ISO27001信息安全管理體系認證內部審核：企業或組織內部人員定期(一般每年至少一次)對信息安全管理系統的合規性進行自我評估和定期檢查。在本次審計中，有必要確保整個系統符合ISO/IEC 27001:2013標準和相關法律法規的要求，并滿足確定的信息安全要求，以確保系統得到有效實施和維護。

在審計的初始階段，必須制定、發布信息安全政策，并將其傳達給所有員工和外部相關方。例如，在積極預防、綜合管理、風險控制和安全方面，我們應該設定好目標。

制定信息安全目標

所需的具體目標包括：

1.信息零泄漏

2.機構造成的重大業務中斷累計時間不得超過2小時/年

3.嚴重影響網絡和信息系統可用性的事件/年少于一次

4.導致組織的重大業務中斷事件每年少于一次

5.當發生信息安全事件時，目標是將損失降至最低，將恢復時間降至最低，并避免再次發生。

內部審計要求

1.公司應建立并實施《內部審核程序》，明確審核的目的、體系、程序等內容，確保公司ISMS的合規性和有效性，并滿足確定的信息安全要求;

2.審核組長負責監督內部審核，并向信息安全負責人報告審核情況;

3.安排具有審核員資格的人員進行審核。審核員不得對本部門的工作進行審核，以確保審核的公正性和客觀性;

4.公司應按計劃的時間間隔(不超過1年)組織內部審核;在安排審核計劃時，應考慮部門的重要性及其以往的實施情況;

5.所有審計相關記錄應由信息安全戰略推進小組保存

6.受審核部門應采取適當措施，消除發現的不符合項;

7.審核員應跟蹤和驗證為確保不符合項關閉而采取的措施;

二、外部審計

為了滿足ISO27001認證的外部審核，企業需要準備與風險評估、內部審核、體系運行、管理評審、各種體系文件和體系相關的材料進行檢查。

ISO27001認證審核要點

1.信息安全政策制定

2.控制措施的選擇

3.系統操作

4.文件體系的符合性

5.各種策略的設計

外部審計

1.外部審計也稱外部審計，可分為第一次審計和第二次審計。在外部審核期間，認證機構將聯系負責人并商定現場檢查的檢查時間。

2.外部審核主要是檢查體系文件是否符合標準，公司是否執行了體系要求，是否有運行記錄輸出，公司整體情況和公司辦公環境。對于信息安全部門來說，主要是了解情況。一般來說，如果有問題，可以現場糾正。

3.一般情況下，第一次審核只需一天，審核人是審核組長。審計結果將在審計后公布。如果它們失敗了，它們通常在第一個實例中失敗，不需要第二個實例。

4.二審時間較長，具體時間和費用將根據申請人數和規模確定。

ISO27001的審核流程比較復雜，而且申請ISO27001認證，ISO27001體系文件必須要運行3個月，進行過一次內審和管理評審，才能提交給審核方。這里先看一下具體的審核流程：

1、現狀調研

從日常運維、管理機制、系統配置等方面對貴公司信息安全管理安全現狀進行調研，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。包括：

項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。

前期培訓：信息安全管理基礎，風險評估方法。

現狀評估：初步了解信息安全現狀，分析與ISO27001標準要求的差距。

業務分析：訪談調查，核心與支持業務，業務對資源的需求，業務影響分析。

2、風險評估

對貴公司信息資產進行資產價值、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當的措施、方法實現管理風險的目的。

資產識別：識別貴公司的各種信息資產。

風險評估：重要資產、威脅、弱點、風險識別與評估。

3、管理策劃

根據貴公司對信息安全風險的策略，制定相應信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

文件編寫：編寫ISMS各級管理文件，進行Review及修訂，管理層討論確認。

發布實施：ISMS實施計劃，體系文件發布，控制措施實施。

中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核。

4、體系實施

ISMS建立起來(體系文件正式發布實施)之后，要通過一定時間的試運行來檢驗其有效性和穩定性。

認證申請：與認證機構切磋商，準備材料申請認證，制定認證計劃，預審核。

后期培訓：審核員等角色的專業技能培訓。

內部審核：審核計劃，Checklist，內部審核，不符合項整改

管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防。

5、認證審核

經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

認證準備：準備送審文件，安排部署審核事項。

協助認證：內部審核小組陪同協助，應對審核問題。