ISO27001认证审核步骤(ISO27001认证审核流程）

一、内部结构审计

ISO27001信息安全管理方法体系认证内部结构审核：公司或机构内部员工按时(一般每年都要一次)对信息安全智能管理系统的合规开展自我评定和定期维护。在此次审计中，必须确保全部系统软件合乎ISO27001标准及法律法规的需求，并符合确立的信息安全规定，以确保系统软件得到充分执行与维护。

在审计的初期，务必制订、公布信息安全现行政策，并把它传递给全体员工外部利益相关方。比如，在主动防止、信息化管理、风险管控和安全生产方面，我们要设置好总体目标。

制订信息安全总体目标

所需要的主要目标包含：

1、信息零泄漏

2、组织导致的巨大业务流程终断总计时长不能超过2钟头/年

3、严重危害网络与信息网站安全性事件/年低于一次

4、造成机构的巨大业务流程终断事情每一年低于一次

5、当出现信息安全情况时，目的在于将损害降到较低，将恢复期降到较低，并避免再次发生。

内部结构审计规定

1、公司应创建并执行《内部审核程序》，确立审核的效果、体系、程序流程等相关信息，确保公司ISMS的合法性和有效，并符合确立的信息安全规定；

2、审核小组长承担监管内部结构审核，同时向信息安全责任人汇报审核状况；

3、分配具备审核员资质的员工进行审核。审核员不可对本单位的工作进行了审核，以确保审核的客观性和普遍性；

4、公司应按照计划的间隔时间(不得超过1年)机构内部结构审核；在分配审核计划时，应注意单位的必要性以及以往执行情况；

5、全部审计有关纪录应当由信息安全战略推进工作组储存；

6、受审核单位要采取适度对策，清除找到的不符合项；

7、审核员要追踪和认证为确保不符合项关掉而采取措施；

二、外界审计

为了实现ISO27001认证的内部审核，公司要准备与风险评价、内部结构审核、体系运作、管理评审、各种各样体系文件或体系有关的原材料开展安全检查。

ISO27001认证审核关键点

1、信息安全政府决策

2、控制方法的挑选

3、设备操作

4、文档体系的合规性

5、各种各样的策略设计方案

外界审计

1、外界审计又称外界审计，可以分为第一次审计和第二次审计。在外部审核期内，权威认证将联络责任人并商谈监督检查的检测时间。

2、外界审核通常是查验体系文档是不是符合规定，公司是不是执行了体系规定，是否存在运行记录导出，公司总体情况和公司工作环境。针对信息安全单位而言，通常是核实情况。一般来说，有问题，能够当场改正。

3、一般情况下，第一次审核仅需一天，审核人都是审核小组长。审计结论将于审计后发布。假如他们没有成功，他们通常是在第一个案例中不成功，不用第二个案例。

4、二审时间比较长，准确时间费用和将依据申请办理人数和经营规模明确。