服务项目

信息安全认证：“ISO27001审核实施阶段的文件评审”理解要点

文章录入：华道众合文章来源：华道众合添加时间：2021-3-2

应评审受审核方的相关文件，以∶

——确定文件所述的体系与审核准则的符合性;

——收集信息以支持审核活动。

注：如何进行文件审核的指南见B.2。

只要不影响审核实施的有效性，文件评审可以与其他审核活动相结合，并贯穿在审核的全过程。如果在审核计划所规定的时间框架内提供的文件不适宜、不充分，审核组长应告知审核方案管理人员和受审核方应根据审核目标和范围决定审核是否继续进行或暂停，直到有关文件的问题得到解决。

【理解要点】

首次会议

现场审核的整个过程将召开一系列会议∶审核组准备会议、首次会议、审核组内部会议、审核组与受审核方沟通会议、末次会议。在审核活动中必要时还可召开有关人员座谈会。

会议是审核过程中受审核方与审核组成员之间交流的主要手段。不同会议有不同的目的，也就有不同的人参加。如果要实现会议的目标，就需要认真安排好所有的会议，包括会前策划（目的、参加人员、时间）、会议控制（时间、内容、气氛、排除干扰，坚持达到会议目标），这些会议一般由审核组长主持。

审核前的审核组准备会议是审核准备与审核实施的一个重要接口。其主要目的是∶介绍受审核方的基本概况;了解受审核方产品实现过程的特点和风险识别、分析和评估和控制措施;明确审核分工和审核要点;审核组成员准备或确认检查表。通常应在审核实施前1天或几天内召开，会议时间一般不超过半天。会议由审核组组长主持，全体审核组成员包括实习审核员和技术专家参加。会议内容∶由审核组组长介绍受审核方基本概况;由熟悉该专业的审核组成员或技术专家介绍产品和过程特点、风险识别、分析和评估及控制措施要点;审核组组长按计划分工，分配任务，包括文件审查任务，明确审核要点;审核组成员按分工准备检查表。

首次会议是现场审核的序幕，首次会议的召开就表明现场审核的正式开始。首次会议是审核组与受审核方高层管理人员见面和介绍审核过程的第一次会议。

首次会议由审核组长主持。

（1）首次会议的目的

1）确认审核计划，包括其中不明确的内容以及是否需要调整和修改;

2）简要介绍审核活动如何实施（所采用的方法和程序）;

3）在审核组和受审核方之间建立正式联系，并确认沟通渠道;

4）向受审方提供询问的机会。

（2）首次会议的内容

1）与会者签到。

2）介绍与会者，包括概述其职责。审核组长介绍审核组成员。受审核方介绍与会管理层成员和各部门负责人或其代表。

3）确认审核目的、范围和准则。

4）与受审核方确认审核计划中的审核日程以及相关的其他安排。例如∶ 末次会议的日期和时间，审核组与受审核方管理层之间的临时会议以及任何新的变动。如确有需要，可修改审核计划，但应双方协商。

5）介绍实施审核所用的方法和程序，说明审核的基本方法是抽样，审核中存在不确定因素有一定局限性，应告知受审核方审核证据只是基于可获得的信息样本。因此，在审核中存在不确定因素，要求受审核方配合提供信息安全管理体系运行的可信信息，以确保审核结论的客观、公正。

6）确认审核组和受审核方之间的正式沟通渠道。

7）确认审核所使用的语言。

8）确认在审核中将及时向受审核方通报审核进展情况。

9）确认落实审核组所需的资源和设施（例工作室、复印等）。

10）确认有关保密事宜。审核组长应重中审核人员的保密守则，负责保护受审核方的技术、经营秘密和审核信息。

11）确认审核组工作时的安全事项、应急和安全程序。

12）确认向导的安排、作用和身份。

13）报告的方法，包括不符合的分级。审核组长应说明审核结论的分级，并说明审核组仅提供推荐性结论，最后由认证组织决定并发布正式结论。

14）有关审核可能被终止的条件的信息。

15）关于审核的实施或结论的申诉系统的信息。

（3）首次会议的注意事项

1）审核组长作为主持者应准备议程并控制首次会议的时间，一般在30 分钟以内。为掌握时间，不需要在首次会议上进行工作汇报或观看录像等。

2）受审核方主要领导应参加首次会议，有特殊情况应指定代表参加，审核组不应强求某一公司领导非参加不可。

3）审核计划如有需要可作适当调整。

4）首次会议确定了审核的"基调"和风格，审核组应注意∶守时，讲究效率，务实，开诚布公，气氛融洽而又坦率透明。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】