5.2 審核方法

5. 2.1 過(guò)程審核

ISO/IEC 27001: 2005的要求是過(guò)程要求。

有些ISMS過(guò)程要通過(guò)形成文件的程序（documented procedures，通常稱程序文件） 加以控制，如“文件控制程序”、“記錄控制程序”、“ISMS內(nèi)部審核程序”和“糾正措施和預(yù)防措施控制程序”等。有些過(guò)程不一定要用程序文件進(jìn)行控制。凡標(biāo)準(zhǔn)要求要有的過(guò)程，組織要有相應(yīng)的過(guò)程。審核人員應(yīng)按標(biāo)準(zhǔn)要求進(jìn)行過(guò)程審核。對(duì)過(guò)程的審核可從兩方面人手：

(1)過(guò)程是否到位。對(duì)于IS()/IEC 27001的相關(guān)條款的關(guān)鍵點(diǎn)上所要求的過(guò)程，組織實(shí)際建立的ISMS必須要有相應(yīng)的過(guò)程。

(2)過(guò)程是否符合要求。IS()/IEC 27001標(biāo)準(zhǔn)對(duì)每個(gè)ISMS過(guò)程，都有具體的和明確的要求（“shall”要求）。組織的ISMS必須滿足這些要求。

主要方法是將組織的ISMS與IS()/IEC 27001: 2005的第4～8章規(guī)定的要求進(jìn)行比較和分析。