围后，审核员必须将其分解为更详细的ISO 27001审核内容。

这涉及制定 ISMS 审核工作计划，其中审核的时间安排和资源与管理层达成一致，传统的项目规划图表，例如甘特图，可能会有所帮助。

审计计划确定并围绕审计的剩余阶段划定界限，通常包括“检查点”，详细说明审计师向经理提供非正式临时更新的具体机会。

此类更新允许审计师提出有关获取信息或人员的问题，并允许管理层提出有关审计过程的ISO 27001审核问题。

必须指定重要审核工作的时间安排，以便在发现 ISMS 不足时您可以优先考虑您认为会带来大风险的方面。

3. ISO 27001审核实地考察

一旦制定了 ISMS 审核工作计划，审核员必须通过采访与 ISMS 相关的员工、经理和其他利益相关者来收集证据。

他们还应该审查 ISMS 文件、打印输出和数据，并观察 ISMS 流程的运行情况。

需要执行审计测试以验证收集到的证据，以及记录所执行测试的审计工作文件。

现场工作的初始阶段通常涉及审核员审查与 ISMS 相关并由 ISMS 产生的文件。

他们的发现可能表明需要进行特定的审核测试，以确定 ISMS 与 ISO 27001 相关文件的遵循程度。

4. ISO 27001审核分析

应根据风险和控制目标对审计证据进行分类、归档和审查。

有时，分析可能会发现证据中的差距或表明需要进行更多的审计测试，这将涉及进一步的现场测试。

5. ISO 27001审核报告

审计过程的这一重要组成部分通常包括：

说明所执行工作的范围、目标、时间和范围的介绍；

显示主要发现的执行摘要、简要分析和结论；

预期的报告接收者，以及分类和分发指南（如适用）；

详细的调查结果和分析；

结论和建议；和

审计师详细说明建议或范围限制的声明。

审计报告草稿应提交给管理层并与管理层讨论，可能需要进一步审查和修订，因为终报告通常涉及管理层对行动计划的承诺。